Modelo de Governança e Gestão
Transcript of Modelo de Governança e Gestão
Versão 1.2 – Agosto de 2015
Brasília – DF
2015
Padrões de Interoperabilidade de Governo Eletrônico
i
Presidenta da República
Dilma Vana Rousseff
Ministro do Ministério do Planejamento, Orçamento e Gestão – MP
Nelson Barbosa
Secretário de Logística e Tecnologia da Informação – SLTI/MP
Cristiano Heckert Diretor do Departamento de Infraestrutura de Serviços de Rede –
DSR
Leonardo Boselli da Motta Secretaria-Executiva da ePING
Ana Paula Pessoa Mello Hudson Vinícius Mesquita
Coordenação-Geral do Grupo de Trabalho Padrões de Auditoria
Anderson Souza de Araújo Gilson Fernando Botta José Ney de Oliveira Lima Juliana Rocha Munita Loriza Andrade Vaz de Melo
Elaboração – Grupo de Trabalho Padrões de Auditoria
Alcimar Sanches Rangel Gabinete de Segurança Institucional da Presidência da República – GSI/PR
Alex Sousa Albuquerque Telecomunicações Brasileiras S.A. – Telebras
Anderson Souza de Araújo Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão SLTI/MP
André Ricardo Abed Grégio Centro de Tecnologia da Informação Renato Archer – CTI/MCTI
Antônio Montes Filho Centro de Tecnologia da Informação Renato Archer – CTI/MCTI
Carlos Ricardo Machado Oliveira Serviço Federal de Processamento de Dados – Serpro
Padrões de Interoperabilidade de Governo Eletrônico
ii
Deivi Lopes Kuhn Serviço Federal de Processamento de Dados – Serpro
Felipe Bimbato Rodrigues Ministério das Comunicações – MC
Ferrucio de Franco Rosa Centro de Tecnologia da Informação Renato Archer – CTI/MCTI
Geraldo Clay de Souza Maciel Instituto de Tecnologia da Informação – ITI
Gilson Fernando Botta Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão SLTI/MP
Guilherme Cesar Soares Ruppert Centro de Tecnologia da Informação Renato Archer – CTI/MCTI
Hugo Fernandes Vilar de Almeida Serviço Federal de Processamento de Dados – Serpro
Humberto Degrazia Campedelli Empresa de Tecnologia e Informações da Previdência Social – Dataprev
Igor Casanova Camargo Telecomunicações Brasileiras S.A. – Telebras
José Ney de Oliveira Lima Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão SLTI/MP
José Olympio R. Ribeiro de Castro Serviço Federal de Processamento de Dados – Serpro
José Rodrigues Gonçalves Junior Instituto de Tecnologia da Informação – ITI
Juliana Rocha Munita Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão SLTI/MP
Loriza Andrade Vaz de Melo Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão SLTI/MP
Lucas de Oliveira Souto Gabinete de Segurança Institucional da Presidência da República – GSI/PR
Luciano Aguiar Brandão Ministério da Defesa – MD
Marcela Luci Formighieri Empresa de Tecnologia e Informações da Previdência Social – Dataprev
Padrões de Interoperabilidade de Governo Eletrônico
iii
Marcelo Monteiro de Araújo Santos Ministério da Defesa – MD
Marcio Moura de Campos Serviço Federal de Processamento de Dados – Serpro
Marisa R. Silveira Serviço Federal de Processamento de Dados – Serpro
Paulo Marcos Siqueira Bueno Centro de Tecnologia da Informação Renato Archer – CTI/MCTI
Rogerio Winter Exército Brasileiro
Sílvio Fernando Correia Filho Serviço Federal de Processamento de Dados - Serpro
Vanildo Pereira Figueiredo Ministério das Comunicações – MC
Padrões de Interoperabilidade de Governo Eletrônico
iv
1 – Introdução ------------------------------------------------------------------------------------------- 7
2 – Histórico ---------------------------------------------------------------------------------------------- 12
3 – Fundamentação Legal ---------------------------------------------------------------------------- 13
4 – Terminologia, Conceitos e Definições -------------------------------------------------------- 15
5 – Diretrizes e Princípios ---------------------------------------------------------------------------- 19
5.1 – Diretrizes ----------------------------------------------------------------------------------------- 19
5.2 – Princípios ---------------------------------------------------------------------------------------- 20
6 – Proposta de Modelo de Governança e Gestão -------------------------------------------- 23
6.1 – Introdução --------------------------------------------------------------------------------------- 23
6.2 – Da Coordenação da ePING ------------------------------------------------------------------ 23
6.3 – Do GT Permanente de Auditoria da ePING ---------------------------------------------- 25
6.4 – Dos Subgrupos de Trabalho Temporários ------------------------------------------------ 27
7 – Disposições Finais --------------------------------------------------------------------------------- 27
8 – Referências ------------------------------------------------------------------------------------------ 29
Sumário
Padrões de Interoperabilidade de Governo Eletrônico
v
Figura 1 – Proposta de Modelo de Governança e gestão ------------------------------------- 9
Figura 2 – Documento Modelo de Gestão -------------------------------------------------------- 10
Figura 3 – Documento Conjunto inicial de características ------------------------------------ 10
Figura 4 – Documentos de Conjuntos de características específicas ---------------------- 11
Figura 5 – Estrutura de governança para o modelo proposto ------------------------------- 24
Lista de Figuras
Padrões de Interoperabilidade de Governo Eletrônico
vi
Tabela 1 – Desafios relacionados à Segurança da Informação de Comunicações ------ 8
Lista de Tabelas
Padrões de Interoperabilidade de Governo Eletrônico
7
Para a Administração Pública Federal – APF a informação e as tecnologias que a
suportam são ativos estratégicos, imprescindíveis para prestação de um serviço público
de boa qualidade e, em determinados casos, vitais para a segurança do Estado e
manutenção da soberania nacional. Sendo assim, a adoção de boas práticas referentes à
segurança da informação e comunicações deve ser uma prioridade constante dos órgãos
e entidades da APF, visando mitigar os riscos de danos materiais e prejuízos à sua
imagem.
Atualmente, portanto, informações e conhecimento são recursos de importância
crescente e vital para boa gestão dos serviços públicos e, de forma mais abrangente,
para o êxito de qualquer setor e atividade do Estado brasileiro. Nesse sentido, órgãos e
entidades da APF são organizações complexas e possuem alcance amplo em suas
atividades, utilizando grande volume de informações, com o objetivo de promover de
forma eficiente a prestação de serviços públicos ao cidadão, bem como a tomada de
decisões estratégicas para a gestão governamental e do Estado. Problemas decorrentes
da falta de Disponibilidade, Integridade, Confidencialidade e Autenticidade – DICA em
sistemas de informação levam à necessidade de desenvolver ações permanentes de
segurança nas organizações governamentais, inscritas no Orçamento da União. Nesse
cenário, surgem inúmeros desafios relacionados à Segurança da Informação e
Comunicações, conforme os apresentados na Tabela 1.
Desafios
Redes Sociais
Computação em nuvem
Aumento exponencial da utilização de dispositivos móveis
Aumento da exposição
Problemas tecnológicos
Aumento da demanda de informações pelos cidadãos
Convergência digital
Leis, regulamentações e normas não unificadas
Inexistência de jurisprudência que trate de atos ilícitos em meios eletrônicos
Aumento exponencial de compartilhamento de informações
1 – Introdução
Padrões de Interoperabilidade de Governo Eletrônico
8
Redução do custo de aquisição de tecnologias de comunicação e processamento
Acesso a conexões de internet em banda larga.
Fragilidade de identificação do usuário ao acesso à internet.
Alta disponibilidade de técnicas e ferramentas de ataque e invasão na rede e no mercado.
Facilidade de uso dessas ferramentas
Compartilhamento de informações e ferramentas de ataque e invasão entre grupos anônimos
Crescimento exponencial do crime virtual
Exaltação por práticas ilícitas com utilização de tecnologias de informação
Diversificação dos perfis de ameaça: concorrente, sabotador, especulador, hacker, servidores insatisfeitos, criminosos, etc.
A informação deve ser tratada como um recurso estratégico e econômico
Crescente valorização da informação como principal ativo de gestão do Estado
Crescentes transações bilaterais com suporte de TI
Crescente dependência da gestão do Estado por recursos de TIC
Grande dependência tecnológica
Interdependência entre os ativos de informação
Aumento dos riscos associados aos ativos de informação
Processos de continuidade dos serviços públicos sem um grau de maturidade adequado
Desconhecimento das tecnologias embutidas nas arquiteturas proprietárias
Alinhamento estratégico da SIC com as atribuições institucionais dos órgãos e entidades públicos
Segurança de dados pessoais
Fluxo internacional de dados
Tabela 1 – Desafios relacionados à Segurança da Informação de Comunicações
Essa versão apresenta a proposta inicial de um modelo de gestão, contemplando um
conjunto de especificações técnicas, premissas e diretrizes referentes às características
que permitam auditoria de segurança da informação em programas e equipamentos.
Conforme apresentado na Figura 1, propõe-se a criação de documentos de referência
delimitando escopo e níveis de profundidade. As duas figuras subsequentes apresentam
o conteúdo dos outros documentos.
Padrões de Interoperabilidade de Governo Eletrônico
9
Figura 1 – Proposta de Modelo de Governança e gestão
Conforme apresentado na Figura 2, o presente documento (Modelo de Governança e
Gestão) conterá o histórico a partir da publicação do Decreto nº 8.135, de 04 de
novembro de 2013, a fundamentação legal identificada até o momento, conceitos
básicos e terminologia, princípios e diretrizes, a proposta de Modelo de Governança e
Gestão que deverá ser evoluído e, por fim, disposições finais.
A Figura 3 apresenta o conteúdo do documento conjunto inicial de características,
critérios, condições mínimas e medidas para auditoria de segurança da informação em
programas e equipamentos. A proposta é que o conteúdo seja voltado para as
características genéricas e necessárias para todos os serviços citados na normativa
vigente e outros serviços que venham a surgir.
A Figura 4 apresenta a estrutura proposta de criação de “sub” documentos ou
documentos “filhos”, aonde conjuntos de características, critérios, condições mínimas e
medidas específicos dos serviços citados na normativa vigente e outros serviços que
venham a surgir devem ser detalhados.
Padrões de Interoperabilidade de Governo Eletrônico
10
Figura 2 – Documento Modelo de Gestão
Figura 3 – Documento Conjunto inicial de características
Padrões de Interoperabilidade de Governo Eletrônico
11
Figura 4 – Documentos de Conjuntos de características específicas
É importante destacar que não é objetivo desta versão propor um processo de
certificação, pois para cada classe de dispositivo (programa/equipamento) a ser avaliado
demandará processo específico, a ser proposto pelas entidades envolvidas (SERPRO,
DATAPREV e TELEBRAS) ou Núcleo de Segurança da Informação e Comunicações da
SLTI/MP.
Ainda, cabe destacar que devido à peculiaridade e à complexidade das atividades e aos
prazos exíguos, pontos específicos e que demandam maior discussão técnica serão
encaminhados a foro competente. Por ser uma proposição sumária e em versão inicial,
as informações aqui presentes não são exaustivas nas características e aspectos
abordados, devendo evoluir durante os trabalhos do GT (Portaria nº 54/SLTI-MP, de 06
de maior de 2014) e após sua finalização.
A seção subsequente apresenta o histórico a partir da publicação do Decreto nº
8.135/13. A seção 3 apresenta a fundamentação legal identificada até o momento, ou
seja, o arcabouço normativo existente sobre o tema. A seção 4 apresenta conceitos
importantes e uma terminologia necessários para o melhor entendimento do material.
Os princípios e diretrizes, nas quais as especificações técnicas iniciais e futuras devem se
Padrões de Interoperabilidade de Governo Eletrônico
12
pautar, estão dispostas na seção 5. A seção 6 apresenta a proposta de Modelo de
Governança e Gestão das atividades referentes à implementação e auditoria de
segurança em programas e equipamentos. Subsequentemente, as disposições finais são
apresentadas na seção 7.
Em 4 de novembro de 2013 foi publicado pela Presidência da República, ouvido o
Conselho de Defesa Nacional, o Decreto nº 8.135, que dispõe sobre as comunicações de
dados da Administração Pública Federal direta, autárquica e fundacional, e sobre a
dispensa de licitação nas contratações que possam comprometer a segurança nacional.
Em seu § 3º do art. 1º, o Decreto nº 8.135/13 dispõe que:
“os programas e equipamentos destinados às atividades de que trata
o caput deverão ter características que permitam auditoria para fins
de garantia da disponibilidade, integridade, confidencialidade e
autenticidade das informações, na forma da regulamentação de que
trata o § 5º”.
O § 5º do art. 1º, do Decreto nº 8.135/13, complementa:
“Ato conjunto dos Ministros de Estado da Defesa, do Planejamento,
Orçamento e Gestão e das Comunicações disciplinará o disposto
neste artigo e estabelecerá procedimentos, abrangência e prazos de
implementação, considerando:
I - as peculiaridades das comunicações dos órgãos e entidades da
Administração Pública Federal; e
II - a capacidade dos órgãos e entidades da Administração Pública
Federal de ofertar satisfatoriamente as redes e os serviços a que se
refere o caput”.
Os “procedimentos, abrangência e prazos de implementação”, impostos pelo Decreto,
foram definidos pela Portaria Interministerial MP/MC/MD nº 141, de 02 de maio de
2014, que:
“dispõe que as comunicações de dados da Administração Pública
Federal direta, autárquica e fundacional deverão ser realizadas por
redes de telecomunicações e serviços de tecnologia da informação
2 – Histórico
Padrões de Interoperabilidade de Governo Eletrônico
13
fornecidos por órgãos ou entidades da Administração Pública
Federal, incluindo empresas públicas e sociedades de economia mista
da União e suas subsidiárias, observado o disposto nesta Portaria”.
Em 06 de maio de 2014, a Portaria nº 54/SLTI-MP constituiu o Grupo de Trabalho (GT),
vinculado à Coordenação de Padrões de Interoperabilidade de Governo Eletrônico (e-
PING), composto por servidores e empregados públicos de órgãos e entidades da
Administração Pública Federal para, em conformidade com o que disciplina o Decreto nº
8.135/2013, e a Portaria Interministerial MP/MC/MD nº 141/2014, produzir versão
inicial e plano de continuidade para:
• definir características que permitam auditoria, em programas e
equipamentos, para fins de garantia da disponibilidade, integridade,
confidencialidade e autenticidade;
• detalhar os critérios e condições mínimas a serem exigidos na contratação
de programas e equipamentos;
• definir medidas necessárias para mitigar os riscos decorrentes de incidentes
de segurança ou descoberta de vulnerabilidades nos serviços contratados de
redes de comunicações e de tecnologia da informação;
• estabelecer critérios que possibilitem a abertura de código fonte no caso de
comunicações de dados e de firmware e sistemas operacionais no caso de
equipamentos para comunicações de dados; e
• propor um modelo de rede de colaboração envolvendo institutos de
pesquisa e acadêmicos e órgãos e entidades da Administração Pública Federal
para dar suporte na operação e na continuidade dos processos de auditoria em
consonância com o disposto no Decreto.
Esta seção apresenta a fundamentação legal identificada até o momento, ou seja, o
arcabouço normativo existente sobre o tema. O conjunto de normas apresentado abaixo
não é exaustivo e precisa ser complementado.
A auditoria relacionada ao § 3º da Portaria Interministerial nº 141/ 2014 – “Os
programas e equipamentos destinados às atividades de que trata o caput deverão
possuir características que permitam auditoria para fins de garantia da disponibilidade,
3 – Fundamentação Legal
Padrões de Interoperabilidade de Governo Eletrônico
14
integridade, confidencialidade e autenticidade das informações” – se fundamenta nos
dispositivos legais abaixo.
• Decreto 3.505/2000, que institui a Política de Segurança da Informação nos órgãos
e entidades da Administração Pública Federal:
“Art. 1º, inciso IV - uso soberano de mecanismos de segurança da
informação, com o domínio de tecnologias sensíveis e duais”;
“Art. 3º, incisos II - eliminar a dependência externa em relação a
sistemas, equipamentos, dispositivos e atividades vinculadas à
segurança dos sistemas de informação; V - promover as ações
necessárias à implementação e manutenção da segurança da
informação; VI - promover o intercâmbio científico-tecnológico entre
os órgãos e as entidades da Administração Pública Federal e as
instituições públicas e privadas, sobre as atividades de segurança da
informação; VII - promover a capacitação industrial do País com
vistas à sua autonomia no desenvolvimento e na fabricação de
produtos que incorporem recursos criptográficos, assim como
estimular o setor produtivo a participar competitivamente do
mercado de bens e de serviços relacionados com a segurança da
informação; e VIII - assegurar a interoperabilidade entre os sistemas
de segurança da informação”.
• Medida Provisória N° 2.200-2/2001 - Institui a Infraestrutura de Chaves Públicas
Brasileira - ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informação em
autarquia, e dá outras providências.
• Instrução Normativa GSI Nº 1, de 13 de junho de 2008 - Disciplina a Gestão de
Segurança da Informação e Comunicações na Administração Pública Federal, direta e
indireta, e dá outras providências, e suas normas complementares.
• Instrução Normativa GSI/PR nº 3, de 06 de março de 2013. Dispõe sobre os
parâmetros e padrões mínimos dos recursos criptográficos baseados em algoritmos de
Estado para criptografia da informação classificada no âmbito do Poder Executivo
Federal.
• Instrução Normativa Nº 4 - SLTI/MPOG, de 12 de novembro de 2010 - Dispõe sobre
o processo de contratação de Soluções de Tecnologia da Informação pelos órgãos
integrantes do Sistema de Administração dos Recursos de Informação e Informática
(SISP) do Poder Executivo Federal.
Padrões de Interoperabilidade de Governo Eletrônico
15
Para o disposto neste documento, baseado na Portaria nº 141/2014 e adicionadas
outras fontes, consideram-se as definições a seguir.
• Ameaça: conjunto de fatores externos ou causa potencial de um incidente
indesejado, que pode resultar em dano para um sistema ou organização.
• Ativos de informação: os meios de armazenamento, transmissão e processamento,
os sistemas de informação, bem como os locais onde se encontram esses meios e as
pessoas que a eles têm acesso.
• Armazenamento de dados: serviço de depósito e arquivamento de informações em
formato digital que utiliza componentes de computadores ou mídias de gravação
capazes de manter os dados por um intervalo de tempo.
• Auditoria: processos e procedimentos sistemáticos de levantamento de evidências
que tem como objetivo verificar se os serviços de redes de telecomunicações e de
tecnologia da informação atendem aos requisitos especificados previamente em termo
de referência ou projeto básico para fins de garantia da disponibilidade, integridade,
confidencialidade, autenticidade das informações.
• Auditoria de Terceira Parte: auditoria executada por terceiro confiável (acreditado)
e isento de interesse comercial ou institucional no objeto de avaliação.
• Autenticidade: propriedade de que a informação foi produzida, expedida,
modificada ou destruída por uma determinada pessoa física, ou por um determinado
sistema, órgão ou entidade.
• Centro de processamento de dados: ambiente que concentra e gerencia recursos
computacionais para armazenamento e tratamento sistemático de dados.
• Comunicação de dados: é a transmissão, emissão ou recepção de dados ou
informações de qualquer natureza por meios confinados, radiofrequência ou qualquer
outro processo eletrônico, eletromagnético ou ótico.
• Comunicação de dados militares operacionais: comunicação de dados realizada em
proveito de operações militares, executadas no âmbito do Sistema Militar de Comando
e Controle – (SISMC²), conforme disciplinado pelo Ministério da Defesa para o preparo e
o emprego das Forças Armadas, em especial os sistemas de controle de tráfego aéreo,
4 – Terminologia, Conceitos e Definições
Padrões de Interoperabilidade de Governo Eletrônico
16
de controle de tráfego marítimo, de defesa aeroespacial, de monitoramento de
fronteiras e de proteção de infraestruturas críticas.
• Confiabilidade: capacidade de um sistema de realizar ou manter seu funcionamento
em circunstâncias de rotina, bem como circunstâncias hostis e inesperadas.
• Confidencialidade: propriedade de que a informação não esteja disponível ou
revelada à pessoa física, sistema, órgão ou entidade não autorizado e credenciado.
• Controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a
finalidade de conceder ou bloquear o acesso.
• Continuidade de Negócios: capacidade estratégica e tática de um órgão ou
entidade de se planejar e responder a incidentes e interrupções de negócios,
minimizando seus impactos e recuperando perdas de ativos da informação das
atividades críticas, de forma a manter suas operações em um nível aceitável,
previamente definido.
• Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob
demanda por uma pessoa física ou determinado sistema, órgão ou entidade.
• Fornecedor privado: pessoa jurídica de direito privado que presta serviços de rede
de telecomunicações ou de tecnologia da informação e que não integra a Administração
Pública Federal direta ou indireta.
• Incidente de segurança: qualquer evento adverso, confirmado ou sob suspeita,
relacionado à segurança dos sistemas de computação ou das redes de computadores.
• Integridade: propriedade de que a informação não foi modificada ou destruída de
maneira não autorizada ou acidental.
• Órgão ou entidade contratante: órgão ou entidade da Administração Pública
Federal, que contrate serviços de redes de telecomunicações e de tecnologia da
informação.
• Órgão ou entidade fornecedor: órgão ou entidade da Administração Pública
Federal, incluindo empresas públicas e sociedades de economia mista da União e suas
subsidiárias, que forneça serviços de redes de telecomunicações e de tecnologia da
informação para órgãos ou entidades contratantes.
• Órgão gerenciador: órgão responsável pelo estabelecimento, por meio de
regulamentação específica, das regras, condições, parâmetros, preços e modelos de
Padrões de Interoperabilidade de Governo Eletrônico
17
instrumentos de contratação que serão obrigatórios para os órgãos e entidades
contratantes.
• Quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no
comprometimento da segurança da informação e comunicações.
• Recuperação de dados: processo de restauração, em sistemas computacionais, de
dados digitais perdidos, excluídos, corrompidos ou inacessíveis por qualquer motivo.
• Rede própria: conjunto de meios físicos, sistemas de telecomunicações e
equipamentos de transmissão de dados, cuja posse, gestão, administração e
responsabilidade pela operação sejam exclusivas do próprio órgão ou entidade da
Administração Pública Federal.
• Riscos de Segurança da Informação e Comunicações: potencial associado à
exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um
conjunto de tais ativos, por parte de uma ou mais ameaças, com impacto negativo no
negócio da organização.
• Segurança da informação e comunicações: ações que objetivam viabilizar e
assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das
informações.
• Segurança em camadas: estratégia que consiste em implementar múltiplas
barreiras de proteção utilizando mecanismos de defesa (software e hardware). Este
princípio também conhecido como “defesa em profundidade”.
• Serviços de redes de telecomunicações: provimento de serviços de
telecomunicações, de tecnologia da informação, de valor adicionado e de infraestrutura
para redes de comunicação de dados.
• Serviços de tecnologia da informação: provimento de serviços de desenvolvimento,
implantação, manutenção, armazenamento e recuperação de dados e operação de
sistemas de informação, projeto de infraestrutura de redes de comunicação de dados,
modelagem de processos e assessoramento técnico, necessários à gestão da segurança
da informação e comunicações.
• Serviços de tecnologia da informação militares operacionais: recursos de Tecnologia
da Informação e Comunicações que integram o SISMC2 proporcionando ferramentas
por intermédio das quais as informações são coletadas, monitoradas, armazenadas,
processadas, fundidas, disseminadas, apresentadas e protegidas.
Padrões de Interoperabilidade de Governo Eletrônico
18
• Serviços de tecnologia da informação próprios: conjunto de serviços de tecnologia
da informação prestados por meio de plataformas desenvolvidas pelo próprio órgão ou
entidade, cuja posse, gestão, administração e responsabilidade pela operação sejam
exclusivas do próprio órgão ou entidade da Administração Pública Federal.
• Sistema Militar de Comando e Controle (SISMC²): conjunto de instalações,
equipamentos, sistemas de informação, comunicações, doutrinas, procedimentos e
pessoal essenciais para o comando e controle, visando atender ao preparo e ao
emprego das Forças Armadas.
• Software livre: software cujo modelo de licença livre atende a liberdade para
executar o programa, estudar como o programa funciona e adaptá-lo para as suas
necessidades, redistribuir cópias do programa e aperfeiçoar o programa e liberar os seus
aperfeiçoamentos sem restrição.
• Software público brasileiro: software que adota um modelo de licença livre para o
código-fonte, a proteção da identidade original entre o seu nome, marca, código-fonte,
documentação e outros artefatos relacionados por meio do modelo de Licença Pública
de Marca – LPM e é disponibilizado na Internet em ambiente virtual público, sendo
tratado como um benefício para a sociedade, o mercado e o cidadão.
• Tratamento dos riscos: processo e implementação de ações de segurança da
informação e comunicações para evitar, reduzir, reter ou transferir um risco.
• Vulnerabilidade: conjunto de fatores internos ou causa potencial de um incidente
indesejado, que podem resultar em risco para um sistema ou organização, os quais
podem ser evitados por uma ação interna de segurança da informação e comunicações.
Padrões de Interoperabilidade de Governo Eletrônico
19
Neste capítulo são apresentados os princípios e diretrizes, nas quais as especificações
técnicas iniciais e futuras devem se pautar.
5.1 – Diretrizes
• Instituir uma estrutura organizacional estratégica (Comitê Gestor), com a
responsabilidade de orientar os processos de auditoria a que se refere o Decreto nº
8.135/13.
• Instituir uma estrutura organizacional (Câmara Técnica), com a responsabilidade de
executar os processos de auditoria a que se refere o Decreto nº 8.135/13.
• A estrutura organizacional criada deve definir um Plano de auditoria em SIC,
juntamente com um orçamento adequado para a implementação das ações definidas no
Plano.
• O Comitê Gestor deve auxiliar na priorização de ações e investimentos com vistas à
correta aplicação de mecanismos de proteção, tendo como base as orientações
estratégicas e necessidades operacionais prioritárias da APF e as implicações que o nível
de segurança poderá trazer ao cumprimento dessas exigências.
• A estrutura responsável pela gestão e execução de auditoria, conforme disposto no
Decreto nº 8.135/13, deve orientar-se pelas melhores práticas e procedimentos de
segurança da informação e comunicações, recomendados por órgãos e entidades
públicas e privadas responsáveis pelo estabelecimento de padrões.
• O Comitê Gestor deve assegurar que os usuários institucionais (órgãos e entidades
da APF) entendam suas responsabilidades e estejam de acordo com os seus papéis para
prevenir fraudes e mau uso de recursos.
• Os contratos firmados pelos órgãos e entidades da APF, com base no Decreto
8.135/13, devem conter cláusulas que justifiquem a dispensa de licitação, em
conformidade com o referido Decreto.
• Deve-se buscar a adoção preferencial de padrões abertos, de software público ou
software livre.
• Deve-se buscar a implementação de controles em níveis adequados de segurança.
• Deve-se atentar para a necessidade de suporte de mercado.
5 – Diretrizes e Princípios
Padrões de Interoperabilidade de Governo Eletrônico
20
5.2 – Princípios
Princípios Básicos de Segurança: as disposições devem respeitar os princípios básicos de
segurança da informação, a saber: Disponibilidade, Integridade, Confidencialidade e
Autenticidade (DICA).
Informação como patrimônio da APF: o acervo de informações geradas, adquiridas ou
custodiadas pela APF é considerado parte do seu patrimônio e deve ter os princípios
básicos de segurança da informação preservados.
Desta forma, devem ser considerados os seguintes princípios para programas e
equipamentos destinados às atividades de comunicações de dados da APF.
I – Acreditação: o sistema a ser proposto deve atender à legislação competente
sobre certificação, avaliação ou homologação, aproveitando as estruturas
nacionais e internacionais vigentes. Neste princípio também está relacionada à
questão da definição de níveis de segurança do processo de homologação.
II – Auditabilidade: programas e equipamentos devem possibilitar auditoria de
terceira parte, a qual se deve nortear pelos princípios da neutralidade e
transparência.
III – Autenticidade: propriedade de que a informação foi produzida, expedida,
modificada ou destruída por uma determinada pessoa física, ou por um
determinado sistema, órgão ou entidade.
IV – Confiabilidade: capacidade de um sistema de realizar ou manter seu
funcionamento em circunstâncias de rotina, bem como circunstâncias hostis e
inesperadas.
V – Confidencialidade: garantia à privacidade das informações em todos os níveis
(comunicações, contratantes e contratados).
VI – Criticidade: classificação dos níveis de risco por graus, de acordo com a
exposição do ativo, o cumprimento ou descumprimento de algum requisito e a
interferência nas propriedades de segurança estabelecidas. Neste princípio
também devem ser considerada a classificação em grau de sigilo das informações
tratadas pelo programa ou equipamento.
VII – Disponibilidade: propriedade de que a informação esteja acessível e utilizável
sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade.
Padrões de Interoperabilidade de Governo Eletrônico
21
VIII – Escalabilidade: provisão de capacidade de atualização tecnológica e de
operação na medida em que novos dispositivos ou sistemas sejam adicionados
para interação com os programas e equipamentos.
IX – Gradatividade: priorização de implementação à medida que se estabelece a
competência nacional e de acordo com o nível de criticidade estabelecido. O
modelo de implementação proposto é o Progressivo Evolutivo, ou seja,
Progressivo no Tempo e Evolutivo na Complexidade.
X – Integridade: propriedade de que a informação não foi modificada ou destruída
de maneira não autorizada ou acidental.
XI – Interoperabilidade: os programas e equipamentos devem ser compatíveis
entre si e independentes de fornecedor ou tecnologia específica.
Preferencialmente, os sistemas devem possui baixo acoplamento.
XII – Neutralidade: adoção de critérios iguais, imparciais e isentos para o
tratamento das atividades de homologação.
XIII – Resiliência: propriedade de um sistema conseguir continuar operando,
mesmo em condição adversa. Neste princípio também deve ser considerada a
construção de sistemas robustos e bem testados, tolerantes a falhas e resistentes
a ataques.
XIV – Responsabilização: atribuição de papéis e responsabilidades às instituições
envolvidas.
XV – Sustentabilidade: o modelo a ser proposto para o sistema de avaliação,
auditoria ou homologação de segurança de programas e equipamentos deve
considerar a sustentabilidade econômica dos processos.
XVI – Transparência: conhecimento público e irrestrito das regras, critérios e
demais informações que afetam os interesses dos envolvidos.
XVII – Redução de pontos de vulnerabilidade por meio da padronização,
integração e interoperabilidade das redes de telecomunicações e dos serviços de
tecnologia da informação contratados.
XVIII – Aplicabilidade Operacional, ou seja, deve-se observar a aplicabilidade
operacional em caso de proposição de medidas restritivas ou exigências técnicas,
observando sempre a viabilidade de implementação das propostas.
Padrões de Interoperabilidade de Governo Eletrônico
22
IXX – Implementação de ações e procedimentos que assegurem a disponibilidade,
a integridade, a confidencialidade e a autenticidade das informações, incluindo a
preferência pela adoção de programas e equipamentos que possam ser auditados
antes, durante e depois da aquisição.
XX – Implantação de processos e mecanismos para promover a segurança em
camadas, tanto no nível dos programas quanto dos equipamentos.
XXI – Provisão de segurança das comunicações por meio do uso de criptografia
ponto-a-ponto, utilizando algoritmos de Estado, conforme exigências contidas na
legislação vigente.
XXII – Padronização: buscar a padronização levando em conta sempre o interesse
nacional, buscando adequação com padrões internacionais, sempre que possível.
XXIII – Especificação: considerar as particularidades entre os ensaios e auditorias
em hardware e software.
XXIV – A e-PING recomenda a Adoção Preferencial de Padrões Abertos, ou seja,
sempre que possível, serão adotados padrões abertos nas especificações técnicas.
Padrões proprietários são aceitos, de forma transitória, mantendo-se as
perspectivas de substituição assim que houver condições de migração. Sem
prejuízo dessas metas, serão respeitadas as situações em que haja necessidade de
consideração de requisitos de segurança e integridade de informações. De forma
complementar, qualquer software que for utilizado deve possuir documentação
adequada e ser homologado por laboratório acreditado com relação às
características de segurança. Entende-se como documentação adequada artefatos
descritivos, tais como especificação de requisitos, esquemas e diagramas de
funcionamento, casos de uso, modelos entidade-relacionamento, documentação
descritivo das funções, entre outros.
XXV – Deve-se estabelecer procedimentos que garantam a periodicidade das
avaliações de segurança e, quando necessário, as homologações por
versionamento ou lote deverão ser consideradas.
XXVI – É necessário garantir a regulamentação de um sistema nacional de
homologação de Segurança da Informação, devendo este ser autossustentável e
ser proposto por órgão competente.
Padrões de Interoperabilidade de Governo Eletrônico
23
XXVII – Deve-se estudar o estabelecimento de um regime diferenciado de
compras, a exemplo de materiais de defesa, devido ao perfil estratégico dos
programas e equipamentos e sua relação direta com a segurança nacional.
XXVIII – Baseado no princípio da Transparência, o modelo de regulamentação
deve considerar a construção participativa, ou seja, modelo de evolução por
consulta pública, com acompanhamento de status.
6.1 – Introdução
Esta seção apresenta uma proposta para o Modelo de Governança e Gestão, buscando
definir as estruturas e processos necessários para subsidiar a gestão e o controle da
segurança das comunicações de dados da APF, realizadas por redes de
telecomunicações e serviços de tecnologia da informação fornecidos por órgãos ou
entidades da Administração Pública Federal.
A estrutura de governo criada para administração do modelo proposto é formada pela
Coordenação da ePING - Padrões de Interoperabilidade de Governo Eletrônico, pelo
Grupo de Trabalho Permanente, denominado GT-Auditoria, vinculado ao Segmento de
Segurança da ePING e pelos Subgrupos de Trabalhos temporários - SubGTs. A Figura 5
ilustra esta estrutura.
6.2 – Da Coordenação da e-PING
A Coordenação da e-PING é entidade responsável por:
I – coordenar a elaboração e atualização das políticas, das diretrizes e das
especificações técnicas que compõem a e-PING, bem como as alterações e os
acréscimos em razão de sua revisão e de sua atualização;
II – acompanhar a implementação e propor medidas relativas ao planejamento, à
divulgação e à disseminação da e-PING;
III – manifestar-se sobre questões técnicas e operacionais relacionadas com a
adoção e a conformidade à e-PING por órgãos e entidades integrantes do SISP e
outros interessados;
6 – Proposta de Modelo de Governança e Gestão
Padrões de Interoperabilidade de Governo Eletrônico
24
Figura 5. Estrutura de governança para o modelo proposto
IV – constituir grupos de trabalho, mediante designação pelos órgãos da
Administração Pública Federal, para a elaboração de propostas de diretrizes e
especificações técnicas a serem submetidas à Coordenação da e-PING;
V – promover a fiscalização e adotar as medidas executivas necessárias ao
cumprimento do disposto no Documento de Referência da e-PING, comunicando
e acionando, para providências, os órgãos de controle interno, quando necessário;
e
VI – aprovar seu Regimento Interno, que estabelecerá as regras de funcionamento
e de procedimentos a serem observadas para desempenho das atribuições
estabelecidas.
Os órgãos e entidades que integram a Coordenação da ePING poderão prestar apoio
técnico aos trabalhos nas suas áreas de atuação e conhecimento.
Poderão ser convidados a participar das reuniões da Coordenação da ePING e dos
Grupos de Trabalho nele constituídos, representantes de órgãos e entidades da
Administração Pública Federal, não-integrantes da Coordenação, de outras
Padrões de Interoperabilidade de Governo Eletrônico
25
Administrações Públicas, observado o disposto no parágrafo único do art. 3º, do Decreto
nº 7.579, de 11 de outubro de 2011.
No desempenho de suas atribuições, os Coordenadores dos Grupos de Trabalho terão
assento na Coordenação da e-PING.
6.3 – Do GT Permanente de Auditoria da ePING
O GT será composto por servidores e empregados públicos de órgãos e entidades da
Administração Pública Federal – APF , para, em conformidade com o que disciplina o
Decreto nº 8.135, de 4 de novembro de 2013, e a Portaria Interministerial nº 141, de 2
de maio de 2014:
I – elaborar e zelar pelo seu regimento interno;
II – produzir o refinamento dos trabalhos realizados de acordo com a Portaria
SLTI/MP nº 54, de 6 de maio de 2014, considerando as contribuições recebidas
em conformidade com o Aviso de Consulta Pública nº 3, de 6 de novembro de
2014 (ISSN 1677-7069);
III – consolidar um modelo de rede de colaboração envolvendo institutos de
pesquisa e acadêmicos e órgãos e entidades da Administração Pública Federal
para dar suporte na operação e na continuidade dos processos de auditoria em
consonância com o disposto no decreto;
IV – prospectar, propor e coordenar inciativas, considerando que em seu Art. 1º, §
3º, o Decreto nº 8.135/2013 estabelece que os programas e equipamentos
destinados às atividades de que trata o seu caput deverão ter características que
permitam auditoria para fins de garantia da disponibilidade, integridade,
confidencialidade e autenticidade das informações;
V – instituir SubGTs para tratar temas específicos e relevantes relacionados a sua
área de competência;
VI – deliberar sobre os resultados dos trabalhos e relatórios técnicos
apresentados pelos SubGTs;
VII – apresentar periodicamente, à Coordenação da e-PING, os resultados das
atividades desenvolvidas;
Padrões de Interoperabilidade de Governo Eletrônico
26
VIII – atuar como canal de comunicação entre a Coordenação da e-PING e os
SubGTs, bem como com as representações dos setores de atividades privadas e
outras da sociedade oficialmente reconhecidas; e
IX – outras responsabilidades atribuídas legalmente ou de forma regimental.
O GT Permanente de Auditoria da ePING será coordenado pelo Ministério do
Planejamento, Orçamento e Gestão – MP, e composto por, no mínimo, um
representante e um titular do:
I – Ministério do Planejamento, Orçamento e Gestão – MP;
II – Ministério da Fazenda – MF;
III – Ministério da Previdência Social – MPS;
IV – Controladoria Geral da União – CGU;
V – Ministério das Comunicações – MC;
VI – Ministério da Defesa – MD
VII – Ministério da Ciência, Tecnologia e Inovação – MCTI;
VIII – Agência Nacional de Telecomunicações – ANATEL;
IX – Centro de Pesquisas e Desenvolvimento para a Segurança das Comunicações
– CEPESC;
X – Gabinete de Segurança Institucional da Presidência da República - GSI/PR;
XI – Instituto Nacional de Tecnologia da Informação – ITI;
XII – Instituto Nacional de Metrologia, Qualidade e Tecnologia – INMETRO;
XIII – Centro de Tecnologia da Informação Renato Archer – CTI;
XIV – Empresa de Tecnologia e Informações da Previdência Social – DATAPREV;
XV – Serviço Federal de Processamento de Dados – SERPRO;
XVI – Telecomunicações Brasileiras S.A. – TELEBRAS; e
XVII – Rede Nacional de Ensino e Pesquisa – RNP.
Padrões de Interoperabilidade de Governo Eletrônico
27
6.4 – Dos Subgrupos de Trabalho Temporários
Os SubGTs temporários serão compostos por servidores e empregados públicos de
órgãos e entidades da APF, instituídos pelo GT Permanente de Auditoria da ePING para:
I – definir seu plano de trabalho;
II – assessorar o GT Permanente de Auditoria de ePING, quando solicitado;
III – atuar na formulação das políticas relativas aos temas dispostos no Decreto n°
8.135/2013;
IV – atuar na normatização e especificação dos procedimentos de segurança
relacionados aos temas dispostos no Decreto n° 8.135/2013, com vistas a detalhar
os critérios e condições mínimas a serem exigidos na contratação de programas e
equipamentos;
V – promover estudos com os diversos agentes envolvidos em questões
relacionadas ao Decreto n° 8.135/2013, com vistas a detalhar os critérios e
condições mínimas a serem exigidos na contratação de programas e
equipamentos;
VI – avaliar propostas de alteração das especificações definidas, bem como do
Modelo de Gestão proposto, que deverão ser submetidas ao GT Permanente de
Auditoria de ePING;
VII – apoiar iniciativas de Pesquisa e Desenvolvimento em áreas de interesse do
GT Permanente de Auditoria de ePING; e
VIII – outras responsabilidades atribuídas legalmente ou de forma regimental.
Outros interessados poderão prestar apoio técnico aos grupos de trabalhos nas suas
áreas de atuação e conhecimento, a convite da Comissão de Coordenação da ePING.
Além do modelo proposto acima, é importante destacar a necessidade de a APF
incentivar a criação de uma Entidade ou Órgão que certifique empresas para prestarem
serviços que possam comprometer a segurança nacional, uma vez que a auditoria de um
software em busca de vulnerabilidades baseia-se no somatório de diversas técnicas de
análise de software, e necessita ser executada por equipe técnica altamente qualificada.
7 – Disposições Finais
Padrões de Interoperabilidade de Governo Eletrônico
28
Este documento deverá ser revisado anualmente, por Grupo de Trabalho (GT) composto
para essa finalidade, sendo instituído e coordenado pelo Órgão Gerenciador, conforme
disposto no Capítulo II da Portaria Interministerial (MP, MC, MD) n° 141, de 02 de maio
de 2014.
Padrões de Interoperabilidade de Governo Eletrônico
29
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 15999-1: Gestão
de continuidade de negócios Parte 1: Código de prática, elaboração. São Paulo, 2007
(versão Corrigida 2008). 40p.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 22301: Segurança
da sociedade — Sistema de gestão de continuidade de negócios — Requisitos,
elaboração. São Paulo, 2013. 28 p. [substitui ABNT NBR 15999-2]
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001: Tecnologia
da informação — Técnicas de segurança — Sistemas de gestão da segurança da
informação — Requisitos, elaboração. São Paulo, 2013. 30 p.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002: Tecnologia
da informação — Técnicas de segurança — Código de prática para controles de
segurança da informação, elaboração. São Paulo, 2013. 99 p.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27003: Tecnologia
da informação – Técnicas de segurança – Diretrizes para implantação de um sistema de
gestão da segurança da informação, elaboração. São Paulo, 2011. 75 p.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27004: Tecnologia
da informação — Técnicas de segurança — Gestão da segurança da informação —
Medição, elaboração. São Paulo, 2010. 59 p.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27005: Tecnologia
da informação — Técnicas de segurança — Gestão de riscos de segurança da informação.
Elaboração. São Paulo, 2011. 85 p.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27011: Tecnologia
da informação - Técnicas de segurança - Diretrizes para gestão da segurança da
informação para organizações de telecomunicações baseadas na ABNT NBR ISO/IEC
27002, elaboração. São Paulo, 2009. 57 p.
BRASIL, Tribunal de Contas da União. Acórdão TCU 1603/2008 Levantamento acerca da
Governança de Tecnologia da Informação na Administração Pública Federal/ Tribunal de
Contas da União; Relator: Ministro Benjamim Zymbler – Brasília: TCU, Secretaria de
8 – Referências
Padrões de Interoperabilidade de Governo Eletrônico
30
Fiscalização de Tecnologia da Informação, 2008. 48 p.
BRASIL. Constituição (1988). Constituição da República Federativa do Brasil. Brasília, DF:
Senado Federal. Lex: Vade Mecum Saraiva, São Paulo, 17ª Ed. 2144 p.
BRASIL. Decreto n.3505, de 13 de junho de 2000. Institui a Política de Segurança da
Informação nos órgãos e entidades da Administração Pública Federal. Lex: Vade Mecum
Saraiva, São Paulo, 17ª Ed. 2144 p.
BRASIL. Decreto n. 4553, de 27 de dezembro de 2002. Dispõe sobre a salvaguarda de
dados, informações, documentos e materiais sigilosos de interesse da segurança da
sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras
providências. Institui a Política de Segurança da Informação nos órgãos e entidades da
Administração Pública Federal. Lex: Vade Mecum Saraiva, São Paulo, 17ª Ed. 2144
p.(DECRETO REVOGADO)
BRASIL. Decreto n. 7845, de 14 de novembro de 2012. Regulamenta procedimentos para
credenciamento de segurança e tratamento de informação classificada em qualquer
grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento. Lex: Vade
Mecum Saraiva, São Paulo, 17ª Ed. 2144 p.
BRASIL. Decreto n. 2295, de 4 de agosto de 1997. Regulamenta o disposto no art. 24,
inciso IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação
nos casos que possam comprometer a segurança nacional. Lex: Vade Mecum Saraiva,
São Paulo, 17ª Ed. 2144 p.
BRASIL. Decreto n. 8135, de 04 de novembro de 2013. Dispõe sobre as comunicações de
dados da administração pública federal direta, autárquica e fundacional, e sobre a
dispensa de licitação nas contratações que possam comprometer a segurança nacional.
Lex: Vade Mecum Saraiva, São Paulo, 17ª Ed. 2144 p.
BRASIL. Gabinete de Segurança Institucional da Presidência da República. Instrução
Normativa GSI/PR nº 1, de 13 de junho de 2008. Disciplina a Gestão de Segurança da
Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá
outras providências.
BRASIL. Lei n. 8666, de 21 de junho de 1997. Regulamenta o art. 37, inciso XXI, da
Constituição Federal, institui normas para licitações e contratos da Administração
Padrões de Interoperabilidade de Governo Eletrônico
31
Pública e dá outras providências. Lex: Vade Mecum Saraiva, São Paulo, 17ª Ed. 2144 p.
BRASIL. Lei n. 9296, de 24 de julho de 1996. Regulamenta o inciso XII, parte final, do art.
5° da Constituição Federal. Lex: Vade Mecum Saraiva, São Paulo, 17ª Ed. 2144 p.
BRASIL. Lei n. 12.598, de 21 de março de 2012. Estabelece normas especiais para as
compras, as contratações e o desenvolvimento de produtos e de sistemas de defesa;
dispõe sobre regras de incentivo à área estratégica de defesa; altera a Lei no 12.249, de
11 de junho de 2010; e dá outras providências. Lex: Vade Mecum Saraiva, São Paulo, 17ª
Ed. 2144p.
Cloud Security Aliance (CSA) – The Notorious Nine: Cloud Computing Top Threats. 2013.
Disponível em : <http://www.cloudsecurityalliance.org/topthreats>. Acesso em:
28/03/2014.
Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança
Institucional da Presidência da República (DSIC/GSI/PR). Este espaço disponibiliza uma
compilação da legislação vigente a respeito da Segurança da Informação e
Comunicações. 2009. Disponível em: < http://dsic.planalto.gov.br/legislacaocgsi>.
ISO/IEC 15408: Information technology -- Security techniques -- Evaluation criteria for IT
security.
Mell, P. & Grance, T. (2011) The NIST Definition of Cloud Computing”. NIST Special
Publication 800-145.