versão 1.2 – agosto de 2015 - governodigital.gov.br · desconhecimento das tecnologias embutidas...

Versão 1.2 – Agosto de 2015

Brasília – DF

2015

Padrões de Interoperabilidade de Governo Eletrônico

i

Presidenta da República

Dilma Vana Rousseff

Ministro do Ministério do Planejamento, Orçamento e Gestão – MP

Nelson Barbosa

Secretário de Logística e Tecnologia da Informação – SLTI/MP

Cristiano Heckert Diretor do Departamento de Infraestrutura de Serviços de Rede –

DSR

Leonardo Boselli da Motta Secretaria-Executiva da ePING

Ana Paula Pessoa Mello Hudson Vinícius Mesquita

Coordenação-Geral do Grupo de Trabalho Padrões de Auditoria

Anderson Souza de Araújo Gilson Fernando Botta José Ney de Oliveira Lima Juliana Rocha Munita Loriza Andrade Vaz de Melo

Elaboração – Grupo de Trabalho Padrões de Auditoria

Alcimar Sanches Rangel Gabinete de Segurança Institucional da Presidência da República – GSI/PR

Alex Sousa Albuquerque Telecomunicações Brasileiras S.A. – Telebras

Anderson Souza de Araújo Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão SLTI/MP

André Ricardo Abed Grégio Centro de Tecnologia da Informação Renato Archer – CTI/MCTI

Antônio Montes Filho Centro de Tecnologia da Informação Renato Archer – CTI/MCTI

Carlos Ricardo Machado Oliveira Serviço Federal de Processamento de Dados – Serpro


ii

Deivi Lopes Kuhn Serviço Federal de Processamento de Dados – Serpro

Felipe Bimbato Rodrigues Ministério das Comunicações – MC

Ferrucio de Franco Rosa Centro de Tecnologia da Informação Renato Archer – CTI/MCTI

Geraldo Clay de Souza Maciel Instituto de Tecnologia da Informação – ITI

Gilson Fernando Botta Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão SLTI/MP

Guilherme Cesar Soares Ruppert Centro de Tecnologia da Informação Renato Archer – CTI/MCTI

Hugo Fernandes Vilar de Almeida Serviço Federal de Processamento de Dados – Serpro

Humberto Degrazia Campedelli Empresa de Tecnologia e Informações da Previdência Social – Dataprev

Igor Casanova Camargo Telecomunicações Brasileiras S.A. – Telebras

José Ney de Oliveira Lima Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão SLTI/MP

José Olympio R. Ribeiro de Castro Serviço Federal de Processamento de Dados – Serpro

José Rodrigues Gonçalves Junior Instituto de Tecnologia da Informação – ITI

Juliana Rocha Munita Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão SLTI/MP

Loriza Andrade Vaz de Melo Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão SLTI/MP

Lucas de Oliveira Souto Gabinete de Segurança Institucional da Presidência da República – GSI/PR

Luciano Aguiar Brandão Ministério da Defesa – MD

Marcela Luci Formighieri Empresa de Tecnologia e Informações da Previdência Social – Dataprev


iii

Marcelo Monteiro de Araújo Santos Ministério da Defesa – MD

Marcio Moura de Campos Serviço Federal de Processamento de Dados – Serpro

Marisa R. Silveira Serviço Federal de Processamento de Dados – Serpro

Paulo Marcos Siqueira Bueno Centro de Tecnologia da Informação Renato Archer – CTI/MCTI

Rogerio Winter Exército Brasileiro

Sílvio Fernando Correia Filho Serviço Federal de Processamento de Dados - Serpro

Vanildo Pereira Figueiredo Ministério das Comunicações – MC


iv

1 – Introdução ------------------------------------------------------------------------------------------- 7

2 – Histórico ---------------------------------------------------------------------------------------------- 12

3 – Fundamentação Legal ---------------------------------------------------------------------------- 13

4 – Terminologia, Conceitos e Definições -------------------------------------------------------- 15

5 – Diretrizes e Princípios ---------------------------------------------------------------------------- 19

5.1 – Diretrizes ----------------------------------------------------------------------------------------- 19

5.2 – Princípios ---------------------------------------------------------------------------------------- 20

6 – Proposta de Modelo de Governança e Gestão -------------------------------------------- 23

6.1 – Introdução --------------------------------------------------------------------------------------- 23

6.2 – Da Coordenação da ePING ------------------------------------------------------------------ 23

6.3 – Do GT Permanente de Auditoria da ePING ---------------------------------------------- 25

6.4 – Dos Subgrupos de Trabalho Temporários ------------------------------------------------ 27

7 – Disposições Finais --------------------------------------------------------------------------------- 27

8 – Referências ------------------------------------------------------------------------------------------ 29

Sumário


v

Figura 1 – Proposta de Modelo de Governança e gestão ------------------------------------- 9

Figura 2 – Documento Modelo de Gestão -------------------------------------------------------- 10

Figura 3 – Documento Conjunto inicial de características ------------------------------------ 10

Figura 4 – Documentos de Conjuntos de características específicas ---------------------- 11

Figura 5 – Estrutura de governança para o modelo proposto ------------------------------- 24

Lista de Figuras


vi

Tabela 1 – Desafios relacionados à Segurança da Informação de Comunicações ------ 8

Lista de Tabelas


7

Para a Administração Pública Federal – APF a informação e as tecnologias que a

suportam são ativos estratégicos, imprescindíveis para prestação de um serviço público

de boa qualidade e, em determinados casos, vitais para a segurança do Estado e

manutenção da soberania nacional. Sendo assim, a adoção de boas práticas referentes à

segurança da informação e comunicações deve ser uma prioridade constante dos órgãos

e entidades da APF, visando mitigar os riscos de danos materiais e prejuízos à sua

imagem.

Atualmente, portanto, informações e conhecimento são recursos de importância

crescente e vital para boa gestão dos serviços públicos e, de forma mais abrangente,

para o êxito de qualquer setor e atividade do Estado brasileiro. Nesse sentido, órgãos e

entidades da APF são organizações complexas e possuem alcance amplo em suas

atividades, utilizando grande volume de informações, com o objetivo de promover de

forma eficiente a prestação de serviços públicos ao cidadão, bem como a tomada de

decisões estratégicas para a gestão governamental e do Estado. Problemas decorrentes

da falta de Disponibilidade, Integridade, Confidencialidade e Autenticidade – DICA em

sistemas de informação levam à necessidade de desenvolver ações permanentes de

segurança nas organizações governamentais, inscritas no Orçamento da União. Nesse

cenário, surgem inúmeros desafios relacionados à Segurança da Informação e

Comunicações, conforme os apresentados na Tabela 1.

Desafios

Redes Sociais

Computação em nuvem

Aumento exponencial da utilização de dispositivos móveis

Aumento da exposição

Problemas tecnológicos

Aumento da demanda de informações pelos cidadãos

Convergência digital

Leis, regulamentações e normas não unificadas

Inexistência de jurisprudência que trate de atos ilícitos em meios eletrônicos

Aumento exponencial de compartilhamento de informações

1 – Introdução


8

Redução do custo de aquisição de tecnologias de comunicação e processamento

Acesso a conexões de internet em banda larga.

Fragilidade de identificação do usuário ao acesso à internet.

Alta disponibilidade de técnicas e ferramentas de ataque e invasão na rede e no mercado.

Facilidade de uso dessas ferramentas

Compartilhamento de informações e ferramentas de ataque e invasão entre grupos anônimos

Crescimento exponencial do crime virtual

Exaltação por práticas ilícitas com utilização de tecnologias de informação

Diversificação dos perfis de ameaça: concorrente, sabotador, especulador, hacker, servidores insatisfeitos, criminosos, etc.

A informação deve ser tratada como um recurso estratégico e econômico

Crescente valorização da informação como principal ativo de gestão do Estado

Crescentes transações bilaterais com suporte de TI

Crescente dependência da gestão do Estado por recursos de TIC

Grande dependência tecnológica

Interdependência entre os ativos de informação

Aumento dos riscos associados aos ativos de informação

Processos de continuidade dos serviços públicos sem um grau de maturidade adequado

Desconhecimento das tecnologias embutidas nas arquiteturas proprietárias

Alinhamento estratégico da SIC com as atribuições institucionais dos órgãos e entidades públicos

Segurança de dados pessoais

Fluxo internacional de dados

Tabela 1 – Desafios relacionados à Segurança da Informação de Comunicações

Essa versão apresenta a proposta inicial de um modelo de gestão, contemplando um

conjunto de especificações técnicas, premissas e diretrizes referentes às características

que permitam auditoria de segurança da informação em programas e equipamentos.

Conforme apresentado na Figura 1, propõe-se a criação de documentos de referência

delimitando escopo e níveis de profundidade. As duas figuras subsequentes apresentam

o conteúdo dos outros documentos.


9

Figura 1 – Proposta de Modelo de Governança e gestão

Conforme apresentado na Figura 2, o presente documento (Modelo de Governança e

Gestão) conterá o histórico a partir da publicação do Decreto nº 8.135, de 04 de

novembro de 2013, a fundamentação legal identificada até o momento, conceitos

básicos e terminologia, princípios e diretrizes, a proposta de Modelo de Governança e

Gestão que deverá ser evoluído e, por fim, disposições finais.

A Figura 3 apresenta o conteúdo do documento conjunto inicial de características,

critérios, condições mínimas e medidas para auditoria de segurança da informação em

programas e equipamentos. A proposta é que o conteúdo seja voltado para as

características genéricas e necessárias para todos os serviços citados na normativa

vigente e outros serviços que venham a surgir.

A Figura 4 apresenta a estrutura proposta de criação de “sub” documentos ou

documentos “filhos”, aonde conjuntos de características, critérios, condições mínimas e

medidas específicos dos serviços citados na normativa vigente e outros serviços que

venham a surgir devem ser detalhados.


10

Figura 2 – Documento Modelo de Gestão

Figura 3 – Documento Conjunto inicial de características


11

Figura 4 – Documentos de Conjuntos de características específicas

É importante destacar que não é objetivo desta versão propor um processo de

certificação, pois para cada classe de dispositivo (programa/equipamento) a ser avaliado

demandará processo específico, a ser proposto pelas entidades envolvidas (SERPRO,

DATAPREV e TELEBRAS) ou Núcleo de Segurança da Informação e Comunicações da

SLTI/MP.

Ainda, cabe destacar que devido à peculiaridade e à complexidade das atividades e aos

prazos exíguos, pontos específicos e que demandam maior discussão técnica serão

encaminhados a foro competente. Por ser uma proposição sumária e em versão inicial,

as informações aqui presentes não são exaustivas nas características e aspectos

abordados, devendo evoluir durante os trabalhos do GT (Portaria nº 54/SLTI-MP, de 06

de maior de 2014) e após sua finalização.

A seção subsequente apresenta o histórico a partir da publicação do Decreto nº

8.135/13. A seção 3 apresenta a fundamentação legal identificada até o momento, ou

seja, o arcabouço normativo existente sobre o tema. A seção 4 apresenta conceitos

importantes e uma terminologia necessários para o melhor entendimento do material.

Os princípios e diretrizes, nas quais as especificações técnicas iniciais e futuras devem se


12

pautar, estão dispostas na seção 5. A seção 6 apresenta a proposta de Modelo de

Governança e Gestão das atividades referentes à implementação e auditoria de

segurança em programas e equipamentos. Subsequentemente, as disposições finais são

apresentadas na seção 7.

Em 4 de novembro de 2013 foi publicado pela Presidência da República, ouvido o

Conselho de Defesa Nacional, o Decreto nº 8.135, que dispõe sobre as comunicações de

dados da Administração Pública Federal direta, autárquica e fundacional, e sobre a

dispensa de licitação nas contratações que possam comprometer a segurança nacional.

Em seu § 3º do art. 1º, o Decreto nº 8.135/13 dispõe que:

“os programas e equipamentos destinados às atividades de que trata

o caput deverão ter características que permitam auditoria para fins

de garantia da disponibilidade, integridade, confidencialidade e

autenticidade das informações, na forma da regulamentação de que

trata o § 5º”.

O § 5º do art. 1º, do Decreto nº 8.135/13, complementa:

“Ato conjunto dos Ministros de Estado da Defesa, do Planejamento,

Orçamento e Gestão e das Comunicações disciplinará o disposto

neste artigo e estabelecerá procedimentos, abrangência e prazos de

implementação, considerando:

I - as peculiaridades das comunicações dos órgãos e entidades da

Administração Pública Federal; e

II - a capacidade dos órgãos e entidades da Administração Pública

Federal de ofertar satisfatoriamente as redes e os serviços a que se

refere o caput”.

Os “procedimentos, abrangência e prazos de implementação”, impostos pelo Decreto,

foram definidos pela Portaria Interministerial MP/MC/MD nº 141, de 02 de maio de

2014, que:

“dispõe que as comunicações de dados da Administração Pública

Federal direta, autárquica e fundacional deverão ser realizadas por

redes de telecomunicações e serviços de tecnologia da informação

2 – Histórico


13

fornecidos por órgãos ou entidades da Administração Pública

Federal, incluindo empresas públicas e sociedades de economia mista

da União e suas subsidiárias, observado o disposto nesta Portaria”.

Em 06 de maio de 2014, a Portaria nº 54/SLTI-MP constituiu o Grupo de Trabalho (GT),

vinculado à Coordenação de Padrões de Interoperabilidade de Governo Eletrônico (e-

PING), composto por servidores e empregados públicos de órgãos e entidades da

Administração Pública Federal para, em conformidade com o que disciplina o Decreto nº

8.135/2013, e a Portaria Interministerial MP/MC/MD nº 141/2014, produzir versão

inicial e plano de continuidade para:

• definir características que permitam auditoria, em programas e

equipamentos, para fins de garantia da disponibilidade, integridade,

confidencialidade e autenticidade;

• detalhar os critérios e condições mínimas a serem exigidos na contratação

de programas e equipamentos;

• definir medidas necessárias para mitigar os riscos decorrentes de incidentes

de segurança ou descoberta de vulnerabilidades nos serviços contratados de

redes de comunicações e de tecnologia da informação;

• estabelecer critérios que possibilitem a abertura de código fonte no caso de

comunicações de dados e de firmware e sistemas operacionais no caso de

equipamentos para comunicações de dados; e

• propor um modelo de rede de colaboração envolvendo institutos de

pesquisa e acadêmicos e órgãos e entidades da Administração Pública Federal

para dar suporte na operação e na continuidade dos processos de auditoria em

consonância com o disposto no Decreto.

Esta seção apresenta a fundamentação legal identificada até o momento, ou seja, o

arcabouço normativo existente sobre o tema. O conjunto de normas apresentado abaixo

não é exaustivo e precisa ser complementado.

A auditoria relacionada ao § 3º da Portaria Interministerial nº 141/ 2014 – “Os

programas e equipamentos destinados às atividades de que trata o caput deverão

possuir características que permitam auditoria para fins de garantia da disponibilidade,

3 – Fundamentação Legal


14

integridade, confidencialidade e autenticidade das informações” – se fundamenta nos

dispositivos legais abaixo.

• Decreto 3.505/2000, que institui a Política de Segurança da Informação nos órgãos

e entidades da Administração Pública Federal:

“Art. 1º, inciso IV - uso soberano de mecanismos de segurança da

informação, com o domínio de tecnologias sensíveis e duais”;

“Art. 3º, incisos II - eliminar a dependência externa em relação a

sistemas, equipamentos, dispositivos e atividades vinculadas à

segurança dos sistemas de informação; V - promover as ações

necessárias à implementação e manutenção da segurança da

informação; VI - promover o intercâmbio científico-tecnológico entre

os órgãos e as entidades da Administração Pública Federal e as

instituições públicas e privadas, sobre as atividades de segurança da

informação; VII - promover a capacitação industrial do País com

vistas à sua autonomia no desenvolvimento e na fabricação de

produtos que incorporem recursos criptográficos, assim como

estimular o setor produtivo a participar competitivamente do

mercado de bens e de serviços relacionados com a segurança da

informação; e VIII - assegurar a interoperabilidade entre os sistemas

de segurança da informação”.

• Medida Provisória N° 2.200-2/2001 - Institui a Infraestrutura de Chaves Públicas

Brasileira - ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informação em

autarquia, e dá outras providências.

• Instrução Normativa GSI Nº 1, de 13 de junho de 2008 - Disciplina a Gestão de

Segurança da Informação e Comunicações na Administração Pública Federal, direta e

indireta, e dá outras providências, e suas normas complementares.

• Instrução Normativa GSI/PR nº 3, de 06 de março de 2013. Dispõe sobre os

parâmetros e padrões mínimos dos recursos criptográficos baseados em algoritmos de

Estado para criptografia da informação classificada no âmbito do Poder Executivo

Federal.

• Instrução Normativa Nº 4 - SLTI/MPOG, de 12 de novembro de 2010 - Dispõe sobre

o processo de contratação de Soluções de Tecnologia da Informação pelos órgãos

integrantes do Sistema de Administração dos Recursos de Informação e Informática

(SISP) do Poder Executivo Federal.


15

Para o disposto neste documento, baseado na Portaria nº 141/2014 e adicionadas

outras fontes, consideram-se as definições a seguir.

• Ameaça: conjunto de fatores externos ou causa potencial de um incidente

indesejado, que pode resultar em dano para um sistema ou organização.

• Ativos de informação: os meios de armazenamento, transmissão e processamento,

os sistemas de informação, bem como os locais onde se encontram esses meios e as

pessoas que a eles têm acesso.

• Armazenamento de dados: serviço de depósito e arquivamento de informações em

formato digital que utiliza componentes de computadores ou mídias de gravação

capazes de manter os dados por um intervalo de tempo.

• Auditoria: processos e procedimentos sistemáticos de levantamento de evidências

que tem como objetivo verificar se os serviços de redes de telecomunicações e de

tecnologia da informação atendem aos requisitos especificados previamente em termo

de referência ou projeto básico para fins de garantia da disponibilidade, integridade,

confidencialidade, autenticidade das informações.

• Auditoria de Terceira Parte: auditoria executada por terceiro confiável (acreditado)

e isento de interesse comercial ou institucional no objeto de avaliação.

• Autenticidade: propriedade de que a informação foi produzida, expedida,

modificada ou destruída por uma determinada pessoa física, ou por um determinado

sistema, órgão ou entidade.

• Centro de processamento de dados: ambiente que concentra e gerencia recursos

computacionais para armazenamento e tratamento sistemático de dados.

• Comunicação de dados: é a transmissão, emissão ou recepção de dados ou

informações de qualquer natureza por meios confinados, radiofrequência ou qualquer

outro processo eletrônico, eletromagnético ou ótico.

• Comunicação de dados militares operacionais: comunicação de dados realizada em

proveito de operações militares, executadas no âmbito do Sistema Militar de Comando

e Controle – (SISMC²), conforme disciplinado pelo Ministério da Defesa para o preparo e

o emprego das Forças Armadas, em especial os sistemas de controle de tráfego aéreo,

4 – Terminologia, Conceitos e Definições


16

de controle de tráfego marítimo, de defesa aeroespacial, de monitoramento de

fronteiras e de proteção de infraestruturas críticas.

• Confiabilidade: capacidade de um sistema de realizar ou manter seu funcionamento

em circunstâncias de rotina, bem como circunstâncias hostis e inesperadas.

• Confidencialidade: propriedade de que a informação não esteja disponível ou

revelada à pessoa física, sistema, órgão ou entidade não autorizado e credenciado.

• Controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a

finalidade de conceder ou bloquear o acesso.

• Continuidade de Negócios: capacidade estratégica e tática de um órgão ou

entidade de se planejar e responder a incidentes e interrupções de negócios,

minimizando seus impactos e recuperando perdas de ativos da informação das

atividades críticas, de forma a manter suas operações em um nível aceitável,

previamente definido.

• Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob

demanda por uma pessoa física ou determinado sistema, órgão ou entidade.

• Fornecedor privado: pessoa jurídica de direito privado que presta serviços de rede

de telecomunicações ou de tecnologia da informação e que não integra a Administração

Pública Federal direta ou indireta.

• Incidente de segurança: qualquer evento adverso, confirmado ou sob suspeita,

relacionado à segurança dos sistemas de computação ou das redes de computadores.

• Integridade: propriedade de que a informação não foi modificada ou destruída de

maneira não autorizada ou acidental.

• Órgão ou entidade contratante: órgão ou entidade da Administração Pública

Federal, que contrate serviços de redes de telecomunicações e de tecnologia da

informação.

• Órgão ou entidade fornecedor: órgão ou entidade da Administração Pública

Federal, incluindo empresas públicas e sociedades de economia mista da União e suas

subsidiárias, que forneça serviços de redes de telecomunicações e de tecnologia da

informação para órgãos ou entidades contratantes.

• Órgão gerenciador: órgão responsável pelo estabelecimento, por meio de

regulamentação específica, das regras, condições, parâmetros, preços e modelos de


17

instrumentos de contratação que serão obrigatórios para os órgãos e entidades

contratantes.

• Quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no

comprometimento da segurança da informação e comunicações.

• Recuperação de dados: processo de restauração, em sistemas computacionais, de

dados digitais perdidos, excluídos, corrompidos ou inacessíveis por qualquer motivo.

• Rede própria: conjunto de meios físicos, sistemas de telecomunicações e

equipamentos de transmissão de dados, cuja posse, gestão, administração e

responsabilidade pela operação sejam exclusivas do próprio órgão ou entidade da

Administração Pública Federal.

• Riscos de Segurança da Informação e Comunicações: potencial associado à

exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um

conjunto de tais ativos, por parte de uma ou mais ameaças, com impacto negativo no

negócio da organização.

• Segurança da informação e comunicações: ações que objetivam viabilizar e

assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das

informações.

• Segurança em camadas: estratégia que consiste em implementar múltiplas

barreiras de proteção utilizando mecanismos de defesa (software e hardware). Este

princípio também conhecido como “defesa em profundidade”.

• Serviços de redes de telecomunicações: provimento de serviços de

telecomunicações, de tecnologia da informação, de valor adicionado e de infraestrutura

para redes de comunicação de dados.

• Serviços de tecnologia da informação: provimento de serviços de desenvolvimento,

implantação, manutenção, armazenamento e recuperação de dados e operação de

sistemas de informação, projeto de infraestrutura de redes de comunicação de dados,

modelagem de processos e assessoramento técnico, necessários à gestão da segurança

da informação e comunicações.

• Serviços de tecnologia da informação militares operacionais: recursos de Tecnologia

da Informação e Comunicações que integram o SISMC2 proporcionando ferramentas

por intermédio das quais as informações são coletadas, monitoradas, armazenadas,

processadas, fundidas, disseminadas, apresentadas e protegidas.


18

• Serviços de tecnologia da informação próprios: conjunto de serviços de tecnologia

da informação prestados por meio de plataformas desenvolvidas pelo próprio órgão ou

entidade, cuja posse, gestão, administração e responsabilidade pela operação sejam

exclusivas do próprio órgão ou entidade da Administração Pública Federal.

• Sistema Militar de Comando e Controle (SISMC²): conjunto de instalações,

equipamentos, sistemas de informação, comunicações, doutrinas, procedimentos e

pessoal essenciais para o comando e controle, visando atender ao preparo e ao

emprego das Forças Armadas.

• Software livre: software cujo modelo de licença livre atende a liberdade para

executar o programa, estudar como o programa funciona e adaptá-lo para as suas

necessidades, redistribuir cópias do programa e aperfeiçoar o programa e liberar os seus

aperfeiçoamentos sem restrição.

• Software público brasileiro: software que adota um modelo de licença livre para o

código-fonte, a proteção da identidade original entre o seu nome, marca, código-fonte,

documentação e outros artefatos relacionados por meio do modelo de Licença Pública

de Marca – LPM e é disponibilizado na Internet em ambiente virtual público, sendo

tratado como um benefício para a sociedade, o mercado e o cidadão.

• Tratamento dos riscos: processo e implementação de ações de segurança da

informação e comunicações para evitar, reduzir, reter ou transferir um risco.

• Vulnerabilidade: conjunto de fatores internos ou causa potencial de um incidente

indesejado, que podem resultar em risco para um sistema ou organização, os quais

podem ser evitados por uma ação interna de segurança da informação e comunicações.


19

Neste capítulo são apresentados os princípios e diretrizes, nas quais as especificações

técnicas iniciais e futuras devem se pautar.

5.1 – Diretrizes

• Instituir uma estrutura organizacional estratégica (Comitê Gestor), com a

responsabilidade de orientar os processos de auditoria a que se refere o Decreto nº

8.135/13.

• Instituir uma estrutura organizacional (Câmara Técnica), com a responsabilidade de

executar os processos de auditoria a que se refere o Decreto nº 8.135/13.

• A estrutura organizacional criada deve definir um Plano de auditoria em SIC,

juntamente com um orçamento adequado para a implementação das ações definidas no

Plano.

• O Comitê Gestor deve auxiliar na priorização de ações e investimentos com vistas à

correta aplicação de mecanismos de proteção, tendo como base as orientações

estratégicas e necessidades operacionais prioritárias da APF e as implicações que o nível

de segurança poderá trazer ao cumprimento dessas exigências.

• A estrutura responsável pela gestão e execução de auditoria, conforme disposto no

Decreto nº 8.135/13, deve orientar-se pelas melhores práticas e procedimentos de

segurança da informação e comunicações, recomendados por órgãos e entidades

públicas e privadas responsáveis pelo estabelecimento de padrões.

• O Comitê Gestor deve assegurar que os usuários institucionais (órgãos e entidades

da APF) entendam suas responsabilidades e estejam de acordo com os seus papéis para

prevenir fraudes e mau uso de recursos.

• Os contratos firmados pelos órgãos e entidades da APF, com base no Decreto

8.135/13, devem conter cláusulas que justifiquem a dispensa de licitação, em

conformidade com o referido Decreto.

• Deve-se buscar a adoção preferencial de padrões abertos, de software público ou

software livre.

• Deve-se buscar a implementação de controles em níveis adequados de segurança.

• Deve-se atentar para a necessidade de suporte de mercado.

5 – Diretrizes e Princípios


20

5.2 – Princípios

Princípios Básicos de Segurança: as disposições devem respeitar os princípios básicos de

segurança da informação, a saber: Disponibilidade, Integridade, Confidencialidade e

Autenticidade (DICA).

Informação como patrimônio da APF: o acervo de informações geradas, adquiridas ou

custodiadas pela APF é considerado parte do seu patrimônio e deve ter os princípios

básicos de segurança da informação preservados.

Desta forma, devem ser considerados os seguintes princípios para programas e

equipamentos destinados às atividades de comunicações de dados da APF.

I – Acreditação: o sistema a ser proposto deve atender à legislação competente

sobre certificação, avaliação ou homologação, aproveitando as estruturas

nacionais e internacionais vigentes. Neste princípio também está relacionada à

questão da definição de níveis de segurança do processo de homologação.

II – Auditabilidade: programas e equipamentos devem possibilitar auditoria de

terceira parte, a qual se deve nortear pelos princípios da neutralidade e

transparência.

III – Autenticidade: propriedade de que a informação foi produzida, expedida,

modificada ou destruída por uma determinada pessoa física, ou por um

determinado sistema, órgão ou entidade.

IV – Confiabilidade: capacidade de um sistema de realizar ou manter seu

funcionamento em circunstâncias de rotina, bem como circunstâncias hostis e

inesperadas.

V – Confidencialidade: garantia à privacidade das informações em todos os níveis

(comunicações, contratantes e contratados).

VI – Criticidade: classificação dos níveis de risco por graus, de acordo com a

exposição do ativo, o cumprimento ou descumprimento de algum requisito e a

interferência nas propriedades de segurança estabelecidas. Neste princípio

também devem ser considerada a classificação em grau de sigilo das informações

tratadas pelo programa ou equipamento.

VII – Disponibilidade: propriedade de que a informação esteja acessível e utilizável

sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade.


21

VIII – Escalabilidade: provisão de capacidade de atualização tecnológica e de

operação na medida em que novos dispositivos ou sistemas sejam adicionados

para interação com os programas e equipamentos.

IX – Gradatividade: priorização de implementação à medida que se estabelece a

competência nacional e de acordo com o nível de criticidade estabelecido. O

modelo de implementação proposto é o Progressivo Evolutivo, ou seja,

Progressivo no Tempo e Evolutivo na Complexidade.

X – Integridade: propriedade de que a informação não foi modificada ou destruída

de maneira não autorizada ou acidental.

XI – Interoperabilidade: os programas e equipamentos devem ser compatíveis

entre si e independentes de fornecedor ou tecnologia específica.

Preferencialmente, os sistemas devem possui baixo acoplamento.

XII – Neutralidade: adoção de critérios iguais, imparciais e isentos para o

tratamento das atividades de homologação.

XIII – Resiliência: propriedade de um sistema conseguir continuar operando,

mesmo em condição adversa. Neste princípio também deve ser considerada a

construção de sistemas robustos e bem testados, tolerantes a falhas e resistentes

a ataques.

XIV – Responsabilização: atribuição de papéis e responsabilidades às instituições

envolvidas.

XV – Sustentabilidade: o modelo a ser proposto para o sistema de avaliação,

auditoria ou homologação de segurança de programas e equipamentos deve

considerar a sustentabilidade econômica dos processos.

XVI – Transparência: conhecimento público e irrestrito das regras, critérios e

demais informações que afetam os interesses dos envolvidos.

XVII – Redução de pontos de vulnerabilidade por meio da padronização,

integração e interoperabilidade das redes de telecomunicações e dos serviços de

tecnologia da informação contratados.

XVIII – Aplicabilidade Operacional, ou seja, deve-se observar a aplicabilidade

operacional em caso de proposição de medidas restritivas ou exigências técnicas,

observando sempre a viabilidade de implementação das propostas.


22

IXX – Implementação de ações e procedimentos que assegurem a disponibilidade,

a integridade, a confidencialidade e a autenticidade das informações, incluindo a

preferência pela adoção de programas e equipamentos que possam ser auditados

antes, durante e depois da aquisição.

XX – Implantação de processos e mecanismos para promover a segurança em

camadas, tanto no nível dos programas quanto dos equipamentos.

XXI – Provisão de segurança das comunicações por meio do uso de criptografia

ponto-a-ponto, utilizando algoritmos de Estado, conforme exigências contidas na

legislação vigente.

XXII – Padronização: buscar a padronização levando em conta sempre o interesse

nacional, buscando adequação com padrões internacionais, sempre que possível.

XXIII – Especificação: considerar as particularidades entre os ensaios e auditorias

em hardware e software.

XXIV – A e-PING recomenda a Adoção Preferencial de Padrões Abertos, ou seja,

sempre que possível, serão adotados padrões abertos nas especificações técnicas.

Padrões proprietários são aceitos, de forma transitória, mantendo-se as

perspectivas de substituição assim que houver condições de migração. Sem

prejuízo dessas metas, serão respeitadas as situações em que haja necessidade de

consideração de requisitos de segurança e integridade de informações. De forma

complementar, qualquer software que for utilizado deve possuir documentação

adequada e ser homologado por laboratório acreditado com relação às

características de segurança. Entende-se como documentação adequada artefatos

descritivos, tais como especificação de requisitos, esquemas e diagramas de

funcionamento, casos de uso, modelos entidade-relacionamento, documentação

descritivo das funções, entre outros.

XXV – Deve-se estabelecer procedimentos que garantam a periodicidade das

avaliações de segurança e, quando necessário, as homologações por

versionamento ou lote deverão ser consideradas.

XXVI – É necessário garantir a regulamentação de um sistema nacional de

homologação de Segurança da Informação, devendo este ser autossustentável e

ser proposto por órgão competente.


23

XXVII – Deve-se estudar o estabelecimento de um regime diferenciado de

compras, a exemplo de materiais de defesa, devido ao perfil estratégico dos

programas e equipamentos e sua relação direta com a segurança nacional.

XXVIII – Baseado no princípio da Transparência, o modelo de regulamentação

deve considerar a construção participativa, ou seja, modelo de evolução por

consulta pública, com acompanhamento de status.

6.1 – Introdução

Esta seção apresenta uma proposta para o Modelo de Governança e Gestão, buscando

definir as estruturas e processos necessários para subsidiar a gestão e o controle da

segurança das comunicações de dados da APF, realizadas por redes de

telecomunicações e serviços de tecnologia da informação fornecidos por órgãos ou

entidades da Administração Pública Federal.

A estrutura de governo criada para administração do modelo proposto é formada pela

Coordenação da ePING - Padrões de Interoperabilidade de Governo Eletrônico, pelo

Grupo de Trabalho Permanente, denominado GT-Auditoria, vinculado ao Segmento de

Segurança da ePING e pelos Subgrupos de Trabalhos temporários - SubGTs. A Figura 5

ilustra esta estrutura.

6.2 – Da Coordenação da e-PING

A Coordenação da e-PING é entidade responsável por:

I – coordenar a elaboração e atualização das políticas, das diretrizes e das

especificações técnicas que compõem a e-PING, bem como as alterações e os

acréscimos em razão de sua revisão e de sua atualização;

II – acompanhar a implementação e propor medidas relativas ao planejamento, à

divulgação e à disseminação da e-PING;

III – manifestar-se sobre questões técnicas e operacionais relacionadas com a

adoção e a conformidade à e-PING por órgãos e entidades integrantes do SISP e

outros interessados;

6 – Proposta de Modelo de Governança e Gestão


24

Figura 5. Estrutura de governança para o modelo proposto

IV – constituir grupos de trabalho, mediante designação pelos órgãos da

Administração Pública Federal, para a elaboração de propostas de diretrizes e

especificações técnicas a serem submetidas à Coordenação da e-PING;

V – promover a fiscalização e adotar as medidas executivas necessárias ao

cumprimento do disposto no Documento de Referência da e-PING, comunicando

e acionando, para providências, os órgãos de controle interno, quando necessário;

e

VI – aprovar seu Regimento Interno, que estabelecerá as regras de funcionamento

e de procedimentos a serem observadas para desempenho das atribuições

estabelecidas.

Os órgãos e entidades que integram a Coordenação da ePING poderão prestar apoio

técnico aos trabalhos nas suas áreas de atuação e conhecimento.

Poderão ser convidados a participar das reuniões da Coordenação da ePING e dos

Grupos de Trabalho nele constituídos, representantes de órgãos e entidades da

Administração Pública Federal, não-integrantes da Coordenação, de outras


25

Administrações Públicas, observado o disposto no parágrafo único do art. 3º, do Decreto

nº 7.579, de 11 de outubro de 2011.

No desempenho de suas atribuições, os Coordenadores dos Grupos de Trabalho terão

assento na Coordenação da e-PING.

6.3 – Do GT Permanente de Auditoria da ePING

O GT será composto por servidores e empregados públicos de órgãos e entidades da

Administração Pública Federal – APF , para, em conformidade com o que disciplina o

Decreto nº 8.135, de 4 de novembro de 2013, e a Portaria Interministerial nº 141, de 2

de maio de 2014:

I – elaborar e zelar pelo seu regimento interno;

II – produzir o refinamento dos trabalhos realizados de acordo com a Portaria

SLTI/MP nº 54, de 6 de maio de 2014, considerando as contribuições recebidas

em conformidade com o Aviso de Consulta Pública nº 3, de 6 de novembro de

2014 (ISSN 1677-7069);

III – consolidar um modelo de rede de colaboração envolvendo institutos de

pesquisa e acadêmicos e órgãos e entidades da Administração Pública Federal

para dar suporte na operação e na continuidade dos processos de auditoria em

consonância com o disposto no decreto;

IV – prospectar, propor e coordenar inciativas, considerando que em seu Art. 1º, §

3º, o Decreto nº 8.135/2013 estabelece que os programas e equipamentos

destinados às atividades de que trata o seu caput deverão ter características que

permitam auditoria para fins de garantia da disponibilidade, integridade,

confidencialidade e autenticidade das informações;

V – instituir SubGTs para tratar temas específicos e relevantes relacionados a sua

área de competência;

VI – deliberar sobre os resultados dos trabalhos e relatórios técnicos

apresentados pelos SubGTs;

VII – apresentar periodicamente, à Coordenação da e-PING, os resultados das

atividades desenvolvidas;


26

VIII – atuar como canal de comunicação entre a Coordenação da e-PING e os

SubGTs, bem como com as representações dos setores de atividades privadas e

outras da sociedade oficialmente reconhecidas; e

IX – outras responsabilidades atribuídas legalmente ou de forma regimental.

O GT Permanente de Auditoria da ePING será coordenado pelo Ministério do

Planejamento, Orçamento e Gestão – MP, e composto por, no mínimo, um

representante e um titular do:

I – Ministério do Planejamento, Orçamento e Gestão – MP;

II – Ministério da Fazenda – MF;

III – Ministério da Previdência Social – MPS;

IV – Controladoria Geral da União – CGU;

V – Ministério das Comunicações – MC;

VI – Ministério da Defesa – MD

VII – Ministério da Ciência, Tecnologia e Inovação – MCTI;

VIII – Agência Nacional de Telecomunicações – ANATEL;

IX – Centro de Pesquisas e Desenvolvimento para a Segurança das Comunicações

– CEPESC;

X – Gabinete de Segurança Institucional da Presidência da República - GSI/PR;

XI – Instituto Nacional de Tecnologia da Informação – ITI;

XII – Instituto Nacional de Metrologia, Qualidade e Tecnologia – INMETRO;

XIII – Centro de Tecnologia da Informação Renato Archer – CTI;

XIV – Empresa de Tecnologia e Informações da Previdência Social – DATAPREV;

XV – Serviço Federal de Processamento de Dados – SERPRO;

XVI – Telecomunicações Brasileiras S.A. – TELEBRAS; e

XVII – Rede Nacional de Ensino e Pesquisa – RNP.


27

6.4 – Dos Subgrupos de Trabalho Temporários

Os SubGTs temporários serão compostos por servidores e empregados públicos de

órgãos e entidades da APF, instituídos pelo GT Permanente de Auditoria da ePING para:

I – definir seu plano de trabalho;

II – assessorar o GT Permanente de Auditoria de ePING, quando solicitado;

III – atuar na formulação das políticas relativas aos temas dispostos no Decreto n°

8.135/2013;

IV – atuar na normatização e especificação dos procedimentos de segurança

relacionados aos temas dispostos no Decreto n° 8.135/2013, com vistas a detalhar

os critérios e condições mínimas a serem exigidos na contratação de programas e

equipamentos;

V – promover estudos com os diversos agentes envolvidos em questões

relacionadas ao Decreto n° 8.135/2013, com vistas a detalhar os critérios e

condições mínimas a serem exigidos na contratação de programas e

equipamentos;

VI – avaliar propostas de alteração das especificações definidas, bem como do

Modelo de Gestão proposto, que deverão ser submetidas ao GT Permanente de

Auditoria de ePING;

VII – apoiar iniciativas de Pesquisa e Desenvolvimento em áreas de interesse do

GT Permanente de Auditoria de ePING; e

VIII – outras responsabilidades atribuídas legalmente ou de forma regimental.

Outros interessados poderão prestar apoio técnico aos grupos de trabalhos nas suas

áreas de atuação e conhecimento, a convite da Comissão de Coordenação da ePING.

Além do modelo proposto acima, é importante destacar a necessidade de a APF

incentivar a criação de uma Entidade ou Órgão que certifique empresas para prestarem

serviços que possam comprometer a segurança nacional, uma vez que a auditoria de um

software em busca de vulnerabilidades baseia-se no somatório de diversas técnicas de

análise de software, e necessita ser executada por equipe técnica altamente qualificada.

7 – Disposições Finais


28

Este documento deverá ser revisado anualmente, por Grupo de Trabalho (GT) composto

para essa finalidade, sendo instituído e coordenado pelo Órgão Gerenciador, conforme

disposto no Capítulo II da Portaria Interministerial (MP, MC, MD) n° 141, de 02 de maio

de 2014.


29

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 15999-1: Gestão

de continuidade de negócios Parte 1: Código de prática, elaboração. São Paulo, 2007

(versão Corrigida 2008). 40p.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 22301: Segurança

da sociedade — Sistema de gestão de continuidade de negócios — Requisitos,

elaboração. São Paulo, 2013. 28 p. [substitui ABNT NBR 15999-2]

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001: Tecnologia

da informação — Técnicas de segurança — Sistemas de gestão da segurança da

informação — Requisitos, elaboração. São Paulo, 2013. 30 p.


da informação — Técnicas de segurança — Código de prática para controles de

segurança da informação, elaboração. São Paulo, 2013. 99 p.


da informação – Técnicas de segurança – Diretrizes para implantação de um sistema de

gestão da segurança da informação, elaboração. São Paulo, 2011. 75 p.


da informação — Técnicas de segurança — Gestão da segurança da informação —

Medição, elaboração. São Paulo, 2010. 59 p.


da informação — Técnicas de segurança — Gestão de riscos de segurança da informação.

Elaboração. São Paulo, 2011. 85 p.


da informação - Técnicas de segurança - Diretrizes para gestão da segurança da

informação para organizações de telecomunicações baseadas na ABNT NBR ISO/IEC

27002, elaboração. São Paulo, 2009. 57 p.

BRASIL, Tribunal de Contas da União. Acórdão TCU 1603/2008 Levantamento acerca da

Governança de Tecnologia da Informação na Administração Pública Federal/ Tribunal de

Contas da União; Relator: Ministro Benjamim Zymbler – Brasília: TCU, Secretaria de

8 – Referências


30

Fiscalização de Tecnologia da Informação, 2008. 48 p.

BRASIL. Constituição (1988). Constituição da República Federativa do Brasil. Brasília, DF:

Senado Federal. Lex: Vade Mecum Saraiva, São Paulo, 17ª Ed. 2144 p.

BRASIL. Decreto n.3505, de 13 de junho de 2000. Institui a Política de Segurança da

Informação nos órgãos e entidades da Administração Pública Federal. Lex: Vade Mecum

Saraiva, São Paulo, 17ª Ed. 2144 p.

BRASIL. Decreto n. 4553, de 27 de dezembro de 2002. Dispõe sobre a salvaguarda de

dados, informações, documentos e materiais sigilosos de interesse da segurança da

sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras

providências. Institui a Política de Segurança da Informação nos órgãos e entidades da

Administração Pública Federal. Lex: Vade Mecum Saraiva, São Paulo, 17ª Ed. 2144

p.(DECRETO REVOGADO)

BRASIL. Decreto n. 7845, de 14 de novembro de 2012. Regulamenta procedimentos para

credenciamento de segurança e tratamento de informação classificada em qualquer

grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento. Lex: Vade

Mecum Saraiva, São Paulo, 17ª Ed. 2144 p.

BRASIL. Decreto n. 2295, de 4 de agosto de 1997. Regulamenta o disposto no art. 24,

inciso IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação

nos casos que possam comprometer a segurança nacional. Lex: Vade Mecum Saraiva,

São Paulo, 17ª Ed. 2144 p.

BRASIL. Decreto n. 8135, de 04 de novembro de 2013. Dispõe sobre as comunicações de

dados da administração pública federal direta, autárquica e fundacional, e sobre a

dispensa de licitação nas contratações que possam comprometer a segurança nacional.

Lex: Vade Mecum Saraiva, São Paulo, 17ª Ed. 2144 p.

BRASIL. Gabinete de Segurança Institucional da Presidência da República. Instrução

Normativa GSI/PR nº 1, de 13 de junho de 2008. Disciplina a Gestão de Segurança da

Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá

outras providências.

BRASIL. Lei n. 8666, de 21 de junho de 1997. Regulamenta o art. 37, inciso XXI, da

Constituição Federal, institui normas para licitações e contratos da Administração


31

Pública e dá outras providências. Lex: Vade Mecum Saraiva, São Paulo, 17ª Ed. 2144 p.

BRASIL. Lei n. 9296, de 24 de julho de 1996. Regulamenta o inciso XII, parte final, do art.

5° da Constituição Federal. Lex: Vade Mecum Saraiva, São Paulo, 17ª Ed. 2144 p.

BRASIL. Lei n. 12.598, de 21 de março de 2012. Estabelece normas especiais para as

compras, as contratações e o desenvolvimento de produtos e de sistemas de defesa;

dispõe sobre regras de incentivo à área estratégica de defesa; altera a Lei no 12.249, de

11 de junho de 2010; e dá outras providências. Lex: Vade Mecum Saraiva, São Paulo, 17ª

Ed. 2144p.

Cloud Security Aliance (CSA) – The Notorious Nine: Cloud Computing Top Threats. 2013.

Disponível em : <http://www.cloudsecurityalliance.org/topthreats>. Acesso em:

28/03/2014.

Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança

Institucional da Presidência da República (DSIC/GSI/PR). Este espaço disponibiliza uma

compilação da legislação vigente a respeito da Segurança da Informação e

Comunicações. 2009. Disponível em: < http://dsic.planalto.gov.br/legislacaocgsi>.

ISO/IEC 15408: Information technology -- Security techniques -- Evaluation criteria for IT

security.

Mell, P. & Grance, T. (2011) The NIST Definition of Cloud Computing”. NIST Special

Publication 800-145.

[email protected]

versão 1.2 – agosto de 2015 - governodigital.gov.br · desconhecimento das tecnologias embutidas...

Documents