PROTEÇÃO DE SISTEMAS DE INFORMAÇÃO - Início | II WTR...
Transcript of PROTEÇÃO DE SISTEMAS DE INFORMAÇÃO - Início | II WTR...
PRESIDÊNCIA DA REPÚBLICA
GABINETE DE SEGURANÇA INSTITUCIONAL
AGÊNCIA BRASILEIRA DE INTELIGÊNCIA
PROTEÇÃO DE SISTEMAS DE INFORMAÇÃO
Brasília
Setembro-2014
Série Coletânea de Legislação; n°18
REPÚBLICA FEDERATIVA DO BRASIL
Presidente: Dilma Vana Rousseff
Vice-Presidente: Michel Miguel Elias Temer Lulia
GABINETE DE SEGURANÇA INSTITUCIONAL
Ministro: José Elito Carvalho Siqueira
AGÊNCIA BRASILEIRA DE INTELIGÊNCIA
Diretor-Geral: Wilson Roberto Trezza
SECRETARIA DE PLANEJAMENTO, ORÇAMENTO E ADMINISTRAÇÃO
Secretário: Luizoberto Pedroni
ESCOLA DE INTELIGÊNCIA
Diretor: Osvaldo Antônio Pinheiro Silva
Coordenação da Coletânea
Coordenação de Biblioteca e Museu da Inteligência – COBIM/CGPCA/ESINT/SPOA/ABIN
Catalogação Bibliográfica Internacional, Compilação e Normalização
Coordenação de Biblioteca e Museu da Inteligência – COBIM/CGPCA/ESINT/SPOA/ABIN
Impressão
Gráfica - ABIN
Contatos
( Publicação para fins didáticos)
Dados Internacionais de Catalogação na Publicação (CIP)
Os textos dos atos reunidos nesta publicação são dirigidos à pesquisas ou estudos técnicos, não
substituindo os publicados no Diário Oficial da União.
P967 Proteção de sistemas de informação. – Brasília : Agência
Brasileira de Inteligência, 2014. 252 p. – (Coletânea de legislação ; n. 18)
Compilação: Coordenação de Biblioteca e Museu de
Inteligência. Título anterior da série: Caderno Legislativo, 1999 a 2000. A
partir de 2001 recebeu o nome de Coletânea de Legislação. Título anterior da Coletânea de legislação, n° 18: Proteção
de sistemas de informação: Proteção ao Conhecimento.
1.Sistema de informação – proteção – legislação – Brasil. I. Agência Brasileira de Inteligência. II. Título. III. Série.
CDU: 004.03(094)(81)
SUMÁRIO
APRESENTAÇÃO......................................................................................................................... 07
LEI N° 7.232, DE 29 DE OUTUBRO DE 1984............................................................................ 08 - Dispõe sobre a Política Nacional de Informática, e dá outras providências.
LEI N° 8.248, DE 23 DE OUTUBRO DE 1991............................................................................ 19 - Dispõe sobre a capacitação e competitividade do setor de informática e automação, e
dá outras providências.
DECRETO N° 518, DE 08 DE MAIO DE 1992............................................................................ 27 - Dispõe sobre a adoção, pela Administração Pública Federal, do modelo de referência
para comunicação e interoperação de sistemas de tratamento da informação.
LEI N° 8.741, DE 03 DE DEZEMBRO DE 1993......................................................................... 29 - Dispõe sobre a composição e a estrutura do Conselho Nacional de Informática e Auto-
mação – CONIN, e dá outras providências.
LEI N° 9.296, DE 24 DE JULHO DE 1996................................................................................... 30
- Regulamenta o inciso XII, parte final, do art. 5° da Constituição Federal.
LEI N° 9.472, DE 16 DE JULHO DE 1997................................................................................... 32 - Dispõe sobre a organização dos serviços de telecomunicações, a criação e funcionamento
de um órgão regulador e outros aspectos institucionais, nos termos da Emenda Constitucio-
nal n° 8, de 1995.
LEI N° 9.609, DE 19 DE FEVEREIRO DE 1998........................................................................ 74 - Dispõe sobre a proteção da propriedade intelectual de programa de computador, sua co-
mercialização no país, e dá outras providências.
DECRETO N° 2.556, DE 20 DE ABRIL DE 1998....................................................................... 78 - Regulamenta o registro previsto no art. 3° da Lei n° 9.609, de 19 de fevereiro de 1998, que
dispõe sobre a proteção da propriedade intelectual de programa de computador, sua comer-
cialização no país, e dá outras providências.
RESOLUÇÃO N° 58 INPI, DE 14 DE JULHO DE 1998............................................................ 79 - Estabelece normas e procedimentos relativos ao registro de programas de computador.
DECRETO N° 3.294, DE 15 DE DEZEMBRO DE 1999............................................................ 84 - Institui o Programa Sociedade da Informação e dá outras providências.
DECRETO N° 3.505, DE 13 DE JUNHO DE 2000...................................................................... 85
- Institui a Política de Segurança da Informação nos órgãos e entidades da Administração
Pública Federal.
LEI N° 9.983, DE 14 DE JULHO DE 2000................................................................................... 89
- Altera o Decreto - Lei n° 2.848, de 7 de dezembro de 1940 – Código penal e dá outras pro-
vidências.
DECRETO N° 3.587, DE 5 DE SETEMBRO DE 2000............................................................... 94
- Estabelece normas para a Infra-Estrutura de Chaves Públicas do Poder Executivo Federal –
ICP-Gov, e dá outras providências.
DECRETO DE 18 DE OUTUBRO DE 2000.............................................................................. 101 - Cria, no âmbito do Conselho de Governo, o Comitê Executivo do Governo Eletrônico, e
dá outras providências.
DECRETO N° 3.714, DE 03 DE JANEIRO DE 2001................................................................ 103
- Dispõe sobre a remessa por meio eletrônico de documentos a que se refere o art. 57-A do
Decreto n° 2.954, de 29 de janeiro de 1999, e dá outras providências.
DECRETO N° 3.779, DE 23 DE MARÇO DE 2001................................................................... 105
- Acresce dispositivo ao art. 1° do Decreto n° 3.714, de 3 de janeiro de 2001, que dispõe so-
bre a remessa por meio eletrônico de documentos.
DECRETO N° 3.872, DE 18 DE JULHO DE 2001.................................................................... 106
- Dispõe sobre o Comitê Gestor da infra-estrutura de Chaves Públicas Brasileira – CG ICP-
Brasil, sua Secretaria-Executiva, sua Comissão Técnica Executiva e dá outras providências.
MEDIDA PROVISÓRIA N° 2.200-2, DE 24 DE AGOSTO DE 2001...................................... 109
- Institui a Infra-Estrutura de Chaves Públicas Brasileira – ICP – Brasil, transforma o Insti-
tuto Nacional de Tecnologia da Informação em autarquia, e dá outras providências.
DECRETO N° 3.996, DE 31 DE OUTUBRO DE 2001.............................................................. 113
- Dispõe sobre a prestação de serviços de certificação digital no âmbito da Administração
Pública Federal.
LEI N° 10.176, DE 11 DE JANEIRO DE 2001........................................................................... 115
- Altera a Lei n° 8.248, de 23 de outubro de 1991, a Lei n° 8.387, de 30 de dezembro de 1991,
e o Decreto-Lei n° 288, de 28 de fevereiro de 1967, dispondo sobre a capacitação e competi-
vidade do setor de tecnologia da informação.
DECRETO N° 4.414, DE 7 DE OUTUBRO DE 2002................................................................ 122
- Altera o Decreto n° 3.996, de 31 de outubro de 2001, que dispõe sobre a prestação de Servi-
ços de certificação digital no âmbito da Administração Pública Federal.
DECRETO N° 4.829, DE 3 DE SETEMBRO DE 2003.............................................................. 123 - Dispõe sobre a criação do Comitê Gestor da Internet no Brasil – CGIbr, sobre o modelo de
governança da Internet no Brasil, e dá outras providências.
DECRETO DE 29 DE OUTUBRO DE 2003.............................................................................. 127
- Institui Comitês Técnicos do Comitê Executivo do Governo Eletrônico e dá outras provi-
dências.
RESOLUÇÃO N° 106 INPI, DE 24 DE NOVEMBRO DE 2003.............................................. 129 - Estabelece os valores das retribuições pelos serviços de registro de programas de computa-
dor.
LEI N° 10.973, DE 2 DE DEZEMBRO DE 2004........................................................................ 131
- Dispõe sobre incentivos e inovação e à pesquisa científica e tecnológica no ambiente produ-
tivo e dá outras providências.
INSTRUÇÃO NORMATIVA N° 1 GSI, DE 13 DE JUNHO DE 2008..................................... 139
- Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública
Federal, direta e indireta, e dá outras providências.
PORTARIA N° 31 – GSIPR/CH, DE 6 DE OUTUBRO DE 2008............................................ 142
- Institui a Rede Nacional de Segurança da Informação e Criptografia – RENASIC.
PORTARIA N° 33 – GSIPR/CDN, DE 13 DE OUTUBRO DE 2008....................................... 146
- Homologa a Norma Complementar n° 01/DSIC/GSIPR.
PORTARIA N° 34 – GSIPR/CDN, DE 13 DE OUTUBRO DE 2008....................................... 153
- Homologa a Norma Complementar n° 02/DSIC/GSIPR.
DECRETO N° 6.605, DE 14 DE OUTUBRO DE 2008.............................................................. 159
- Dispõe sobre o Comitê Gestor da Infra-Estrutura de Chaves Públicas Brasileira – CG ICP-
Brasil, sua Secretaria-Executiva e sua Comissão Técnica Executiva – COTEC.
PORTARIA N° 34 - GSIPR, DE 5 DE AGOSTO DE 2009..................................................... 162
- Institui Grupo de Trabalho de Segurança das Infraestruturas Críticas da Informação, no am-
To do Comitê Gestor de Segurança da Informação – CGSI.
PORTARIA N° 37 – GSIPR/CDN, DE 14 DE AGOSTO DE 2009.......................................... 165
- Homologa a Norma Complementar n° 04/IN01/DSIC/GSIPR.
PORTARIA N° 38 – GSIPR/CDN, DE 14 DE AGOSTO DE 2009.......................................... 173 - Homologa a Norma Complementar n° 05/IN01/DSIC/GSIPR.
PORTARIA N° 62 – GSIPR/CDN, 19 DE NOVEMBRO DE 2009.......................................... 184
- Homologa a Norma Complementar n° 62/IN 01/DSIC/GSIPR.
PORTARIA N° 666 DO COMANDO DO EXÉRCITO, DE 4 DE AGOSTO DE 2010.......... 191 - Cria o Centro de Defesa Cibernética do Exército e dá outras providências.
PORTARIA N° 667 DO COMANDO DO EXÉRCITO, DE 4 DE AGOSTO DE 2010.......... 192 - Ativa o Núcleo do Centro de Defesa Cibernética do Exército e dá outras providências.
PORTARIA N° 405-A/ABIN/GSIPR, DE 1° DE DEZEMBRO DE 2010................................ 193 - Cria o Comitê Técnico da Infraestrutura de Chaves Públicas da Agência Brasileira de
Inteligência (ICP-ABIN) e nomeia os servidores custodiantes de Cahve Privada da
ICP-ABIN.
PORTARIA N° 411-A/ABIN/GSIPR, DE 6 DE DEZEMBRO DE 2010.................................. 195 - Aprova as Chaves Públicas da AutoridadeCertificadora Raiz da Agência Brasileira de
Inteligência (AC Raiz) e da Autoridade Certificadora da Agência Brasileira de Inteli-
Gência (AC ABIN) e as Políticas de Segurança da AC Raiz e de Segurança da AC-ABIN.
PORTARIA GSIPR/CH N° 42, DE 29 DE JULHO DE 2011................................................... 196 - Ficam revogadas as Portarias n° 31, de 6 de outubro de 2008 e n° 54, de 18 de agosto de
2010.
PORTARIA N° 7, DE 7 DE FEVEREIRO DE 2012.................................................................. 197 - Homologa a Norma Complementar n° 11/IN01/DSIC/GSIPR, que estabelece as diretrizes pa-
ra avaliação de conformidade nos aspectos relativos à Segurança da Informação e Comunica-
coes (SIC), nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta,
aprovada pelo Diretor do Departamento de Segurança da Informação e Comunicações.
PORTARIA N° 8, DE 7 DE FEVEREIRO DE 2012.................................................................. 202 - Homologa a Norma Complementar n°12/IN01/DSIC/GSIPR, que estabelece as diretrizes pa-
ra uso de dispositivos móveis nos aspectos relativos à Segurança da Informação e Comunica-
coes (SIC), nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta,
aprovada pelo Diretor de Departamento de Segurança da Informação e Comunicações.
PORTARIA N° 9, DE 7 DE FEVEREIRO DE 2012.................................................................. 208 - Homologa a Norma Complementar n° 13/IN01/DSIC/GSIPR, que estabelece as diretrizes pa-
ra gestão de mudanças nos aspectos relativos à Segurança da Informação e Comunicações
(SIC), nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta, apro-
vada pelo Diretor do Departamento de Segurança da Informação e Comunicações.
PORTARIAN° 10, DE 7 DE FEVEREIRO DE 2012................................................................. 214 - Homologa a Norma Complementar n° 10/IN01/DSIC/GSIPR, que estabelece as diretrizes pa-
ra o processo de Inventário e Mapeamento de Ativos de Informação nos aspectos relativos à
Segurança da Informação e Comunicações (SIC), nos órgãos e entidades da Administração
Pública Federal (APF), direta e indireta, aprovada pelo Diretor do Departamento de Segurança
da Informação e Comunicações.
PORTARIA N° 11, DE 7 DE FEVEREIRO DE 2012................................................................ 222 - Homologa a Norma Complementar n° 14/IN01/DSIC/GSIPR, que estabelece as diretrizes re-
lacionadas à Segurança da Informação e Comunicações (SIC), para o uso de Computação em
Nuvem, nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta,
aprovada pelo Diretor do Departamento de Segurança da Informação e Comunicações.
PORTARIA ITI N° 25, DE 15 DE MAIO DE 2012................................................................... 228 - Classifica como secretos os documentos elencados no Anexo I desta Portaria, observando
O seu teor e em razão de sua imprescindibilidade à segurança da sociedade ou do Estado.
PORTARIA GSI/CDN N° 38, DE 11 DE JUNHO DE 2012..................................................... 231 - Homologa a Norma Complementar n° 15/IN01/DSIC/GSIPR, que estabelece as Diretrizes
para o uso seguro das redes sociais na Administração Pública Federal.
LEI N° 12.735, DE 30 DE NOVEMBRO DE 2012.................................................................... 236
- Altera o Decreto-Lei n° 2.848, de 7 de dezembro de 1940 – Código Penal, o Decreto-Lei
n°1.001, de 21 de outubro de 1969 – Código Penal Militar, e a Lei n° 7.716, de 5 de janei-
ro de 1989, para tipificar condutas realizadas mediante uso de sistema eletrônico, digital
ou similares, que sejam praticadas contra sistemas informatizados e similares; e dá outras
providências.
LEI N° 12.737, DE 30 DE NOVEMBRO DE 2012.................................................................... 237
- Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei n° 2.848,
de 7 de dezembro de 1940 – Código Penal; e dá outras providências.
PORTARIA GSI/CDN N° 2, DE 15 DE FEVEREIRO DE 2013............................................. 239 - Homologa a Norma Complementar n° 04/IN01/DSIC/GSIPR.
RESOLUÇÃO INPI N° 1, DE 18 DE MARÇO DE 2013.......................................................... 245
- Revoga os atos normativos do INPI publicados até 31/12/2012.
PORTARIA N°34-CH/GSIPR, DE 19 DE AGOSTO DE 2013............................................... 247 - Disciplina as atividades do Comitê Gestor da Tecnologia da Informação.
LEI N° 13.023, DE 8 DE AGOSTO DE 2014............................................................................. 249 - Altera as Leis n°s 8.248, de 23 de outubro de 1991, e 8.387, de 30 de dezembro de 1991, e
revoga dispositivo da Lei n° 10.176, de 11 de janeiro de 2001, para dispor sobre a prorro-
gação de prazo dos benefícios fiscais para a capacitação do setor de tecnologia da informação.
7
APRESENTAÇÃO
Com o propósito de subsidiar as atividades das áreas de Inteligência, ensino,
administração e tecnologia e contribuir para a disseminação da informação de modo a agilizar o
acesso e a consulta às legislações atualizadas e compiladas. A Agência Brasileira de Inteligência
(Abin) iniciou esta série em 1999 a 2001 a série Caderno Legislativo, com o n° 1 abordou o tema
Gratificação de Desempenho de Atividade de Informações Estratégicas (GDI), e o n° 2, o tema
Histórico da Inteligência no Brasil. A partir de 2001, a série recebeu o nome Coletânea de
Legislação e iniciou a compilação dos assuntos relacionados à Proteção do Conhecimento.
A responsabilidade técnica pela compilação da Coletânea de Legislação, de 1999 a
2001 foi da Biblioteca e Memorial de Inteligência; de 2001 a 2005, da Coordenação-Geral de
Biblioteca e Memorial de Inteligência; de dezembro de 2005 a março de 2008, da Coordenação-
Geral de Documentação e Informação; e a partir de abril de 2008, passou para a Coordenação de
Biblioteca e Museu de Inteligência.
A Coletânea de Legislação é uma publicação seriada que reúne a legislação federal e a
marginália brasileira, acompanhada do respectivo texto integral transcrito tal qual a fonte original,
em ordem cronológica, sem hierarquia dos atos, com atualização sistemática, disponível aos
usuários por meio da intranet. As retificações, alterações e revogações estão inseridas no texto do
ato original e, ao final de cada um, são citadas as fontes de sua origem.
Os atos reunidos nesta publicação são dirigidos a pesquisas ou estudos técnicos, e
não substituem os publicados no Diário Oficial da União.
O título deste número 18 é Proteção de Sistemas de Informação.
***
8
LEI Nº 7.232, DE 29 DE OUTUBRO DE 1984
Dispõe sobre a Política Nacional de Informática, e dá
outras Providências.
O PRESIDENTE DA REPÚBLICA, faço saber que o CONGRESSO NACIONAL
decreta e eu sanciono a seguinte Lei:
Art. 1º - Esta Lei estabelece princípios, objetivos e diretrizes da Política Nacional de
Informática, seus fins e mecanismos de formulação, cria o Conselho Nacional de Informática e
Automação - CONIN, dispõe sobre a Secretaria Especial de Informática - SEI, cria os Distritos de
Exportação de Informática, autoriza a criação da Fundação Centro Tecnológico para Informática -
CTI, institui o Plano Nacional de Informática e Automação e o Fundo Especial de Informática e
Automação.
DA POLÍTICA NACIONAL DE INFORMÁTICA
Art. 2º - A Política Nacional de Informática tem por objetivo a capacitação nacional nas
atividades de Informática, em proveito do desenvolvimento social, cultural, político, tecnológico e
econômico da sociedade brasileira, atendidos os seguintes princípios:
I - ação governamental na orientação, coordenação e estímulo das atividades de
informática;
II - participação do Estado nos setores produtivos de forma supletiva, quando ditada
pelo interesse nacional, e nos casos em que a iniciativa privada nacional não tiver condições de
atuar ou por eles não se interessar;
III - intervenção do Estado de modo a assegurar equilibrada proteção à produção
nacional de determinadas classes e espécies de bens e serviços bem assim crescente capacitação
tecnológica;
IV - proibição à criação de situações monopolísticas, de direito ou de fato;
V - ajuste continuado do processo de informatização às peculiaridades da sociedade
brasileira;
VI - orientação de cunho político das atividades de informática, que leve em conta a
necessidade de preservar e aprimorar a identidade cultural do País, a natureza estratégica da
informática e a influência desta no esforço desenvolvido pela Nação, para alcançar melhores
estágios de bem-estar social;
VII - direcionamento de todo o esforço nacional no setor, visando ao atendimento dos
programas prioritários do desenvolvimento econômico e social e ao fortalecimento do Poder
Nacional, em seus diversos campos de expressão;
VIII - estabelecimento de mecanismos e instrumentos legais e técnicos para a proteção
do sigilo dos dados armazenados, processados e veiculados, do interesse da privacidade e de
segurança das pessoas físicas e jurídicas, privadas, e públicas;
IX - estabelecimento de mecanismos e instrumentos para assegurar a todo cidadão o
direito ao acesso e à retificação de informações sobre ele existentes em bases de dados públicas ou
privadas;
X - estabelecimento de mecanismos e instrumentos para assegurar o equilíbrio entre os
ganhos de produtividade e os níveis de emprego na automação dos processos produtivos;
XI - fomento e proteção governamentais dirigidos ao desenvolvimento de tecnologia
nacional e ao fortalecimento econômico-financeiro e comercial da empresa nacional, bem como
estímulo à redução de Custos dos produtos e serviços, assegurando-lhes maior competitividade
internacional.
9
Art. 3º - Para os efeitos desta Lei, consideram-se atividades de informática aquelas
ligadas ao tratamento racional e automático da informação e, especificamente as de:
I - pesquisa, desenvolvimento, produção, importação e exportação de componentes
eletrônicos a semicondutor, opto-eletrônicos bem como dos respectivos insumos de grau eletrônico;
II - pesquisa, importação, exportação, fabricação, comercialização e operação de
máquinas, equipamentos e dispositivos baseados em técnica digital com funções técnicas de coleta,
tratamento, estruturação, armazenamento, comutação, recuperação e apresentação da informação,
seus respectivos insumos eletrônicos, partes, peças e suporte físico para operação;
III - importação, exportação, produção, operação e comercialização de programas para
computadores e máquinas automáticas de tratamento da informação e respectiva documentação
técnica associada ("software");
IV - estruturação e exploração de bases de dados;
V - prestação de serviços técnicos de informática.
§ 1º - (Vetado).
§ 2º - A estruturação, a exploração de bancos de dados (vetado) serão reguladas por lei
específica.
DOS INSTRUMENTOS DA POLÍTICA NACIONAL DE INFORMÁTICA
Art. 4º - São instrumentos da Política Nacional de Informática:
I - o estímulo ao crescimento das atividades de informática de modo compatível com o
desenvolvimento do País;
II - a institucionalização de normas e padrões de homologação e certificação de
qualidade de produtos e serviços de informática;
III - a mobilização e a aplicação coordenadas de recursos financeiros públicos
destinados ao fomento das atividades de informática;
IV - o aperfeiçoamento das formas de cooperação internacional para o esforço de
capacitação do País;
V - a formação, o treinamento e o aperfeiçoamento de recursos humanos para o setor;
VI - a instituição de regime especial de concessão de incentivos tributários e
financeiros, em favor de empresas nacionais, destinados ao crescimento das atividades de
informática;
VII - as penalidades administrativas pela inobservância de preceitos desta Lei e
regulamento;
VIII - o controle das importações de bens e serviços de informática por 8 (oito) anos a
contar da publicação desta Lei;
IX - a padronização de protocolo de comunicação entre sistemas de tratamento da
informação; e
X - o estabelecimento de programas específicos para o fomento das atividades de
informática, pelas instituições financeiras estatais.
DO CONSELHO NACIONAL DE INFORMÁTICA E AUTOMAÇÃO
Art. 5º - O art. 32 do Decreto-Lei nº 200, de 25 de fevereiro de 1967, passa a vigorar
com a seguinte redação:
"Art. 32. A Presidência da República é constituída essencialmente pelo Gabinete Civil e
pelo Gabinete Militar. Também dela fazem parte, como órgãos de assessoramento imediato do
Presidente da República:
I - Conselho de Segurança Nacional.
II - Serviço Nacional de Informações.
III - Estado-Maior das Fôrças Armadas
10
IV - Departamento Administrativo do Pessoal Civil.
V - Consultoria Geral da República.
VI - Alto Comando das Fôrças Armadas."
Art 6º - O Conselho Nacional de Informática e Automação - CONIN é constituído por
(VETADO) representantes do Poder Executivo entre os quais os Ministros das Comunicações, da
Indústria e do Comércio, da Fazenda, da Educação e Cultura, do Trabalho, o Ministro Chefe da
Secretaria de Planejamento da Presidência da República e o Secretário Geral do Conselho de
Segurança Nacional, bem assim por 8 (oito) representantes de entidades não governamentais,
compreendendo representantes da indústria e dos usuários de bens de serviços de informática, dos
profissionais e trabalhadores do setor, da comunidade científica e tecnológica e de pessoas
brasileiras de notório saber. (Nota: revogado pela Lei 8.248/1991)
§ 1º - Cabe a Presidência do Conselho Nacional de Informática e Automação - CONIN
ao Presidente da República. (Nota: revogado pela Lei 8.248/1991)
§ 2º - Para a consecução dos objetivos da Política Nacional de Informática, poderá o
Conselho Nacional de Informática e Automação - CONIN autorizar a criação e a extinção de
Centros de Pesquisa Tecnológica e de Informática, em qualquer parte do Território Nacional e no
exterior. (Nota: revogado pela Lei 8.248/1991)
§ 3º - A organização e o funcionamento do Conselho Nacional de Informática e
Automação serão estabelecidos pelo Poder Executivo. (Nota: revogado pela Lei 8.248/1991)
§ 4º - Ressalvado o disposto no parágrafo seguinte a duração do mandato de membros
não governamentais do Conselho será de 3 (três) anos. (Nota: revogado pela Lei 8.248/1991)
§ 5º - O mandato dos membros do Conselho, em qual quer hipótese, se extinguirá com o
mandato do Presidente da República que os nomear. (Nota: revogado pela Lei 8.248/1991)
Art. 7º - Compete ao Conselho Nacional de Informática e Automação:
I - assessorar o Presidente da República na formulação da Política Nacional de
Informática;
II - propor, a cada 3 (três) anos, ao Presidente da República o Plano Nacional de
Informática e Automação, a ser aprovado e anualmente avaliado pelo Congresso Nacional, e
supervisionar sua execução;
III - estabelecer, de acordo com o disciplinado no Plano Nacional de Informática e
Automação, (vetado) resoluções específicas de procedimentos a serem seguidas pelos órgãos da
Administração Federal;
IV - acompanhar continuamente a estrita observância destas normas;
V - opinar, previamente, sobre a criação e reformulação de órgãos e entidades, no
âmbito do Governo Federal, voltados para o setor de informática;
VI - opinar sobre a concessão de benefícios fiscais, financeiros ou de qualquer outra
natureza por parte de órgãos e entidades da Administração Federal a projetos do setor de
informática;
VII - estabelecer critérios para a compatibilização da política de desenvolvimento
regional ou setorial, que afetem o setor de informática, com os objetivos e os princípios
estabelecidos nesta Lei, bem como medidas destinadas a promover a desconcentração econômica
regional;
VIII - estabelecer normas e padrões para homologação dos bens e serviços de
informática e para a emissão dos correspondentes certificados, ouvidos previamente os órgãos
técnicos que couber;
IX - conhecer dos projetos de tratados, acordos, convênios e compromissos
internacionais de qualquer natureza, no que se refiram ao setor de informática;
X - estabelecer normas para o controle do fluxo de dados transfronteiras e para a
concessão de canais e meios de transmissão de dados para ligação a banco de dados e redes no
exterior (vetado);
11
XI - estabelecer medidas visando à prestação, pelo Estado, do adequado resguardo dos
direitos individuais e públicos no que diz respeito aos efeitos da informatização da sociedade,
obedecido o prescrito no art. 40;
XII - pronunciar-se sobre currículos mínimos para formação profissional e definição das
carreiras a serem adotadas, relativamente às atividades de informática, pelos órgãos e entidades da
Administração Federal, Direta e Indireta, e fundações sob supervisão ministerial;
XIII - decidir, em grau de recurso, as questões decorrentes das decisões da Secretaria
Especial de Informática;
XIV - opinar sobre as condições básicas dos atos ou contratos (vetado) relativos às
atividades de informática;
XV - propor ao Presidente da República o encaminhamento ao Congresso Nacional das
medidas legislativas complementares necessárias à execução da Política Nacional de Informática; e
XVI - em conformidade com o Plano Nacional de Informática e Automação, criar
Centros de Pesquisa e Tecnologia e de Informática, em qualquer parte do Território Nacional e no
exterior.
DA SECRETARIA ESPECIAL DE INFORMÁTICA
Art 8º - Compete à Secretaria Especial de Informática - SEI, órgão subordinado ao
Conselho Nacional de Informática e Automação CONIN: (Nota: revogado pela Lei 8.248/1991)
I - prestar apoio técnico e administrativo ao Conselho Nacional de Informática e
Automação - CONIN; (Nota: revogado pela Lei 8.248/1991)
II - baixar, divulgar, cumprir e fazer cumpir as resoluções do Conselho Nacional de
Informática e Automação - CONIN de acordo com o item III do artigo 7º; (Nota:revogado pela Lei
8.248/1991)
III - elaborar a proposta do Plano Nacional de Informática e Automação, submetê-la ao
Conselho Nacional de Informática e Automação e executá-la na sua área de competência, de acordo
com os itens II e III do artigo 7º; (Nota: revogado pela Lei 8.248/1991)
IV - adotar as medidas necessárias à execução da Política Nacional Informática no que
lhe couber; (Nota: revogado pela Lei 8.248/1991)
V - analisar e decidir sobre os projetos de desenvolvimento e produção de bens de
informática (VETADO); e (Nota: revogado pela Lei 8.248/1991)
VI - manifestar-se previamente sobre as importações de bens e serviços de informática
por 8 (oito) anos a contar da data da publicação desta Lei, respeitado o disposto no item III do artigo
7º. (Nota: revogado pela Lei 8.248/1991)
DAS MEDIDAS APLICÁVEIS ÀS ATIVIDADES DE INFORMÁTICA
Art. 9º - Para assegurar adequados níveis de proteção às Empresas Nacionais, enquanto
não estiverem consolidadas e aptas a competir no mercado internacional, observados critérios
diferenciados segundo as peculiaridades de cada segmento específico de mercado, periodicamente
reavaliados, o Poder Executivo adotará restrições de natureza transitória à produção, operação,
comercialização, e importação de bens e serviços técnicos de informática. (Nota: revogado pela Lei
8.248/1991, a partir de 29/10/1992)
§ 1º - Ressalvado o disposto no artigo 10, não poderio ser adotadas restrições ou
impedimentos ao livre exercício da fabricação, comercialização e prestação de serviços técnicos no
setor de informáticas Empresas Nacionais que utilizem tecnologia nacional, desde que não
usufruam de incentivos fiscais e financeiros.
§ 2º - Igualmente não se aplicam as restrições do "caput" deste artigo aos bens
(VETADO) de Informática, com tecnologia nacional cuja fabricação independe da importação de
partes, peças e componentes de origem externa.
12
Art. 10 - O Poder Executivo poderá estabelecer limites à comercialização, no mercado
interno, de bens e serviços de informática, mesmo produzidos no País, sempre que ela implique na
criação de monopólio de fato em segmentos do setor (vetado).
Art 11 - Os órgãos e entidades da Administração Pública Federal, Direta e Indireta, as
fundações instituídas ou mantidas pelo Poder Público e as demais organizações sob o controle
direto ou indireto da União darão preferência nas aquisições de bens e serviços de informática aos
produzidos por empresas nacionais. (Nota: revogado pela Lei 8.248/1991)
Parágrafo único - Para o exercício dessa preferência, admite-se, além de condições
satisfatórias de prazo de entrega, suporte de serviços, qualidades, padronização, compatibilidade e
especificação de desempenho, diferença de preço sobre similar importado em percentagem a ser
proposta pelo Conselho Nacional de Informática e Automação - CONIN à Presidência da República
(VETADO). (Nota: revogado pela Lei 8.248/1991)
Art 12 - Para os efeitos desta Lei, empresas nacionais são as pessoas jurídicas
constituídas e com sede no País, cujo controle esteja, em caráter permanente, exclusivo e
incondicional, sob a titularidade, direta ou indireta, de pessoas física residentes e domiciliadas no
País, ou por entidades de direito publico interno, entendendo-se controle por: (Nota: revogado pela
Lei 8.248/1991)
I - controle decisório - o exercício, de direito e de fato, do poder de eleger
administradores da sociedade e de dirigir o funcionamento dos órgãos da empresa;
II - controle tecnológico - o exercício, de direito e de fato, do poder para desenvolver,
gerar, adquirir e transferir e variar de tecnologia de produto e de processo de produção;
III - controle de capital - a detenção, direta ou indireta, da totalidade do capital, com
direito efetivo ou potencial de voto, e de, no mínimo 70% (setenta por cento) do capital social.
§ 1º - No caso de sociedades anônimas de capital aberto, as ações com direito a voto ou
a dividendos fixos ou mínimos deverão corresponder, no mínimo, a 2/3 (dois terços) do capital
social e somente poderão ser propriedade, ou ser subscritas ou adquiridas por: (Nota: revogado pela
lei 8.248/1991)
a) pessoas físicas, residentes e domiciliadas no País, ou entes de direito público interno;
b) pessoas jurídicas de direito privado, constituídas e com sede e foro no País, que
preencham os requisitos definidos neste artigo para seu enquadramento como empresa nacional;
c) pessoas jurídicas de direito público interno.
§ 2º - As ações com direito a voto ou a dividendos fixos ou mínimos guardarão a forma
nominativa. (Nota: revogado pela Lei 8.248/1991)
Art 13 - Para a realização de projetos de pesquisa, desenvolvimento e produção de bens
e serviços de informática, que atendam aos propósitos fixados no artigo 19, poderão ser concedidos
às empresas nacionais os seguintes incentivos, em conjunto ou isoladamente: (Nota: revogado pela
Lei 8.248/1991)
I - isenção ou redução até 0 (zero) das alíquotas do Imposto de Importação nos casos de
importação, sem similar nacional:
a) de equipamentos, máquinas, aparelhos e instrumentos, com respectivos acessórios,
sobressalentes e ferramentas;
b) de componentes, produtos intermediários, matérias-primas, partes e peças e outros
insumos;
II - isenção do Imposto de Exportação, nos casos de exportação de bens homologados;
III - isenção ou redução até 0 (zero) das alíquotas do Imposto sobre Produtos
Industrializados:
13
a) sobre os bens referenciados no item l, importados ou de produção nacional,
assegurada aos fornecedores destes a manutenção do crédito tributário quanto às matérias-primas,
produtos intermediários, partes e peças e outros insumos utilizados no processo de industrialização;
b) sobre os produtos finais homologados;
IV - isenção ou redução até 0 (zero) das alíquotas do Imposto sobre Operações de
Crédito, Câmbio e Seguros e sobre Operações relativas a títulos e valores mobiliários, incidente
sobre as operações de câmbio vinculadas ao pagamento do preço dos bens importados e dos
contratos de transferência de tecnologia;
V - dedução até o dobro, como despesa operacional para o efeito de apuração do
Imposto sobre a Renda e Proventos de Qualquer Natureza, dos gastos realizados em programas
próprios ou de terceiros, previamente aprovados pelo Conselho Nacional de Informática e
Automação, que tenham por objeto a pesquisa e o desenvolvimento de bens e serviços do setor de
informática ou a formação, o treinamento e o aperfeiçoamento de recursos humanos para as
atividades de informática;
VI - depreciação acelerada dos bens destinados ao ativo fixo;
VII - prioridade nos financiamentos diretos concedidos por instituições financeiras
federais, ou nos indiretos, através de repasse de fundos administrativos por aquelas instituições,
para custeio dos investimentos em ativo fixo, inclusive bens de origem externa sem similar
nacional.
Art. 14 - As empresas nacionais, que façam ou venham a fazer o processamento físico-
químico de fabricação de componentes eletrônicos a semicondutor, opto-eletrônicos e as
semelhados, bem como de seus insumos, envolvendo técnicas como crescimento epitaxiaI difusão,
implantação iônica ou outras similares ou mais avançadas, poderá ser concedido, por decisão do
Presidente da República, adicionalmente aos incentivos previstos no artigo anterior, o benefício da
redução do lucro tributável, para efeito de imposto de renda, de percentagem equivalente à que a
receita bruta desses bens apresenta na receita total da empresa. (Nota: revogado pela Lei
8.248/1991)
Parágrafo único - Paralelamente, como forma de incentivos, poderá ser atribuída às
empresas usuárias dos insumos relacionados no " caput " deste artigo, máxime de microeletrônica, a
faculdade de efetuar a dedução em dobro de seu valor de aquisição, em seu lucro tributável. (Nota:
revogado pela Lei 8.248/1991)
Art. 15 - As empresas nacionais, que tenham projeto aprovado para o desenvolvimento
do " software ", de relevante interesse para o sistema produtivo do País, poderá ser concedido o
benefício da redução do lucro-tributável, para efeito de imposto de renda, em percentagem
equivalente à que a receita bruta da comercialização desse " software " representar na receita total
da empresa. (Nota: revogado pela Lei 8.248/1991)
Parágrafo único - (VETADO).
Art. 16 - Os incentivos previstos nesta Lei só serão concedidos nas classes de bens e
serviços, dentro dos critérios, limites e faixas de aplicação, expressamente previstos no Plano
Nacional de Informática. (Nota: revogado pela Lei 8.248/1991)
Art. 17 - Sem prejuízo das demais condições a serem estabelecidas pelo Conselho
Nacional de Informática e Automação, as empresas beneficiárias deverão investir em programas de
criação, desenvolvimento ou adaptação tecnológica quantia correspondente a uma percentagem
(vetado) fixada previamente no ato de concessão de incentivos, incidentes sobre a receita trimestral
de comercialização de bens e serviços do setor, deduzidas as despesas de frete e seguro, quando
14
escrituradas em separado no documentário fiscal e corresponderem aos preços correntes no
mercado.
Parágrafo único. (Vetado).
Art. 18 - O não cumprimento das condições estabelecidas no ato de concessão dos
incentivos fiscais obrigará a empresa infratora ao recolhimento integral dos tributos de que foi
isenta ou de que teve redução, e que de outra forma seriam plenamente devidos, corrigidos
monetariamente e acrescidos de multa de 100% (cem por cento) do principal atualizado. (Nota:
revogado pela Lei 8.248/1991)
Art 19 - Os critérios, condições e prazo para o deferimento, em cada caso, das medidas
referidas nos artigos 13 a 15 serão estabelecidos pelo Conselho Nacional de Informática e
Automação - CONIN, de acordo com as diretrizes constantes do Plano Nacional de Informática e
Automação, visando: (Nota: revogado pela Lei 8.248/1991)
I - à crescente participação da empresa privada nacional;
II - ao adequado atendimento às necessidades dos usuários dos bens e serviços do setor;
III - ao desenvolvimento de aplicações que tenham as melhores relações custo/benefício
econômico e social;
IV - à substituição de importações e à geração de exportações;
V - progressiva redução dos preços finais dos bens e serviços, e
VI - à capacidade de desenvolvimento tecnológico significativo.
Art. 20 - As atividades de fomento serão exercidas diretamente pelas instituições de
crédito e financiamento públicas e privadas, observados os critérios estabelecidos pelo Conselho
Nacional de Informática e Automação - CONIN e as disposições estatutárias das referidas
instituições.
Art. 21 - Nos exercícios financeiros de 1986 a 1995, inclusive, as pessoas jurídicas
poderão deduzir até 1% (um por cento) do imposto de renda devido, desde que apliquem
diretamente, até o vencimento da cota única ou da última cota do imposto, igual importância em
ações novas de empresas nacionais de direito privado que tenham como atividade única ou principal
a produção de bens e serviços do setor de informática, vedadas as aplicações em empresas de um
mesmo conglomerado econômico e/ou empresas que não tenham tido seus planos de capitalização
aprovados pelo Conselho Nacional de Informática e Automação - CONIN. (Nota: revogado pela
Lei 8.248/1991)
Parágrafo único - Qualquer empresa de controle direto ou indireto da União ou dos
Estados, atualmente existente ou que venha a ser criada, não poderá se utilizar de benefícios que
não os descritos na presente lei, nem gozar de outros privilégios.
Art. 22 - (VETADO) no caso de bens e serviços de informática, julgados de relevante
interesse para as atividades científicas e produtivas internas e para as quais não haja empresas
nacionais capazes de atender às necessidades efetivas do mercado interno, com tecnologia própria
ou adquirida no exterior, a produção poderá ser admitida em favor de empresas que não preencham
os requisitos do artigo 12, desde que as organizações interessadas: (Nota: revogado pela Lei
8.248/1991, a partir de 29/10/1992)
I - tenham aprovado, perante o Conselho Nacional de Informática e Automação -
CONIN, programas de efetiva capacitação de seu corpo técnico nas tecnologias do produto e do
processo de produção;
II - apliquem, no País, em atividade de pesquisa e desenvolvimento, diretamente ou em
convênio com centros de Pesquisa e Desenvolvimento Tecnológico voltados para a área de
15
Informática e Automação ou com Universidades brasileiras, segundo prioridades definidas pelo
Conselho Nacional de Informática e Automação - CONIN, quantia correspondente a uma
percentagem, fixada por este no Plano Nacional de Informática e Automação, incidente sobre a
receita bruta total de cada exercício;
III - apresentem plano de exportação; e
IV - estabeleçam programas de desenvolvimento de fornecedores locais.
§ 1º - O Conselho Nacional de Informática e Automação - CONIN só autorizará
aquisição de tecnologia no exterior quando houver reconhecido interesse de mercado, e não existir
empresa nacional tecnicamente habilitada para atender a demanda. (Nota: revogado pela Lei
8.248/1991, a partir de 29/10/1992)
§ 2º - As exigências deste artigo não se aplicam aos produtos e serviços de empresas
que, até a data da vigência desta Lei, os estiverem produzindo e comercializando no País, de
conformidade com projetos aprovados pela Secretaria Especial de Informática - SEI (VETADO).
(Nota: revogado pela lei 8.248/1991, a partir de 29/10/1992)
Art. 23 - Os produtores de bens e serviços de informática garantirão aos usuários a
qualidade técnica adequada desses bens e serviços, competindo-lhes, com exclusividade, o ônus da
prova dessa qualidade.
§ 1º - De conformidade com os critérios a serem fixados pelo Conselho Nacional de
Informática e Automação - CONIN, os fabricantes de máquinas, equipamentos, subsistemas,
instrumentos e dispositivos, produzidos no País ou de origem externa, para a comercialização no
mercado interno, estarão obrigados à divulgação das informações técnicas necessárias à interligação
ou conexão desses bens com os produzidos por outros fabricantes e à prestação, por terceiros, de
serviço de manutenção técnica, bem como a fornecer partes e peças durante 5 (cinco) anos após a
descontinuidade de fabricação do produto.
§ 2º - O prazo e as condições previstas no parágrafo anterior serão estabelecidas por
regulamento do Conselho Nacional de Informática e Automação - CONIN.
DOS DISTRITOS DE EXPORTAÇÃO DE INFORMÁTICA
Art. 24 - Ressalvadas as situações já prevalecentes e, em havendo a disponibilidade da
correspondente tecnologia no País, o uso de tecnologia externa por empresas que não preencham os
requisitos do art. 12 ficará condicionado a que:
I - a produção (vetado) se destine exclusivamente ao mercado externo; e
II - a unidade de produção se situe em qualquer dos Distritos de Exportação de
Informática.
Art. 25 - Serão considerados Distrito de Exportação de Informática (vetado) os
municípios situados nas áreas da SUDAM e SUDENE para tal propósito indicados pelo Poder
Executivo e assim nominados pelo Congresso Nacional.
Art. 26 - A produção e exportação de bens de informática, bem como a importação de
suas partes, peças, acessórios e insumos, nos Distritos de Exportação de Informática, serão isentas
dos Impostos sobre a Exportação, sobre a Importação, (vetado) sobre Produtos Industrializados e
sobre as operações de fechamento de câmbio.
Art. 27 - As exportações de peças, componentes, acessórios e insumos de origem
nacional para consumo e industrialização nos Distritos de Exportação de Informática, ou para
reexportação para o exterior, serão para todos os efeitos fiscais constantes de legislação em vigor,
equivalentes a exportações brasileiras para o exterior.
Art. 28 - (Vetado).
16
Art. 29 - Ficam ratificados os termos do convênio para compatibilização de
procedimentos em matéria de informática e microeletrônica, na Zona Franca de Manaus, e para a
prestação de suporte técnico e operacional, de 30 de novembro de 1983, celebrado entre a
Superintendência da Zona Franca de Manaus - SUFRAMA e a Secretaria Especial de Informática -
SEI, com a interveniência do Centro Tecnológico para Informática e da Fundação Centro de
Análise de Produção Industrial, que passa a fazer parte integrante desta Lei.
DO FUNDO ESPECIAL DE INFORMÁTICA E AUTOMAÇÃO
Art. 30 - (Vetado).
Parágrafo único. (Vetado).
Art. 31 - O Conselho Nacional de Informática e Automação - CONIN aprovará,
anualmente, o orçamento do Fundo Especial de Informática e Automação, considerando os planos e
projetos aprovados pelo Plano Nacional de Informática e Automação, alocando recursos para os fins
especificados no art. 30.
DA FUNDAÇÃO CENTRO TECNOLÓGICO PARA INFORMÁTICA
Art. 32 - Fica o Poder Executivo autorizado a instituir a Fundação Centro Tecnológico
para Informática - CTI, com a finalidade de incentivar o desenvolvimento da pesquisa científica e
tecnológica nas atividades de informática.
§ 1º - A Fundação, vinculada ao Conselho Nacional de Informática e Automação -
CONIN, gozará de autonomia administrativa e financeira e adquirirá personalidade jurídica a partir
do arquivamento de seu ato constitutivo, de seu estatuto e do decreto que o aprovar.
§ 2º - O Presidente da República designará representante da União nos atos
constitutivos da Fundação.
§ 3º - A estrutura e o funcionamento da Fundação reger-se-ão por seu estatuto aprovado
pelo Presidente da República.
Art. 33 - São objetivos da Fundação:
I - promover, mediante acordos, convênios e contratos com instituições públicas e
privadas, a execução de pesquisas, planos e projetos;
II - emitir laudos técnicos;
III - acompanhar programas de nacionalização, em conjunto com os órgãos próprios, em
consonância com as diretrizes do Conselho Nacional de Informática e Automação - CONIN;
IV - exercer atividades de apoio às empresas nacionais no setor de informática;
V - implementar uma política de integração das universidades brasileiras, mediante
acordos, convênios e contratos, ao esforço nacional de desenvolvimento de nossa informática.
Art. 34 - Mediante ato do Poder Executivo, serão incorporados à Fundação Centro
Tecnológico para Informática os bens e direitos pertencentes ou destinados ao Centro Tecnológico
para Informática.
Art. 35 - O patrimônio da Fundação Centro Tecnológico para Informática será
constituído de:
I - recursos oriundos do Fundo Especial de Informática e de Automação, que lhe forem
alocados pelo Conselho Nacional de Informática e Automação - CONIN;
II - dotações orçamentárias e subvenções da União;
17
III - auxílios e subvenções que lhe forem destinados pelos Estados e Municípios, suas
autarquias, sociedades de economia mista ou empresas públicas;
IV - bens e direitos do Centro Tecnológico para Informática;
V - remuneração dos serviços prestados decorrentes de acordos, convênios ou contratos;
VI - receitas eventuais.
Parágrafo único. Na instituição da Fundação, o Poder Executivo incentivará a
participação de recursos privados no patrimônio da entidade e nos seus dispêndios correntes, sem a
exigência prevista na parte final, da letra "b", do art. 2º, do Decreto-Lei nº 900, de 29 de setembro
de 1969.
Art. 36 - O Conselho Nacional de Informática e Automação - CONIN assegurará, no
que couber, à Fundação Centro Tecnológico para Informática, os incentivos de que trata esta Lei.
Art. 37 - A Fundação Centro Tecnológico para Informática terá seu quadro de pessoal
regido pela legislação trabalhista.
§ 1º - Aos servidores do Centro Tecnológico para Informática, a ser extinto, é
assegurado o direito de serem aproveitados no Quadro de Pessoal da Fundação.
§ 2º - A Fundação poderá contratar, no País ou no exterior, os serviços de empresas ou
profissionais especializados para prestação de serviços técnicos, de caráter temporário, ouvido o
Conselho Nacional de Informática e Automação - CONIN.
Art. 38 - Em caso de extinção da Fundação, seus bens serão incorporados ao patrimônio
da União.
Art. 39 - As despesas com a constituição, instalação e funcionamento da Fundação
Centro Tecnológico para Informática correrão à conta de dotações orçamentárias consignadas
atualmente em favor do Conselho de Segurança Nacional, posteriormente, em favor da Presidência
da República - Conselho Nacional de Informática e Automação - CONIN ou de outras para esse fim
destinadas.
DISPOSIÇÕES FINAIS
Art. 40 - (Vetado).
Parágrafo único. (Vetado).
Art. 41 - (Vetado).
§ 1º - (Vetado).
§ 2º - (Vetado).
§ 3º - (Vetado).
Art. 42 - Sem prejuízo da manutenção e aperfeiçoamento dos instrumentos e
mecanismos de política industrial e de serviços na área de informática, vigentes na data da
publicação desta Lei, o Conselho Nacional de Informática e Automação - CONIN, no prazo de 180
(cento e oitenta) dias, submeterá ao Presidente da República proposta de adaptação das normas e
procedimentos em vigor aos preceitos desta Lei.
Art. 43 - Matérias referentes a programas de computador e documentação técnica
associada ("software") (vetado) e aos direitos relativos à privacidade, com direitos da personalidade,
por sua abrangência, serão objeto de leis específicas, a serem aprovadas pelo Congresso Nacional.
18
Art. 44 - O primeiro Plano Nacional de Informática e Automação será encaminhado ao
Congresso Nacional no prazo de até 360 (trezentos e sessenta) dias a partir da data da publicação
desta Lei.
Art. 45 - Esta Lei entrará em vigor 60 (sessenta) dias após a sua publicação.
Art. 46 - Revogam-se as disposições em contrário.
Brasília, em 29 de outubro de 1984; 163º da Independência e 96º da República.
JOÃO FIGUEIREDO
Danilo Venturini
FONTE: Publicação DOU, de 30/10/1984
19
LEI Nº 8.248, DE 23 DE OUTUBRO DE 1991
(Nota: revogado pela Lei 10.176/2001)
Dispõe sobre a capacitação e competitividade do setor
de informática e automação, e dá outras providências.
O PRESIDENTE DA REPÚBLICA, Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte lei:
Art. 1º - Para os efeitos desta Lei e da Lei n° 7.232, de 29 de outubro de 1984,
considera-se como empresa brasileira de capital nacional a pessoa jurídica constituída e com sede
no Brasil, cujo controle efetivo esteja, em caráter permanente, sob a titularidade direta ou indireta
de pessoas físicas domiciliadas e residentes no País ou de entidade de direito público interno.
§ 1º - Entende-se por controle efetivo da empresa, a titularidade direta ou indireta de, no
mínimo, 51% (cinqüenta e um por cento) do capital com direito efetivo de voto, e o exercício, de
fato e de direito, do poder decisório para gerir suas atividades, inclusive as de natureza tecnológica.
§ 2º - (Vetado).
§ 3º - As ações com direito a voto ou a dividendos fixos ou mínimos guardarão a forma
nominativa.
§ 4º - Na hipótese em que o sócio nacional perder o efetivo controle de empresa que
esteja usufruindo os benefícios estabelecidos nesta Lei para empresa brasileira de capital nacional, o
direito aos benefícios fica automaticamente suspenso, sem prejuízo do ressarcimento de benefícios
que vierem a ser indevidamente usufruídos.
Art. 2º - As empresas produtoras de bens e serviços de informática no País e que não
preencham os requisitos do art. 1° deverão, anualmente, para usufruírem dos benefícios instituídos
por esta Lei e que lhes sejam extensíveis, comprovar perante o Conselho Nacional de Informática e
Automação - CONIN, a realização das seguintes metas:
I - programa de efetiva capacitação do corpo técnico da empresa nas tecnologias do
produto e do processo de produção;
II - programas de pesquisa e desenvolvimento, a serem realizados no País, conforme o
estabelecido no art. 11; e
III - programas progressivos de exportação de bens e serviços de informática.
Art. 3º Os órgãos e entidades da Administração Pública Federal, direta ou indireta, as
fundações instituídas e mantidas pelo Poder Público e as demais organizações sob o controle direto
ou indireto da União darão preferência, nas aquisições de bens e serviços de informática e
automação, observada a seguinte ordem, a:
I - bens e serviços com tecnologia desenvolvida no País;
II - bens e serviços produzidos de acordo com processo produtivo básico, na forma a
ser definida pelo Poder Executivo.
§ 1º - Na hipótese da empresa brasileira de capital nacional não vir a ser objeto desta
preferência, dar-se-á aos bens e serviços fabricados no País preferência em relação aos importados,
observado o disposto no § 2º deste artigo.
§ 2º Para o exercício desta preferência, levar-se-ão em conta condições equivalentes de
prazo de entrega, suporte de serviços, qualidade, padronização, compatibilidade e especificação de
desempenho e preço.
§ 3º A aquisição de bens e serviços de informática e automação, considerados como
bens e serviços comuns nos termos do parágrafo único do art. 1° da Lei n° 10.520, de 17 de julho de
2002, poderá ser realizada na modalidade pregão, restrita às empresas que cumpram o Processo
Produtivo Básico nos termos desta Lei e da Lei n° 8.387, de 30 de dezembro de 1991.
20
Art. 4º As empresas de desenvolvimento ou produção de bens e serviços de informática
e automação que investirem em atividades de pesquisa e desenvolvimento em tecnologia da
informação farão jus aos benefícios de que trata a Lei n° 8.191, de 11 de junho de 19911. (Redação
dada pela Lei n° 10.176/2001 e Regulamentado pelo Decreto 5.906/2006)
§ 1º O Poder Executivo definirá a relação dos bens de que trata o § 1º C, respeitado o
disposto no art. 16A desta Lei, a ser apresentada no prazo de trinta dias, contado da publicação
desta Lei, com base em proposta conjunta dos Ministérios da Fazenda, do Desenvolvimento,
Indústria e Comércio Exterior, da Ciência e Tecnologia e da Integração Nacional. (Redação dada
pela Lei n° 10.176/2001 )
§ 1º A. O benefício de isenção estende-se até 31 de dezembro de 2000 e, a partir dessa
data, fica convertido em redução do Imposto sobre Produtos Industrializados IPI, observados os
seguintes percentuais: (Acrescentado pela Lei n° 10.176/2001 )
I - redução de noventa e cinco por cento do imposto devido, de 1º de janeiro até 31 de
dezembro de 2001; (Acrescentado pela Lei n° 10.176/2001 )
II - redução de noventa por cento do imposto devido, de 1º de janeiro até 31 de
dezembro de 2002; (Acrescentado pela Lei n° 10.176/2011)
III - redução de oitenta e cinco por cento do imposto devido, de 1º de janeiro até 31 de
dezembro de 2003; (Acrescentado pela Lei n° 10.176/2011 )
IV - redução de 80% (oitenta por cento) do imposto devido, de 1º de janeiro de 2004 até
31 de dezembro de 2014; (Redação dada pela Lei n° 11.077/2004 )
V - redução de 75% (setenta e cinco por cento) do imposto devido, de 1º de janeiro até
31 de dezembro de 2015; (Redação dada pela Lei n° 11.077/2004 )
VI - redução de 70% (setenta por cento) do imposto devido, de 1º de janeiro de 2016 até
31 de dezembro de 2019, quando será extinto. (Redação dada pela Lei n° 11.077/2004 )
§ 1º B. (VETADO)
§ 1º C. Os benefícios incidirão somente sobre os bens de informática e automação
produzidos de acordo com processo produtivo básico definido pelo Poder Executivo, condicionados
à apresentação de proposta de projeto ao Ministério da Ciência e Tecnologia. (Acrescentado pela
Lei n° 10.176/2001 )
§ 2º Os Ministros de Estado do Desenvolvimento, Indústria e Comércio Exterior e da
Ciência e Tecnologia estabelecerão os processos produtivos básicos no prazo máximo de cento e
vinte dias, contado da data da solicitação fundada da empresa interessada, devendo ser publicados
em portaria interministerial os processos aprovados, bem como os motivos determinantes do
indeferimento. (Acrescentado pela Lei n° 10.176/2001 )
§ 3º São asseguradas a manutenção e a utilização do crédito do Imposto sobre Produtos
Industrializados IPI relativo a matérias-primas, produtos intermediários e material de embalagem
empregados na industrialização dos bens de que trata este artigo. (Acrescentado pela Lei n°
10.176/2001)
§ 4º A apresentação do projeto de que trata o § 1º C não implica, no momento da
entrega, análise do seu conteúdo, ressalvada a verificação de adequação ao processo produtivo
básico, servindo entretanto de referência para a avaliação dos relatórios de que trata o § 9º do art.
11. (Acrescentado pela Lei n° 10.176/2001 )
§ 5º O disposto no § 1ºA deste artigo não se aplica a microcomputadores portáteis e às
unidades de processamento digitais de pequena capacidade baseadas em microprocessadores, de
valor até R$ 11.000,00 (onze mil reais), bem como às unidades de discos magnéticos e ópticos, aos
circuitos impressos com componentes elétricos e eletrônicos montados, aos gabinetes e às fontes de
alimentação, reconhecíveis como exclusiva ou principalmente destinados a tais equipamentos, que
observarão os seguintes percentuais: (Redação dada pela Lei n° 11.077/2004 )
I - redução de 95% (noventa e cinco por cento) do imposto devido, de 1º de janeiro de
2004 até 31 de dezembro de 2014; (Redação dada pela Lei n° 11.077/2004 )
21
II - redução de 90% (noventa por cento) do imposto devido, de 1º de janeiro até 31 de
dezembro de 2015; (Redação dada pela Lei n° 11.077/2004 )
III - redução de 70% (setenta por cento) do imposto devido, de 1º de janeiro de 2016 até
31 de dezembro de 2019, quando será extinto. (Redação dada pela Lei n° 11.077/2004 )
§ 6º O Poder Executivo poderá atualizar o valor fixado no § 5º deste artigo.
(Acrescentado pela Lei n° 11.077/2004 )
§ 7º Aplicam-se aos bens desenvolvidos no País que sejam incluídos na categoria de
bens de informática e automação por esta Lei, conforme regulamento, os seguintes percentuais:
I - redução de 100% (cem por cento) do imposto devido, de 15 de dezembro de 2010 até
31 de dezembro de 2014; (Acrescentado pela MPV 517/2010 )
II - redução de 90% (noventa por cento) do imposto devido, de 1º de janeiro até 31 de
dezembro de 2015; e (Acrescentado pela MPV 517/2010 )
III - redução de 70% (setenta por cento) do imposto devido, de 1º de janeiro de 2016 até
31 de dezembro de 2019, quando será extinto. (Acrescentado pela MPV 517/2010 )
Art. 5º - As empresas brasileiras de capital nacional produtoras de bens e serviços de
informática e automação terão prioridade nos financiamentos diretos concedidos por instituições
financeiras federais ou, nos indiretos, através de repasse de fundos administrados por aquelas
instituições, para custeio dos investimentos em ativo fixo, ampliação e modernização industrial.
Art. 6º - As empresas que tenham como finalidade, única ou principal, a produção de
bens e serviços de informática no País deduzirão, até o limite de 50% (cinqüenta por cento) do
Imposto sobre a Renda e Proventos de qualquer natureza devido, o valor devidamente comprovado
das despesas realizadas no País, em atividades de pesquisa e desenvolvimento, diretamente ou em
convênio com outras empresas, centros ou institutos de pesquisa ou entidades brasileiras de ensino,
oficiais ou reconhecidas.
Art. 7º - As pessoas jurídicas poderão deduzir até 1% (um por cento) do Imposto sobre a
Renda devido, desde que apliquem diretamente, até o vencimento da cota única ou da última cota
do imposto, igual importância em ações novas, inalienáveis pelo prazo de dois anos, de empresas
brasileiras de capital nacional de direito privado que tenham como atividade, única ou principal, a
produção de bens e serviços de informática, vedadas as aplicações em empresas de um mesmo
conglomerado econômico.
Art. 8º - São isentas do imposto sobre Produtos Industrializados - IPI as compras de
máquinas, equipamentos, aparelhos e instrumentos produzidos no Pais, bem como suas partes e
peças de reposição, acessórias, matérias-primas e produtos intermediários realizadas pelo Conselho
Nacional de Desenvolvimento Científico e Tecnológico - CNPq e por entidades sem fins lucrativos
ativas no fomento, na coordenação ou na execução de programa de pesquisa científica ou de ensino
devidamente credenciadas naquele Conselho.
Parágrafo único. São asseguradas a manutenção e a utilização do crédito do imposto
sobre Produtos Industrializados - IPI a matérias primas, produtos intermediários e material de
embalagem empregados na industrialização dos bens de que trata este artigo.
Art. 9º Na hipótese do não cumprimento das exigências desta Lei, ou da não aprovação
dos relatórios referidos no § 9º do art. 11 desta Lei, poderá ser suspensa a concessão do benefício,
sem prejuízo do ressarcimento dos benefícios anteriormente usufruídos, atualizados e acrescidos de
multas pecuniárias aplicáveis aos débitos fiscais relativos aos tributos da mesma natureza. (Redação
dada pela Lei n° 10.176/2001 e Regulamentado pela Decreto n° 5.906/2006)
22
Parágrafo único. Na eventualidade de os investimentos em atividades de pesquisa e
desenvolvimento previstos no art. 11 desta Lei não atingirem, em um determinado ano, os mínimos
fixados, os residuais, atualizados e acrescidos de 12% (doze por cento), deverão ser aplicados no
Programa de Apoio ao Desenvolvimento do Setor de Tecnologia da Informação, de que trata o § 18
do art. 11 desta Lei.
Art. 10 - Os incentivos fiscais previstos nesta Lei, salvo quando nela especificado em
contrário (art. 4°), vigorarão até o exercício de 1997 e entrarão em vigência a partir de sua
publicação, excetuados os constantes de seu art. 6° e aqueles a serem usufruídos pelas empresas
fabricantes de bens e serviços de informática que não preencham os requisitos do art. 1º, cujas
vigências ocorrerão, respectivamente, a partir de 01 de janeiro de 1992 e 29 de outubro de 1992.
Parágrafo único. (Vetado).
Art. 11. Para fazer jus aos benefícios previstos no art. 4º desta Lei, as empresas de
desenvolvimento ou produção de bens e serviços de informática e automação deverão investir,
anualmente, em atividades de pesquisa e desenvolvimento em tecnologia da informação a serem
realizadas no País, no mínimo, 5% (cinco por cento) do seu faturamento bruto no mercado interno,
decorrente da comercialização de bens e serviços de informática, incentivados na forma desta Lei,
deduzidos os tributos correspondentes a tais comercializações, bem como o valor das aquisições de
produtos incentivados na forma desta Lei ou do art. 2° da Lei n° 8.387, de 30 de dezembro de 1991,
ou do art. 4° da Lei n° 11.484, de 31 de maio de 2007, conforme projeto elaborado pelas próprias
empresas, a partir da apresentação da proposta de projeto de que trata o § 1ºC do art. 4º desta Lei.
(Redação dada pela Lei n° 12.249/2010)
§ 1º No mínimo dois vírgula três por cento do faturamento bruto mencionado no caput
deste artigo deverão ser aplicados como segue: (Redação dada pela Lei n° 10.176/2001 )
I - mediante convênio com centros ou institutos de pesquisa ou entidades brasileiras de
ensino, oficiais ou reconhecidas, credenciados pelo comitê de que trata o § 5º deste artigo, devendo,
neste caso, ser aplicado percentual não inferior a um por cento;
II - mediante convênio com centros ou institutos de pesquisa ou entidades brasileiras de
ensino, oficiais ou reconhecidas, com sede ou estabelecimento principal situado nas regiões de
influência da Sudam, da Sudene e da região Centro-Oeste, excetuada a Zona Franca de Manaus,
credenciados pelo comitê de que trata o § 5º deste artigo, devendo, neste caso, ser aplicado
percentual não inferior a zero vírgula oito por cento;
III - sob a forma de recursos financeiros, depositados trimestralmente no Fundo
Nacional de Desenvolvimento Científico e Tecnológico FNDCT, criado pelo Decreto-Lei nº 719, de
31 de julho de 1969, e restabelecido pela Lei nº 8.172, de 18 de janeiro de 1991, devendo, neste
caso, ser aplicado percentual não inferior a zero vírgula cinco por cento.
§ 2º Os recursos de que trata o inciso III do § 1º destinam-se, exclusivamente, à
promoção de projetos estratégicos de pesquisa e desenvolvimento em tecnologia da informação,
inclusive em segurança da informação.
§ 3º Percentagem não inferior a trinta por cento dos recursos referidos no inciso II do §
1º será destinada a universidades, faculdades, entidades de ensino e centro ou institutos de pesquisa,
criados ou mantidos pelo Poder Público Federal, Distrital ou Estadual, com sede ou estabelecimento
principal na região a que o recurso se destina.
§ 4º (VETADO)
§ 5º (VETADO)
§ 6º Os investimentos de que trata este artigo serão reduzidos nos seguintes percentuais:
I - em cinco por cento, de 1º de janeiro de 2001 até 31 de dezembro de 2001;
II - em dez por cento, de 1º de janeiro até 31 de dezembro de 2002;
III - em quinze por cento, de 1º de janeiro até 31 de dezembro de 2003;
IV - em 20% (vinte por cento), de 1º de janeiro de 2004 até 31 de dezembro de 2014;
23
V - em 25% (vinte e cinco por cento), de 1º de janeiro até 31 de dezembro de 2015;
VI - em 30% (trinta por cento), de 1º de janeiro de 2016 até 31 de dezembro de 2019.
§ 7º Tratando-se de investimentos relacionados à comercialização de bens de
informática e automação produzidos na região Centro-Oeste e nas regiões de influência da Agência
de Desenvolvimento da Amazônia - ADA e da Agência de Desenvolvimento do Nordeste -
ADENE, a redução prevista no § 6º deste artigo obedecerá aos seguintes percentuais:
I - em três por cento, de 1º de janeiro até 31 de dezembro de 2002;
II - em oito por cento, de 1º de janeiro até 31 de dezembro de 2003;
III - em 13% (treze por cento), de 1º de janeiro de 2004 até 31 de dezembro de 2014;
IV - em 18% (dezoito por cento), de 1º de janeiro até 31 de dezembro de 2015;
V - em 23% (vinte e três por cento), de 1º de janeiro de 2016 até 31 de dezembro de
2019.
§ 8º A redução de que tratam os §§ 6º e 7º deverá ocorrer de modo proporcional dentre
as formas de investimento previstas neste artigo.
§ 9º As empresas beneficiárias deverão encaminhar anualmente ao Poder Executivo
demonstrativos do cumprimento, no ano anterior, das obrigações estabelecidas nesta Lei, mediante
apresentação de relatórios descritivos das atividades de pesquisa e desenvolvimento previstas no
projeto elaborado e dos respectivos resultados alcançados.
§ 10. O comitê mencionado no § 5º deste artigo aprovará a consolidação dos relatórios
de que trata o § 9º .
§ 11. O disposto no § 1º deste artigo não se aplica às empresas cujo faturamento bruto
anual seja inferior a R$ 15.000.000,00 (quinze milhões de reais).
§ 12. O Ministério da Ciência e Tecnologia divulgará, anualmente, o total dos recursos
financeiros aplicados pelas empresas beneficiárias nas instituições de pesquisa e desenvolvimento
credenciadas, em cumprimento ao disposto no § 1º."
§ 13. Para as empresas beneficiárias, na forma do § 5º do art. 4º desta Lei, fabricantes de
microcomputadores portáteis e de unidades de processamento digitais de pequena capacidade
baseadas em microprocessadores, de valor até R$ 11.000,00 (onze mil reais), bem como de
unidades de discos magnéticos e ópticos, circuitos impressos com componentes elétricos e
eletrônicos montados, gabinetes e fontes de alimentação, reconhecíveis como exclusiva ou
principalmente destinados a tais equipamentos, e exclusivamente sobre o faturamento bruto
decorrente da comercialização desses produtos no mercado interno, os percentuais para
investimentos estabelecidos neste artigo serão reduzidos em 25% (vinte e cinco por cento) até 31 de
dezembro de 2014. (Redação dada pela Lei 12.249/2010)
§ 14. A partir de 2004, o Poder Executivo poderá alterar o percentual de redução
mencionado no § 13, considerando os investimentos em pesquisa e desenvolvimento realizados,
bem como o crescimento da produção em cada ano calendário.
§ 15. O Poder Executivo poderá alterar os valores referidos nos §§ 11 e 13 deste artigo.
§ 16. Os Ministérios do Desenvolvimento, Indústria e Comércio Exterior, da Fazenda e
da Ciência e Tecnologia divulgarão, a cada 2 (dois) anos, relatórios com os resultados econômicos e
técnicos advindos da aplicação desta Lei nº período.
§ 17. Nos tributos correspondentes às comercializações de que trata o caput deste artigo,
incluem-se as Contribuições para o Financiamento da Seguridade Social - COFINS e para os
Programas de Integração Social - PIS e de Formação do Patrimônio do Servidor Público - Pasep.
§ 18. Observadas as aplicações previstas nos §§ 1º e 3º deste artigo, até 2/3 (dois terços)
do complemento de 2,7% (dois inteiros e sete décimos por cento) do faturamento mencionado no
caput deste artigo poderão também ser aplicados sob a forma de recursos financeiros em Programa
de Apoio ao Desenvolvimento do Setor de Tecnologia da Informação, a ser regulamentado pelo
Poder Executivo." (NR)
Art. 12 - Para os efeitos desta Lei não se considera como atividade de pesquisa e
desenvolvimento a doação de bens e serviços de Informática.
24
Art. 13 - (Vetado).
Art. 14 - Compete à Secretaria de Ciência e Tecnologia:
I - prestar apoio técnico e administrativo ao CONIN;
II - baixar, divulgar e fazer cumprir as resoluções do CONIN;
III - elaborar a proposta do Plano Nacional de Informática e Automação, submetê-la ao
CONIN e executá-la na sua área de competência;
IV - adotar as medidas necessárias à execução da Política Nacional de Informática, no
que lhe couber;
V - analisar e decidir sobre os projetos de desenvolvimento e produção de bens de
informática;
VI - manifestar-se, previamente, sobre as importações de bens e serviços de informática.
Parágrafo único. A partir de 29 de outubro de 1992, cessam as competências da
Secretaria de Ciência e Tecnologia no que se refere a análise e decisão sobre os projetos de
desenvolvimento e produção de bens de informática, bens como a anuência prévia sobre as
importações de bens e serviços de informática, previstas nos incisos V e VI deste artigo.
Art. 15 - Na ocorrência de prática de comércio desleal, vedada nos acordos e
convenções internacionais, o Poder Executivo poderá "ad referendum" do Congresso Nacional,
adotar restrições às importações de bens e serviços produzidos por empresas do País infrator.
Art. 16 - (Vetado).
Art. 16-A. Para os efeitos desta Lei, consideram-se bens e serviços de informática e
automação: (Acrescentado pela Lei n° 10.176/2001 e Regulamentado pelo Decreto 5.906/2006)
I - componentes eletrônicos a semicondutor, optoeletrônicos, bem como os respectivos
insumos de natureza eletrônica; (Acrescentado pela Lei n° 10.176/2001)
II - máquinas, equipamentos e dispositivos baseados em técnica digital, com funções de
coleta, tratamento, estruturação, armazenamento, comutação, transmissão, recuperação ou
apresentação da informação, seus respectivos insumos eletrônicos, partes, peças e suporte físico
para operação; (Acrescentado pela Lei n° 10.176/2001)
III - programas para computadores, máquinas, equipamentos e dispositivos de
tratamento da informação e respectiva documentação técnica associada (software); (Acrescentado
pela Lei n° 10.176/2001)
IV - serviços técnicos associados aos bens e serviços descritos nos incisos I, II e III.
(Acrescentado pela Lei n° 10.176/2001)
§ 1º O disposto nesta Lei não se aplica às mercadorias dos segmentos de áudio; áudio e
vídeo; e lazer e entretenimento, ainda que incorporem tecnologia digital, incluindo os constantes da
seguinte relação, que poderá ser ampliada em decorrência de inovações tecnológicas, elaborada
conforme nomenclatura do Sistema Harmonizado de Designação e Codificação de Mercadorias -
SH: (Acrescentado pela Lei n° 10.176/2001)
I - toca-discos, eletrofones, toca-fitas (leitores de cassetes) e outros aparelhos de
reprodução de som, sem dispositivo de gravação de som, da posição 8519; (Acrescentado pela Lei
n° 10.176/2001)
II - gravadores de suportes magnéticos e outros aparelhos de gravação de som, mesmo
com dispositivo de reprodução de som incorporado, da posição 8520; (Acrescentado pela Lei n°
10.176/2001)
III - aparelhos videofônicos de gravação ou de reprodução, mesmo incorporando um
receptor de sinais videofônicos, da posição 8521; (Acrescentado pela Lei n° 10.176/2001)
25
IV - partes e acessórios reconhecíveis como sendo exclusiva ou principalmente
destinados aos aparelhos das posições 8519 a 8521, da posição 8522; (Acrescentado pela Lei n°
10.176/2001)
V - suportes preparados para gravação de som ou para gravações semelhantes, não
gravados, da posição 8523; (Acrescentado pela Lei n° 10.176/2001)
VI - discos, fitas e outros suportes para gravação de som ou para gravações
semelhantes, gravados, incluídos os moldes e matrizes galvânicos para fabricação de discos, da
posição 8524; (Acrescentado pela Lei n° 10.176/2001)
VII - câmeras de vídeo de imagens fixas e outras câmeras de vídeo (camcorders), da
posição 8525; (Acrescentado pela Lei n° 10.176/2001)
VIII - aparelhos receptores para radiotelefonia, radiotelegrafia, ou radiodifusão, mesmo
combinados, num mesmo gabinete ou invólucro, com aparelho de gravação ou de reprodução de
som, ou com relógio, da posição 8527, exceto receptores pessoais de radiomensagem;
(Acrescentado pela Lei n° 10.176/2001)
IX - aparelhos receptores de televisão, mesmo incorporando um aparelho receptor de
radiodifusão ou um aparelho de gravação ou de reprodução de som ou de imagens; monitores e
projetores, de vídeo, da posição 8528; (Acrescentado pela Lei n° 10.176/2001)
X - partes reconhecíveis como exclusiva ou principalmente destinadas aos aparelhos das
posições 8526 a 8528 e das câmeras de vídeo de imagens fixas e outras câmeras de vídeo
(camcorders) (8525), da posição 8529; (Acrescentado pela Lei n° 10.176/2001)
XI - tubos de raios catódicos para receptores de televisão, da posição 8540;
(Acrescentado pela Lei n° 10176/2001)
XII - aparelhos fotográficos; aparelhos e dispositivos, incluídos as lâmpadas e tubos, de
luz-relâmpago (flash), para fotografia, da posição 9006; (Acrescentado pela Lei n° 10.176/2001)
XIII - câmeras e projetores cinematográficos, mesmo com aparelhos de gravação ou de
reprodução de som incorporados, da posição 9007; (Acrescentado pela Lei n° 10.176/2001)
XIV - aparelhos de projeção fixa; aparelhos fotográficos, de ampliação ou de redução,
da posição 9008; (Acrescentado pela Lei n° 10.176/2001)
XV - aparelhos de fotocópia, por sistema óptico ou por contato, e aparelhos de
termocópia, da posição 9009; (Acrescentado pela Lei n° 10.176/2001)
XVI - aparelhos de relojoaria e suas partes, do capítulo 91. (Acrescentado pela Lei n°
10.176/2001)
§ 2º É o Presidente da República autorizado a avaliar a inclusão no gozo dos benefícios
de que trata esta Lei dos seguintes produtos: (Acrescentado pela Lei n° 10.176/2001)
I - terminais portáteis de telefonia celular; (Acrescentado pela Lei n° 10.176/2001)
II - unidades de saída por vídeo (monitores), da subposição NCM 8471.60, próprias
para operar com máquinas, equipamentos ou dispositivos a que se refere o inciso II do caput deste
artigo.
§ 3º O Poder Executivo adotará medidas para assegurar as condições previstas neste
artigo, inclusive, se necessário, fixando cotas regionais para garantir o equilíbrio competitivo entre
as diversas regiões do País, consubstanciadas na avaliação do impacto na produção de unidades de
saída por vídeo (monitores), incentivados na forma desta Lei, da Lei n° 8.387, de 30 de dezembro
de 1991, e do Decreto-Lei n° 288, de 28 de fevereiro de 1967, da subposição NCM 8471.60, tendo
em vista a evolução da tecnologia de produto e a convergência no uso desses produtos, bem como
os incentivos fiscais e financeiros de qualquer outra natureza, para este fim.
§ 4º Os aparelhos telefônicos por fio, conjugados com aparelho telefônico sem fio, que
incorporem controle por técnicas digitais, serão considerados bens de informática e automação para
os efeitos previstos nesta Lei, sem a obrigação de realizar investimentos previstos no § 1º do art. 11
desta Lei.
§ 5º Os aparelhos de que trata o § 4º deste artigo, quando industrializados na Zona
Franca de Manaus, permanecerão incluídos nos efeitos previstos no art. 7° e no art. 9° do Decreto-
26
Lei n° 288, de 28 de fevereiro de 1967, sem a obrigação de realizar os investimentos previstos no §
3º o art. 2° a Lei n° 8.387, de dezembro de 1991.
Art. 17 - Esta Lei entra em vigor na data de sua publicação, revogadas as disposições
em contrário, especialmente, os artigos 6º e seus parágrafos, 8º e incisos, 11 e seu parágrafo único,
12 e seus parágrafos, 13, 14 e seu parágrafo único, 15, 16, 18, 19 e 21 da Lei nº 7.232, de 29 de
outubro de 1984, o Decreto-Lei nº 2.203 de 27 de dezembro de 1984, bem como, a partir de 29 de
outubro de 1992, os artigos 9º e 22 e seus parágrafos da Lei nº 7.232, de 29 de outubro de 1984.
Brasília, 23 de outubro de 1991; 170º da Independência e 103º da República.
FERNANDO COLLOR
Jarbas Passarinho
Marcílio Marques Moreira
FONTE: Publicação DOU, de 24/10/1991.
27
DECRETO Nº 518, DE 08 DE MAIO DE 1992
Dispõe sobre a adoção, pela Administração Pública
Federal, do modelo de referência para comunicação e
interoperação de sistemas de tratamento da
informação.
O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o artigo 84,
inciso IV, da Constituição, e tendo em vista o disposto no artigo 4º, inciso IX, da Lei n° 7.232, de
29 de outubro de 1984, e nos itens 3.2.5.1.1, 3.2.6.1.3 e 3.2.7.1.2 das Diretrizes do II Plano
Nacional de Informática e Automação - PLANIN, aprovado pela Lei nº 8.244, de 16 de outubro de
1991,
DECRETA:
Art. 1º Os órgãos e entidades da Administração Pública Federal direta e indireta, as
fundações instituídas ou mantidas pelo Poder Público e as demais organizações sob o controle
direto e indireto da União, ao adquirirem bens e serviços de informática, para comunicação e
interoperação dos sistemas de tratamento da informação, devem observar a conformidade destes
com as especificações do modelo de referência para interconexão de sistemas abertos OSI (Open
Systems Interconnection) da "International Organization for Standardization -ISO".
Art. 2º Para a implantação do disposto no artigo 1º, fica aprovada a Arquitetura de
Referência do POSIG - Perfil OSI do Governo Brasileiro, constante do Anexo a este Decreto.
§ 1º A estrutura documental do POSIG - Perfil OSI do Governo Brasileiro será
constituída de especificações técnicas para compra, para fabricação e para ensaios de conformidade
e certificação, onde serão definidos seus atributos técnicos.
§ 2º A Secretaria da Ciência e Tecnologia e a Secretaria da Administração Federal
divulgarão, por meio de instrução normativa conjunta, em até 180 dias, as especificações técnicas
iniciais do POSIG, que se tornarão obrigatórias doze meses após sua publicação no Diário Oficial
da União.
Art. 3º As atualizações da Arquitetura de Referência do POSIG e das suas respectivas
especificações técnicas serão aprovadas e divulgadas por instrução normativa conjunta da Secretaria
da Ciência e Tecnologia e da Secretaria da Administração Federal, que estabelecerá os prazos de
carência da obrigatoriedade e de estabilidade das normas.
Art. 4º Os órgãos e entidades da Administração Pública Federal direta e indireta, as
fundações instituídas ou mantidas pelo Poder Público e demais organizações sob o controle direto
ou indireto da União farão constar, em seus planos de informatização, as estratégias de transição de
seus sistemas atuais para sistemas com base nas especificações técnicas do POSIG.
Parágrafo único. A partir da data de publicação deste Decreto, até a data em que se
tornará obrigatória a adoção das especificações do POSIG, será dada preferência aos produtos que
estejam em conformidade com o POSIG, em todas as aquisições que envolvam a comunicação e a
interoperação de sistemas de tratamento da informação.
Art. 5º Em situações excepcionais, as justificativas da não-aplicação das disposições
deste Decreto deverão ser previamente submetidas à apreciação da Secretaria da Administração
Federal que, ouvida a Secretaria da Ciência e Tecnologia, se pronunciará em até sessenta dias.
28
Art. 6º Este Decreto entra em vigor na data de sua publicação.
Brasília, 08 de maio de 1992; 171º da Independência e 104º da República.
FERNANDO COLLOR
JOÃO MELLÃO NETO
FONTE: Publicação DOU, de 08/05/1992.
Retificação DOU, de26/05/1992.
RETIFICAÇÃO
Publica-se o Anexo referido no artigo 2° por ter sido omitido quando da publicação no
Diário Oficial da União de 11 de maio de 1992, Seção I, página 5828.
PROCESSO NORMATIVO DAS COMPRAS DO GOVERNO NA ÁREA DE
INFORMÁTICA-PRONOR
Perfil OSI do GOVERNO BRASILEIRO
POSIG ARQUITETURA DE REFERÊNCIA
MAIO DE 1992
29
LEI Nº 8.741, DE 3 DE DEZEMBRO DE 1993
Dispõe sobre a composição e a estrutura do Conselho
Nacional de Informática e Automação - CONIN, e dá
outras providências.
O PRESIDENTE DA REPÚBLICA
Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei:
Art. 1º O Conselho Nacional de Informática e Automação - CONIN, órgão integrante da
estrutura básica do Ministério da Ciência e Tecnologia, é composto pelos seguintes membros:
I - Representantes do Poder Executivo:
a) Secretários-Executivos do Ministério da Ciência e Tecnologia, do Ministério da
Educação e do Desporto, do Ministério da Fazenda, do Ministério da Justiça, do Ministério das
Comunicações, do Ministério da Indústria, do Comércio e do Turismo, do Ministério da Integração
Regional e da Secretaria de Planejamento, Orçamento e Coordenação da Presidência da República;
b) Secretário-Geral do Ministério das Relações Exteriores;
c) um representante indicado pelos três Ministérios:do Exército, da Marinha e da
Aeronáutica;
d) Secretários-Adjuntos da Secretaria de Assuntos Estratégico se da Secretaria da
Administração Federal, da Presidência da República.
II - doze representantes não-governamentais de livre escolha e nomeação do Presidente
da República, escolhidos mediante indicação de associações nacionais representativas, sendo:
a) dois representantes dos produtores de bens e serviços de informática e de
automação;
b) um representante dos produtores de programas de computador;
c) três representantes dos usuários dos bens e serviços de informática;
d) três representantes dos trabalhadores do setor;
e) três representantes da comunidade científica e tecnológica.
§ 1º O mandato dos membros do Conselho, em qualquer hipótese, extinguir-se-á com o
mandato do Presidente da República que os nomear.
§ 2º Ressalvado o disposto no parágrafo anterior, a duração do mandato de membros
não-governamentais do Conselho será de três anos.
Art. 2º O CONIN será presidido pelo Secretário-Executivo do Ministério da Ciência e
Tecnologia, que coordenará os trabalhos do colegiado, cabendo à Secretaria de Política de
Informática e Automação prestar-lhe apoio técnico e administrativo.
Art. 3º Esta Lei entra em vigor na data de sua publicação.
Art. 4º Revogam-se as disposições em contrário.
Brasília, 03 de dezembro de 1993; 172º da Independência e 105º da República.
ITAMAR FRANCO
JOSÉ ISRAEL VARGAS
FONTE: Publicação DOU, de 06/12/1993.
30
LEI Nº 9.296, DE 24 DE JULHO DE 1996
Regulamenta o inciso XII, parte final, do art. 5º da
Constituição Federal.
O PRESIDENTE DA REPÚBLICA,
Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei:
Art. 1º A interceptação de comunicações telefônicas, de qualquer natureza, para prova
em investigação criminal e em instrução processual penal, observará o disposto nesta Lei e
dependerá de ordem do juiz competente da ação principal, sob segredo de justiça.
Parágrafo único. O disposto nesta Lei aplica-se à interceptação do fluxo de
comunicações em istemas de informática e telemática.
Art. 2º Não será admitida a interceptação de comunicações telefônicas quando ocorrer
qualquer das seguintes hipóteses:
I - não houver indícios razoáveis da auditoria ou participação em infração penal;
II - a prova puder ser feita por outros meios disponíveis;
III - o fato investigado constituir infração penal punida, no máximo, com pena de
detenção.
Parágrafo único. Em qualquer hipótese deve ser descrita com clareza a situação objeto
da investigação, inclusive com a indicação e qualificação dos investigados, salvo impossibilidade
manifesta, devidamente justificada.
Art. 3º A interceptação das comunicações telefônicas poderá ser determinada pelo juiz,
de ofício ou a requerimento:
I - da autoridade policial, na investigação criminal;
II - do representante do Ministério Público, na investigação criminal e na instrução
processual penal.
Art. 4º O pedido de interceptação de comunicação telefônica conterá a demonstração de
que a sua realização é necessária à apuração de infração penal, com indicação dos meios a serem
empregados.
§ 1º Excepcionalmente, o juiz poderá admitir que o pedido seja formulado verbalmente,
desde que estejam presentes os pressupostos que autorizem a interceptação, caso em que a
concessão será condicionada à sua redução a termo.
§ 2º O juiz, no prazo máximo de vinte e quatro horas, decidirá sobre o pedido.
Art. 5º A decisão será fundamentada, sob pena de nulidade, indicando também a forma
de execução da diligência, que não poderá exceder o prazo de quinze dias, renovável por igual
tempo uma vez comprovada a indispensabilidade do meio de prova.
Art. 6º Deferido o pedido, a autoridade policial conduzirá os procedimentos de
interceptação, dando ciência ao Ministério Público, que poderá acompanhar a sua realização.
§ 1º No caso de a diligência possibilitar a gravação da comunicação interceptada, será
determinada a sua transcrição.
§ 2º Cumprida a diligência, a autoridade policial encaminhará o resultado da
interceptação ao juiz, acompanhado de auto circunstanciado, que deverá conter o resumo das
operações realizadas.
31
§ 3º Recebidos esses elementos, o juiz determinará a providência do art. 8º, ciente o
Ministério Público.
Art. 7º Para os procedimentos de interceptação de que trata esta Lei, a autoridade
policial poderá requisitar serviços e técnicos especializados às concessionárias de serviço público.
Art. 8º A interceptação de comunicação telefônica, de qualquer natureza, ocorrerá em
autos apartados, apensados aos autos do inquérito policial ou do processo criminal, preservando-se
o sigilo das diligências, gravações e transcrições respectivas.
Parágrafo único. A apensação somente poderá ser realizada imediatamente antes do
relatório da autoridade, quando se tratar de inquérito policial ( Código de processo Penal, art. 10, §
1°) ou na conclusão do processo ao juiz para o despecho decorrente do disposto nos arts. 407, 502
ou 538 do Código de Processo Penal.
Art. 9º A gravação que não interessar à prova será inutilizada por decisão judicial,
durante o inquérito, a instrução processual ou após esta, em virtude de requerimento do Ministério
Público ou da parte interessada.
Parágrafo único. O incidente de inutilização será assistido pelo Ministério Público,
sendo facultada a presença do acusado ou de seu representante legal.
Art. 10. Constitui crime realizar interceptação de comunicações telefônicas, de
informática ou telemática, ou quebrar segredo da Justiça, sem autorização judicial ou com objetivos
não autorizados em lei.
Pena: reclusão, de dois a quatro anos, e multa.
Art. 11. Esta Lei entra em vigor na data de sua publicação.
Art. 12. Revogam-se as disposições em contrário.
Brasília, 24 de julho de 1996; 175º da Independência e 108º da República.
FERNANDO HENRIQUE CARDOSO
Nelson A. Jobim
FONTE: Publicação DOU, de 25/07/96.
32
LEI Nº 9.472, DE 16 DE JULHO DE 1997
Dispõe sobre a organização dos serviços de
telecomunicações, a criação e funcionamento de um
órgão regulador e outros aspectos institucionais, nos
termos da Emenda Constitucional nº 8, de 1995.
O PRESIDENTE DA REPÚBLICA,
Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei:
LIVRO I
DOS PRINCÍPIOS FUNDAMENTAIS
Art. 1º Compete à União, por intermédio do órgão regulador e nos termos das políticas
estabelecidas pelos Poderes Executivo e Legislativo, organizar a exploração dos serviços de
telecomunicações.
Parágrafo único. A organização inclui, entre outros aspectos, o disciplinamento e a
fiscalização da execução, comercialização e uso dos serviços e da implantação e funcionamento de
redes de telecomunicações, bem como da utilização dos recursos da órbita e espectro de
radiofrequência.
Art. 2º O Poder Público tem o dever de:
I - Garantir, a toda a população, o acesso às telecomunicações, a tarifas e preços
razoáveis, em condições adequadas;
II - estimular a expansão do uso de redes e serviços de telecomunicações pelos serviços
de interesse público em benefício da população brasileira;
III - adotar medidas que promovam a competição e a diversidade dos serviços,
incrementem sua oferta e propiciem padrões de qualidade compatíveis com a exigência dos
usuários;
IV - fortalecer o papel regulador do Estado;
V - criar oportunidades de investimento e estimular o desenvolvimento tecnológico e
industrial, em ambiente competitivo;
VI - criar condições para que o desenvolvimento do setor seja harmônico com as metas
de desenvolvimento social do País.
Art. 3º O usuário de serviços de telecomunicações tem direito:
I - de acesso aos serviços de telecomunicações, com padrões de qualidade e
regularidade adequados à sua natureza, em qualquer ponto do território nacional;
II - à liberdade de escolha de sua prestadora de serviço;
III - de não ser discriminado quanto às condições de acesso e fruição do serviço;
IV - à informação adequada sobre as condições de prestação dos serviços, suas tarifas e
preços;
V - à inviolabilidade e ao segredo de sua comunicação, salvo nas hipóteses e condições
constitucional e legalmente previstas;
VI - à não divulgação, caso o requeira, de seu código de acesso;
VII - à não suspensão de serviço prestado em regime público, salvo por débito
diretamente decorrente de sua utilização ou por descumprimento de condições contratuais;
VIII - ao prévio conhecimento das condições de suspensão do serviço;
IX - de resposta de sua privacidade nos documentos de cobrança e na utilização de seus
dados pessoais pela prestadora do serviço;
X - de resposta às suas reclamações pela prestadora de serviço;
33
XI - de peticionar contra a prestadora do serviço perante o órgão regulador e os
organismos de defesa do consumidor;
XII - à reparação dos danos causados pela violação de seus direitos.
Art. 4º O usuário de serviços de telecomunicações tem o dever de:
I - utilizar adequadamente os serviços, equipamentos e redes de telecomunicações;
II - respeitar os bens públicos e aqueles voltados à utilização do público em geral;
III - comunicar às autoridades irregularidades ocorridas e atos ilícitos cometidos por
prestadora de serviço de telecomunicações.
Art. 5º Na disciplina das relações econômicas no setor de telecomunicações observar-
se-ão, em especial, os princípios constitucionais da soberania nacional, função social da
propriedade, liberdade de iniciativa, livre concorrência, defesa do consumidor, redução das
desigualdades regionais e sociais, repressão ao abuso do poder econômico e continuidade do serviço
prestado no regime público.
Art. 6º Os serviços de telecomunicações serão organizados com base no princípio da
livre, ampla e justa competição entre todas as prestadoras, devendo o Poder Público atuar para
propiciá- la, bem como para corrigir os efeitos da competição imperfeita e reprimir as infrações da
ordem econômica.
Art. 7º As normas gerais de proteção à ordem econômica são aplicáveis ao setor de
telecomunicações, quando não conflitarem com o disposto nesta Lei.
§ 1º Os atos envolvendo prestadora de serviço de telecomunicações, no regime público
ou privado, que visem a qualquer forma de concentração econômica, inclusive mediante fusão ou
incorporação de empresas, constituição de sociedade para exercer o controle de empresas ou
qualquer forma de agrupamento societário, ficam submetidos aos controles, procedimentos e
condicionamentos previstos nas normas gerais de proteção à ordem econômica.
§ 2º Os atos de que trata o parágrafo anterior serão submetidos à apreciação do
Conselho Administrativo de Defesa Econômica - CADE, por meio do órgão regulador.
§ 3º Praticará infração da ordem econômica a prestadora de serviço de
telecomunicações que, na celebração de contratos de fornecimento de bens e serviços, adotar
práticas que possam limitar, falsear ou, de qualquer forma, prejudicar a livre concorrência ou a livre
iniciativa.
LIVRO II
DO ÓRGÃO REGULADOR E DAS POLÍTICAS SETORIAIS
TÍTULO I
DA CRIAÇÃO DO ÓRGÃO REGULADOR
Art. 8º Fica criada a Agência Nacional de Telecomunicações, entidade integrante da
Administração Pública Federal indireta, submetida a regime autárquico especial e vinculada ao
Ministério das Comunicações, com a função de órgão regulador das telecomunicações, com sede no
Distrito Federal, podendo estabelecer unidades regionais.
§ 1º A Agência terá como órgão máximo o Conselho Diretor, devendo contar, também,
com um Conselho Consultivo, uma Procuradoria, uma Corregedoria, uma Biblioteca e uma
Ouvidoria, além das unidades especializadas incumbidas de diferentes funções.
§ 2º A natureza de autarquia especial conferida à Agência é caracterizada por
independência administrativa, ausência de subordinação hierárquica, mandato fixo e estabilidade de
seus dirigentes e autonomia financeira.
34
Art. 9º A Agência atuará como autoridade administrativa independente, assegurando-se-
lhe, nos termos desta Lei, as prerrogativas necessárias ao exercício adequado de sua competência.
Art. 10 Caberá ao Poder Executivo instalar a Agência, devendo o seu regulamento,
aprovado por decreto do Presidente da República, fixar-lhe a estrutura organizacional.
Parágrafo único. A edição do regulamento marcará a instalação da Agência, investindo-
a automaticamente no exercício de suas atribuições.
Art. 11 O Poder Executivo encaminhará ao Congresso Nacional, no prazo de até
noventa dias, a partir da publicação desta Lei, mensagem criando o quadro efetivo de pessoal da
Agência, podendo remanejar cargos disponíveis na estrutura do Ministério das Comunicações.
Art. 12 (Revogado pela Lei 9.986/2000)
Art. 13 (Revogado pela Lei 9.986/2000)
§ 1º (Revogado pela Lei 9.986/2000)
§ 2º (Revogado pela Lei 9.986/2000)
§ 3º (Revogado pela Lei 9.986/2000)
Art. 14 (Revogado pela Lei 9.986/2000)
§ 1º (Revogado pela Lei 9.986/2000)
§ 2º (Revogado pela Lei 9.986/2000)
Art. 15 A fixação das dotações orçamentárias da Agência na Lei de Orçamento Anual e
sua programação orçamentária e financeira de execução não sofrerão limites nos seus valores para
movimentação e empenho.
Art. 16 Fica o Poder Executivo autorizado a realizar as despesas e os investimentos
necessários à instalação da Agência, podendo remanejar, transferir ou utilizar saldos orçamentários,
empregando como recursos dotações destinadas a atividades finalísticas e administrativas do
Ministério das Comunicações, inclusive do Fundo de Fiscalização das Telecomunicações - FISTEL.
Parágrafo único. Serão transferidos à Agência os acervos técnico e patrimonial, bem
como as obrigações e direitos do Ministério das Comunicações, correspondentes às atividades a ela
atribuídas por esta Lei.
Art. 17 A extinção da Agência somente ocorrerá por lei específica.
TÍTULO II
DAS COMPETÊNCIAS
Art. 18 Cabe ao Poder Executivo, observadas as disposições desta Lei, por meio de
decreto:
I - instituir ou eliminar a prestação de modalidade de serviço no regime público,
concomitantemente ou não com sua prestação no regime privado;
II - aprovar o plano geral de outorgas de serviço prestado no regime público;
III - aprovar o plano geral de metas para a progressiva universalização de serviço
prestado no regime público;
IV - autorizar a participação de empresa brasileira em organizações ou consórcios
intergovernamentais destinados ao provimento de meios ou à prestação de serviços de
telecomunicações.
35
Parágrafo único. O Poder Executivo, levando em conta os interesses do País no contexto
de suas relações com os demais países, poderá estabelecer limites à participação estrangeira no
capital de prestadora de serviços de telecomunicações.
Art. 19 À Agência compete adotar as medidas necessárias para o atendimento do
interesse público e para o desenvolvimento das telecomunicações brasileiras, atuando com
independência, imparcialidade, legalidade, impessoalidade e publicidade, e especialmente:
I - implementar, em sua esfera de atribuições, a política nacional de telecomunicações;
II - representar o Brasil nos organismos internacionais de telecomunicações, sob a
coordenação do Poder Executivo;
III - elaborar e propor ao Presidente da República, por intermédio do Ministro de Estado
das Comunicações, a adoção das medidas a que se referem os incisos I a IV do artigo anterior,
submetendo previamente a consulta pública as relativas aos incisos I a III:
IV - expedir normas quanto à outorga, prestação e fruição dos serviços de
telecomunicações no regime público;
V - editar atos de outorga e extinção de direito de exploração do serviço no regime
público;
VI - celebrar e gerenciar contratos de concessão e fiscalizar a prestação do serviço no
regime público, aplicando sanções e realizando intervenções;
VII - controlar, acompanhar e proceder à revisão de tarifas dos serviços prestados no
regime público, podendo fixá-las nas condições previstas nesta Lei, bem como homologar reajustes;
VIII - administrar o espectro de radiofrequências e o uso de órbitas, expedindo as
respectivas normas;
IX - editar atos de outorga e extinção do direito de uso de radiofrequência e de órbita,
fiscalizando e aplicando sanções;
X - expedir normas sobre prestação de serviços de telecomunicações no regime privado;
XI - expedir e extinguir autorização para prestação de serviço no regime privado,
fiscalizando e aplicando sanções;
XII - expedir normas e padrões a serem cumpridos pelas prestadoras de serviços de
telecomunicações quanto aos equipamentos que utilizarem;
XIII - expedir ou reconhecer a certificação de produtos, observados os padrões e normas
por ela estabelecidos;
XIV - expedir normas e padrões que assegurem a compatibilidade, a operação integrada
e a interconexão entre as redes, abrangendo inclusive os equipamentos terminais;
XV - realizar busca e apreensão de bens no âmbito de sua competência;
XVI - deliberar na esfera administrativa quanto à interpretação da legislação de
telecomunicações e sobre os casos omissos;
XVII - compor administrativamente conflitos de interesses entre prestadoras de serviços
de telecomunicações;
XVIII - reprimir infrações dos direitos dos usuários;
XIX - exercer, relativamente às telecomunicações, as competências legais em matéria
de controle, prevenção e repressão das infrações da ordem econômica, ressalvadas as pertencentes
ao Conselho Administrativo de Defesa Econômica - CADE;
XX - propor ao Presidente da República, por intermédio do Ministério das
Comunicações, a declaração de utilidade pública, para fins de desapropriação ou instituição de
servidão administrativa, dos bens necessários à implantação ou manutenção de serviço no regime
público;
XXI - arrecadar e aplicar suas receitas;
XXII - resolver quanto à celebração, alteração ou extinção de seus contratos, bem como
quanto à nomeação, exoneração e demissão de servidores, realizando os procedimentos necessários,
na forma em que dispuser o regulamento;
36
XXIII - contratar pessoal por prazo determinado, de acordo com o disposto na Lei n°
8.745, de 9 de dezembro de 1993;
XXIV - adquirir, administrar e alienar seus bens;
XXV - decidir em último grau sobre as matérias de sua alçada, sempre admitido recurso
ao Conselho Diretor;
XXVI - formular ao Ministério das Comunicações proposta de orçamento;
XXVII - aprovar o seu regimento interno;
XXVIII - elaborar relatório anual de suas atividades, nele destacando o cumprimento da
política do setor definida nos termos do artigo anterior;
XXIX - enviar o relatório anual de suas atividades ao Ministério das Comunicações e,
por intermédio da Presidência da República, ao Congresso Nacional;
XXX - rever, periodicamente, os planos enumerados nos incisos II e III do artigo
anterior, submetendo-os, por intermédio do Ministro de Estado das Comunicações, ao Presidente da
República, para aprovação;
XXXI - promover interação com administrações de telecomunicações dos países do
Mercado Comum do Sul - MERCOSUL, com vistas à consecução de objetivos de interesse comum.
TÍTULO III
DOS ÓRGÃOS SUPERIORES
Capítulo I
DO CONSELHO DIRETOR
Art. 20 O Conselho Diretor será composto por cinco conselheiros e decidirá por maioria
absoluta.
Parágrafo único. Cada conselheiro votará com independência, fundamentando seu voto.
Art. 21 As sessões do Conselho Diretor serão registradas em atas, que ficarão
arquivadas na Biblioteca, disponíveis para conhecimento geral.
§ 1º Quando a publicidade puder colocar em risco a segurança do País, ou violar
segredo protegido ou a intimidade de alguém, os registros correspondentes serão mantidos em
sigilo.
§ 2º As sessões deliberativas do Conselho Diretor que se destinem a resolver pendências
entre agentes econômicos e entre estes e consumidores e usuários de bens e serviços de
telecomunicações serão públicas, permitida a sua gravação por meios eletrônicos e assegurado aos
interessados o direito de delas obter transcrições.
Art. 22 Compete ao Conselho Diretor:
I - submeter ao Presidente da República, por intermédio do Ministro de Estado das
Comunicações, as modificações do regulamento da Agência;
II - aprovar normas próprias de licitação e contratação;
III - propor o estabelecimento e alteração das políticas governamentais de
telecomunicações;
IV - editar normas sobre matérias de competência da Agência;
V - aprovar editais de licitação, homologar adjudicações, bem como decidir pela
prorrogação, transferência, intervenção e extinção, em relação às outorgas para prestação de serviço
no regime público, obedecendo ao plano aprovado pelo Poder Executivo;
VI - aprovar o plano geral de autorizações de serviço prestado no regime privado;
VII - aprovar editais de licitações, homologar adjudicações, bem como decidir pela
prorrogação, transferência e extinção, em relação às autorizações para prestação de serviço no
regime privado, na forma do regimento interno;
37
VIII - aprovar o plano de destinação de faixas de radiofrequência e de ocupação de
órbitas;
IX - aprovar os planos estruturais das redes de telecomunicações, na forma em que
dispuser o regimento interno;
X - aprovar o regimento interno;
XI - resolver sobre a aquisição e a alienação de bens;
XII - autorizar a contratação de serviços de terceiros, na forma da legislação em vigor.
Parágrafo único. Fica vedada a realização por terceiros da fiscalização de competência
da Agência, ressalvadas as atividades de apoio.
Art. 23 Os conselheiros serão brasileiros, de reputação ilibada, formação universitária e
elevado conceito no campo de sua especialidade, devendo ser escolhidos pelo Presidente da
República e por ele nomeados, após aprovação pelo Senado federal, nos termos da alínea f do inciso
III do art. 52 da Constituição Federal.
Art. 24. O mandato dos membros do Conselho Diretor será de cinco anos. (Redação
dada pela Lei 9.986/2000)
Parágrafo único. Em caso de vaga no curso do mandato, este será completado por
sucessor investido na forma prevista no artigo anterior, que o exercerá pelo prazo remanescente.
Art. 25 Os mandatos dos primeiros membros do Conselho Diretor serão de três, quatro,
cinco, seis e sete anos, a serem estabelecidos no decreto de nomeação.
Art. 26 (Revogado pela Lei 9.986/2000)
§ 1º (Revogado pela Lei 9.986/2000)
§ 2º (Revogado pela Lei 9.986/2000)
Art. 27 O regulamento disciplinará a substituição dos conselheiros em seus
impedimentos, bem como durante a vacância.
Art. 28 (Revogado pela Lei 9.986/2000)
Parágrafo único. (Revogado pela Lei 9.986/2000)
Art. 29 Caberá também aos conselheiros a direção dos órgãos administrativos da
Agência.
Art. 30 Até um ano após deixar o cargo, é vedado ao ex-conselheiro representar
qualquer pessoa ou interesse perante a Agência.
Parágrafo único. É vedado, ainda, ao ex-conselheiro utilizar informações privilegiadas
obtidas em decorrência do cargo exercido, sob pena de incorrer em improbidade administrativa.
Art. 31 (Revogado pela Lei 9.986/2000)
Art. 32 Cabe ao Presidente a representação da Agência, o comando hierárquico sobre o
pessoal e o serviço, exercendo todas as competências administrativas correspondentes, bem como a
presidência das sessões do Conselho Diretor.
Parágrafo único. A representação judicial da Agência, com prerrogativas processuais de
Fazenda Pública, será exercida pela Procuradoria.
38
Capítulo II
DO CONSELHO CONSULTIVO
Art. 33 O Conselho Consultivo é o órgão de participação institucionalizada da
sociedade na Agência.
Art. 34 O Conselho será integrado por representantes indicados pelo Senado Federal,
pela Câmara dos Deputados, pelo Poder Executivo, pelas entidades de classe das prestadoras de
serviços de telecomunicações, por entidades representativas dos usuários e por entidades
representativas da sociedade, nos termos do regulamento.
Parágrafo único. O Presidente do Conselho Consultivo será eleito pelos seus membros e
terá mandato de um ano.
Art. 35 Cabe ao Conselho Consultivo:
I - opinar, antes de seu encaminhamento ao Ministério das Comunicações, sobre o plano
geral de outorgas, o plano geral de metas para universalização de serviços prestados ao regime
público e demais políticas governamentais de telecomunicações;
II - aconselhar quanto à instituição ou eliminação da prestação de serviço no regime
público.
III - apreciar os relatórios anuais do Conselho Diretor;
IV - requerer informação e fazer proposição a respeito das ações referidas no art.22.
Art. 36 Os membros do Conselho Consultivo, que não serão remunerados, terão
mandato de três anos, vedada a recondução.
§ 1º Os mandatos dos primeiros membros do Conselho serão de um, dois e três anos, na
proporção de um terço para cada período.
§ 2º O Conselho será renovado anualmente em um terço.
Art. 37 O regulamento disporá sobre o funcionamento do Conselho Consultivo.
TÍTULO IV
DA ATIVIDADE E DO CONTROLE
Art. 38 A atividade da Agência será juridicamente condicionada pelos princípios da
legalidade, celeridade, finalidade, razoabilidade, proporcionalidade, impessoalidade, igualdade,
devido processo legal, publicidade e moralidade.
Art. 39 Ressalvados os documentos e os autos cuja divulgação possa violar a segurança
do País, segredo protegido ou a intimidade de alguém, todos os demais permanecerão abetos à
consulta do público, sem formalidades, na Biblioteca.
Parágrafo único. A Agência deverá garantir o tratamento confidencial das informações
técnicas, operacionais, econômico-financeiras e contábeis que solicitar às empresas prestadoras dos
serviços de telecomunicações, nos termos do regulamento.
Art. 40 Os atos da Agência deverão ser sempre acompanhados da exposição formal dos
motivos que os justifiquem.
Art. 41 Os atos normativos somente produzirão efeito após publicação no Diário Oficial
da União, e aqueles de alcance particular, após a correspondente notificação.
39
Art. 42 As minutas de atos normativos serão submetidas à consulta pública, formalizada
por publicação no Diário Oficial da União, devendo as críticas e sugestões merecer exame e
permanecer à disposição do público na Biblioteca.
Art. 43 Na invalidação de atos e contratos, será garantida previamente a manifestação
dos interessados.
Art. 44 Qualquer pessoa terá o direito de peticionar ou de recorrer contra ato da Agência
no prazo máximo de trinta dias, devendo a decisão da Agência ser conhecida em até noventa dias.
Art. 45 O Ouvidor será nomeado pelo Presidente da República para mandato de dois
anos, admitida uma recondução.
Parágrafo único. O Ouvidor terá acesso a todos os assuntos e contará com o apoio
administrativo de que necessitar, competindo-lhe produzir, semestralmente ou quando oportuno,
apreciações críticas sobre a atuação da Agência, encaminhando-as ao Conselho Diretor, ao
Conselho Consultivo, ao Ministério das Comunicações, a outros órgãos do Poder Executivo e ao
Congresso Nacional, fazendo publicá-las para conhecimento geral.
Art. 46 A Corregedoria acompanhará permanentemente o desempenho dos servidores
da Agência, avaliando sua eficiência e o cumprimento dos deveres funcionais e realizando os
processos disciplinares.
TÍTULO V
DAS RECEITAS
Art. 47 O produto da arrecadação das taxas de fiscalização de instalação e de
funcionamento a que se refere a Lei n° 5.070, de 7 de julho de 1966, será destinado ao Fundo de
Fiscalização das Telecomunicações - FISTEL, por ela criado.
Art. 48 A concessão, permissão, ou autorização para a exploração de serviços de
telecomunicações e de uso de radiofrequência, para qualquer serviço, será sempre feita a título
oneroso, ficando autorizada a cobrança do respectivo preço nas condições estabelecidas nesta Lei e
na regulamentação, constituindo o produto da arrecadação receita do Fundo de Fiscalização das
Telecomunicações - FISTEL.
§ 1º Conforme dispuser a Agência, o pagamento devido pela concessionária,
permissionária ou autorizada poderá ser feito na forma de quantia certa, em uma ou várias parcelas,
ou de parcelas anuais, sendo seu valor, alternativamente:
I - determinado pela regulamentação;
II - determinado no edital de licitação;
III - fixado em função da proposta vencedora, quando constituir fator de julgamento;
IV - fixado no contrato de concessão ou no ato de permissão, nos casos de
inexigibilidade de licitação.
§ 2º Após a criação do fundo de universalização dos serviços de telecomunicações
mencionado no inciso II do art. 81, parte do produto da arrecadação a que se refere o caput deste
artigo será a ele destinada, nos termos da lei correspondente.
Art. 49 A Agência submeterá anualmente ao Ministério das Comunicações a sua
proposta de orçamento, bem como a do FISTEL, que serão encaminhadas ao Ministério do
Planejamento e Orçamento para inclusão no projeto de lei orçamentária anual a que se refere o § 5°
do art. 165 da Constituição Federal.
40
§ 1º A Agência fará acompanhar as propostas orçamentárias de um quadro
demonstrativo do planejamento plurianual das receitas e despesas, visando ao seu equilíbrio
orçamentário e financeiro nos cinco exercícios subsequentes.
§ 2º O planejamento plurianual preverá o montante a ser transferido ao fundo de
universalização a que se refere o inciso II do art. 81 desta Lei, e os saldos a serem transferidos para
o Tesouro Nacional.
§ 3º A lei orçamentária anual consignará as dotações para as despesas de custeio e
capital da Agência, bem como o valor das transferências de recursos do FISTEL ao Tesouro
Nacional e ao fundo de universalização, relativos ao exercício a que ela se referir.
§ 4º As transferências a que se refere o parágrafo anterior serão formalmente feitas pela
Agência ao final de cada mês.
Art. 50 O Fundo de Fiscalização das Telecomunicações - FISTEL, criado pela Lei n°
5.070, de 7 de julho de 1966, passará à administração exclusiva da Agência, a partir da data de sua
instalação, com os saldos nele existentes, incluídas as receitas que sejam produto da cobrança a que
se refere o art. 14 da Lei n° 9.295, de 19 de julho de 1996.
Art. 51 Os arts. 2º , 3º , 6º e seus parágrafos, o art. 8º e seu § 2º , e o art. 13 da Lei n°
5.070, de 7 de julho de 1966, passam a ter a seguinte redação:
"Art. 2º O Fundo de Fiscalização das Telecomunicações - FISTEL é constituído das
seguintes fontes:
a) dotações consignadas no Orçamento Geral da União, créditos especiais, transferências
e repasses que lhe forem conferidos;
b) o produto das operações de crédito que contratar, no País e no exterior, e rendimentos
de operações financeiras que realizar;
c) relativas ao exercício do poder concedente dos serviços de telecomunicações, no
regime público, inclusive pagamentos pela outorga, multas e indenizações;
d) relativas ao exercício da atividade ordenadora da exploração de serviços de
telecomunicações, no regime privado, inclusive pagamentos pela expedição de autorização de
serviço, multas e indenizações;
e) relativas ao exercício do poder de outorga do direito de uso de radiofrequência para
qualquer fim, inclusive multas e indenizações;
f) taxas de fiscalização;
g) recursos provenientes de convênios, acordos e contratos celebrados com entidades,
organismos e empresas, públicas ou privadas, nacionais ou estrangeiras;
h) doações, legados, subvenções e outros recursos que lhe forem destinados;
i) o produto dos emolumentos, preços ou multas, os valores apurados na venda ou
locação de bens, bem assim os decorrentes de publicações, dados e informações técnicas, inclusive
para fins de licitação;
j) decorrentes de quantias recebidas pela aprovação de laudos de ensaio de produtos e
prestação de serviços técnicos por órgãos da Agência Nacional de Telecomunicações;
l) rendas eventuais".
"Art. 3º Além das transferências para o Tesouro Nacional e para o fundo de
universalização das telecomunicações, os recursos do Fundo de Fiscalização das Telecomunicações
- FISTEL serão aplicados pela Agência Nacional de Telecomunicações exclusivamente:
..........................................................................
.............................................................................
d) no atendimento de outras despesas correntes e de capital por ela realizadas no
exercício de sua competência."
41
"Art. 6º As taxas de fiscalização a que se refere a alínea f do art. 2º são a de instalação de
sua competência.
§ 1º Taxa de Fiscalização de Instalação é a devida pelas concessionárias, permissionárias
e autorizadas de serviços de telecomunicações e de uso de radiofrequência, anualmente, pela
fiscalização do funcionamento das estações."
"Art. 8º A Taxa de Fiscalização de Funcionamento será paga, anualmente, até o dia 31
de março, e seus valores serão os correspondentes a cinquenta por cento dos fixados para a Taxa de
Fiscalização de Instalação.
..............................................................................
.........................................................................
§ 2º O não- pagamento da Taxa de Fiscalização de funcionamento no prazo de sessenta
dias após a notificação da Agência determinará a caducidade da concessão, permissão ou
autorização, sem que caiba ao interessado o direito a qualquer indenização.
.............................................................................
......................................................................."
"Art. 13 São isentos do pagamento das taxas do FISTEL a Agência Nacional de
Telecomunicações, as Forças Armadas, a Polícia Federal, as Polícias Militares, a Polícia Rodoviária
Federal, as Polícias Civis e os Corpos de Bombeiros Militares."
Art. 52 Os valores das taxas de fiscalização de instalação e de funcionamento, constantes
do Anexo I da Lei n° 5.070, de 7 de julho de 1966, passam a ser os da Tabela do Anexo III desta
Lei.
Parágrafo único. A nomenclatura dos serviços relacionados na Tabela vigorará até que
nova regulamentação seja editada, com base nesta Lei.
Art. 53 Os valores de que tratam as alíneas i e j do art. 2° da Lei n° 5.070, de 7 de julho
de 1966, com a redação dada por esta Lei, serão estabelecidos pela Agência.
TÍTULO VI
DAS CONTRATAÇÕES
Art. 54 A contratação de obras e serviços de engenharia civil está sujeita ao
procedimento das licitações previsto em lei geral para a Administração Pública.
Parágrafo único. Para os casos não previstos no caput, a Agência poderá utilizar
procedimentos próprios de contratação, nas modalidades de consulta e pregão.
Art. 55 A consulta e o pregão serão disciplinados pela Agência, observadas as
disposições desta Lei e, especialmente:
I - a finalidade do procedimento licitatório é, por meio de disputa justa entre
interessados, obter um contrato econômico, satisfatório e seguro para a Agência;
II - o instrumento convocatório identificará o objeto do certame, circunscreverá o
universo de proponentes, estabelecerá critérios para aceitação e julgamento de propostas, regulará o
procedimento, indicará as sanções aplicáveis e fixará as cláusulas do contrato;
III - o objeto será determinado de forma precisa, suficiente e clara, sem especificações
que, por excessivas, irrelevantes ou desnecessárias, limitem a competição;
IV - a qualificação, exigida indistintamente dos proponentes, deverá ser compatível e
proporcional ao objeto, visando à garantia do cumprimento das futuras obrigações;
42
V - como condição de aceitação da proposta, o interessado declarará estar em situação
regular perante as Fazendas Públicas e a Seguridade Social, fornecendo seus códigos de inscrição,
exigida a comprovação como condição indispensável à assinatura do contrato;
VI - o julgamento observará os princípios de vinculação ao instrumento convocatório,
comparação objetiva e justo preço, sendo o empate resolvido por sorteio;
VII - as regras procedimentais assegurarão adequada divulgação do instrumento
convocatório, prazos razoáveis para o preparo de propostas, os direitos ao contraditório e ao
recurso, bem como a transparência e fiscalização;
VIII - a habilitação e o julgamento das propostas poderão ser decididos em uma única
fase, podendo a habilitação, no caso de pregão, ser verificada apenas em relação ao licitante
vencedor;
IX - quando o vencedor não celebrar o contrato, serão chamados os demais participantes
na ordem de classificação;
X - somente serão aceitos certificados de registro cadastral expedidos pela Agência, que
terão validade por dois anos, devendo o cadastro estar sempre aberto à inscrição dos interessados.
Art. 56 A disputa pelo fornecimento de bens e serviços comuns poderá ser feita em
licitação na modalidade de pregão, restrita aos previamente cadastrados, que serão chamados a
formular lances em sessão pública.
Parágrafo único. Encerrada a etapa competitiva, a Comissão examinará a melhor oferta
quanto ao objeto, forma e valor.
Art. 57 Nas seguintes hipóteses, o pregão será aberto a quaisquer interessados,
independentemente de cadastramento, verificando-se a um só tempo, após a etapa competitiva, a
qualificação subjetiva e a aceitabilidade da proposta:
I - para a contratação de bens e serviços comuns de alto valor, na forma do regulamento;
II - quando o número de cadastrados na classe for inferior a cinco;
III - para o registro de preços, que terá validade por até dois anos;
IV - quando o Conselho Diretor assim o decidir.
Art. 58 A licitação na modalidade de consulta tem por objeto o fornecimento de bens e
serviços não compreendidos nos arts. 56 e 57.
Parágrafo único. A decisão ponderará o custo e o benefício de cada proposta,
considerando a qualificação do proponente.
Art. 59 A Agência poderá utilizar, mediante contrato, técnicos ou empresas
especializadas, inclusive consultores independentes e auditores externos, para executar atividades
de sua competência, vedada a contratação para as atividades de fiscalização, salvo para as
correspondentes atividades de apoio.
LIVRO III
DISPOSIÇÕES GERAIS
Capítulo I
DAS DEFINIÇÕES
Art. 60 Serviço de telecomunicações é o conjunto de atividades que possibilita a oferta
de telecomunicação.
§ 1º Telecomunicação é a transmissão, emissão ou recepção, por fio, radioeletricidade,
meios ópticos ou qualquer outro processo eletromagnético, de símbolos, caracteres, sinais, escritos,
imagens, sons ou informações de qualquer natureza.
43
§ 2º Estação de telecomunicações é o conjunto de equipamentos ou aparelhos,
dispositivos e demais meios necessários à realização de telecomunicação, seus acessórios e
periféricos, e, quando for o caso, as instalações que os abrigam e complementam, inclusive
terminais portáteis.
Art. 61 Serviço de valor adicionado é a atividade que acrescenta, a um serviço de
telecomunicações que lhe dá suporte e com o qual não se confunde, novas utilidades relacionadas
ao acesso, armazenamento, apresentação, movimentação ou recuperação de informações.
§ 1º Serviço de valor adicionado não constitui serviço de telecomunicações,
classificando-se seu provedor como usuário do serviço de telecomunicações que lhe dá suporte,
com os direitos e deveres inerentes a essa condição.
§ 2º É assegurado aos interessados o uso das redes de serviços de telecomunicações para
prestação de serviços de valor adicionado, cabendo à Agência, para assegurar esse direito, regular
os condicionamentos, assim como relacionamento entre aqueles e as prestadoras de serviço de
telecomunicações.
Capítulo II
DA CLASSIFICAÇÃO
Art. 62 Quanto à abrangência dos interesses a que atendem, os serviços de
telecomunicações classificam-se em serviços de interesse coletivo e serviços de interesse restrito.
Parágrafo único. Os serviços de interesse restrito estarão sujeitos aos condicionamentos
necessários para que sua exploração não prejudique o interesse coletivo.
Art. 63 Quanto ao regime jurídico de sua prestação, os serviços de telecomunicações
classificam-se em públicos e privados.
Parágrafo único. Serviço de telecomunicações em regime público é o prestado mediante
concessão ou permissão, com atribuição a sua prestadora de obrigações de universalização e de
continuidade.
Art. 64 Comportarão prestação no regime público as modalidades de serviço de
telecomunicações de interesse coletivo, cuja existência, universalização e continuidade a própria
União comprometa-se a assegurar.
Parágrafo único. Incluem-se neste caso as diversas modalidades do serviço telefônico
fixo comutado, de qualquer âmbito, destinado ao uso do público em geral.
Art. 65 Cada modalidade de serviço será destinada à prestação:
I - exclusivamente no regime público;
II - exclusivamente no regime privado; ou
III - concomitantemente nos regimes público e privado.
§ 1º Não serão deixadas à exploração apenas em regime privado as modalidades de
serviço de interesse coletivo que, sendo essenciais, estejam sujeitas a deveres de universalização.
§ 2º A exclusividade ou concomitância a que se refere o caput poderá ocorrer em
âmbito nacional, regional, local ou em áreas determinadas.
Art. 66 Quando um serviço for, ao mesmo tempo, explorado nos regimes público e
privado, serão adotadas medidas que impeçam a inviabilidade econômica de sua prestação no
regime público.
44
Art. 67 Não comportarão prestação no regime público os serviços de telecomunicações
de interesse restrito.
Art. 68 É vedada a uma mesma pessoa jurídica, a exploração, de forma direta ou
indireta, de uma mesma modalidade de serviço nos regimes público e privado, salvo em regiões,
localidades ou áreas distintas.
Capítulo III
DAS REGRAS COMUNS
Art. 69 As modalidades de serviço serão definidas pela Agência em função de sua
finalidade, âmbito de prestação, forma, meio de transmissão, tecnologia empregada ou de outros
atributos.
Parágrafo único. Forma de telecomunicação é o modo específico de transmitir
informação, decorrente de características particulares de transdução, de transmissão, de
apresentação da informação ou de combinação destas, considerando-se formas de telecomunicação,
entre outras, a telefonia, a telegrafia, a comunicação de dados e a transmissão de imagens.
Art. 70 Serão coibidos os comportamentos prejudiciais à competição livre, ampla e justa
entre as prestadoras de serviço, no regime público ou privado, em especial:
I - a prática de subsídios para redução artificial de preços;
II - o uso, objetivando vantagens na competição, de informações obtidas dos
concorrentes, em virtude de acordos de prestação de serviço;
III - a omissão de informações técnicas e comerciais relevantes à prestação de serviços
por outrem.
Art. 71 Visando a propiciar competição efetiva e a impedir a concentração econômica
no mercado, a Agência poderá estabelecer restrições, limites ou condições a empresas ou grupos
empresariais quanto à obtenção e transferência de concessões, permissões e autorizações.
Art. 72 Apenas na execução de sua atividade, a prestadora poderá valer-se de
informações relativas à utilização individual do serviço pelo usuário.
§ 1º A divulgação das informações individuais dependerá da anuência expressa e
específica do usuário.
§ 2º A prestadora poderá divulgar a terceiros informações agregadas sobre o uso de seus
serviços, desde que elas não permitam a identificação, direta ou indireta, do usuário, ou a violação
de sua intimidade.
Art. 73 As prestadoras de serviços de telecomunicações de interesse coletivo terão
direito à utilização de postes, dutos, condutos e servidões pertencentes ou controlados por
prestadora de serviços de telecomunicações ou de outros serviços de interesse público, de forma não
discriminatória e a preços e condições justos e razoáveis.
Parágrafo único. Caberá ao órgão regulador do cessionário dos meios a serem utilizados
definir as condições para adequado atendimento do disposto no caput.
Art. 74 A concessão, permissão ou autorização de serviço de telecomunicações não
isenta a prestadora do atendimento às normas de engenharia e às leis municipais, estaduais ou do
Distrito Federal relativas à construção civil e à instalação de cabos e equipamentos em logradouros
públicos.
45
Art. 75 Independerá de concessão, permissão ou autorização a atividade de
telecomunicações restrita aos limites de uma mesma edificação ou propriedade móvel ou imóvel,
conforme dispuser a Agência.
Art. 76 As empresas prestadoras de serviços e os fabricantes de produtos de
telecomunicações que investirem em projetos de pesquisa e desenvolvimento no Brasil, na área de
telecomunicações, obterão incentivos nas condições fixadas em lei.
Art. 77 O Poder Executivo encaminhará ao Congresso Nacional no prazo de cento e
vinte dias da publicação desta Lei, mensagem de criação de um fundo para o desenvolvimento
tecnológico das telecomunicações brasileiras, com o objetivo de estimular a pesquisa e o
desenvolvimento de novas tecnologias, incentivar a capacitação dos recursos humanos, fomentar a
geração de empregos e promover o acesso de pequenas e médias empresas a recursos de capital, de
modo a ampliar a competição na indústria de telecomunicações.
Art. 78 A fabricação e o desenvolvimento no País de produtos de telecomunicações
serão estimulados mediante adoção de instrumentos de política creditícia, fiscal e aduaneira.
TÌTULO II
DOS SERVIÇOS PRESTADOS EM REGIME PÙBLICO
Capítulo I
DAS OBRIGAÇÕES DE UNIVERSALIZAÇÃO E DE CONTINUIDADE
Art. 79 A Agência regulará as obrigações de universalização e de continuidade
atribuídas às prestadoras de serviço no regime público.
§ 1º Obrigações de universalização são as que objetivam possibilitar o acesso de
qualquer pessoa ou instituição de interesse público a serviço de telecomunicações,
independentemente de sua localização e condição sócio-econômica bem como as destinadas a
permitir a utilização das telecomunicações em serviços essenciais de interesse público.
§ 2º Obrigações de continuidade são as que objetivam possibilitar aos usuários dos
serviços sua fruição de forma ininterrupta, sem paralisações injustificadas, devendo os serviços
estar à disposição dos usuários, em condições adequadas de uso.
Art. 80 As obrigações de universalização serão objeto de metas periódicas, conforme
plano específico elaborado pela Agência e aprovado pelo Poder Executivo, que deverá referir-se,
entre outros aspectos, à disponibilidades de instalações de uso coletivo ou individual, ao
atendimento de deficientes físicos, de instituições de caráter público ou social, bem como de áreas
rurais ou de urbanização precária e de regiões remotas.
§ 1º O plano detalhará as fontes de financiamento das obrigações de universalização,
que serão neutras em relação à competição, no mercado nacional, entre prestadoras.
§ 2º Os recursos do fundo de universalização de que trata o inciso II do art. 81 não
poderão ser destinados à cobertura de custos com universalização dos serviços que, nos termos do
contrato de concessão, a própria prestadora deva suportar.
Art. 81 Os recursos complementares destinados a cobrir a parcela do custo
exclusivamente atribuível ao cumprimento das obrigações de universalização de prestadora de
serviço de telecomunicações, que não possa ser recuperada com a exploração eficiente do serviço,
poderão ser oriundos das seguintes fontes:
I - Orçamento Geral da União, dos Estados, do Distrito Federal e dos Municípios;
II - fundo especificamente constituído para essa finalidade, para o qual contribuirão
prestadoras de serviço de telecomunicações nos regimes público e privado, nos termos da lei, cuja
46
mensagem de criação deverá ser enviada ao Congresso Nacional, pelo Poder Executivo, no prazo de
cento e vinte dias após a publicação desta lei.
Parágrafo único. Enquanto não for constituído o fundo a que se refere o inciso II do
caput, poderão ser adotadas também as seguintes fontes:
I - subsídio entre modalidades de serviços de telecomunicações ou entre segmentos de
usuários;
II - pagamento de adicional ao valor de interconexão.
Art. 82 O descumprimento das obrigações relacionadas à universalização e à
continuidade ensejará a aplicação de sanções de multa, caducidade ou decretação de intervenção,
conforme o caso.
Capítulo II
DA CONCESSÃO SEÇÃO - DA OUTORGA
Art. 83 A exploração do serviço no regime público dependerá de prévia outorga, pela
Agência, mediante concessão, implicando esta o direito de uso das radiofrequências necessárias,
conforme regulamentação.
Parágrafo único. Concessão de serviço de telecomunicações é a delegação de sua
prestação, mediante contrato, por prazo determinado, no regime público, sujeitando-se a
concessionária aos riscos empresariais, remunerando-se pela cobrança de tarifas dos usuários ou por
outras receitas alternativas e respondendo diretamente pelas suas obrigações e pelos prejuízos que
causar.
Art. 84 As concessões não terão caráter de exclusividade, devendo obedecer ao plano
geral de outorgas, com definição quanto à divisão do País em áreas, ao número de prestadoras para
cada uma delas, seus prazos de vigência e os prazos para admissão de novas prestadoras.
§ 1º As áreas de exploração, o número de prestadoras, os prazos de vigência das
concessões e os prazos para admissão de novas prestadoras serão definidos considerando-se o
ambiente de competição, observados o princípio do maior benefício ao usuário e o interesse social e
econômico do País, de modo a propiciar a justa remuneração da prestadora do serviço no regime
público.
§ 2º A oportunidade e o prazo das outorgas serão determinados de modo a evitar o
vencimento concomitante das concessões de uma mesma área.
Art. 85 Cada modalidade de serviço será objeto de concessão distinta, com clara
determinação dos direitos e deveres da concessionária, dos usuários e da Agência.
Art. 86. A concessão somente poderá ser outorgada a empresa constituída segundo as
leis brasileiras, com sede e administração no País, criada para explorar exclusivamente serviços de
telecomunicações.(Redação dada pela Lei 12.485/2011)
Parágrafo único. Os critérios e condições para a prestação de outros serviços de
telecomunicações diretamente pela concessionária obedecerão, entre outros, aos seguintes
princípios, de acordo com regulamentação da Anatel:(Redação dada pela Lei 12.485/2011)
I - garantia dos interesses dos usuários, nos mecanismos de reajuste e revisão das
tarifas, mediante o compartilhamento dos ganhos econômicos advindos da racionalização
decorrente da prestação de outros serviços de telecomunicações, ou ainda mediante a transferência
integral dos ganhos econômicos que não decorram da eficiência ou iniciativa empresarial,
observados os termos dos §§ 2º e 3º do art. 108 desta Lei;(Acrescentada pela Lei 12.485/2011)
47
II - atuação do poder público para propiciar a livre, ampla e justa competição,
reprimidas as infrações da ordem econômica, nos termos do art. 6º desta Lei;(Acrescentada pela Lei
12.485/2011)
III - existência de mecanismos que assegurem o adequado controle público no que tange
aos bens reversíveis.(Acrescentada pela Lei 12.485/2011)
Art. 87 A outorga a empresa ou grupo empresarial que, na mesma região, localidade ou
área, já preste a mesma modalidade de serviço, será condicionada à assunção do compromisso de,
no prazo máximo de dezoito meses, contado da data de assinatura do contrato, transferir a outrem o
serviço anteriormente explorado, sob pena de sua caducidade e de outras sanções previstas no
processo de outorga.
Art. 88 As concessões serão outorgadas mediante licitação.
Art. 89 A licitação será disciplinada pela Agência, observados os princípios
constitucionais, as disposições desta lei e, especialmente:
I - a finalidade do certame é, por meio de disputa entre os interessados, escolher quem
possa executar, expandir e universalizar o serviço no regime público com eficiência, segurança e a
tarifas razoáveis;
II - a minuta de instrumento convocatório será submetida a consulta pública prévia;
III - o instrumento convocatório identificará o serviço objeto do certame e as condições
de sua prestação, expansão e universalização, definirá o universo de proponentes, estabelecerá
fatores e critérios para aceitação e julgamento de propostas, regulará o procedimento, determinará a
quantidade de fases e seus objetivos, indicará as sanções aplicáveis e fixará as cláusulas do contrato
de concessão;
IV - as qualificações técnico-operacional ou profissional e econômico-financeira, bem
como as garantias da proposta e do contrato, exigidas indistintamente dos proponentes, deverão ser
compatíveis com o objeto e proporcionais a sua natureza e dimensão;
V - o interessado deverá comprovar situação regular perante as Fazendas Públicas e a
Seguridade Social;
VI - a participação de consórcio, que se constituirá em empresa antes da outorga da
concessão, será sempre admitida;
VII - o julgamento atenderá aos princípios de vinculação ao instrumento convocatório e
comparação objetiva;
VIII - os fatores de julgamento poderão ser, isolada ou conjugadamente, os de menor
tarifa, maior oferta pela outorga, melhor qualidade dos serviços e melhor atendimento da demanda,
respeitado sempre o princípio da objetividade;
IX - o empate será resolvido por sorteio;
X - as regras procedimentais assegurarão a adequada divulgação do instrumento
convocatório, prazos compatíveis com o preparo de propostas e os direitos ao contraditório, ao
recurso e à ampla defesa.
Art. 90 Não poderá participar da licitação ou receber outorga de concessão a empresa
proibida de licitar ou contratar com o Poder Público ou que tenha sido declarada inidônea, bem
como aquela que tenha sido punida nos dois anos anteriores com a decretação de caducidade de
concessão, permissão ou autorização de serviço de telecomunicações, ou de caducidade de direito
de uso de radiofrequência.
Art. 91 A licitação será inexigível quando, mediante processo administrativo conduzido
pela Agência, a disputa for considerada inviável ou desnecessária § 1º Considera-se inviável a
disputa quando apenas um interessado puder realizar o serviço, nas condições estipuladas.
48
§ 2º Considera-se desnecessária a disputa nos casos em que se admita a exploração do
serviço por todos os interessados que atendam às condições requeridas.
§ 3º O procedimento para verificação da inexigibilidade compreenderá chamamento
público para apurar o número de interessados.
Art. 92 Nas hipóteses de inexigibilidade de licitação, a outorga de concessão dependerá
de procedimento administrativo sujeito aos princípios da publicidade, moralidade, impessoabilidade
e contraditório, para verificar o preenchimento das condições relativas às qualificações técnico-
operacional ou profissional e econômico-financeira, à regularidade fiscal e às garantias do contrato.
Parágrafo único. As condições deverão ser compatíveis com o objeto e proporcionais a
sua natureza e dimensão.
Seção II
Do contrato
Art. 93 O contrato de concessão indicará:
I - objeto, área e prazo da concessão;
II - modo, forma e condições da prestação do serviço;
III - regras, critérios, indicadores, fórmulas e parâmetros definidores da implantação,
expansão, alteração e modernização do serviço, bem como de sua qualidade;
IV - deveres relativos à universalização e à continuidade do serviço;
V - o valor devido pela outorga, a forma e as condições de pagamento;
VI - as condições de prorrogação, incluindo os critérios para fixação do valor;
VII - as tarifas a serem cobradas dos usuários e os critérios para seu reajuste e revisão;
VIII - as possíveis receitas alternativas, complementares ou acessórias, bem como as
provenientes de projetos associados;
IX - os direitos, as garantias e as obrigações dos usuários, da Agência e da
concessionária;
X - a forma da prestação de contas e da fiscalização;
XI - os bens reversíveis, se houver;
XII - as condições gerais para interconexão;
XIII - a obrigação de manter, durante a execução do contrato, todas as condições de
habilitação exigidas na licitação;
XIV - as sanções;
XV - o foro e o modo para solução extrajudicial das divergências contratuais.
Parágrafo único. O contrato será publicado resumidamente no Diário Oficial da União,
como condição de sua eficácia.
Art. 94 No cumprimento de seus deveres, a concessionária poderá, observadas as
condições e limites estabelecidos pela Agência:
I - empregar, na execução dos serviços, equipamentos e infra-estrutura que não lhe
pertençam:
II - contratar com terceiros o desenvolvimento de atividades inerentes, acessórias ou
complementares ao serviço, bem como a implementação de projetos associados.
§ 1º Em qualquer caso, a concessionária continuará sempre responsável perante a
Agência e os usuários.
§ 2º Serão regidas pelo direito comum as relações da concessionária com os terceiros,
que não terão direitos frente à Agência, observado o disposto no art. 117 desta Lei.
Art. 95 A Agência concederá prazos adequados para adaptação da concessionária às
novas obrigações que lhe sejam impostas.
49
Art. 96 A concessionária deverá:
I - prestar informações de natureza técnica, operacional, econômico-financeira e
contábil, ou outras pertinentes que a Agência solicitar;
II - manter registros contábeis separados por serviço, caso explore mais de uma
modalidade de serviço de telecomunicações;
III - submeter à aprovação da Agência a minuta de contrato - padrão a ser celebrado
com os usuários, bem como os acordos operacionais que pretenda firmar com prestadoras
estrangeiras;
IV - divulgar relação de assinantes, observado o disposto nos incisos VI e IX do art. 3º,
bem como o art. 213, desta lei;
V - submeter-se à regulamentação do serviço e à sua fiscalização;
VI - apresentar relatórios periódicos sobre o atendimento das metas de universalização
constantes do contrato de concessão.
Art. 97 Dependerão de prévia aprovação da Agência a cisão, a fusão, a transformação, a
incorporação, a redução do capital da empresa ou a transferência de seu controle societário.
Parágrafo único. A aprovação será concedida se a medida não for prejudicial à
competição e não colocar em risco a execução do contrato, observado o disposto no art. 7º desta lei.
Art. 98 O contrato de concessão poderá ser transferido após a aprovação da Agência
desde que, cumulativamente:
I - o serviço esteja em operação, há pelo menos três anos, com cumprimento regular das
obrigações;
II - o cessionário preencha todos os requisitos da outorga, inclusive quanto às garantias,
à regularização;
III - a medida não prejudique a competição e não coloque em risco a execução do
contrato, observado o disposto no art. 7º desta Lei.
Art. 99 O prazo máximo da concessão será de vinte anos, podendo ser prorrogado, uma
única vez, por igual período, desde que eu a concessionária tenha cumprido as condições da
concessão e manifeste expresso interesse na prorrogação, pelo menos, trinta meses antes de sua
expiração.
§ 1º A prorrogação do prazo da concessão implicará pagamento, pela concessionária,
pelo direito de exploração do serviço e pelo direito de uso das radiofrequências associadas, e
poderá, a critério da Agência, incluir novos condicionamentos, tendo em vista as condições vigentes
à época.
§ 2º A desistência do pedido de prorrogação sem justa causa, após seu deferimento,
sujeitará a concessionária à pena de multa.
§ 3º Em caso de comprovada necessidade de reorganização do objeto ou da área da
concessão para ajustamento ao plano geral de outorgas ou à regulamentação vigente, poderá a
Agência indeferir o pedido de prorrogação.
Seção III
Dos bens
Art. 100 Poderá ser declarada a utilidade pública, para fins de desapropriação ou
instituição de servidão, de bens imóveis ou móveis, necessários à execução do serviço, cabendo à
concessionária a implementação da medida e o pagamento da indenização e das demais despesas
envolvidas.
50
Art. 101 A alienação, oneração ou substituição de bens reversíveis dependerá de prévia
aprovação da Agência.
Art. 102 A extinção da concessão transmitirá automaticamente à União a posse dos bens
reversíveis.
Parágrafo único. A reversão dos bens, antes de expirado o prazo contratual, importará
pagamento de indenização pelas parcelas de investimentos a eles vinculados, ainda não amortizados
ou depreciados, que tenham sido realizados com o objetivo de garantir a continuidade e atualidade
do serviço concedido.
Seção IV
Das tarifas
Art. 103 Compete à Agência estabelecer a estrutura tarifária para cada modalidade de
serviço.
§ 1º A fixação, o reajuste e a revisão das tarifas poderão basear-se em valor que
corresponda à média ponderada dos valores dos itens tarifários.
§ 2º São vedados os subsídios entre modalidades de serviços e segmentos de usuários,
ressalvado o disposto no parágrafo único do art. 18 desta Lei.
§ 3º As tarifas serão fixadas no contrato de concessão, consoante edital ou proposta
apresentada na licitação.
§ 4º Em caso de outorga sem licitação, as tarifas serão fixadas pela Agência e constarão
do contrato de concessão.
Art. 104 Transcorridos ao menos três anos da celebração do contrato, a Agência poderá,
se existir ampla e efetiva competição entre prestadoras do serviço, submeter a concessionária ao
regime de liberdade tarifária.
§ 1º No regime a que se refere o caput, a concessionária poderá determinar suas próprias
tarifas, devendo comunicá-las à Agência com antecedência de sete dias de sua vigência.
§ 2º Ocorrendo aumento arbitrário dos lucros ou práticas prejudiciais à competição, a
Agência restabelecerá o regime tarifário anterior, sem prejuízo das sanções cabíveis.
Art. 105 Quando da implantação de novas prestações, utilidades ou comodidades
relativas ao objeto da concessão, suas tarifas serão previamente levadas à Agência, para aprovação
com os estudos correspondentes.
Parágrafo único. Considerados os interesses dos usuários, a Agência poderá decidir por
fixar as tarifas ou por submetê-las ao regime de liberdade tarifária, sendo vedada qualquer cobrança
antes da referida aprovação.
Art. 106 A concessionária poderá cobrar tarifa inferior à fixada desde que a redução se
baseie em critério objetivo e favoreça indistintamente todos os usuários, vedado o abuso do poder
econômico.
Art. 107 Os descontos de tarifa somente serão admitidos quando extensíveis a todos os
usuários que se enquadrem nas condições, precisas e isonômicas, para sua fruição.
Art. 108 Os mecanismos para reajuste e revisão das tarifas serão previstos nos contratos
de concessão, observando-se, no que couber, a legislação específica.
§ 1º A redução ou o desconto de tarifas não ensejará revisão tarifária.
51
§ 2º Serão compartilhados com os usuários, nos termos regulados pela Agência, os
ganhos econômicos decorrentes da modernização, expansão ou racionalização dos serviços, bem
como de novas receitas alternativas.
§ 3º Serão transferidos integralmente aos usuários os ganhos econômicos que não
decorram diretamente da eficiência empresarial, em casos como os de diminuição de tributos ou
encargos legais e de novas regras sobre os serviços.
§ 4º A oneração causada por novas regras sobre os serviços, pela área econômica
extraordinária, bem como pelo aumento dos encargos legais ou tributos, salvo o imposto sobre a
renda, implicará a revisão do contrato.
Art. 109 A Agência estabelecerá:
I - os mecanismos para acompanhamento das tarifas praticadas pela concessionária,
inclusive a antecedência a ser observada na comunicação de suas alterações;
II - os casos de serviço gratuito, como os de emergência;
III - os mecanismos para garantir a publicidade das tarifas.
Seção V
Da intervenção
Art. 110 Poderá ser decretada intervenção na concessionária, por ato da Agência em
caso de:
I - paralisação injustificada dos serviços;
II - inadequada ou insuficiência dos serviços prestados, não resolvidas em prazo
razoável;
III - desequilíbrio econômico-financeiro decorrente de má administração que coloque
em risco a continuidade dos serviços;
IV - prática de infrações graves;
V - inobservância de atendimento das metas de universalização;
VI - recusa injustificada de interconexão;
VII - infração da ordem econômica nos termos da legislação própria.
Art. 111 O ato de intervenção indicará seu prazo, seus objetivos e limites, que serão
determinados em função das razões que a ensejarem, e designará o interventor.
§ 1º A decretação da intervenção não afetará o curso regular dos negócios da
concessionária nem seu normal funcionamento e produzirá, de imediato, o afastamento de seus
administradores.
§ 2º A intervenção será precedida de procedimento administrativo instaurado pela
Agência, em que se assegure a ampla defesa da concessionária, salvo quando decretada
cautelarmente, hipótese em que o procedimento será instaurado na data da intervenção e concluído
em até cento e oitenta dias.
§ 3º A intervenção poderá ser exercida por um colegiado ou por uma empresa, cuja
remuneração será paga com recursos da concessionária.
§ 4º Dos atos de interventor caberá recursos à Agência.
§ 5º Para os atos de alienação e disposição do patrimônio da concessionária, o
interventor necessitará de prévia autorização da Agência.
§ 6º O interventor prestará contas e responderá pelos atos que praticar.
52
Seção VI
Da extinção
Art. 112 A concessão extinguir-se-á por advento do termo contratual, encampação,
caducidade, rescisão e anulação.
Parágrafo único. A extinção devolve à União os direitos e deveres relativos à prestação
do serviço.
Art. 113 Considera-se encampação a retomada do serviço pela União durante o prazo da
concessão, em fase de razão extraordinária de interesse público, mediante lei autorizativa específica
e após o pagamento de prévia indenização.
Art. 114 A caducidade da concessão será decretada pela Agência nas hipóteses:
I - de infração do disposto no art. 97 desta Lei ou de dissolução ou falência da
concessionária;
II - de transferência irregular do contrato;
III - de não - cumprimento do compromisso de transferência a que se refere o art. 87
desta Lei;
IV - em que a intervenção seria cabível, mas sua decretação for inconveniente, inócua,
injustamente benéfica ao concessionário ou desnecessária.
§ 1º Será desnecessária a intervenção quando a demanda pelos serviços objeto da
concessão puder ser atendida por outras prestadoras de modo regular e imediato.
§ 2º A decretação da caducidade será precedida de procedimento administrativo
instaurado pela Agência, em que se assegure a ampla defesa da concessionária.
Art. 115 A concessionária terá direito à rescisão quando, por ação ou omissão do Poder
Público, a execução do contrato se tornar excessivamente onerosa.
Parágrafo único. A rescisão poderá ser realizada amigável ou judicialmente.
Art. 116 A anulação será decretada pela Agência em caso de irregularidade insanável e
grave do contrato de concessão.
Art. 117 Extinta a concessão antes do termo contratual, a Agência, sem prejuízo de
outras medidas cabíveis, poderá:
I - ocupar, provisoriamente, bens móveis e imóveis e valer-se de pessoal empregado na
prestação dos serviços, necessários a sua continuidade;
II - manter contratos firmados pela concessionária com terceiros, com fundamento nos
incisos I e II do art. 94 desta Lei, pelo prazo nas condições inicialmente ajustadas.
Parágrafo único. Na hipótese do inciso II deste artigo os terceiros que não cumprirem
com as obrigações assumidas responderão pelo inadimplemento.
Capítulo III
DA PERMISSÃO
Art. 118 Será outorgada permissão, pela Agência, para prestação de serviço de
telecomunicações em fase de situação excepcional comprometedora do funcionamento do serviço
que, em virtude de suas peculiaridades, não possa ser atendida, de forma conveniente ou em prazo
53
adequado, mediante intervenção na empresa concessionária ou mediante outorga de nova
concessão.
Parágrafo único. Permissão de serviço de telecomunicações é o ato administrativo pelo
qual se atribui a alguém o dever de prestar serviço de telecomunicações no regime público e em
caráter transitório, até que seja normalizada a situação excepcional que a tenha ensejado.
Art. 119 A permissão será precedida de procedimento licitatório simplificado,
instaurado pela Agência, nos termos por ela regulados, ressalvados os casos de inexigibilidade
previstos no art. 91, observado o disposto no art. 92, desta Lei.
Art. 120 A permissão será formalizada mediante assinatura de termo, que indicará:
I - o objeto e a área da permissão, bem como os prazos mínimo e máximo de vigência
estimados;
II - modo, forma e condições da prestação do serviço;
III - as tarifas a serem cobradas dos usuários, critérios para seu reajuste e revisão e as
possíveis fontes de receitas alternativas;
IV - os direitos, as garantias e as obrigações dos usuários, do permitente e do
permissionário;
V - as condições gerais de interconexão;
VI - a forma da prestação de contas e da fiscalização;
VII - os bens entregues pelo permitente à administração do permissionário;
VIII - as sanções;
IX - os bens reversíveis, se houver;
X - o foro e o modo para solução extrajudicial das divergências.
Parágrafo único. O termo de permissão será publicado resumidamente no Diário Oficial
da União, como condição de sua eficácia.
Art. 121 Outorgada permissão em decorrência de procedimento licitatório, a recusa
injustificada pelo outorgado em assinar o respectivo termo sujeitá-lo-a às sanções previstas no
instrumento convocatório.
Art. 122 A permissão extinguir-se-á pelo decurso do prazo máximo de vigência
estimado, observado o disposto no art. 124 desta Lei, bem como por revogação, caducidade e
anulação.
Art. 123 A revogação deverá basear-se em razões de conveniência e oportunidade
relevantes e supervenientes à permissão.
§ 1º A revogação, que poderá ser feita a qualquer momento, não dará direito a
indenização.
§ 2º O ato revocatório fixará o prazo para o permissionário devolver o serviço, que não
será inferior a sessenta dias.
Art. 124 A permissão poderá ser mantida, mesmo vencido seu prazo máximo, se
persistir a situação excepcional que a motivou.
Art. 125 A Agência disporá sobre o regime da permissão, observados os princípios e
objetivos desta Lei.
54
TÌTULO III
DOS SERVIÇOS PRESTADOS EM REGIME PRIVADO
Capítulo I
DO REGIME GERAL DA EXPLORAÇÃO
Art. 126 A exploração de serviço de telecomunicações no regime privado será baseada
nos princípios constitucionais da atividade econômica.
Art. 127 A disciplina da exploração dos serviços no regime privado terá por objetivo
viabilizar o cumprimento das leis, em especial das relativas às telecomunicações, à ordem
econômica e ao direitos dos consumidores, destinando-se a garantir:
I - a diversidade de serviços, o incremento de sua oferta e sua qualidade;
II - a competição livre, ampla e justa;
III - o respeito aos direitos dos usuários;
IV - a convivência entre as modalidades de serviço e entre prestadoras em regime
privado e público, observada a prevalência do interesse público;
V - o equilíbrio das relações entre prestadoras e usuários dos serviços;
VI - a isonomia de tratamento às prestadoras;
VII - o uso eficiente do expectro de radiofrequências;
VIII - o cumprimento da função social do serviço de interesse coletivo, bem como dos
encargos dela decorrentes;
IX - o desenvolvimento tecnológico e industrial do setor;
X - a permanente fiscalização.
Art. 128 Ao impor condicionamentos administrativos ao direito de exploração das
diversas modalidades de serviços no regime privado, sejam eles limites, encargos ou sujeições, a
Agência observará a exigência de mínima intervenção na vida privada, assegurando que:
I - a liberdade será a regra, constituindo exceção as proibições e interferências do Poder
Público;
II - nenhuma autorização será negada, salvo por motivo relevante;
III - os condicionamentos deverão ter vínculos, tanto de necessidade como de
adequação, com finalidades públicas específicas e relevantes;
IV - o proveito coletivo gerado pelo condicionamento deverá ser proporcional à
privação que ele impuser;
V - haverá relação de equilíbrio entre os deveres impostos às prestadoras e os direitos a
elas reconhecidos.
Art. 129 O preço dos serviços será livre, ressalvado o disposto no § 2º do art. 136 desta
Lei, reprimindo-se toda prática prejudicial à competição, bem como o abuso do poder econômico,
nos termos da legislação própria.
Art. 130 A prestadora de serviço em regime privado não terá adquirido à permanência
das condições vigentes quando da expedição da autorização ou do início das atividades, devendo
observar os novos condicionamentos impostos por lei e pela regulamentação.
Parágrafo único. As normas concederão prazos para adaptação aos novos
condicionamentos.
Art. 130-A. É facultado às prestadoras de serviço em regime privado o aluguel de suas
redes para implantação de sistema de localização de pessoas desaparecidas. (Acrescentado pela Lei
12.841/2013)
55
Parágrafo único. O sistema a que se refere o caput deste artigo está sujeito às regras de
mercado, nos termos do art. 129 desta Lei. (Acrescentado pela Lei 12.841/2013)
Capítulo II
DA AUTORIZAÇÃO DE SERVIÇO DE TELECOMUNICAÇÕES
Seção I
Da obtenção
Art. 131 A exploração de serviço no regime privado dependerá de prévia autorização da
Agência, que acarretará direito de uso das radiofrequências necessárias.
§ 1º Autorização de serviço de telecomunicações é o ato administrativo vinculado que
faculta a exploração, no regime privado, de modalidade de serviço de telecomunicações, quando
preenchidas as condições objetivas e subjetivas necessárias.
§ 2º A Agência definirá os casos que independerão de autorização.
§ 3º A prestadora de serviço que independa de autorização comunicará previamente à
Agência o início de suas atividades, salvo nos casos previstos nas normas correspondentes.
§ 4º A eficácia da autorização dependerá da publicação de extrato no Diário Oficial da
União.
Art. 132 São condições objetivas para obtenção de autorização de serviço:
I - disponibilidade de radiofrequência necessária, no caso de serviços que a utilizem;
II - apresentação de projeto viável tecnicamente e compatível com as normas aplicáveis.
Art. 133 São condições subjetivas para obtenção de autorização de serviço de interesse
coletivo pela empresa:
I - estar constituída segundo as leis brasileiras, com sede e administração no País;
II - não estar proibida de licitar com o Poder Público, não ter sido declarada inidônea ou
não ter sido punida, nos dois anos anteriores, com a decretação da caducidade de concessão,
permissão ou autorização de serviço de telecomunicações, ou da caducidade de direito de uso de
radiofrequência;
III - dispor de qualificação técnica para bem prestar o serviço, capacidade econômico-
financeira, regularidade fiscal e estar em situação regular com a Seguridade Social;
IV - não ser, na mesma região, localidade ou área, encarregada de prestar a mesma
modalidade de serviço.
Art. 134 A Agência disporá sobre as condições subjetivas para obtenção de autorização
de serviço de interesse restrito.
Art. 135 A Agência poderá, excepcionalmente, em face de relevantes razões de caráter
coletivo, condicionar a expedição de autorização à aceitação, pelo interessado, de compromissos de
interesse da coletividade.
Parágrafo único. Os compromissos a que se refere o caput serão objeto de
regulamentação, pela Agência, observados os princípios da razoabilidade, proporcionalidade e
igualdade.
Art. 136 Não haverá limite ao número de autorizações de serviço, salvo em caso de
impossibilidade técnica ou, excepcionalmente, quando o excesso de competidores puder
comprometer a prestação de uma modalidade de serviço de interesse coletivo.
§ 1º A Agência determinará as regiões, localidades ou áreas abrangidas pela limitação e
disporá sobre a possibilidade de a prestadora atuar em mais de uma delas.
56
§ 2º As prestadoras serão selecionadas mediante procedimento licitatório, na forma
estabelecida nos arts. 88 a 92, sujeitando-se a transferência da autorização às mesmas condições
estabelecidas no art. 98, desta Lei.
§ 3º Dos vencedores da licitação será exigida contrapartida proporcional à vantagem
econômica que usufruírem, na forma de compromissos de interesse dos usuários.
Art. 137 O descumprimento de condições ou de compromissos assumidos, associados à
autorização, sujeitará a prestadora às sanções de multa, suspensão temporária ou caducidade.
Seção II
Da extinção
Art. 138 A autorização de serviço de telecomunicações não terá sua vigência sujeita a
termo final, extinguindo-se somente por cassação, caducidade, decaimento, renúncia ou anulação.
Art. 139 Quando houver perda das condições indispensáveis à expedição ou
manutenção da autorização, a Agência poderá extingui-la mediante ato de cassação.
Parágrafo único. Importará em cassação da autorização do serviço a extinção da
autorização de uso da radiofrequência respectiva.
Art. 140 Em decorrência de prática de infrações graves, de transferência irregular da
autorização ou de descumprimento reiterado de compromissos assumidos, a Agência poderá
extinguir a autorização decretando-lhe a caducidade.
Art. 141 O decaimento será decretado pela Agência, por ato administrativo, se, em face
de razões de excepcional relevância, as normas vierem a vedar o tipo de atividade objeto da
autorização ou a suprimir a exploração no regime privado.
§ 1º A edição das normas de que trata o caput não justificará o decaimento senão
quando a preservação das autorizações já expedidas for efetivamente incompatível com o interesse
público.
§ 2º Decretado o decaimento, a prestadora terá o direito de manter suas próprias
atividades regulares por prazo mínimo de cinco anos, salvo desapropriação.
Art. 142 Renúncia é o ato formal unilateral, irrevogável e irretratável, pelo qual a
prestadora manifesta seu desinteresse pela autorização.
Parágrafo único. A renúncia não será causa para punição do autorizado, nem o
desonerará de suas obrigações com terceiros.
Art. 143 A anulação da autorização será decretada, judicial ou administrativamente, em
caso de irregularidade insanável do ato que a expediu.
Art. 144 A extinção da autorização mediante ato administrativo dependerá de
procedimento prévio, garantido o contraditório e a ampla defesa do interessado.
TÌTULO IV
DAS REDES DE TELECOMUNICAÇÕES
Art. 145 A implantação e o funcionamento de redes de telecomunicações destinadas a
dar suporte à prestação de serviços de interesse coletivo, no regime público ou privado, observarão
o disposto neste Título.
57
Parágrafo único. As redes de telecomunicações destinadas à prestação de serviço em
regime privado poderão ser dispensadas do disposto no caput, no todo ou em parte, na forma da
regulamentação expedida pela Agência.
Art. 146 As redes serão organizadas como vias integradas de livre circulação, nos
termos seguintes:
I - é obrigatória a interconexão entre as redes, na forma da regulamentação;
II - deverá ser assegurada a operação integrada das redes, em âmbito nacional e
internacional;
III - o direito de propriedade sobre as redes é condicionado pelo dever de cumprimento
de sua função social.
Parágrafo único. Interconexão é a ligação entre redes de telecomunicações
funcionalmente compatíveis, de modo que os usuários de serviços de uma das redes possam
comunicar-se com usuários de serviços de outra ou acessar serviços nela disponíveis.
Art. 147 É obrigatória a interconexão às redes de telecomunicações a que se refere o art.
145 desta Lei, solicitada por prestadora de serviço no regime privado, nos termos da
regulamentação.
Art. 148 É livre a interconexão entre redes de suporte à prestação de serviços de
telecomunicações no regime privado, observada a regulamentação.
Art. 149 A regulamentação estabelecerá as hipóteses e condições de interconexão a
redes internacionais.
Art. 150 A implantação, o funcionamento e a interconexão das redes obedecerão à
regulamentação editada pela Agência, assegurando a compatibilidade das redes das diferentes
prestadoras, visando à sua harmonização em âmbito nacional e internacional.
Art. 151 A Agência disporá sobre os planos de numeração dos serviços, assegurando
sua administração de forma não discriminatória e em estímulo à competição, garantindo o
atendimento aos compromissos internacionais.
Parágrafo único. A Agência disporá sobre as circunstâncias e as condições em que a
prestadora de serviço de telecomunicações cujo usuário transferir-se para outra prestadora será
obrigada a, sem ônus, interceptar as ligações dirigidas ao antigo código de acesso do usuário e
informar o seu novo código.
Art. 152 O provimento da interconexão será realizado em termos não discriminatórios,
sob condições técnicas adequadas, garantindo preços isonômicos e justos, atendendo ao
estritamente necessário à prestação do serviço.
Art. 153 As condições para interconexão de redes serão objeto de livre negociação entre
os interessados, mediante acordo, observado o disposto nesta Lei e nos termos da regulamentação.
§ 1º O acordo será formalizado por contrato, cuja eficácia dependerá de homologação
pela Agência, arquivando-se uma de suas vias na Biblioteca para consulta por qualquer interessado.
§ 2º Não havendo acordo entre os interessados, a Agência, por provocação de um deles,
arbitrará as condições para a interconexão.
Art. 154 As redes de telecomunicações poderão ser, secundariamente, utilizadas como
suporte de serviço a ser prestado por outrem, de interesse coletivo ou restrito.
58
Art. 155 Para desenvolver a competição, as empresas prestadoras de serviços de
telecomunicações de interesse coletivo deverão, nos casos e condições fixados pela Agência,
disponibilizar suas redes a outras prestadoras de serviços de telecomunicações de interesse coletivo.
Art. 156 Poderá ser vedada a conexão de equipamentos terminais sem certificação,
expedida ou aceita pela Agência, no caso das redes referidas no art. 145 desta Lei.
§ 1º Terminal de telecomunicações é o equipamento ou aparelho que possibilita o
acesso do usuário a serviço de telecomunicações, podendo incorporar estágio de transdução, estar
incorporado a equipamento destinado a exercer outras funções ou, ainda, incorporar funções
secundárias.
§ 2º Certificação é o reconhecimento da compatibilidade das especificações de
determinado produto com as características técnicas do serviço a que se destina.
TÌTULO V
DO ESPECTRO E DA ÓRBITA
Capítulo I
DO ESPECTRO DE RADIOFREQUÊNCIAS
Art. 157 O espectro de radiofrequências é um imenso recurso limitado, constituindo-se
em bem público, administrado pela Agência.
Art. 158 Observadas as atribuições de faixas segundo tratados e acordos internacionais,
a Agência manterá plano com a atribuição, distribuição e destinação de radiofrequências, e
detalhamento necessário ao uso das radiofrequências associadas aos diversos serviços e atividades
de telecomunicações, atendidas suas necessidades específicas e as de suas expansões.
§ 1º O plano destinará faixas de radiofrequências para:
I - fins exclusivamente militares;
II - serviços de telecomunicações a serem prestados em regime público e em regime
privado;
III - serviços de radiodifusão;
IV - serviços de emergência e de segurança pública;
V - outras atividades de telecomunicações.
§ 2º A destinação de faixas de radiofrequências para fins exclusivamente militares será
feita em articulação com as Forças Armadas.
Art. 159 Na destinação de faixas de radiofrequências serão considerados o emprego
racional e econômico do espectro, bem como as atribuições, distribuições e consignações existentes,
objetivando evitar interferências prejudiciais.
Parágrafo único. Considera-se interferência prejudicial qualquer emissão, irradiação ou
indução que obstrua, degrade seriamente ou interrompa repetidamente a telecomunicação.
Art. 160 A Agência regulará a utilização eficiente e adequada do espectro, podendo
restringir o emprego de determinadas radiofrequências ou faixas, considerando o interesse público.
Parágrafo único. O uso da radiofrequência será condicionado à sua compatibilidade com
a atividade ou o serviço a ser prestado, particularmente no tocante à potência, à faixa de transmissão
e à técnica empregada.
59
Art. 161 A qualquer tempo, poderá ser modificada a destinação de radiofrequências ou
faixas, bem como ordenada a alteração de potências ou de outras características técnicas, desde que
o interesse público ou o cumprimento de convenções ou tratados internacionais assim o determine.
Parágrafo único. Será fixado prazo adequado e razoável para a efetivação da mudança.
Art. 162 A operação de estação transmissora de radiocomunicação está sujeita à licença
de funcionamento prévia e à fiscalização permanente, nos termos da regulamentação.
§ 1º Radiocomunicação é a telecomunicação que utiliza freqüências radioelétricas não
confinadas a fios, cabos ou outros meios físicos.
§ 2º É vedada a utilização de equipamentos emissores de radiofrequências sem
certificação expedida ou aceita pela Agência.
§ 3º A emissão ou extinção da licença relativa à estação de apoio à navegação marítima
ou aeronáutica, bem como à estação de radiocomunicação marítima ou aeronáutica, dependerá de
parecer favorável dos órgãos competentes para a vistoria de embarcações e aeronaves.
Capítulo II
DA AUTORIZAÇÂO DE USO DE RADIOFREQUÊNCIA
Art. 163 O uso de radiofrequência, tendo ou não caráter de exclusividade, dependerá de
prévia outorga da Agência, mediante autorização, nos termos da regulamentação.
§ 1º Autorização de uso de radiofrequência é o ato administrativo vinculado, associado
à concessão, permissão ou autorização para prestação de serviço de telecomunicações, que atribui a
interessado, por prazo determinado, o direito de uso de radiofrequência, nas condições legais e
regulamentares.
§ 2º Independerão de outorga:
I - o uso de radiofrequências por meio de equipamentos de radiação restrita definidos
pela Agência;
II - o uso, pelas Forças Armadas, de radiofrequências nas faixas destinadas a fins
exclusivamente militares.
§ 3º A eficácia da autorização de uso de radiofrequência dependerá de publicação de
extrato no Diário Oficial da União.
Art. 164 Havendo limitação técnica ao uso de radiofrequência e ocorrendo o interesse
na sua utilização, por parte de mais de um interessado, para fins de expansão de serviço e, havendo
ou não, concomitantemente, outros interessados em prestar a mesma modalidade de serviço,
observar- se-á:
I - a autorização de uso de radiofrequência dependerá de licitação, na forma e condições
estabelecidas nos arts 88 a 90 desta Lei e será onerosa;
II - o vencedor da licitação receberá, conforme o caso, a autorização para uso da
radiofrequência, para fins de expansão do serviço, ou a autorização para a prestação do serviço.
Art. 165 Para fins de verificação da necessidade de abertura ou não da licitação prevista
no artigo anterior, observar-se-á o disposto nos arts 91 e 92 desta Lei.
Art. 166 A autorização de uso de radiofrequência terá o mesmo prazo de vigência da
concessão ou permissão de prestação de serviço de telecomunicações à qual esteja vinculada.
Art. 167 No caso de serviços autorizados, o prazo de vigência será de até vinte anos,
prorrogável uma única vez por igual período.
§ 1º A prorrogação, sempre onerosa, poderá ser requerida até três anos antes do
vencimento do prazo original, devendo o requerimento ser decidido em, no máximo, doze meses.
60
§ 2º O indeferimento somente ocorrerá se o interessado não estiver fazendo uso racional
e adequado da radiofrequência, se houver cometido infrações reiteradas em suas atividades ou se for
necessária a modificação de destinação do uso da radiofrequência.
Art. 168 É intransferível a autorização de uso de radiofrequências sem a correspondente
transferência da concessão, permissão ou autorização de prestação do serviço a elas vinculada.
Art. 169 A autorização de uso de radiofrequências extinguir-se-á pelo advento de seu
termo final ou no caso de sua transferência irregular, bem como por caducidade, decaimento,
renúncia ou anulação da autorização para prestação do serviço de telecomunicações que dela se
utiliza.
Capítulo III
DA ÓRBITA E DOS SATÉLITES
Art. 170 A Agência disporá sobre os requisitos e critérios específicos para execução de
serviço de telecomunicações que utilize satélite, geoestacionário ou não, independentemente de o
acesso a ele ocorrer a partir do território nacional ou do exterior.
Art. 171 Para a execução de serviço de telecomunicações via satélite regulado por esta
Lei, deverá ser dada preferência ao emprego de satélite brasileiro, quando este propiciar condições
equivalentes às de terceiros.
§ 1º O emprego de satélite estrangeiro somente será admitido quando sua contratação
for feita com empresa constituída segundo as lei brasileiras e com sede e administração no País, na
condição de representante legal do operador estrangeiro.
§ 2º Satélite brasileiro é o que utiliza recursos de órbita e espectro radioelétrico
notificados pelo País, ou a ele distribuídos ou consignados, e cuja estação de controle e monitoração
seja instalada no território brasileiro.
Art. 172 O direito de exploração de satélite brasileiro para transporte de sinais de
telecomunicações assegura a ocupação da órbita e o uso das radiofrequências destinadas ao controle
e monitoração do satélite e à telecomunicação via satélite, por prazo de até quinze anos, podendo
esse prazo ser prorrogado, uma única vez, nos termos da regulamentação.
§ 1º Imediatamente após um pedido para exploração de satélite que implique utilização
de novos recursos de órbita ou espectro, a Agência avaliará as informações e, considerando-as em
conformidade com a regulamentação, encaminhará à União Internacional de Telecomunicações a
correspondente notificação, sem que isso caracterize compromisso de outorga ao requerente.
§ 2º Se inexigível a licitação, conforme disposto nos arts. 91 e 92 desta Lei, o direito de
exploração será conferido mediante processo administrativo estabelecido pela Agência.
§ 3º Havendo necessidade de licitação, observar-se-á o procedimento estabelecido nos
arts 88 a 90 desta Lei, aplicando-se, no que couber, o disposto neste artigo.
§ 4º O direito será conferido a título oneroso, podendo o pagamento, conforme dispuser
a Agência, fazer-se na forma de quantia certa, em uma ou várias parcelas, bem como de parcelas
anuais ou, complementarmente , de cessão de capacidade, conforme dispuser a regulamentação.
TÍTULO VI
DAS SANÇÕES
Capítulo I
DAS SANÇÕES ADMINISTRATIVAS
Art. 173 A infração desta lei ou das demais normas aplicáveis, bem como a
inobservância dos deveres decorrentes dos contratos de concessão ou dos ato de permissão,
61
autorização de serviço ou autorização de uso de radiofrequência, sujeitará os infratores às seguintes
sanções, aplicáveis pela Agência, sem prejuízo das de natureza civil e penal:
I - Advertência;
II - multa;
III - suspensão temporária;
IV - caducidade;
V - declaração de inidoneidade.
Art. 174 Toda acusação será circunstanciada, permanecendo em sigilo até sua completa
apuração.
Art. 175 Nenhuma sanção será aplicada sem a oportunidade de prévia e ampla defesa.
Parágrafo único. Apenas medidas cautelares urgentes poderão ser tomadas antes da
defesa.
Art. 176 Na aplicação de sanções, serão considerados a natureza e a gravidade da
infração, os danos dela resultantes para o serviço e para os usuários, a vantagem auferida pelo
infrator, as circunstâncias agravantes, os antecedentes do infrator e a reincidência específica.
Parágrafo único. Entende-se por reincidência específica a repetição de falta de igual
natureza após o recebimento de notificação anterior.
Art. 177 Nas infrações praticadas por pessoa jurídica, também serão punidos com a
sanção de multa seus administradores ou controladores, quando tiverem agido de má-fé.
Art. 178 A existência de sanção anterior será considerada como agravante na aplicação
de outra sanção.
Art. 179 A multa poderá ser imposta isoladamente ou em conjunto com outra sanção,
não devendo ser superior a R$ 50.000.000,00 (cinqüenta milhões de reais) para cada infração
cometida.
§ 1º Na aplicação de multa serão considerados a condição econômica do infrator e o
princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção.
§ 2º A imposição, a prestadora de serviço de telecomunicações, de multa decorrente de
infração da ordem econômica, observará os limites previstos na legislação específica.
Art. 180 A suspensão temporária será imposta, em relação à autorização de serviço ou
de uso de radiofrequência, em caso de infração grave cujas circunstâncias não justifiquem a
decretação de caducidade.
Parágrafo único. O prazo da suspensão não será superior a trinta dias.
Art. 181 A caducidade importará na extinção de concessão, permissão, autorização de
serviço ou autorização de uso de radiofrequência, nos casos previstos nesta Lei.
Art. 182 A declaração de inidoneidade será aplicada a quem tenha praticado atos ilícitos
visando frustar os objetivos de licitação.
Parágrafo único. O prazo de vigência da declaração de inidoneidade não será superior a
cinco anos.
62
Art. 183 Desenvolver clandestinamente atividades de telecomunicação:
Pena - detenção de dois a quatro anos, aumentada da metade se houver dano a terceiro,
e multa de R$ 10.000,00 (dez mil reais).
Parágrafo único. Incorre na mesma pena quem, direta ou indiretamente, concorrer para
o crime.
Art. 184 São efeitos da condenação penal transitada em julgado:
I - tornar certa a obrigação de indenizar o dano causado pelo crime;
II - a perda, em favor da Agência, ressalvado o direito do lesado ou de terceiros de boa-
fé, dos bens empregados na atividade clandestina, sem prejuízo de sua apreensão cautelar.
Parágrafo único. Considera-se clandestina a atividade desenvolvida sem a competente
concessão, permissão ou autorização de serviço, de uso de radiofrequência e de exploração de
satélite.
Art. 185 O crime definido nesta Lei é de ação penal pública, incondicionada, cabendo
ao Ministério Público promovê-la.
LIVRO IV
DA RESTRUTURAÇÃO E DA DESESTATIZAÇÃO DAS EMPRESAS FEDERAIS DE
TELECOMUNICAÇÕES
Art. 186 A reestruturação e a desestatização das empresas federais de telecomunicações
tem como objetivo conduzir ao cumprimento dos deveres constantes do art.2º desta Lei.
Art. 187 Fica o Poder Executivo autorizado a promover a reestruturação e a
desestatização das seguintes empresas controladas, direta ou indiretamente, pela União, e
supervisionadas pelo Ministério das Comunicações:
I - Telecomunicações Brasileiras S. A - TELEBRÁS;
II - Empresa Brasileira de Telecomunicações - EMBRATEL;
III - Telecomunicações do Maranhão S. A - TELMA;
IV - Telecomunicações do Piauí S.A - TELEPISA;
V - Telecomunicações do Ceará - TELECEARÁ;
VI - Telecomunicações do Rio Grande do Norte S.A - TELERN;
VII - Telecomunicações da Paraíba S.A - TELPA;
VIII - Telecomunicações de Pernambuco S.A - TELPE;
IX - Telecomunicações de Alagoas S.A - TELASA;
X - Telecomunicações de Sergipe S.A - TELESERGIPE;
XI - Telecomunicações da Bahia S.A - TELEBAHIA;
XII - Telecomunicações de Mato Grosso do Sul S.A - TELEMS;
XIII - Telecomunicações de Mato Grosso S.A - TELEMAT;
XIV - Telecomunicações de Goiás S.A - TELEGOIÁS;
XV - Telecomunicações de Brasília S.A - TELEBRASÍLIA;
XVI - Telecomunicações de Rondônia S.A - TELERON;
XVII - Telecomunicações do Acre S.A - TELEACRE;
XVIII - Telecomunicações de Roraima S.A - TELAIMA;
XIX - Telecomunicações do Amapá S.A - TELEAMAPÁ;
XX - Telecomunicações do Amazonas S.A - TELAMAZON;
XXI - Telecomunicações do Pará S.A - TELEPARÁ;
XXII - Telecomunicações do Rio de Janeiro S.A - TELERJ;
XXIII - Telecomunicações de Minas Gerais S.A - TELEMIG;
XXIV - Telecomunicações do Espírito Santo S.A - TELEST;
63
XXV - Telecomunicações de São Paulo S.A - TELESP;
XXVI - Companhia Telefônica da Borda do Campo - CTBC;
XXVII - Telecomunicações do Paraná S.A - TELEPAR;
XXVIII - Telecomunicações de Santa Catarina S.A - TELESC;
XXIX - Companhia Telefônica Melhoramento e Resistência - CTMR.
Parágrafo único. Incluem-se na autorização a que se refere o caput as empresas
subsidiárias exploradoras do serviço móvel celular, constituídas nos termos do art. 5° da Lei n°
9.295, de 19 de julho de 1996.
Art. 188 A reestruturação e a desestatização deverão compatibilizar as áreas de atuação
das empresas com o plano geral de outorgas, o qual deverá ser previamente editado, na forma do
art. 84 desta Lei, bem como observar as restrições, limites ou condições estabelecidas com base no
art. 71.
Art. 189 Para a reestruturação das empresas enumeradas no art. 187, fica o Poder
Executivo autorizado a adotar as seguintes medidas:
I - cisão, fusão e incorporação;
II - dissolução de sociedade ou desativação parcial de seus empreendimentos;
III - redução de capital social.
Art. 190 Na reestruturação e desestatização da Telecomunicação Brasileira S.A -
TELEBRÁS deverão ser previstos mecanismos que assegurem a preservação da capacidade em
pesquisa e desenvolvimento tecnológico existentes na empresa.
Parágrafo único. Para o cumprimento do disposto no caput, fica o Poder Executivo
autorizado a criar entidade, que incorporará o Centro de Pesquisa e Desenvolvimento da
TELEBRÁS, sob uma das seguintes formas:
I - empresa estatal de economia mista ou não, inclusive por meio da cisão a que se
refere o inciso I do artigo anterior;
II - fundação governamental, pública ou privada.
Art. 191 A desestatização caracteriza-se pela alienação onerosa de direitos que
asseguram à União, direta ou indiretamente, preponderância nas deliberações sociais e o poder de
eleger a maioria dos administradores da sociedade, podendo ser realizada mediante o emprego das
seguintes modalidades operacionais:
I - alienação de ações;
II - cessão do direito de preferência à subscrição de ações em aumento de capital.
Parágrafo único. A desestatização não afetará as concessões, permissões e autorizações
detidas pela empresa.
Art. 192 Na desestatizacão das empresas a que se refere o art. 187, parte das sanções
poderá ser reservada a seus empregados e ex-empregados aposentados, a preços e condições
privilegiados, inclusive com a utilização do Fundo de Garantia por Tempo de Serviço - FGTS.
Art. 193 A desestatização de empresas ou grupo de empresas citadas no art. 187
implicará a imediata abertura à competição, na respectiva área, dos serviços prestados no regime
público.
Art. 194 Poderão ser objeto de alienação conjunta o controle acionário de empresas
prestadoras de serviço telefônico fixo comutado com empresas prestadoras do serviço móvel
celular.
64
Parágrafo único. Fica vedado ao novo controlador promover a incorporação ou fusão de
empresa prestadora do serviço telefônico fixo ou comutado com empresa prestadora do serviço
móvel celular.
Art. 195 O modelo de reestruturação e desestatização das empresas enumeradas no art.
187, após submetido a consulta pública, será aprovado pelo Presidente da República, ficando a
coordenação e o acompanhamento dos atos e procedimentos decorrentes a cargo de Comissão
Especial de Supervisão, a ser instituída pelo Ministro de Estado das Comunicações.
§ 1º A execução de procedimentos operacionais necessários à desestatização poderá ser
cometida, mediante contrato, a instituição financeira integrante da Administração Federal, de
notória experiência no assunto.
§ 2º A remuneração da contratada será paga com parte do valor líquido apurado nas
alienações.
Art. 196 Na reestruturação e na desestatização poderão ser utilizados serviços
especializados de terceiros, contratados mediante procedimento licitatório de rito próprio, nos
termos seguintes:
I - o Ministério das Comunicações manterá cadastro organizado por especialidade,
aberto a empresas e instituições nacionais ou internacionais, de notória especialização na área de
telecomunicações e na avaliação e auditoria de empresas, no planejamento e execução de venda de
bens e valores mobiliários nas questões jurídicas relacionadas;
II - para inscrição no cadastro, os interessados deverão atender aos requisitos definidos
pela Comissão Especial de Supervisão, com a aprovação do Ministro de Estado das Comunicações;
III - poderão participar das licitações apenas os cadastrados, que serão convocados
mediante carta, com a especificação dos serviços objeto do certame;
IV - os convocados, isoladamente ou em consórcio, apresentarão suas propostas em
trinta dias, contados da convocação;
V - além de outros requisitos previstos na convocação, as propostas deverão conter o
detalhamento dos serviços, a metodologia de execução, a indicação do pessoal técnico a ser
empregado e o preço pretendido;
VI - o julgamento das propostas será realizado pelo critério de técnica e preço;
VII - o contratado, sob sua exclusiva responsabilidade e com a aprovação do
contratante, poderá subcontratar parcialmente os serviços objeto do contrato;
VIII - o contratado será obrigado a aceitar, nas mesmas condições contratuais, os
acréscimos ou reduções que se fizerem necessários nos serviços, de até vinte e cinco por cento do
valor inicial do ajuste.
Art. 197 O processo especial de desestatização obedecerá aos princípios de legalidade,
moralidade e publicidade, podendo adotar a forma de leilão ou concorrência ou, ainda, de venda de
ações em oferta pública, de acordo com o estabelecido pela Comissão Especial de Supervisão.
Parágrafo único. O processo poderá comportar uma etapa de pré-qualificação, ficando
restrita aos qualificados a participação em etapas subsequentes.
Art. 198 O processo especial de desestatização será iniciado com a publicação, no
Diário Oficial da União e em jornais de grande circulação nacional, de avisos referentes ao edital,
do qual constarão, obrigatoriamente:
I - as condições para qualificação dos pretendentes;
II - as condições para aceitação das propostas;
III - os critérios de julgamento;
IV - minuta do contrato de concessão;
65
V - informações relativas às empresas objeto do processo, tais como seu passivo de
curto e longo prazo e sua situação econômica e financeira, especificando-se lucros, prejuízos e
endividamento interno e externo, no último exercício;
VI - sumário dos estudos de avaliação;
VII - critério de fixação do valor mínimo de alienação, com base nos estudos de
avaliação;
VIII - indicação, se for o caso, de que será criada, no capital social da empresa objeto da
desestatização, ação de classe especial, a ser subscrita pela União, e dos poderes especiais que lhe
serão conferidos, os quais deverão ser incorporados ao estatuto social.
§ 1º O acesso à integralidade dos estudos de avaliação e a outras informações
confidenciais poderá ser restrito aos qualificados, que assumirão compromisso de
confidencialidade.
§ 2º A alienação do controle acionário, se realizada mediante venda de ações em oferta
pública, dispensará a inclusão, no edital, das informações relacionadas nos incisos I a III deste
artigo.
Art. 199 Visando à universalização dos serviços de telecomunicações, os editais de
desestatização deverão conter cláusulas de compromisso de expansão do atendimento à população,
consoantes com o disposto no art. 80.
Art. 200 Para qualificação, será exigida dos pretendentes comprovação de capacidade
técnica, econômica e financeira, podendo ainda haver exigências quanto a experiência na prestação
de serviços de telecomunicações, guardada sempre a necessária compatibilidade com o porte das
empresas objeto do processo.
Parágrafo único. Será admitida a participação de consórcios, nos temos do edital.
Art. 201 Fica vedada do decurso do processo de desestatização, a aquisição, por um
mesmo acionista ou grupo de acionistas, do controle, direto ou indireto, de empresas atuantes em
áreas distintas do plano geral de outorgas.
Art. 202 A transferência do controle acionário ou da concessão, após a desestatização,
somente poderá efetuar-se quando transcorridos o prazo de cinco anos, observado o disposto nos
incisos II e III do art. 98 desta Lei.
§ 1º Vencido o prazo referido no caput, a transferência de controle ou de concessão que
resulte no controle, direto ou indireto, por um mesmo acionista ou grupo de acionistas, de
concessionárias atuantes em áreas distintas do plano geral de outorgas, não poderá ser efetuada
enquanto tal impedimento for considerado, pela Agência, necessário ao cumprimento do plano.
§ 2º A restrição à transferência da concessão não se aplica quando efetuada entre
empresas atuantes em uma mesma área do plano geral de outorgas.
Art. 203 Os preços de aquisição serão pagos exclusivamente em moeda corrente,
admitido o parcelamento, nos termos do edital.
Art. 204 Em até trinta dias após o encerramento de cada processo de desestatização, a
Comissão Especial de Supervisão publicará relatório circunstanciado a respeito.
Art. 205 Entre as obrigações da instituição financeira contratada para a execução de atos
e procedimentos da desestatização, poderá ser incluído o fornecimento de assistência jurídica
integral aos membros da Comissão Especial de Supervisão e aos demais responsáveis pela
condução da desestatização, na hipótese de serem demandados pela prática de atos decorrentes do
exercício de suas funções.
66
Art. 206 Os administradores das empresas sujeitas à desestatização são responsáveis
pelo fornecimento, no prazo fixado pela Comissão Especial de Supervisão ou pela instituição
financeira contratada, das informações necessárias à instrução dos respectivos processos.
Disposições Finais e Transitórias
Art. 207 No prazo máximo de sessenta dias a contar da publicação desta Lei, as atuais
prestadoras do serviço telefônico fixo comutado destinado ao uso do público em geral, inclusive as
referidas no art. 187 desta Lei, bem como do serviço dos troncos e suas conexões internacionais,
deverão pleitear a celebração do contrato de concessão, que será efetivamente em até vinte e quatro
meses a contar da publicação desta lei.
§ 1º A concessão, cujo objeto será determinado em função do plano geral de outorgas,
será feita a título gratuito, com termo final fixado para o dia 31 de dezembro de 2005, assegurado o
direito à prorrogação única por vinte anos, a título oneroso, desde que observado o disposto o Título
II do Livro III desta Lei.
§ 2º À prestadora que não atender ao disposto no caput deste artigo aplicar-se-ão as
seguintes disposições:
I - se concessionária, continuará sujeita ao contrato de concessão atualmente em vigor, o
qual não poderá ser transferido ou prorrogado;
II - se não for concessionária, o seu direito à exploração do serviço extinguir-se-á em 31
de dezembro de 1999.
§ 3º Em relação aos demais serviços prestados pelas entidades a que se refere o caput,
serão expedidas as respectivas autorizações ou, se for o caso, concessões, observado o disposto
neste artigo, no que couber, e no art. 208 desta Lei.
Art. 208 As concessões das empresas prestadoras de serviço móvel celular abrangidas
peloart. 4° da Lei n° 9.295, de 19 de julho de 1996, serão outorgadas na forma e condições
determinadas pelo referido artigo e seu parágrafo único.
Art. 209 Ficam autorizadas as transferências de concessão, parciais ou totais, que forem
necessárias para compatibilizar as áreas de atuação das atuais prestadoras com o plano geral de
outorgas.
Art. 210 As concessões, permissões e autorizações de serviço de telecomunicações e de
uso de radiofrequência e as respectivas licitações regem-se exclusivamente por esta Lei, a elas não
se aplicando as Leis n° 8.666, de 21 de junho de 1993, n° 8.987, de 13 de fevereiro de 1995, n°
9.074, de 7 de julho de 1995, e suas alterações.
Art. 211 A outorga dos serviços de radiodifusão sonora e de sons e imagens fica
excluída da jurisdição da Agência, permanecendo no âmbito de competências do Poder Executivo,
devendo a Agência elaborar e manter os respectivos planos de distribuição de canis, levando em
conta, inclusive, os aspectos concernentes à evolução tecnológica.
Parágrafo único. Caberá à Agência a fiscalização, quanto aos aspectos técnicos, das
respectivas estações.
Art. 212 O serviço de TV a Cabo, inclusive quanto aos atos, condições e procedimentos
de outorga, continuará regido pela Lei n° 8.977, de 6 de janeiro de 1995, ficando transferidos à
Agência as competências atribuídas pela referida Lei ao Poder Executivo.
Art. 213 Será livre a qualquer interessado a divulgação, por qualquer meio, de listas de
assinantes do serviço telefônico fixo comutado destinado ao uso do público em geral.
67
§ 1º Observado o disposto nos incisos VI e IX do art. 3º desta Lei, as prestadoras do
serviço serão obrigadas a fornecer, em prazos e a preços razoáveis e de forma não discriminatória, a
relação de seus assinantes a quem queira divulgá-la.
§ 2º É obrigatório e gratuito o fornecimento, pela prestadora, de listas telefônicas aos
assinantes dos serviços, diretamente ou por meio de terceiros, nos termos em que dispuser a
Agência.
Art. 214 Na aplicação desta Lei, serão observadas as seguintes disposições:
I - os regulamentos, normas e demais regras em vigor serão gradativamente substituídos
por regulamentação a ser editada pela Agência, em cumprimento a esta Lei;
II - enquanto não for editada a nova regulamentação, as concessões, permissões e
autorizações continuarão regidas pelos atuais regulamentos, normas e regras;
III - até a edição da regulamentação decorrente desta Lei, continuarão regidos pela Lei
n° 9.295, de 19 de julho de 19096, os serviços por ela disciplinados e os respectivos atos e
procedimentos de outorga;
IV - as concessões, permissões e autorizações feitas anteriormente a esta Lei não
reguladas no seu art. 207, permanecerão válidas pelos prazos nelas previstos;
V - com a aquiescência do interessado, poderá ser realizada a adaptação dos
instrumentos de concessão, permissão e autorização a que se referem os incisos III e IV deste artigo
aos preceitos desta Lei;
VI - a renovação ou prorrogação, quando prevista nos atos a que se referem os incisos
III e IV deste artigo, somente poderá ser feita quando tiver havido a adaptação prevista no inciso
anterior.
Art. 215 Ficam revogados:
I – a Lei n° 4.117, de 27 de agosto de 1962, salvo quanto a matéria penal não tratada
nesta Lei e quanto aos preceitos relativos à radiodifusão;
II – a Lei n° 6.874, de 3 de dezembro de 1980;
III – a Lei n° 8.367, de 30 de dezembro de 1991;
IV - os arts 1º, 2º, 3º, 7º, 9º, 10, 12 e 14, bem como o caput e os §§ 1º e 4º do art. 8º, da
Lei nº 9.295, de 19 de julho de 1996;
V – o inciso I do art. 19 da Lei n° 8.029, de 12 de abril de 1990.
Art. 216 Esta Lei entra em vigor na data de sua publicação.
Brasília, 16 de julho de 1997; 176º da Independência e 109º da República.
FERNANDO HENRIQUE CARDOSO
Iris Rezende
Antonio Kandir
Sergio Motta
Cláudia Maria Costin
FONTE: Publicação DOU, de 17/07/97.
68
Anexo I (Revogado pela Lei 9.986/2000)
Anexo II (Revogado pela Lei 9.986/2000)
Anexo III (Nota: Valores alterados pela Lei 9.691/1998)
(Anexo I da Lei nº 5.070, de 7 de julho de 1966)
Tabela de valores da taxa de fiscalização da instalação por estação (em R$)
1 . Serviço Móvel Celular
a) base
b) repetidora
c) móvel
1.340,80
1.340,80
26,83
2. Serviço Telefônico Publico
Móvel
Rodoviário/Telestrada
a)base
b) móvel
134,08
26,83
3. Serviço Radiotelefônico
Público
a) ate 60 canais
b) acima de 60 ate 300 canais
c) acima de 300 ate 900 canais
d) acima de 900 canais
134,08
268,16
402,24
536,32
4. Serviço de Radiocomunicação
Aeronáutica Público-Restrito
a) base
b) móvel
6.704,00
536,60
5. Serviço Limitado Privado
a) base
b) repetidora
c) fixa
d) móvel
402,24
201,12
26,83
26,83
6. Serviço Limitado Móvel
Especializado
a) base em área de ate 300.000
habitantes
b) base em área acima de
300.000 ate
700.000 habitantes
c) base acima de 700.000
habitantes
670,40
938,20
1.206,00
26,83
69
d) móvel
7.Servico Limitado de Fibras
Óticas 134,08
8. Serviço Limitado Móvel
Privativo
a) base
b) móvel
670,40
26,83
9. Serviço Limitado Provado de
Radiochamada
a) base
b) móvel
670,40
26,83
10. Serviço Limitado de
Radioestrada
a) base
b) móvel
134,08
26,83
11. Serviço Limitado Móvel
Aeronáutico 134,08
12. Serviço Limitado Móvel
Marítimo
a) costeira
b) portuária
c) móvel
670,40
670,40
67,04
13. Serviço Especial para Fins
Científicos ou Experimentais
a) base
b) móvel
137,32
53,66
14. Serviço Especial de
Radiorrecado
a) base
b) móvel
670,40
26,83
15.Servico Especial
Radiochamada
a) base em área de ate 300.000
habitantes
b) base em área acima de
300.000 ate
700.000 habitantes
c) base acima de 700.000
habitantes
d) móvel
670,40
938,20
1.206,00
26,83
16. Serviço Especial de
Freqüência
Padrão
isento
17.Servico Especial de Sinais
Horários isento
18. Serviço Especial de
Radiodeterminação
a) fixa
b) base
c) móvel
670,40
670,40
70
26,83
19. Serviço Especial de
Supervisão e
Controle
a) fixa
b) base
c) móvel
670,40
670,40
26,83
20. Serviço Especial de
Radioautocine 268,16
21.Servico Especial de Boletins
Meteorológicos isento
22. Serviço Especial de TV por
Assinatura 2.413,20
23.Servico Especial de Canal Secundário de Radiodifusão de Sons
e Imagens 335,20
24.Servico Especial de Musica Funcional 670,40
25. Serviço Especial de Canal Secundário de Emissora de FM 335,20
26. Serviço Especial de Repetição d Televisão 670,40
27. Serviço Especial de Repetição de Sinais de TV Via Satélite 670,40
28. Serviço Especial de Retransmissão de TV 1.348,80
29. Serviço de Transportes de
Sinais de
Telecomunicações Via
Satélite
a) estação terrena com
capacidade de
transmissão
b) estação terrena móvel com
capacidade de transmissão
c) estação espacial (satélite)
13.408,00
3.352,00
26.816,00
30. Serviço de Distribuição
Sinais
Multiponto Multicanal
a) base em área de ate 300.000
habitantes
b) base em área acima de
300.000 ate
700.000 habitantes
c) base acima de 700.000
habitantes
10.056,00
13.400,00
16.760,00
31. Serviço Radio Acesso 335,20
32. Serviço de Radiotáxi a) base
b) móvel
335,20
26,83
33. Serviço de Radioamador a) fixa 33,52
71
b) repetidora
c) móvel
33,52
26,83
34. Serviço Radio do Cidadão
a) fixa
b) base
c) móvel
33,52
33,52
26,83
35. Serviço de TV a Cabo
a) base em área de ate 300.000
habitantes
b) base em área acima de
300.000 ate
700.000 habitantes
c) base acima de 700.000
habitantes
10.056,00
13.408,00
16.760,00
36. Serviço de Distribuição de Sinais de TV por Meios Físicos 5.028,00
37. Serviço de Televisão em Circuito Fechado 1.340,80
38. Serviço de Radiodifusão
Sonora em
Onda Media
a) local e regional
b) nacional
9.050,40
12.067,20
39. Serviço de Radiodifusão Sonora em Ondas Curtas 2.011,20
40. Serviço de Radiodifusão Sonora em Ondas Tropicais 2.011,20
41. Serviço de Radiodifusão
Sonora em
Freqüência Modulada
a) classe C e B (B1 e B2)
b) classe A (A1, A2, A3 e A4)
c) classe E (E1, E2 e E3)
12.067,20
18.100,80
24.134,40
42. Serviço de Radiodifusão de
Sons e
Imagens
a) classe A
b) classe B
c) classe E
24.134,40
36.201,60
48.268,80
43. Serviço Auxiliar de Radiodifusão e Correlatos Ligação - Transmissão Programas
43.1 Radiodifusão Sonora
a) potência ate 1.000 W
b) potência de 1000 ate
10.000W
c) potência acima de 10.000
W
670,40
1.340,80
1.011,20
43.2 Televisão a) classe A
b) classe B
2.011,20
3.016,80
72
c) classe E 4.022,40
43.3 Televisão por Assinatura 2.011,20
44. Serviço Auxiliar de Radiodifusão e Correlatos - Reportagem Externa
44.1 Radiodifusão Sonora
a) potência ate 1.000 W
b) potência de 1.000 ate
10.000 W
c) potência acima de 10.000
W
670,40
1.340,80
2.011,20
44.2 Televisão
a) classe A
b) classe B
c) classe E
2.011,20
3.016,80
4.022,40
44.3 Televisão por Assinatura 2.011,20
45. Serviço Auxiliar de Radiodifusão e Correlatos - Comunicação de Ordens
45.1 Radiodifusão Sonora
a) potência ate 1.000 W
b) potência de 1.000 ate
10.000 W
c) potência acima de 10.000
W
670,40
1.340,80
2.011,20
45.2 Televisão
a) classe A
b) classe B
c) classe E
2.011,20
3.016,80
4.022,40
45.3 Televisão por Assinatura 2.011,20
46. Serviço Auxiliar de Radiodifusão e Correlatos - Telecomando
46.1 Radiodifusão Sonora
a) potência ate 1.000W
b) potência de 1.000 ate
10.000 W
c) potência acima de 10.000
W
670,40
1.340,80
2.011,20
46.2 Televisão
a) classe A
b) classe B
c) classe E
2.011,20
3.016,80
4.022,40
46.3 Televisão por Assinatura 2.011,20
47. Serviço Auxiliar de Radiodifusão e Correlatos - Telemedição
47.1 Radiodifusão Sonora a) potência ate 1.000 W
b) potência de 1.000 ate 670,40
73
10.000 W
c) potência acima de 10.000
W
1.340,80
2.011,20
47.2 Televisão
a) classe A
b) classe B
c) classe E
2.011,20
3.016,80
4.022,40
47.3 Televisão por Assinatura 2.011,20
48. Serviço Auxiliar Radiodifusão e Correlatos 1.340,80
49. Serviço Telefônico
Comutado Fixo
(STP)
a) ate 4.000 terminais
b) de 4.000 a 20.000 terminais
c) acima de 20.000 terminais
14.748,80
22.123,20
29.497,60
50. Serviço de Comunicação de Dados Comutado 29.497,60
51. Serviço de Comunicação de Textos 14.748,80
74
LEI Nº 9.609, DE 19 DE FEVEREIRO DE 1998
Dispõe sobre a proteção da propriedade intelectual de
programa de computador, sua comercialização no País,
e dá outras providências.
O PRESIDENTE DA REPÚBLICA
Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei :
Capítulo I
DISPOSIÇÕES PRELIMINARES
Art. 1° Programa de computador é a expressão de um conjunto organizado de instruções
em linguagem natural ou codificada, codificada em suporte físico de qualquer natureza, de emprego
necessário em máquinas Automáticas de tratamento da informação, dispositivos, instrumentos ou
equipamentos periféricos, baseados em técnica digital ou análoga, para fazê-los funcionar de modo
e para fins determinados.
Capítulo II
DA PROTEÇÃO AOS DIREITOS DE AUTOR E DO REGISTRO
Art. 2° O regime de proteção à propriedade intelectual de programa de computador é o
contendo as obras literárias pela legislação de direitos autorais e conexos vigentes no País,
observado o disposto nesta Lei.
§ 1° Não se aplicam ao programa de computador as disposições relativas aos direitos
morais, ressalvado, a qualquer tempo, o direito do autor de reivindicar a paternidade do programa
de computador e o direito do autor de opor-se a alterações não-autorizadas, quando estas impliquem
deformação, mutilação ou outra modificação do programa de computador, que prejudiquem a sua
honra ou a sua reputação.
§ 2° Fica assegurada a tutela dos direitos relativos a programa de computador pelo
prazo de cinqüenta anos, contados a partir de 1° de janeiro do ano subseqüente ao da sua publicação
ou, na ausência desta, da sua criação.
§ 3° A proteção aos direitos de que trata esta Lei independe de registro.
§ 4° Os direitos atribuídos por esta Lei ficam assegurados aos estrangeiros domiciliados
no exterior, desde que o país de origem do programa conceda aos brasileiros e estrangeiros
domiciliados no Brasil, direitos equivalentes.
§ 5° Inclui-se dentre os direitos assegurados por esta Lei e pela legislação de direitos
autorais e conexos vigentes no País aquele direito exclusivo de autorizar ou proibir o aluguel
comercial, não sendo esse direito exclusivo pela venda, licença ou outra forma de transferência da
cópia do programa
§ 6° O disposto no parágrafo anterior não se aplica aos casos em que o programa em si
não seja objeto essencial do aluguel.
Art. 3° Os programas de computador poderão, a critério do titular, ser registrados em
órgão ou entidade a ser designado por ato do Poder Executivo, por iniciativa do Ministério
responsável pela política de ciência e tecnologia.
§ 1° O pedido de registro estabelecido neste artigo deverá conter, pelo menos, as
seguintes informações:
I - os dados referentes ao autor do programa de computador e ao titular, se distinto do
autor, sejam pessoas físicas ou jurídicas;
II - a identificação e descrição funcional do programa de computador; e
75
II - os trechos do programa e outros dados que se considerar suficientes para identificá-
lo e caracterizar sua originalidade, ressalvando-se os direitos de terceiros e a responsabilidade do
Governo.
§ 2° As informações referidas no inciso III do parágrafo anterior são de caráter sigiloso,
não podendo ser reveladas, salvo por ordem judicial ou a requerimento do próprio titular.
Art. 4° Salvo estipulação em contrário, pertencerão exclusivamente ao empregador,
contratante de serviços ou órgão público, os direitos relativos ao programa de computador,
desenvolvido e elaborado durante a vigência de contrato ou de vinculo estatutário, expressamente
destinado à pesquisa e desenvolvimento, ou em que a atividade do empregado, contratado de
serviço ou servidor seja prevista, ou ainda, que decorra da própria natureza dos encargos
concernentes a esses vínculos.
§ 1° Ressalvado ajuste em contrário, a compensação do trabalho ou serviço prestado
limitar-se-á à remuneração ou ao salário convencionado.
§ 2° Pertencerão, com exclusividade, ao empregado, contratado de serviço ou servidor
os direitos concernentes a programa de computador gerado sem relação com o contrato de trabalho,
prestação de serviços ou vínculo estatutário, e sem a utilização de recursos, informações
tecnológicas, segredos industriais e de negócios, materiais, instalações ou equipamentos do
empregador, da empresa ou entidade com a qual o empregador mantenha contrato de prestação de
serviços ou assemelhados, do contratante de serviços ou órgão público.
§ 3° O tratamento previsto neste artigo será aplicado nos casos em que o programa de
computador for desenvolvido por bolsistas, estagiários e assemelhados.
Art. 5° Os direitos sobre as derivações autorizadas pelo titular dos direitos de programa
de computador, inclusive sua exploração econômica, pertencerão à pessoa autorizada que as fizer,
salvo estipulação contratual em contrário.
Art. 6° Não constituem ofensa aos direitos do titular de programa de computador:
I - a reprodução, em um só exemplar, de cópia legitimamente adquirida, deste que se
destine à cópia de salvaguarda ou armazenamento eletrônico, hipótese em que o exemplar original
servirá de salva guarda;
II- a citação parcial do programa, para fins didáticos, desde que identificados o
programa e o titular dos direitos respectivos;
III - a ocorrência de semelhança de programa a outro, preexistente, quando se der por
força das características funcionais de sua aplicação, da observância de preceitos normativos e
técnicos, ou de limitação de forma alternativa para a sua expressão;
IV - a integração de um programa, mantendo-se suas características essenciais, a um
sistema aplicativo ou operacional, tecnicamente indispensável às necessidades do usuário, desde
que para o uso exclusivo de quem a promoveu.
Capítulo III
DAS GARANTIAS AOS USUÁRIOS DE PROGRAMA DE COMPUTADOR
Art. 7° O contrato de licença de uso de programa de computador, o documento fiscal
correspondente, os suportes físicos do programa ou as respectivas embalagens deverão consignar,
de forma facilmente legível pelo usuário, o prazo de validade técnica da versão comercializada.
Art. 8° Aquele que comercializar programa de computador, quer seja titular dos direitos
do programa, quer seja titular dos direitos de comercialização, fica obrigado, no território nacional,
durante o prazo de validade técnica da respectiva versão, a assegurar aos respectivos usuários a
prestação de serviços técnicos complementares relativos ao adequado funcionamento do programa,
consideradas as suas especificações.
76
Parágrafo único. A obrigação persistirá no caso de retirada de circulação comercial do
programa de computador durante o prazo de validade, salvo justa indenização de eventuais
prejuízos causados a terceiros.
Capítulo IV
DOS CONTRATOS DE LICENÇA DE USO, DE COMERCIALIZAÇÃO E DE
TRANSFERÊNCIA DE TECNOLOGIA
Art. 9° O uso de programa de computador no País será objeto de contrato de licença.
Parágrafo único. Na hipótese de eventual inexistência do contrato referido no caput
deste artigo, o documento fiscal relativo à aquisição ou licenciamento de cópia servirá para
comprovação da regularidade do seu uso.
Art. 10. Os atos e contratos de licença de direitos de comercialização referentes a
programas de computador de origem externa deverão fixar, quanto aos tributos e encargos
exigíveis, a responsabilidade pelos respectivos pagamentos e estabelecerão a remuneração do titular
dos direitos de programa de computador residente ou domiciliado no exterior.
§ 1° Serão nulas as cláusulas que:
I - limitem a produção, a distribuição ou a comercialização, em violação às disposições
normativas em vigor;
II - eximam qualquer dos contratantes das responsabilidades por eventuais ações de
terceiros, decorrentes de vícios, defeitos ou violação de direitos de autor.
§ 2° O remetente do correspondente valor em moeda estrangeira, em pagamento da
remuneração de que se trata, conservará em seu poder, pelo prazo de cinco anos, todos os
documentos necessários à comprovação da licitude das remessas e da sua conformidade ao caput
deste artigo.
Art. 11. Nos casos de transferência de tecnologia de programa de computador, o
Instituto Nacional da Propriedade Industrial fará o registro dos respectivos contratos, para que
produzam efeitos em relação a terceiros.
Parágrafo único. Para o registro de que trata este artigo, é obrigatória a entrega, por
parte do fornecedor ao receptor de tecnologia, da documentação completa, em especial do código-
fonte comentado, memorial descritivo, especificações funcionais internas, diagramas, fluxogramas e
outros dados técnicos necessários à absorção da tecnologia.
Capítulo V
DAS INFRAÇÕES E DAS PENALIDADES
Art. 12. Violar direitos de autor de programa de computador:
Pena - Detenção de seis meses a dois anos ou multa.
§ 1° Se a violação consistir na reprodução, por qualquer meio, de programa de
computador, no todo ou em parte, para fins de comércio, sem autorização expressa do autor ou de
quem o represente:
Pena - Reclusão de um a quatro anos e multa.
§ 2° Na mesma pena do parágrafo anterior incorre quem vende, expõe à venda, introduz
no País, adquire, oculta ou tem em depósito, para fins de comércio, original ou cópia de programa
de computador, produzido com violação de direito autoral.
§ 3° Nos crimes previstos neste artigo, somente se procede mediante queixa, salvo:
77
I - quando praticados em prejuízo de entidade de direito público, autarquia, empresa
pública, sociedade de economia mista ou fundação instituída pelo poder público;
II - quando, em decorrência de ato delituoso, resultar sonegação fiscal, perda de
arrecadação tributária ou prática de quaisquer dos crimes contra a ordem tributária ou contra as
relações de consumo.
§ 4° No caso do inciso II do parágrafo anterior, a exigibilidade do tributo, ou
contribuição social e qualquer acessório, processar-se-á independentemente de representação.
Art. 13. A ação penal e as diligências preliminares de busca e apreensão, nos casos de
violação de direito de autor de programa de computador, serão precedidas de vistoria, podendo o
juiz ordenar a apreensão das cópias produzidas ou comercializadas com violação de direito de autor,
suas versões e derivações, em poder do infrator ou de quem as esteja expondo, mantendo em
depósito, reproduzindo ou comercializando.
Art. 14. Independentemente da ação penal, o prejudicado poderá intentar ação para
proibir ao infrator a prática do ato incriminado, com cominação de pena pecuniária para o caso de
transgressão do preceito.
§ 1° A ação de abstenção de prática de ato poderá ser cumulada com a de perdas e
danos pelos prejuízos decorrentes da infração.
§ 2° Independentemente de ação cautelar preparatória, o juiz poderá conceder medida
liminar proibindo ao infrator a prática do ato incriminado, nos termos deste artigo.
§ 3° Nos procedimentos cíveis, as medidas cautelares de busca e apreensão observarão
o disposto no artigo anterior.
§ 4° Na hipótese de serem apresentadas, em juízo, para a defesa dos interesses de
qualquer das partes, informações que se caracterizem como confidenciais, deverá o juiz determinar
que o processo prossiga em segredo de justiça, vedado o uso de tais informações também à outra
parte para outras finalidades.
§ 5° Será responsabilizado por perdas e danos aquele que requerer e promover as
medidas previstas neste e nos arts. 12 e 13, agindo de má-fé ou por espírito de emulação, capricho
ou ato grosseiro, nos termos dos arts.16, 17 e 18 do Código de Processo Civil.
Capítulo VI
DISPOSIÇÕES FINAIS
Art. 15. Esta Lei entra em vigor na data de sua publicação.
Art. 16. Fica revogada a Lei n° 7.646, de 18 de dezembro de 1987.
Brasília, 16 de fevereiro de 1998; 177º da Independência e 110° da República.
FERNANDO HENRIQUE CARDOSO
José Israel Varras
FONTE: Publicação DOU, de 20/02/98.
78
DECRETO Nº 2.556, DE 20 DE ABRIL DE 1998
Regulamenta o registro previsto no art. 3º da Lei nº
9.609, de 19 de fevereiro de 1998, que dispõe sobre a
proteção da propriedade intelectual de programa de
computador, sua comercialização no País, e dá outras
providências.
O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o art. 84,
inciso IV, da Constituição, e tendo em vista o disposto no art. 3º da Lei nº 9.609, de 19 de fevereiro
de 1998,
DECRETA:
Art. 1º Os programas de computador poderão, a critério do titular dos respectivos
direitos, ser registrados no Instituto Nacional da Propriedade Industrial - INPI.
§ 1º O pedido de registro de que trata este artigo deverá conter, pelo menos, as seguintes
informações:
I - os dados referentes ao autor do programa de computador e ao titular, se distinto do
autor, sejam pessoas físicas ou jurídicas;
II - a identificação e descrição funcional do programa de computador; e
III - os trechos do programa e outros dados que se considerar suficientes para identificá-
lo e caracterizar sua originalidade.
§ 2º As informações referidas no inciso III do parágrafo anterior são de caráter sigiloso,
não podendo ser reveladas, salvo por ordem judicial ou a requerimento do próprio titular.
Art. 2º A veracidade das informações de que trata o artigo anterior são de inteira
responsabilidade do requerente, não prejudicando eventuais direitos de terceiros nem acarretando
qualquer responsabilidade do Governo.
Art. 3º À cessão dos direitos de autor sobre programa de computador aplica-se o
disposto no art. 50 da Lei n° 9.610, de 19 de fevereiro de 1998.
Art. 4º Quando se tratar de programa de computador derivado de outro, nos termos do
art. 5° da Lei n° 9.609, de 19 de fevereiro de 1998, o requerente do registro deverá juntar o
instrumento pelo qual lhe foi autorizada a realização da derivação.
Art. 5º O INPI expedirá normas complementares regulamentando os procedimentos
relativos ao registro e à guarda das informações de caráter sigiloso, bem como fixando os valores
das retribuições que lhe serão devidas.
Art. 6º Este Decreto entra em vigor na data de sua publicação.
Brasília, 20 de abril de 1998; 177ºda Independência e 110º da República.
FERNANDO HENRIQUE CARIDOSO
José Israel Vargas
FONTE: Publicação DOU, de 22/04/98.
79
RESOLUÇÃO INPI nº 58, de 14 de julho de 1998
(Revogada pela Res. 1/2013/INPI/MDIC)
Estabelece normas e procedimentos relativos ao
registro de programas de computador
O PRESIDENTE DO INPI, no uso de suas atribuições,
RESOLVE
Estabelecer normas e procedimentos relativos ao registro de programas de computador,
na forma da Lei nº 9.609, de 19 de fevereiro de 1998, do Decreto nº 2.556, de 20 de abril de 1998 e
da Resolução nº 057, de 06 de julho de 1988, do Conselho Nacional de Direito Autoral - CNDA, na
forma abaixo:
DAS DISPOSIÇÕES GERAIS:
Art. 1ºO registro de programa de computador poderá ser solicitado ao INPI, para
segurança dos direitos autorais a ele relativos, imediatamente após sua data de criação.
§ 1º Para fins desta Resolução, considerar-se-á data de criação aquela em que o
programa tornou-se capaz de atender plenamente as funções para as quais foi concebido.
§ 2º Na inexistência de informação comprovável, poderá o requerente indicar como data
de criação a data do depósito do pedido de registro.
Art. 2ºA proteção às criações intelectuais de outras naturezas do direito de autor,
constantes de um programa de computador, desde que constituam com este um único produto e
assim seja utilizado, poderá ser objeto do registro disciplinado nesta Resolução, devendo, para isso,
além de atender às disposições aqui estabelecidas quanto ao registro do programa "em si", serem
apresentado documentos que caracterizem as obras das demais naturezas, obedecendo as
prescrições específicas definidas pelos respectivos órgãos registrais.
Art. 3ºOs programas de computador poderão ser registrados coletivamente desde que
constituam um conjunto técnico e comercialmente indivisível, destinado a aplicação específica,
recebendo neste caso um único número de registro.
DO PEDIDO DE REGISTRO:
Art. 4º O pedido de registro, dirigido ao INPI mediante requerimento próprio, será
constituído por: documentação formal e documentação técnica.
§ 1º A documentação formal consistirá de: I. o nome, pseudônimo ou sinal
convencional que identifique o autor, ou autores, além dos respectivos endereços, data de
nascimento e CPF; o nome, endereço e CPF, ou CGC, de quem deterá os direitos patrimoniais sobre
o programa; a data de criação; o Título; a indicação das linguagens de programação utilizadas no
desenvolvimento do programa; o comprovante de recolhimento da retribuição pelos serviços
relativos ao registro; a descrição funcional do programa e procuração, se houver; II. quando o
detentor dos direitos patrimoniais não for o autor, deverão ser apresentados documentos probatórios
da transferência desses direitos, que podem ser: contrato de trabalho ou de prestação de serviços ou
termo de cessão; III. nos casos de derivações ou modificações tecnológicas, autorização do autor do
programa original, que deve ser identificado pelo Título, e limite desta se houver; IV. nos casos dos
programas de computador previstos no artigo 2º, a documentação referente a obras de outras
naturezas constará da documentação formal; V. o Título do programa de computador não poderá ser
descritivo e nem evocativo da função executada.
80
§ 2º A documentação técnica será composta pela listagem integral, ou parcial, do
programa-fonte e, ainda, memorial descritivo; especificações funcionais internas; fluxogramas e
outros dados capazes de identificar e caracterizar a originalidade do programa.
§ 3º A documentação técnica ficará sob guarda sigilosa, tornando-se, o INPI, seu fiel
depositário, cabendo-lhe inteira responsabilidade no caso de quebra de sigilo que,
comprovadamente, ocorra no âmbito da instituição.
§ 4º O sigilo sobre a documentação técnica só será levantado em atendimento a ordem
judicial ou a requerimento do titular do registro.
§ 5º Tanto a documentação técnica quanto a documentação formal, que instruem os
pedidos de registro, a partir do ato do depósito, passam a constituir o acervo de documentação do
INPI.
Art. 5º O termo de cessão de direitos patrimoniais sobre programas de computador,
apresentado no ato do pedido de registro, ou posteriormente a este através pertinente petição, deverá
conter, além das qualificações completas de cedente e cessionário, a definição dos direitos objeto da
cessão e suas condições de exercício quanto ao tempo, lugar e às condições de remuneração.
Parágrafo único. Para segurança do cedente e do cessionário, a cessão de direitos patrimoniais sobre
programas de computador poderá ser averbada à margem do registro a que se refere a presente
Resolução.
Art. 6º Qualquer co-autor poderá apresentar o pedido de registro de programa de
computador, pessoalmente ou representado por procurador investido de poderes especiais, devendo,
neste caso, a procuração integrar a documentação formal de que trata o § 1º do artigo 4º.
Art. 7º O requerente domiciliado no exterior deverá constituir procurador domiciliado
no Brasil, com poderes para representá-lo e receber notificações administrativas e citações judiciais,
desde a data de entrada do pedido de registro, durante o período de vigência do mesmo.
§ 1º É dispensada a autenticação consular em documento estrangeiro, respondendo o
depositante pela regularidade do mesmo.
§ 2º A qualquer tempo, poderá o INPI exigir a providência de que trata o parágrafo
anterior, se julgada necessária a esclarecimentos, em casos específicos.
§ 3º Os documentos em língua estrangeira deverão ser acompanhados das respectivas
traduções, feitas por tradutor juramentado.
Art. 8º Fica instituído por esta Resolução o "Manual do Usuário para Registro de
Software", que definirá os formulários próprios para a apresentação dos pedidos de registro e
petições, contendo ainda instruções pormenorizadas de como preenchê-los e apresentar tais
requerimentos, bem como toda a legislação e normatização nacional aplicáveis à matéria.
Art. 9º Obedecidas as instruções constantes desta Resolução e do "Manual do Usuário",
o pedido de registro de programa de computador poderá ser entregue diretamente na Sede do INPI
ou em suas Delegacias ou Representações estaduais ou remetido pela via postal.
§ 1º Caso entregue nas Delegacias ou Representações, será emitido um protocolo
provisório até que seja fornecido o número de registro pela unidade responsável pela prestação dos
serviços.
§ 2º Se for utilizada via postal, isto deverá ser feito através de um tipo de serviço que
forneça um protocolo de entrega da documentação e que garanta a sua inviolabilidade.
DO REGISTRO:
Art. 10° O programa de computador é considerado registrado assim que for expedido o
Certificado de Registro.
81
Art. 11° No caso de eventuais incorreções observadas quando do exame da
registrabilidade do pedido de registro, serão formuladas as exigências necessárias ao saneamento da
instrução do pedido.
§ 1º O exame da registrabilidade, restringir-se-á a garantir que estejam estritamente
observados os aspectos relacionados com a documentação formal , tal como previsto no § 1º do
artigo 4º.
§ 2º O prazo para o cumprimento das exigências eventualmente formuladas será de 60
(sessenta) dias, contados a partir do recebimento da respectiva notificação.
§ 3º As exigências não cumpridas, ou contestadas, no prazo acima previsto serão objeto
de reiteração por até duas vezes, de modo a satisfazer as condições legais estipuladas, implicando a
cobrança de acréscimos nas respectivas retribuições. (Revogado pela Resolução
201/2009/INPI/MDIC)
§ 4º Após a segunda reiteração da exigência, a não manifestação do titular será
considerada como renúncia do registro, nos termos do § único do artigo 12. (Revogado pela
Resolução 201/2009/INPI/MDIC)
Art. 12 Apresentado o pedido de registro, os documentos que o instituíram não serão
objeto de devolução, a não ser nos casos em que, enviados por via postal, cheguem ao INPI com
sinais de violação do conteúdo. Parágrafo único. A apresentação de requerimento de renúncia do
registro apenas implicará a cessação, a partir daí, de qualquer ônus para o requerente decorrente de
providências administrativas posteriores, não cabendo entretanto a devolução de quaisquer dos
documentos ou emolumentos necessários à instrução do processo.
Art. 13 Após o exame da registrabilidade será publicada a decisão sobre o pedido de
registro na Revista da propriedade Industrial, Seção I, cabendo, a partir daí, recurso, no prazo de 60
(sessenta) dias, devendo ser dirigido ao Presidente do INPI.
§ 1º Interposto recurso contra o deferimento, este só será conhecido se as alegações
versarem estritamente sobre aspectos envolvendo a documentação formal, cabendo então ao INPI
dar ciência do teor das alegações apresentadas ao Titular do registro, que terá um prazo de 30
(trinta) dias, contados da data de recebimento da notificação, para apresentar manifestação.
§ 2º A procedência do recurso implicará publicação da reforma da decisão anterior.
§ 3º Se, da decisão proferida quanto à interposição de recurso, restar comprovada a
titularidade de direitos para o recorrente, para que o registro seja atribuído a este, será necessária a
apresentação de novo depósito, seguindo todas as disposições estabelecidas nesta Resolução.
Art. 14 Decorrido o prazo de apresentação de recursos, os pedidos deferidos serão
objeto da expedição do competente Certificado de Registro, onde constarão: o número do registro; o
nome do autor, o nome ou razão social do titular dos direitos patrimoniais; os períodos de vigência
dos direitos e de guarda sigilosa da documentação técnica e outras informações consideradas
pertinentes pelo INPI. Parágrafo Único. No caso dos registros definidos no artigo 2º, a duração dos
direitos relativos às obras das demais naturezas do Direito do Autor, será devidamente apostilada no
Certificado de Registro, obedecendo às prescrições da legislação específica.
DAS COMUNICAÇÕES:
Art. 15 Todas as comunicações, incluindo a remessa do Certificado de Registro, far-se-
ão por carta registrada dirigida ao requerente, ou a seu representante legal, com Aviso de
Recebimento, sendo de sua exclusiva responsabilidade as decorrências do não recebimento das
correspondências, em conseqüência de mudança de endereço que não tenha sido comunicada ao
INPI pela via própria.
82
Art. 16 A comunicação a terceiros, dos atos e despachos relativos ao registro de
programas de computador, será feita através de publicações específicas na Revista da Propriedade
Industrial, Seção I. DO SIGILO: (Revogado pela Resolução 201/2009/INPI/MDIC)
Art. 17 Para garantir o sigilo da documentação técnica que instrua os registros, o INPI
adotará invólucro especial para a embalagem e remessa da mesma, conjuntamente com a
documentação formal, o qual inclusive deverá permitir a remessa via postal dos aludidos
documentos.
§ 1º Da documentação técnica, deverão ser entregues duas vias de igual teor, sendo que
a primeira via ficará sob guarda sigilosa no INPI, em arquivo de segurança.
§ 2º A segunda via da documentação técnica, que será devolvida ao requerente
imediatamente após a entrega do pedido de registro, ficará sob a responsabilidade do titular do
registro, deverá ser guardada também inviolada, de modo a permitir, em caso de ocorrência de
sinistro, a recomposição do arquivo do Instituto.
§ 3º O titular do registro poderá, em caso de extravio da via da documentação técnica,
valer-se da prerrogativa de levantamento do sigilo garantida pela Lei nº 9.609, de 20 de fevereiro de
1998, para solicitar cópia da documentação em poder do INPI, a qual, atendida a solicitação, se do
interesse do interessado, voltará a ser arquivada sob guarda sigilosa.
§ 4º No caso de necessidade de recomposição do arquivo do INPI, conforme previsto no
parágrafo anterior, a apresentação da cópia da documentação técnica sob a guarda do titular do
registro com sinal de violação ou sua inexistência, implicará o cancelamento do registro.
Art. 18 Quando do depósito do pedido de registro , a correspondente retribuição dará
direito a 10 (dez) anos de guarda sigilosa para a documentação técnica.
§ 1ºA cada decênio decorrido da data de entrada do pedido de registro, o titular será
devidamente notificado a fim de recolher, em um prazo 60 (sessenta) dias contados do recebimento
da notificação, a retribuição relativa à prorrogação do prazo de sigilo.
§ 2º A petição requerendo a prorrogação do prazo de sigilo para a documentação
técnica, deverá ser instruída, além do comprovante de recolhimento da devida retribuição, com o
Certificado de Registro anteriormente expedido.
§ 3º A não manifestação do titular do registro, cientificado de acordo com o parágrafo
anterior, pela não comprovação do recolhimento da retribuição relativa à continuidade do regime de
guarda sigilosa para a documentação formal, eqüivalerá à solicitação de levantamento do sigilo.
Art. 19 O levantamento do sigilo, de que trata o § 4º do artigo 4º, implicará as seguintes
providências por parte do INPI: I. no caso de requerimento do titular, a documentação técnica será
aberta na presença deste e, atestada a não violação do conteúdo, integrar-se-á à documentação
formal, junto ao processo de instrução do registro, ou, caso tal solicitação destine-se ao
fornecimento de segunda via e for do interesse do titular, poderá retornar o regime sigiloso. II. no
caso de ordem judicial, a documentação técnica será aberta na presença de oficial de justiça, que
atestará a não violação do conteúdo, e será extraída cópia reprográfica para instrução do
procedimento judicial, retornando os originais ao arquivo de segurança.
DAS RETRIBUIÇÕES:
Art. 20 As retribuições pelos serviços de registro de programas de computador, que
terão seus valores determinados observando-se o critério de preço público, serão estabelecidas, em
Tabela específica, por ato de exclusiva competência do Presidente do INPI.
Art. 21 A prestação de quaisquer serviços decorrentes das disposições desta Resolução,
caso não haja a devida comprovação do recolhimento das correspondentes retribuições, mesmo que
o registro venha a ser objeto de desistência ou renúncia, acarretará a inscrição em dívida ativa.
83
DAS DISPOSIÇÕES FINAIS:
Art. 22 O INPI poderá funcionar como árbitro em questões que envolvam direitos
autorais sobre programas de computador. Parágrafo único. O INPI só exercerá a função prevista no
"caput" deste artigo desde que a atinente solicitação seja formulada, pela via própria, e inexista
qualquer procedimento judicial correspondente. (Revogado pela Resolução 201/2009/INPI/MDIC)
Art. 23 O INPI poderá solicitar o pronunciamento de outros órgãos do Poder Executivo,
especialmente do Ministério responsável pela política de informática, para instruir os procedimentos
previstos nos artigos 13 e 20 desta Resolução.
Art. 24 A manifestação do INPI quanto às matérias tratadas na presente Resolução dar-
se-á no prazo máximo de 90 (noventa) dias, contados da data de protocolo do respectivo
requerimento.
§ 1º As manifestações com respeito a requerimentos devidamente protocolados, deverão
ser convenientemente fundamentadas e o decurso de prazo, no caso de pedido de registro, entender-
se-á como o deferimento do mesmo. (Revogado pela Resolução 201/2009/INPI/MDIC)
§ 2º Durante os prazos concedidos para o cumprimento de exigências, interposição de
recursos ou para uma eventual manifestação de outro órgão do Poder Executivo, ficará suspensa a
contagem do prazo previsto no "caput" deste artigo.
Art. 25 Os pedidos de registro solicitados antes da entrada em vigor desta Resolução,
mas ainda em processamento, mesmo que depositados antes da vigência da Lei nº 9.609, de 19 de
fevereiro de 1998, já terão seus Certificados de Registro emitidos com o prazo de vigência de
direitos de cinqüenta anos, contados de 01 de janeiro do ano seguinte ao da data de criação do
programa.
§ 1º Nos casos previstos neste artigo, será considerada como data de criação a data de
conclusão do programa ou, na falta desta, a data de lançamento.
§ 2º Para as eventuais correções dos valores das retribuições pelos serviços, nos casos
dos pedidos de registro em andamento, serão formuladas exigências.
§ 3º No caso de formulação de exigências nos pedidos tratados no "caput" deste artigo,
desde que estas estejam restritas à atualização dos valores de retribuição àqueles constantes da
Tabela anexa a esta Resolução, será dispensado o recolhimento do valor referente ao cumprimento
de exigência.
Art. 26 Os registros já concedidos, também serão objeto de atualização dos prazos de
validade dos direitos, consoante o estabelecimento pela Lei nº 9.609, de 19 de fevereiro de 1998.
§ 1º A atualização dos registros já concedidos será operacionalizada, pela ordem
cronológica e anual dos mesmos, a começar pelo ano de 1998, através de convocação individual,
por carta registrada, com aviso de recebimento.
§ 2º As necessárias harmonizações dos anteriores prazos de sigilo, qüinqüenais, aos
períodos decenais estabelecidos nesta Resolução, serão realizadas consentaneamente à atualização
dos prazos de vigência dos direitos, sendo que os respectivos valores para as retribuições serão
calculadas pelo critério "pro rata tempore".
Art. 27 Esta resolução entrará em vigor na data de sua publicação.
Art. 28 Ficam revogadas as disposições em contrário, especialmente o Ato Normativo
nº 95, de 05 de dezembro de 1988 e o Ato Normativo nº 122, de 29 de dezembro de 1993.
JORGE MACHADO
Presidente do INPI
FONTE: www.inpi.gov.br.
84
DECRETO Nº 3.294, DE 15 DE DEZEMBRO DE 1999
Institui o Programa Sociedade da Informação e dá
outras providências.
O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o art. 84,
inciso VI, da Constituição,
DECRETA:
Art. 1º Fica instituído o Programa Sociedade da Informação, com o objetivo de
viabilizar a nova geração da Internet e suas aplicações em benefício da sociedade brasileira.
Art. 2º O Ministério da Ciência e Tecnologia será o responsável pela coordenação das
atividades e da execução do Programa.
Art. 3º Este Decreto entra em vigor na data de sua publicação.
Brasília, 15 de dezembro de 1999; 178º da Independência e 111º da República.
FERNANDO HENRIQUE CARDOSO
Ronaldo Mota Sardenberg
FONTE: Publicação DOU, de 16/12/99.
85
DECRETO N° 3.505, DE 13 DE JUNHO DE 2000
Institui a Política de Segurança da Informação nos
órgãos e entidades da Administração Pública Federal.
O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o art. 84,
inciso IV, da Constituição, e tendo em vista o disposto na Lei no 8.159, de 8 de janeiro de 1991, e
no Decreto no 2.910, de 29 de dezembro de 1998,
DECRETA:
Art. 1o Fica instituída a Política de Segurança da Informação nos órgãos e nas entidades
da Administração Pública Federal, que tem como pressupostos básicos:
I - assegurar a garantia ao direito individual e coletivo das pessoas, à inviolabilidade da
sua intimidade e ao sigilo da correspondência e das comunicações, nos termos previstos na
Constituição;
II - proteção de assuntos que mereçam tratamento especial;
III - capacitação dos segmentos das tecnologias sensíveis;
IV - uso soberano de mecanismos de segurança da informação, com o domínio de
tecnologias sensíveis e duais;
V - criação, desenvolvimento e manutenção de mentalidade de segurança da informação;
VI - capacitação científico-tecnológica do País para uso da criptografia na segurança e
defesa do Estado; e
VII - conscientização dos órgãos e das entidades da Administração Pública Federal
sobre a importância das informações processadas e sobre o risco da sua vulnerabilidade.
Art. 2o Para efeitos da Política de Segurança da Informação, ficam estabelecidas as
seguintes conceituações:
I - Certificado de Conformidade: garantia formal de que um produto ou serviço,
devidamente identificado, está em conformidade com uma norma legal;
II - Segurança da Informação: proteção dos sistemas de informação contra a negação de
serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de
dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a
segurança dos recursos humanos, da documentação e do material, das áreas e instalações das
comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar
eventuais ameaças a seu desenvolvimento.
Art. 3o São objetivos da Política da Informação:
I - dotar os órgãos e as entidades da Administração Pública Federal de instrumentos
jurídicos, normativos e organizacionais que os capacitem científica, tecnológica e
administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o não-repúdio e
a disponibilidade dos dados e das informações tratadas, classificadas e sensíveis;
II - eliminar a dependência externa em relação a sistemas, equipamentos, dispositivos e
atividades vinculadas à segurança dos sistemas de informação;
III - promover a capacitação de recursos humanos para o desenvolvimento de
competência científico-tecnológica em segurança da informação;
IV - estabelecer normas jurídicas necessárias à efetiva implementação da segurança da
informação;
V - promover as ações necessárias à implementação e manutenção da segurança da
informação;
86
VI - promover o intercâmbio científico-tecnológico entre os órgãos e as entidades da
Administração Pública Federal e as instituições públicas e privadas, sobre as atividades de
segurança da informação;
VII - promover a capacitação industrial do País com vistas à sua autonomia no
desenvolvimento e na fabricação de produtos que incorporem recursos criptográficos, assim como
estimular o setor produtivo a participar competitivamente do mercado de bens e de serviços
relacionados com a segurança da informação; e
VIII - assegurar a interoperabilidade entre os sistemas de segurança da informação.
Art. 4o Para os fins deste Decreto, cabe à Secretaria-Executiva do Conselho de Defesa
Nacional, assessorada pelo Comitê Gestor da Segurança da Informação de que trata o art. 6o, adotar
as seguintes diretrizes:
I - elaborar e implementar programas destinados à conscientização e à capacitação dos
recursos humanos que serão utilizados na consecução dos objetivos de que trata o artigo anterior,
visando garantir a adequada articulação entre os órgãos e as entidades da Administração Pública
Federal;
II - estabelecer programas destinados à formação e ao aprimoramento dos recursos
humanos, com vistas à definição e à implementação de mecanismos capazes de fixar e fortalecer as
equipes de pesquisa e desenvolvimento, especializadas em todos os campos da segurança da
informação;
III - propor regulamentação sobre matérias afetas à segurança da informação nos órgãos
e nas entidades da Administração Pública Federal;
IV - estabelecer normas relativas à implementação da Política Nacional de
Telecomunicações, inclusive sobre os serviços prestados em telecomunicações, para assegurar, de
modo alternativo, a permanente disponibilização dos dados e das informações de interesse para a
defesa nacional;
V - acompanhar, em âmbito nacional e internacional, a evolução doutrinária e
tecnológica das atividades inerentes à segurança da informação;
VI - orientar a condução da Política de Segurança da Informação já existente ou a ser
implementada;
VII - realizar auditoria nos órgãos e nas entidades da Administração Pública Federal,
envolvidas com a política de segurança da informação, no intuito de aferir o nível de segurança dos
respectivos sistemas de informação;
VIII - estabelecer normas, padrões, níveis, tipos e demais aspectos relacionados ao
emprego dos produtos que incorporem recursos critptográficos, de modo a assegurar a
confidencialidade, a autenticidade, a integridade e o não-repúdio, assim como a interoperabilidade
entre os Sistemas de Segurança da Informação;
IX - estabelecer as normas gerais para o uso e a comercialização dos recursos
criptográficos pelos órgãos e pelas entidades da Administração Pública Federal, dando-se
preferência, em princípio, no emprego de tais recursos, a produtos de origem nacional;
X - estabelecer normas, padrões e demais aspectos necessários para assegurar a
confidencialidade dos dados e das informações, em vista da possibilidade de detecção de emanações
eletromagnéticas, inclusive as provenientes de recursos computacionais;
XI - estabelecer as normas inerentes à implantação dos instrumentos e mecanismos
necessários à emissão de certificados de conformidade no tocante aos produtos que incorporem
recursos criptográficos;
XII - desenvolver sistema de classificação de dados e informações, com vistas à garantia
dos níveis de segurança desejados, assim como à normatização do acesso às informações;
XIII - estabelecer as normas relativas à implementação dos Sistemas de Segurança da
Informação, com vistas a garantir a sua interoperabilidade e a obtenção dos níveis de segurança
desejados, assim como assegurar a permanente disponibilização dos dados e das informações de
interesse para a defesa nacional; e
87
XIV - conceber, especificar e coordenar a implementação da infra-estrutura de chaves
públicas a serem utilizadas pelos órgãos e pelas entidades da Administração Pública Federal.
Art. 5o À Agência Brasileira de Inteligência - ABIN, por intermédio do Centro de
Pesquisa e Desenvolvimento para a Segurança das Comunicações - CEPESC, competirá:
I - apoiar a Secretaria-Executiva do Conselho de Defesa Nacional no tocante a
atividades de caráter científico e tecnológico relacionadas à segurança da informação; e
II - integrar comitês, câmaras técnicas, permanentes ou não, assim como equipes e
grupos de estudo relacionados ao desenvolvimento das suas atribuições de assessoramento.
Art. 6o Fica instituído o Comitê Gestor da Segurança da Informação, com atribuição de
assessorar a Secretaria-Executiva do Conselho de Defesa Nacional na consecução das diretrizes da
Política de Segurança da Informação nos órgãos e nas entidades da Administração Pública Federal,
bem como na avaliação e análise de assuntos relativos aos objetivos estabelecidos neste Decreto.
Art. 7o O Comitê será integrado por um representante de cada Ministério e órgãos a
seguir indicados:
I - Ministério da Justiça;
II - Ministério da Defesa;
III - Ministério das Relações Exteriores;
IV - Ministério da Fazenda;
V - Ministério da Previdência Social; (Redação dada pelo Decreto 8097/2013)
VI - Ministério da Saúde;
VII - Ministério do Desenvolvimento, Indústria e Comércio Exterior;
VIII - Ministério do Planejamento, Orçamento e Gestão;
IX - Ministério das Comunicações;
X - Ministério da Ciência, Tecnologia e Inovação; (Redação dada pelo Decreto
8097/2013)
XI - Casa Civil da Presidência da República; e
XII - Gabinete de Segurança Institucional da Presidência da República, que o
coordenará; (Redação dada pelo Decreto 8097/2013)
XIII – Secretaria de Comunicação Social da Presidência da República. (NR) (Redação
dada pelo Decreto 8097/2013)
XIV – Ministério de Minas e Energia; (Redação dada pelo Decreto 8097/2013)
XV – Controladoria-Geral da União; (Redação dada pelo Decreto 8097/2013)
XVI – Advocacia-Geral da União; (Redação dada pelo Decreto 8097/2013)
XVII – Secretaria-Geral da Presidência da República. (Acrescentado pelo Decreto
8097/2013)
§ 1o Os membros do Comitê Gestor serão designados pelo Chefe do Gabinete de
Segurança Institucional da Presidência da República, mediante indicação dos titulares dos
Ministérios e órgãos representados.
§ 2o Os membros do Comitê Gestor não poderão participar de processos similares de
iniciativa do setor privado, exceto nos casos por ele julgados imprescindíveis para atender aos
interesses da defesa nacional e após aprovação pelo Gabinete de Segurança Institucional da
Presidência da República.
§ 3o A participação no Comitê não enseja remuneração de qualquer espécie, sendo
considerada serviço público relevante.
§ 4o A organização e o funcionamento do Comitê serão dispostos em regimento interno
por ele aprovado.
§ 5o Caso necessário, o Comitê Gestor poderá propor a alteração de sua composição.
88
Art. 8o Este Decreto entra em vigor na data de sua publicação.
Brasília, 13 de junho de 2000; 179o da Independência e 112o da República.
FERNANDO HENRIQUE CARDOSO
José Gregori
Geraldo Magela da Cruz Quintão
Luiz Felipe Lampreia
Pedro Malan
Waldeck Ornélas
José Serra
Alcides Lopes Tápias
Martus Tavares
Pimenta da Veiga
Ronaldo Mota Sardenberg
Pedro Parente
Alberto Mendes Cardoso
FONTE: Publicação DOU, de 14/06/2000.
89
LEI Nº 9.983, DE 14 DE JULHO DE 2000
Altera o Decreto-Lei nº 2.848, de 7 de dezembro de
1940 - Código Penal e dá outras providências.
O PRESIDENTE DA REPÚBLICA
Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei:
Art. 1º São acrescidos à Parte Especial do Decreto-Lei n° 2.848, de 7 de dezembro de
1940 - Código Penal, os seguintes dispositivos:
"Apropriação indébita previdenciária" (AC)*
"Art. 168-A. Deixar de repassar à previdência social as contribuições recolhidas dos
contribuintes, no prazo e forma legal ou convencional:" (AC)
"Pena - reclusão, de 2 (dois) a 5 (cinco) anos, e multa." (AC)
"§ 1º Nas mesmas penas incorre quem deixar de:" (AC)
"I - recolher, no prazo legal, contribuição ou outra importância destinada à previdência
social que tenha sido descontada de pagamento efetuado a segurados, a terceiros ou arrecadada do
público;" (AC)
"II - recolher contribuições devidas à previdência social que tenham integrado despesas
contábeis ou custos relativos à venda de produtos ou à prestação de serviços;" (AC)
"III - pagar benefício devido a segurado, quando as respectivas cotas ou valores já
tiverem sido reembolsados à empresa pela previdência social." (AC)
"§ 2º É extinta a punibilidade se o agente, espontaneamente, declara, confessa e efetua o
pagamento das contribuições, importâncias ou valores e presta as informações devidas à
previdência social, na forma definida em lei ou regulamento, antes do início da ação fiscal." (AC)
"§ 3º É facultado ao juiz deixar de aplicar a pena ou aplicar somente a de multa se o
agente for primário e de bons antecedentes, desde que:" (AC)
"I - tenha promovido, após o início da ação fiscal e antes de oferecida a denúncia, o
pagamento da contribuição social previdenciária, inclusive acessórios; ou" (AC)
"II - o valor das contribuições devidas, inclusive acessórios, seja igual ou inferior àquele
estabelecido pela previdência social, administrativamente, como sendo o mínimo para o
ajuizamento de suas execuções fiscais." (AC)
"Inserção de dados falsos em sistema de informações" (AC)
"Art. 313-A. Inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos,
alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da
Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou para causar
dano:" (AC)
90
"Pena - reclusão, de 2 (dois) a 12 (doze) anos, e multa." (AC)
"Modificação ou alteração não autorizada de sistema de informações" (AC)
"Art. 313-B. Modificar ou alterar, o funcionário, sistema de informações ou programa
de informática sem autorização ou solicitação de autoridade competente:" (AC)
"Pena - detenção, de 3 (três) meses a 2 (dois) anos, e multa." (AC)
"Parágrafo único. As penas são aumentadas de um terço até a metade se da modificação
ou alteração resulta dano para a Administração Pública ou para o administrado." (AC)
"Sonegação de contribuição previdenciária" (AC)
"Art. 337-A. Suprimir ou reduzir contribuição social previdenciária e qualquer
acessório, mediante as seguintes condutas:" (AC)
"I - omitir de folha de pagamento da empresa ou de documento de informações previsto
pela legislação previdenciária segurados empregado, empresário, trabalhador avulso ou trabalhador
autônomo ou a este equiparado que lhe prestem serviços;" (AC)
"II - deixar de lançar mensalmente nos títulos próprios da contabilidade da empresa as
quantias descontadas dos segurados ou as devidas pelo empregador ou pelo tomador de serviços;"
(AC)
"III - omitir, total ou parcialmente, receitas ou lucros auferidos, remunerações pagas ou
creditadas e demais fatos geradores de contribuições sociais previdenciárias:" (AC)
"Pena - reclusão, de 2 (dois) a 5 (cinco) anos, e multa." (AC)
"§ 1º É extinta a punibilidade se o agente, espontaneamente, declara e confessa as
contribuições, importâncias ou valores e presta as informações devidas à previdência social, na
forma definida em lei ou regulamento, antes do início da ação fiscal." (AC)
"§ 2º É facultado ao juiz deixar de aplicar a pena ou aplicar somente a de multa se o
agente for primário e de bons antecedentes, desde que:" (AC)
"I - (VETADO)"
"II - o valor das contribuições devidas, inclusive acessórios, seja igual ou inferior àquele
estabelecido pela previdência social, administrativamente, como sendo o mínimo para o
ajuizamento de suas execuções fiscais." (AC)
"§ 3º Se o empregador não é pessoa jurídica e sua folha de pagamento mensal não
ultrapassa R$ 1.510,00 (um mil, quinhentos e dez reais), o juiz poderá reduzir a pena de um terço
até a metade ou aplicar apenas a de multa." (AC)
"§ 4º O valor a que se refere o parágrafo anterior será reajustado nas mesmas datas e nos
mesmos índices do reajuste dos benefícios da previdência social." (AC)
91
Art. 2º Os arts. 153, 296, 297, 325 e 327 do Decreto-Lei n° 2.848, de 1940, passam a
vigorar com as seguintes alterações:
"Art. 153. ................................................................."
"§ 1º -A. Divulgar, sem justa causa, informações sigilosas ou reservadas, assim
definidas em lei, contidas ou não nos sistemas de informações ou banco de dados da Administração
Pública:" (AC)
"Pena - detenção, de 1 (um) a 4 (quatro) anos, e multa." (AC)
"§ 1º (parágrafo único original)........................................."
"§ 2º Quando resultar prejuízo para a Administração Pública, a ação penal será
incondicionada." (AC)
"Art. 296. ........................................................."
"§ 1º ..............................................................
...................................................................."
"III - quem altera, falsifica ou faz uso indevido de marcas, logotipos, siglas ou quaisquer
outros símbolos utilizados ou identificadores de órgãos ou entidades da Administração Pública."
(AC)
"...................................................................."
"Art. 297. ..........................................................
....................................................................."
"§ 3º Nas mesmas penas incorre quem insere ou faz inserir:" (AC)
"I - na folha de pagamento ou em documento de informações que seja destinado a fazer
prova perante a previdência social, pessoa que não possua a qualidade de segurado obrigatório;"
(AC)
"II - na Carteira de Trabalho e Previdência Social do empregado ou em documento que
deva produzir efeito perante a previdência social, declaração falsa ou diversa da que deveria ter sido
escrita;" (AC)
"III - em documento contábil ou em qualquer outro documento relacionado com as
obrigações da empresa perante a previdência social, declaração falsa ou diversa da que deveria ter
constado." (AC)
"§ 4º Nas mesmas penas incorre quem omite, nos documentos mencionados no § 3º,
nome do segurado e seus dados pessoais, a remuneração, a vigência do contrato de trabalho ou de
prestação de serviços." (AC)
"Art. 325. ......................................................"
"§ 1º Nas mesmas penas deste artigo incorre quem:" (AC)
92
"I - permite ou facilita, mediante atribuição, fornecimento e empréstimo de senha ou
qualquer outra forma, o acesso de pessoas não autorizadas a sistemas de informações ou banco de
dados da Administração Pública;" (AC)
"II - se utiliza, indevidamente, do acesso restrito." (AC)
"§ 2º Se da ação ou omissão resulta dano à Administração Pública ou a outrem:" (AC)
"Pena - reclusão, de 2 (dois) a 6 (seis) anos, e multa." (AC)
"Art. 327. ....................................................."
"§ 1º Equipara-se a funcionário público quem exerce cargo, emprego ou função em
entidade paraestatal, e quem trabalha para empresa prestadora de serviço contratada ou conveniada
para a execução de atividade típica da Administração Pública." (NR)
".............................................................."
Art. 3º O art. 95 da Lei n° 8.212, de 24 de julho de 1991, passa a vigorar com a seguinte
redação:
"Art. 95. Caput. Revogado."
"a) revogada;"
"b) revogada;"
"c) revogada;"
"d) revogada;"
"e) revogada;"
"f) revogada;"
"g) revogada;"
"h) revogada;"
"i) revogada;"
"j) revogada."
"§ 1º Revogado."
"§ 2º ..........................................................."
"a) ............................................................."
"b) ............................................................."
"c) ............................................................."
93
"d) ............................................................."
"e) ............................................................."
"f) ............................................................."
"§ 3º Revogado."
"§ 4º Revogado."
"§ 5º Revogado."
Art. 4º Esta Lei entra em vigor noventa dias após a data de sua publicação.
Brasília, 14 de julho de 2000; 179º da Independência e 112º da República.
FERNANDO HENRIQUE CARDOSO
José Gregori
Waldeck Ornelas
FONTE: Publicação DOU, 17/07/2000.
94
DECRETO Nº 3.587, DE 5 DE SETEMBRO DE 2000
(Nota: revogado pelo Decreto 3.996/2001)
Estabelece normas para a Infra-Estrutura de Chaves
Públicas do Poder Executivo Federal - ICP-Gov, e dá
outras providências
O PRESIDENTE DA REPÚBLICA, no uso das atribuições que lhe confere o art. 84,
incisos IV e VI, da Constituição,
DECRETA:
Capítulo I
DISPOSIÇÕES PRELIMINARES
Art. 1º A Infra-Estrutura de Chaves Públicas do Poder Executivo Federal - ICP-Gov
será instituída nos termos deste Decreto.
Art. 2º A tecnologia da ICP-Gov deverá utilizar criptografia assimétrica para relacionar
um certificado digital a um indivíduo ou a uma entidade.
§ 1º A criptografia utilizará duas chaves matematicamente relacionadas, onde uma delas
é pública e, a outra, privada, para criação de assinatura digital, com a qual será possível a realização
de transações eletrônicas seguras e a troca de informações sensíveis e classificadas.
§ 2º A tecnologia de Chaves Públicas da ICP-Gov viabilizará, no âmbito dos órgãos e
das entidades da Administração Pública Federal, a oferta de serviços de sigilo, a validade, a
autenticidade e integridade de dados, a irrevogabilidade e irretratabilidade das transações
eletrônicas e das aplicações de suporte que utilizem certificados digitais.
Art. 3º A ICP-Gov deverá contemplar, dentre outros, o conjunto de regras e políticas a
serem definidas pela Autoridade de Gerência de Políticas - AGP, que visem estabelecer padrões
técnicos, operacionais e de segurança para os vários processos das Autoridades Certificadoras - AC,
integrantes da ICP-Gov.
Art. 4º Para garantir o cumprimento das regras da ICP-Gov, serão instituídos processos
de auditoria, que verifiquem as relações entre os requisitos operacionais determinados pelas
características dos certificados e os procedimentos operacionais adotados pelas autoridades dela
integrantes.
Parágrafo único. Além dos padrões técnicos, operacionais e de segurança, a ICP-Gov
definirá os tipos de certificados que podem ser gerados pelas AC.
Capítulo II
DA ORGANIZAÇÃO DA ICP-Gov
Art. 5º A arquitetura da ICP-Gov encontra-se definida no Anexo I a este Decreto.
Art. 6º À Autoridade de Gerência de Políticas - AGP, integrante da ICP-Gov, compete:
I - propor a criação da Autoridade Certificadora Raiz - AC Raiz;
II - estabelecer e administrar as políticas a serem seguidas pelas AC;
III - aprovar acordo de certificação cruzada e mapeamento de políticas entre a ICP-Gov
e outras ICP externas;
95
IV - estabelecer critérios para credenciamento das AC e das Autoridades de Registro -
AR;
V - definir a periodicidade de auditoria nas AC e AR e as sanções pelo descumprimento
de normas por ela estabelecidas;
VI - definir regras operacionais e normas relativas a:
a) Autoridade Certificadora - AC;
b) Autoridade de Registro - AR;
c) assinatura digital;
d) segurança criptográfica;
e) repositório de certificados;
f) revogação de certificados;
g) cópia de segurança e recuperação de chaves;
h) atualização automática de chaves;
i) histórico de chaves;
j) certificação cruzada;
l) suporte a sistema para garantia de irretratabilidade de transações ou de operações
eletrônicas;
m) período de validade de certificado;
n) aplicações cliente;
VII - atualizar, ajustar e revisar os procedimentos e as práticas estabelecidas para a ICP-
Gov, em especial da Política de Certificados - PC e das Práticas e Regras de Operação da
Autoridade Certificadora, de modo a garantir:
a) atendimento às necessidades dos órgãos e das entidades da Administração Pública
Federal;
b) conformidade com as políticas de segurança definidas pelo órgão executor da ICP-
Gov; e
c) atualização tecnológica.
Art. 7º Para assegurar a manutenção do grau de confiança estabelecido para a ICP-Gov,
as AC e AR deverão credenciar-se junto a AGP, de acordo com as normas e os critérios por esta
autoridade estabelecidos.
Art. 8º Cabe à AC Raiz a emissão e manutenção dos certificados das AC de órgãos e
entidades da Administração Pública Federal e das AC privadas credenciadas, bem como o
gerenciamento da Lista de Certificados Revogados - LCR.
Parágrafo único. Poderão ser instituídos níveis diferenciados de credenciamento para as
AC, de conformidade com a sua finalidade.
Art. 9º As AC devem prestar os seguintes serviços básicos:
I - emissão de certificados;
II - revogação de certificados;
III - renovação de certificados;
IV - publicação de certificados em diretório;
V - emissão de Lista de Certificados Revogados - LCR;
VI - publicação de LCR em diretório; e
VII - gerência de chaves criptográficas.
Parágrafo único. A disponibilização de certificados emitidos e de LCR atualizada será
proporcionada mediante uso de diretório seguro e de fácil acesso.
Art. 10. Cabe às AR:
96
I - receber as requisições de certificação ou revogação de certificado por usuários,
confirmar a identidade destes usuários e a validade de sua requisição e encaminhar esses
documentos à AC responsável;
II - entregar os certificados assinados pela AC aos seus respectivos solicitantes.
Capítulo III
DO MODELO OPERACIONAL
Art. 11. A emissão de certificados será precedida de processo de identificação do
usuário, segundo critérios e métodos variados, conforme o tipo ou em função do maior ou menor
grau de sua complexidade.
Art. 12. No processo de credenciamento das AC, deverão ser utilizados, além de
critérios estabelecidos pela AGP e de padrões técnicos internacionalmente reconhecidos, aspectos
adicionais relacionados a:
I - plano de contingência;
II - política e plano de segurança física, lógica e humana;
III - análise de riscos;
IV - capacidade financeira da proponente;
V - reputação e grau de confiabilidade da proponente e de seus gerentes;
VI - antecedentes e histórico no mercado; e
VII - níveis de proteção aos usuários dos seus certificados, em termos de cobertura
jurídica e seguro contra danos.
Parágrafo único. O disposto nos incisos IV a VII não se aplica aos credenciamentos de
AC Públicas.
Art. 13. Obedecidas às especificações da AGP, os órgãos e as entidades da
Administração Pública Federal poderão implantar sua própria ICP ou ofertar serviços de ICP
integrados à ICP-Gov.
Art. 14. A AC Privada, para prestar serviço à Administração Pública Federal, deve
observar as mesmas diretrizes da AC Governamental, salvo outras exigências que vierem a ser
fixadas pela AGP.
Capítulo IV
DA POLÍTICA DE CERTIFICAÇÃO
Art. 15. Serão definidos tipos de certificados, no âmbito da ICP-Gov, que atendam às
necessidades gerais da maioria das aplicações, de forma a viabilizar a interoperabilidade entre
ambientes computacionais distintos, dentro da Administração Pública Federal.
§ 1º Serão criados certificados de assinatura digital e de sigilo, atribuindo-se-lhes os
seguintes níveis de segurança, consoante o processo envolvido:
I - ultra-secretos;
II - secretos;
III - confidenciais;
IV - reservados; e
V - ostensivos.
§ 2º Os certificados, além de outros que a AGP poderá estabelecer, terão uso para:
I - assinatura digital de documentos eletrônicos;
II - assinatura de mensagem de correio eletrônico;
III - autenticação para acesso a sistemas eletrônicos; e
97
IV - troca de chaves para estabelecimento de sessão criptografada.
Art. 16. À AGP compete tomar as providências necessárias para que os documentos,
dados e registros armazenados e transmitidos por meio eletrônico, óptico, magnético ou similar
passem a ter a mesma validade, reconhecimento e autenticidade que se dá a seus equivalentes
originais em papel.
Capítulo V
DAS DISPOSIÇÕES FINAIS
Art. 17. Para instituição da ICP-Gov, deverá ser efetuado levantamento das demandas
existentes nos órgãos governamentais quanto aos serviços típicos derivados da tecnologia de
Chaves Públicas, tais como, autenticação, sigilo, integridade de dados e irretratabilidade das
transações eletrônicas.
Art. 18. O Glossário constante do Anexo II apresenta o significado dos termos e siglas
em português, que são utilizados no sistema de Chaves Públicas.
Art. 19. Compete ao Comitê Gestor de Segurança da Informação a concepção, a
especificação e a coordenação da implementação da ICP-Gov, conforme disposto no art.4°, inciso
XIV, do Decreto n° 3.505, de 13 de junho de 2000.
Art. 20. Fica estabelecido o prazo de cento e vinte dias, contados a partir da data de
publicação deste Decreto, para especificação, divulgação e início da implementação da ICP-Gov.
Art. 21. Implementados os procedimentos para a certificação digital de que trata este
Decreto, a Casa Civil da Presidência da República estabelecerá cronograma com vistas à
substituição progressiva do recebimento de documentos físicos por meios eletrônicos.
Art. 22. Este Decreto entra em vigor na data de sua publicação.
Brasília, 5 de setembro de 2000; 179º da Independência e 112º da República.
FERNANDO HENRIQUE CARDOSO
Guilherme Gomes Dias
(Nota: Anexo I publicado no DOU, 06/09/2000)
ANEXO II
GLOSSÁRIO
Autenticação
(Authentication)
Processo utilizado para confirmar a identidade de uma pessoa ou
entidade, ou para garantir a fonte de uma mensagem.
Autoridade Certificadora – AC
(Certification Authority – CA)
Entidade que emite certificados de acordo com as práticas definidas na
Declaração de Regras Operacionais - DRO. É comumente conhecida
por sua abreviatura - AC.
98
Autoridade Registradora – AR
(Registration Authority – RA)
Entidade de registro. Pode estar fisicamente localizada em uma AC ou
ser uma entidade de registro remota. É parte integrante de uma AC.
Assinatura Digital
(Digital Signature)
Transformação matemática de uma mensagem por meio da utilização de
uma função matemática e da criptografia assimétrica do resultado desta
com a chave privada da entidade assinante.
Autorização
(Authorization)
Obtenção de direitos, incluindo a habilidade de acessar uma informação
específica ou recurso de uma maneira específica.
Chave Privada
(Private Key)
Chave de um par de chaves mantida secreta pelo seu dono e usada no
sentido de criar assinaturas para cifrar e decifrar mensagens com as
Chaves Públicas correspondentes.
Certificado de Chave Pública
(Certificate)
Declaração assinada digitalmente por uma AC, contendo, no mínimo:
o nome distinto (DN – Distinguished Name) de uma AC, que emitiu o
certificado;
o nome distinto de um assinante para quem o certificado foi emitido;
a Chave Pública do assinante;
o período de validade operacional do certificado;
o número de série do certificado, único dentro da AC; e
uma assinatura digital da AC que emitiu o certificado com todas as
informações citadas acima.
Chave Pública
(Public Key)
Chave de um par de chaves criptográficas que é divulgada pelo seu
dono e usada para verificar a assinatura digital criada com a chave
privada correspondente ou, dependendo do algoritmo criptográfico
assimétrico utilizado, para cifrar e decifrar mensagens.
Cifração
(Encryption)
Processo de transformação de um texto original ("plaintext") em uma
forma incompreensível ("ciphertext") usando um algoritmo
criptográfico e uma chave criptográfica.
Credenciamento
(Accreditation)
Processo de aprovação de políticas e procedimentos de uma AC, de
forma que a mesma seja autorizada a participar de uma ICP.
Criptografia
(Cryptography)
Disciplina que trata dos princípios, meios e métodos para a
transformação de dados, de forma a proteger a informação contra acesso
não autorizado a seu conteúdo.
Criptografia de Chave Pública
(Public Key Cryptography) Tipo de criptografia que usa um par de chaves criptográficas
matematicamente relacionadas. As Chaves Públicas podem ficar
disponíveis para qualquer um que queira cifrar informações para o dono
da chave privada ou para verificação de uma assinatura digital criada
com a chave privada correspondente. A chave privada é mantida em
segredo pelo seu dono e pode decifrar informações ou gerar assinaturas
digitais.
Declaração de Regras Operacionais – Documento que contém as práticas e atividades que uma AC
99
DRO
(Certification Practice Statement
– CPS)
implementa para emitir certificados. É a declaração da entidade
certificadora a respeito dos detalhes do seu sistema de credenciamento e
as práticas e políticas que fundamentam a emissão de certificados e
outros serviços relacionados.
Emissão de Certificado
(Certificate Issuance)
Emissão de um certificado por uma AC após a validação de seus dados,
com a subseqüente notificação do requente sobre o conteúdo do
certificado.
Gerenciamento de Certificado
(Certificate Management) Ações tomadas por uma AC, baseadas na sua DRO após a emissão do
certificado, como armazenamento, disseminação e a subseqüente
notificação, publicação e renovação do certificado. Uma AC considera
certificados emitidos e aceitos como válidos a partir da sua publicação.
Infra-Estrutura de Chaves Públicas –
ICP
(Public Key Infrastructure – PKI)
Arquitetura, organização, técnicas, práticas e procedimentos que
suportam, em conjunto, a implementação e a operação de um sistema de
certificação baseado em criptografia de Chaves Públicas.
Integridade de Mensagem
(Message Integrity)
Garantia de que a mensagem não foi alterada durante a sua
transferência, do emissor da mensagem para o seu receptor.
Irretratabilidade
(Nonrepudiation) Garantia de que o emissor da mensagem não irá negar posteriormente a
autoria de uma mensagem ou participação em uma transação,
controlada pela existência da assinatura digital que somente ele pode
gerar.
Lista de Certificados Revogados – LCR
(Certification Revogation List –
CRL)
Lista dos números seriais dos certificados revogados, que é digitalmente
assinada e publicada em um repositório. A lista contém ainda a data da
emissão do certificado revogado e outras informações, tais como as
razões específicas para a sua revogação.
Mensagem
(Message) Registro contendo uma representação digital da informação, como um
dado criado, enviado, recebido e guardado em forma eletrônica.
Par de Chaves
(Key Pair) Chaves privada e pública de um sistema criptográfico assimétrico. A
Chave Privada e sua Chave Pública são matematicamente relacionadas e
possuem certas propriedades, entre elas a de que é impossível a dedução
da Chave Privada a partir da Chave Pública conhecida. A Chave Pública
pode ser usada para verificação de uma assinatura digital que a Chave
Privada correspondente tenha criado ou a Chave Privada pode decifrar a
uma mensagem cifrada a partir da sua correspondente Chave Pública.
Política de Certificação – PC
(Certificate Police – CP) Documento que estabelece o nível de segurança de um determinado
certificado
Raiz
(Root) Primeira AC em uma cadeia de certificação, cujo certificado é auto-
assinado, podendo ser verificado por meio de mecanismos e
procedimentos específicos, sem vínculos com este.
Registro
(Record) Informação registrada em um meio tangível (um documento) ou
armazenada em um meio eletrônico ou qualquer outro meio perceptível.
Repositório
(Repository) Sistema confiável e acessível "on-line" para guardar e recuperar
certificados e informações relacionadas com certificados.
Revogação de Certificado
(Certificate Revogation) Encerramento do período operacional de um certificado, podendo ser,
sob determinadas circunstâncias, implementado antes do período
operacional anteriormente definido.
100
Sigilo
(Confidentiality) Condição na qual dados sensíveis são mantidos secretos e divulgados
apenas para as partes autorizadas.
Sistema Criptográfico Assimétrico
(Asymmetric Criptosystem) Sistema que gera e usa um par de chaves seguras, consistindo de uma
chave privada para a criação de assinaturas digitais ou decodificar de
mensagens criptografadas e uma Chave Pública para verificação de
assinaturas digitais ou de mensagens codificadas.
FONTE: Publicação DOU, de 06/09/2000.
101
DECRETO DE 18 DE OUTUBRO DE 2000
Cria, no âmbito do Conselho de Governo, o Comitê
Executivo do Governo Eletrônico, e dá outras
providências.
O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o art. 84,
inciso VI, da Constituição,
DECRETA:
Art. 1o Fica criado, no âmbito do Conselho de Governo, o Comitê Executivo do
Governo Eletrônico, com o objetivo de formular políticas, estabelecer diretrizes, coordenar e
articular as ações de implantação do Governo Eletrônico, voltado para a prestação de serviços e
informações ao cidadão.
Art. 2o Integram o Comitê Executivo:
I - o Chefe da Casa Civil da Presidência da República, que o presidirá;
II - os Secretários-Executivos dos Ministérios;
III - o Secretário-Geral do Ministério das Relações Exteriores;
IV - o Subchefe do Gabinete de Segurança Institucional da Presidência da República;
V - o Secretário de Organização Institucional do Ministério da Defesa;
VI - o Subsecretário-Geral da Secretaria-Geral da Presidência da República;
VII - o Secretário de Avaliação, Promoção e Normas da Secretaria de Comunicação de
Governo da Presidência da República;
VIII – o Procurador-Geral da União.
IX - o Subcorregedor-Geral da Corregedoria-Geral da União.(Incluído pelo Decreto de
15.3.2002)
X - o Diretor-Presidente do Instituto Nacional de Tecnologia da Informação.(incluído
pelo Decreto de 21.6.2002)
Art. 3o Compete ao Comitê:
I - coordenar e articular a implantação de programas e projetos para a racionalização da
aquisição e da utilização da infra-estrutura, dos serviços e das aplicações de tecnologia da
informação e comunicações no âmbito da Administração Pública Federal;
II - estabelecer as diretrizes para a formulação, pelos Ministérios, de plano anual de
tecnologia da informação e comunicações;
III - estabelecer diretrizes e estratégias para o planejamento da oferta de serviços e de
informações por meio eletrônico, pelos órgãos e pelas entidades da Administração Pública Federal;
IV - definir padrões de qualidade para as formas eletrônicas de interação;
V - coordenar a implantação de mecanismos de racionalização de gastos e de
apropriação de custos na aplicação de recursos em tecnologia da informação e comunicações, no
âmbito da Administração Pública Federal;
VI - estabelecer níveis de serviço para a prestação de serviços e informações por meio
eletrônico; e
VII - estabelecer diretrizes e orientações e manifestar-se, para fins de proposição e
revisão dos projetos de lei do Plano Plurianual, de Diretrizes Orçamentárias e do Orçamento Anual,
sobre as propostas orçamentárias dos órgãos e das entidades da Administração Pública Federal,
relacionadas com a aplicação de recursos em investimento e custeio na área de tecnologia da
informação e comunicações.
102
Parágrafo único. Em casos de relevância e urgência, o Presidente poderá expedir
resolução ad referendum do Comitê, obtida previamente a concordância dos demais membros.
(Incluído pelo Decreto de 24.7.2001)
Art. 4o O Ministério do Planejamento, Orçamento e Gestão exercerá as atribuições de
Secretaria-Executiva e proverá o apoio técnico-administrativo necessário ao funcionamento do
Comitê, sem prejuízo do disposto no Decreto n° 1.048, de 21 de janeiro de 1994.
Art. 5o O Comitê poderá constituir grupos de trabalho específicos.
§ 1o Poderão ser convidados para participar dos grupos de trabalho representantes de
órgãos e entidades públicas e privadas.
§ 2o O Comitê definirá, no ato de criação do grupo, seus objetivos específicos, sua
composição e prazo para conclusão do trabalho.
Art. 6o O Grupo de Trabalho Interministerial instituído pelo Decreto de 3 de abril de
2000 integrará o Comitê na qualidade de Grupo de Assessoramento Técnico.
Art. 7o O Comitê apresentará relatórios periódicos de suas atividades ao Presidente da
República.
Art. 8o A participação no Comitê e nos grupos de trabalho não enseja remuneração de
qualquer espécie, sendo considerada serviço público relevante.
Art. 9o O Comitê, no prazo de trinta dias de sua instalação, aprovará seu regimento
interno dispondo sobre o seu funcionamento.
Art. 10. Este Decreto entra em vigor na data de sua publicação.
Brasília, 18 de outubro de 2000; 179o da Independência e 112o da República.
FERNANDO HENRIQUE CARDOSO
Martus Tavares
Pedro Parente
FONTE: Publicação DOU, de 19/120/2000.
103
DECRETO Nº 3.714, DE 03 DE JANEIRO DE 2001
Dispõe sobre a remessa por meio eletrônico de
documentos a que se refere o art. 57-A do Decreto nº
2.954, de 29 de janeiro de 1999, e dá outras
providências.
O PRESIDENTE DA REPÚBLICA, no uso das atribuições que lhe confere o art. 84,
incisos IV e VI, da Constituição,
DECRETA:
Art. 1º Para o cumprimento do disposto no art. 57-A do Decreto n° 2.954, de 29 de
janeiro de 1999, serão observados os procedimentos estabelecidos neste Decreto.
Parágrafo único. Será utilizado o meio eletrônico, na forma estabelecida neste Decreto,
para remessa de aviso ministerial, exceto nos casos em que for impossível a utilização desse meio.
(NR) (Nota: parágrafo único acrescido pelo Decreto 3.779/2001)
Art. 2º A transmissão dos documentos a que se refere este Decreto, assinados
eletronicamente pela autoridade competente, far-se-á por sistema que lhes garanta a segurança, a
autenticidade e a integridade de seu conteúdo, bem como a irretratabilidade ou irrecusabilidade de
sua autoria.
Art. 3º Cada Ministério criará caixa postal específica para recepção e remessa eletrônica
de propostas dos atos a que se refere o Decreto nº 2.954, de 1999.
Parágrafo único. A Casa Civil da Presidência da República fixará o número de
servidores que serão indicados e credenciados, pelos Ministros de Estado, para receber e dar
destinação aos atos de que trata este artigo.
Art. 4º A recepção dos documentos oficiais referidos no artigo anterior será objeto de
confirmação mediante aviso de recebimento eletrônico.
Art. 5º A caixa postal de que trata o art. 3º será dotada de dispositivo ou sistema de
segurança que impeça a alteração ou a supressão dos documentos remetidos ou recebidos.
Art. 6º O documento recebido na Casa Civil da Presidência da República será
submetido ao Presidente da República para despacho, na forma estabelecida pelo Chefe da Casa
Civil.
Art. 7º Havendo necessidade de reprodução de documento em outro meio que não seja o
eletrônico, o servidor responsável certificará a autenticidade da cópia ou reprodução.
Art. 8º Cabe à Casa Civil da Presidência da República a administração do sistema a que
se refere este Decreto aplicando-se, no que couber, o disposto no Decreto n° 3.587, de 5 de
setembro de 2000.
Art. 9º O Chefe da Casa Civil da Presidência da República poderá expedir normas
complementares para cumprimento do disposto neste Decreto.
104
Brasília, 3 de janeiro de 2001; 180º da Independência e 113º da República.
FERNANDO HENRIQUE CARDOSO
Pedro Parente
FONTE: Publicação DOU, de 04/01/2001.
105
DECRETO Nº 3.779, DE 23 DE MARÇO DE 2001
Acresce dispositivo ao art. 1º do Decreto nº 3.714, de 3
de janeiro de 2001, que dispõe sobre a remessa por
meio eletrônico de documentos.
O PRESIDENTE DA REPÚBLICA, no uso das atribuições que lhe confere o art. 84,
incisos IV e VI, da Constituição,
DECRETA:
Art. 1º O art. 1° do Decreto n° 3.714, de 3 de janeiro de 2001, passa a vigorar acrescido
do seguinte parágrafo:
"Parágrafo único. Será utilizado o meio eletrônico, na forma estabelecida neste Decreto,
para remessa de aviso ministerial, exceto nos casos em que for impossível a utilização desse meio."
(NR)
Art. 2º Este Decreto entra em vigor na data de sua publicação.
Brasília, 23 de março de 2001; 180º da Independência e 113º da República.
FERNANDO HENRIQUE CARDOSO
Pedro Parente
FONTE: Publicação DOU, 26/03/2001.
106
DECRETO Nº 3.872, DE 18 DE JULHO DE 2001
(Nota: revogado pelo Decreto 6.605/2008)
Dispõe sobre o Comitê Gestor da Infra-Estrutura de
Chaves Públicas Brasileira - CG ICP-Brasil, sua
Secretaria-Executiva, sua Comissão Técnica Executiva
e dá outras providências.
O PRESIDENTE DA REPÚBLICA, no uso das atribuições que lhe confere o art. 84,
incisos IV e VI, da Constituição, e tendo em vista o disposto na Medida Provisória no 2.200, de 28
de junho de 2001,
DECRETA:
Art. 1o O Comitê Gestor da Infra-Estrutura de Chaves Públicas Brasileira - CG ICP-
Brasil, instituído pela Medida Provisória n° 2.200, de 28 de junho de 2001, exerce a função de
autoridade gestora de políticas (AGP) da referida Infra-Estrutura.
Art. 2o O CG ICP-Brasil, vinculado à Casa Civil da Presidência da República, é
composto por onze membros, sendo quatro representantes da sociedade civil, integrantes de setores
interessados e sete representantes dos seguintes órgãos, todos designados pelo Presidente da
República:
I – Casa Civil da Presidência da República, que o coordenará;
II – Gabinete de Segurança Institucional da Presidência da República;
III – Ministério da Justiça;
IV – Ministério da Fazenda;
V – Ministério do Desenvolvimento, Indústria e Comércio Exterior;
VI – Ministério do Planejamento, Orçamento e Gestão; e
VII - Ministério da Ciência e Tecnologia.
§ 1o Os representantes da sociedade civil serão designados para períodos de dois anos,
permitida a recondução.
§ 2o A participação no CG ICP-Brasil é de relevante interesse público e não será
remunerada.
§ 3o O CG ICP-Brasil terá uma Secretaria-Executiva.
§ 4o As decisões do CG ICP-Brasil serão aprovadas pela maioria absoluta de seus
membros.
§ 5o Os membros do CG ICP-Brasil serão, em seus impedimentos, substituídos por
suplentes designados na forma do caput.
§ 6o Poderão ser convidados a participar das reuniões do CG ICP-Brasil, a juízo do seu
Coordenador ou do próprio Comitê, técnicos e especialistas de áreas afins.
Art. 3o Compete ao CG ICP-Brasil:
I - adotar as medidas necessárias e coordenar a implantação e o funcionamento da Infra-
Estrutura de Chaves Públicas Brasileira - ICP-Brasil;
II - estabelecer a política, os critérios e as normas para licenciamento das Autoridades
Certificadoras - AC, das Autoridades de Registro - AR e dos demais prestadores de serviços de
suporte à ICP-Brasil, em todos os níveis da cadeia de certificação;
III - estabelecer a política de certificação e as regras operacionais da Autoridade
Certificadora Raiz - AC Raiz;
107
IV - homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de serviço;
V - estabelecer diretrizes e normas para a formulação de políticas de certificados e
regras operacionais das AC e das AR e definir níveis da cadeia de certificação;
VI - aprovar políticas de certificados e regras operacionais, licenciar e autorizar o
funcionamento das AC e das AR, bem como autorizar a AC Raiz a emitir o correspondente
certificado;
VII - identificar e avaliar as políticas de ICP externas, quando for o caso, certificar sua
compatibilidade com a ICP-Brasil, negociar e aprovar, observados os tratados, acordos e atos
internacionais, acordos de certificação bilateral, de certificação cruzada, regras de
interoperabilidade e outras formas de cooperação internacional; e
VIII - atualizar, ajustar e revisar os procedimentos e as práticas estabelecidas para a ICP-
Brasil, garantir sua compatibilidade e promover a atualização tecnológica do sistema e a sua
conformidade com as políticas de segurança.
Art. 4º O CG ICP-Brasil será assistido e receberá suporte técnico da Comissão Técnica
Executiva - COTEC, coordenada pelo Secretário-Executivo do Comitê Gestor, e integrada por
representantes indicados pelos membros do CG ICP-Brasil e designados pelo Chefe da Casa Civil
da Presidência da República.
§ 1º Serão convidados permanentes às reuniões da COTEC representantes:
I – do Ministério da Defesa;
II – do Ministério da Previdência e Assistência Social;
III – do Ministério da Saúde; e
IV - da Autoridade Certificadora Raiz - AC Raiz.
§ 2o Poderão ser convidados a participar das reuniões da COTEC, a juízo do seu
Coordenador ou da própria Comissão, representantes de outros órgãos e entidades públicos.
§ 3º Compete à COTEC:
I - manifestar-se previamente sobre todas as matérias a serem apreciadas e decididas
pelo CG ICP-Brasil;
II - preparar e encaminhar previamente aos membros do CG ICP-Brasil expediente
contendo o posicionamento técnico dos órgãos e das entidades relacionados com as matérias que
serão apreciadas e decididas; e
III - cumprir outras atribuições que lhe forem conferidas por delegação do CG ICP-
Brasil.
§ 4º Os membros da COTEC serão, em seus impedimentos, substituídos por suplentes
designados na forma do caput.
Art. 5o O CG ICP-Brasil estabelecerá a forma pela qual lhe será prestada assessoria pelo
Centro de Pesquisa e Desenvolvimento para a Segurança das Comunicações - CEPESC.
Art. 6º A Secretaria-Executiva do CG ICP-Brasil é chefiada por um Secretário-
Executivo e integrada por assessores especiais e por pessoal técnico e administrativo.
§ 1º O Secretário-Executivo será designado por livre escolha do Presidente da
República.
§ 2º A Secretaria-Executiva receberá da Casa Civil da Presidência da República o apoio
necessário ao exercício de suas funções, inclusive no que se refere aos cargos de assessoria e ao
apoio técnico e administrativo.
Art. 7º Compete à Secretaria-Executiva do CG ICP-Brasil:
I – prestar assistência direta e imediata ao Coordenador do Comitê Gestor;
II – preparar as reuniões do Comitê Gestor;
108
III - coordenar e acompanhar a implementação das deliberações e diretrizes fixadas pelo
Comitê Gestor;
IV – coordenar os trabalhos da COTEC; e
V - cumprir outras atribuições que lhe forem conferidas por delegação do Comitê
gestor.
Art. 8o Este Decreto entra em vigor na data de sua publicação.
Brasília, 18 de julho de 2001; 180o da Independência e 113o da República.
FERNANDO HENRIQUE CARDOSO
José Gregori
Pedro Parente
FONTE: Publicação DOU, de 19/07/2001.
109
MEDIDA PROVISÓRIA Nº 2.200-2, DE 24 DE AGOSTO DE 2001
Institui a Infra-Estrutura de Chaves Públicas
Brasileira - ICP-Brasil, transforma o Instituto
Nacional de Tecnologia da Informação em autarquia, e
dá outras providências.
O PRESIDENTE DA REPÚBLICA , no uso da atribuição que lhe confere o art. 62 da
Constituição, adota a seguinte Medida Provisória, com força de lei:
Art. 1º Fica instituída a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, para
garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das
aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a
realização de transações eletrônicas seguras.
Art. 2º A ICP-Brasil, cuja organização será definida em regulamento, será composta por
uma autoridade gestora de políticas e pela cadeia de autoridades certificadoras composta pela
Autoridade Certificadora Raiz - AC Raiz, pelas Autoridades Certificadoras - AC e pelas
Autoridades de Registro - AR.
Art. 3º A função de autoridade gestora de políticas será exercida pelo Comitê Gestor da
ICP-Brasil, vinculado à Casa Civil da Presidência da República e composto por cinco
representantes da sociedade civil, integrantes de setores interessados, designados pelo Presidente da
República, e um representante de cada um dos seguintes órgãos, indicados por seus titulares:
I - Ministério da Justiça;
II - Ministério da Fazenda;
III - Ministério do Desenvolvimento, Indústria e Comércio Exterior;
IV - Ministério do Planejamento, Orçamento e Gestão;
V - Ministério da Ciência e Tecnologia;
VI - Casa Civil da Presidência da República; e
VII - Gabinete de Segurança Institucional da Presidência da República.
§ 1º A coordenação do Comitê Gestor da ICP-Brasil será exercida pelo representante da
Casa Civil da Presidência da República.
§ 2º Os representantes da sociedade civil serão designados para períodos de dois anos,
permitida a recondução.
§ 3º A participação no Comitê Gestor da ICP-Brasil é de relevante interesse público e
não será remunerada.
§ 4º O Comitê Gestor da ICP-Brasil terá uma Secretaria-Executiva, na forma do
regulamento.
Art. 4º Compete ao Comitê Gestor da ICP-Brasil:
I - adotar as medidas necessárias e coordenar a implantação e o funcionamento da ICP-
Brasil;
II - estabelecer a política, os critérios e as normas técnicas para o credenciamento das
AC, das AR e dos demais prestadores de serviço de suporte à ICP-Brasil, em todos os níveis da
cadeia de certificação;
III - estabelecer a política de certificação e as regras operacionais da AC Raiz;
IV - homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de serviço;
110
V - estabelecer diretrizes e normas técnicas para a formulação de políticas de
certificados e regras operacionais das AC e das AR e definir níveis da cadeia de certificação;
VI - aprovar políticas de certificados, práticas de certificação e regras operacionais,
credenciar e autorizar o funcionamento das AC e das AR, bem como autorizar a AC Raiz a emitir o
correspondente certificado;
VII - identificar e avaliar as políticas de ICP externas, negociar e aprovar acordos de
certificação bilateral, de certificação cruzada, regras de interoperabilidade e outras formas de
cooperação internacional, certificar, quando for o caso, sua compatibilidade com a ICP-Brasil,
observado o disposto em tratados, acordos ou atos internacionais; e
VIII - atualizar, ajustar e revisar os procedimentos e as práticas estabelecidas para a
ICP-Brasil, garantir sua compatibilidade e promover a atualização tecnológica do sistema e a sua
conformidade com as políticas de segurança.
Parágrafo único. O Comitê Gestor poderá delegar atribuições à AC Raiz.
Art. 5º À AC Raiz, primeira autoridade da cadeia de certificação, executora das
Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-
Brasil, compete emitir, expedir, distribuir, revogar e gerenciar os certificados das AC de nível
imediatamente subseqüente ao seu, gerenciar a lista de certificados emitidos, revogados e vencidos,
e executar atividades de fiscalização e auditoria das AC e das AR e dos prestadores de serviço
habilitados na ICP, em conformidade com as diretrizes e normas técnicas estabelecidas pelo Comitê
Gestor da ICP-Brasil, e exercer outras atribuições que lhe forem cometidas pela autoridade gestora
de políticas.
Parágrafo único. É vedado à AC Raiz emitir certificados para o usuário final.
Art. 6º Às AC, entidades credenciadas a emitir certificados digitais vinculando pares de
chaves criptográficas ao respectivo titular, compete emitir, expedir, distribuir, revogar e gerenciar
os certificados, bem como colocar à disposição dos usuários listas de certificados revogados e
outras informações pertinentes e manter registro de suas operações.
Parágrafo único. O par de chaves criptográficas será gerado sempre pelo próprio titular
e sua chave privada de assinatura será de seu exclusivo controle, uso e conhecimento.
Art. 7º Às AR, entidades operacionalmente vinculadas a determinada AC, compete
identificar e cadastrar usuários na presença destes, encaminhar solicitações de certificados às AC e
manter registros de suas operações.
Art. 8º Observados os critérios a serem estabelecidos pelo Comitê Gestor da ICP-Brasil,
poderão ser credenciados como AC e AR os órgãos e as entidades públicos e as pessoas jurídicas de
direito privado.
Art. 9º É vedado a qualquer AC certificar nível diverso do imediatamente subseqüente
ao seu, exceto nos casos de acordos de certificação lateral ou cruzada, previamente aprovados pelo
Comitê Gestor da ICP-Brasil.
Art. 10. Consideram-se documentos públicos ou particulares, para todos os fins legais,
os documentos eletrônicos de que trata esta Medida Provisória.
§ 1º As declarações constantes dos documentos em forma eletrônica produzidos com a
utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em
relação aos signatários, na forma do art. 131 da Lei nº 3.071, de 1º de janeiro de 1916 - Código
Civil.
111
§ 2º O disposto nesta Medida Provisória não obsta a utilização de outro meio de
comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem
certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito
pela pessoa a quem for oposto o documento.
Art. 11. A utilização de documento eletrônico para fins tributários atenderá, ainda, ao
disposto no art. 100 da Lei nº 5.172, de 25 de outubro de 1966 - Código Tributário Nacional.
Art. 12. Fica transformado em autarquia federal, vinculada ao Ministério da Ciência e
Tecnologia, o Instituto Nacional de Tecnologia da Informação - ITI, com sede e foro no Distrito
Federal.
Art. 13. O ITI é a Autoridade Certificadora Raiz da Infra-Estrutura de Chaves Públicas
Brasileira.
Art. 14. No exercício de suas atribuições, o ITI desempenhará atividade de fiscalização,
podendo ainda aplicar sanções e penalidades, na forma da lei.
Art. 15. Integrarão a estrutura básica do ITI uma Presidência, uma Diretoria de
Tecnologia da Informação, uma Diretoria de Infra-Estrutura de Chaves Públicas e uma
Procuradoria-Geral.
Parágrafo único. A Diretoria de Tecnologia da Informação poderá ser estabelecida na
cidade de Campinas, no Estado de São Paulo.
Art. 16. Para a consecução dos seus objetivos, o ITI poderá, na forma da lei, contratar
serviços de terceiros.
§ 1º O Diretor-Presidente do ITI poderá requisitar, para ter exercício exclusivo na
Diretoria de Infra-Estrutura de Chaves Públicas, por período não superior a um ano, servidores,
civis ou militares, e empregados de órgãos e entidades integrantes da Administração Pública
Federal direta ou indireta, quaisquer que sejam as funções a serem exercidas.
§ 2º Aos requisitados nos termos deste artigo serão assegurados todos os direitos e
vantagens a que façam jus no órgão ou na entidade de origem, considerando-se o período de
requisição para todos os efeitos da vida funcional, como efetivo exercício no cargo, posto,
graduação ou emprego que ocupe no órgão ou na entidade de origem.
Art. 17. Fica o Poder Executivo autorizado a transferir para o ITI:
I - os acervos técnico e patrimonial, as obrigações e os direitos do Instituto Nacional de
Tecnologia da Informação do Ministério da Ciência e Tecnologia;
II - remanejar, transpor, transferir, ou utilizar, as dotações orçamentárias aprovadas na
Lei Orçamentária de 2001, consignadas ao Ministério da Ciência e Tecnologia, referentes às
atribuições do órgão ora transformado, mantida a mesma classificação orçamentária, expressa por
categoria de programação em seu menor nível, observado o disposto no § 2º do art. 3º da Lei nº
9.995, de 25 de julho de 2000, assim como o respectivo detalhamento por esfera orçamentária,
grupos de despesa, fontes de recursos, modalidades de aplicação e identificadores de uso.
Art. 18. Enquanto não for implantada a sua Procuradoria Geral, o ITI será representado
em juízo pela Advocacia Geral da União.
Art. 19. Ficam convalidados os atos praticados com base na Medida Provisória nº
2.200-1, de 27 de julho de 2001.
112
Art. 20. Esta Medida Provisória entra em vigor na data de sua publicação.
Brasília, 24 de agosto de 2001; 180º da Independência e 113º da República.
FERNANDO HENRIQUE CARDOSO
José Gregori
Martus Tavares
Ronaldo Mota Sardenberg
Pedro Parente
FONTE: Publicação DOU de 27/08/2001, página 65.
VIDE: DEC-3.996 2001 DOU de 05/11/2001, página 2 REGULAMENTAÇÃO.
113
DECRETO N° 3.996, DE 31 DE OUTUBRO DE 2001
Dispõe sobre a prestação de serviços de certificação
digital no âmbito da Administração Pública Federal.
O VICE-PRESIDENTE DA REPÚBLICA, no exercício do cargo de Presidente da
República, usando das atribuições que lhe confere o art. 84, incisos II, IV e VI, alínea "a", da
Constituição, e tendo em vista o disposto na Medida Provisória no 2.200-2, de 24 de agosto de 2001,
DECRETA:
Art. 1o A prestação de serviços de certificação digital no âmbito da Administração
Pública Federal, direta e indireta, fica regulada por este Decreto.
Art. 2o Somente mediante prévia autorização do Comitê Executivo do Governo
Eletrônico, os órgãos e as entidades da Administração Pública Federal poderão prestar ou contratar
serviços de certificação digital.
§ 1o Os serviços de certificação digital a serem prestados, credenciados ou contratados
pelos órgãos e entidades integrantes da Administração Pública Federal deverão ser providos no
âmbito da Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil.
§ 2o Respeitado o disposto no § 1o, o Comitê Executivo do Governo Eletrônico poderá
estabelecer padrões e requisitos administrativos para a instalação de Autoridades Certificadoras -
AC e de Autoridades de Registro – AR próprias na esfera da Administração Pública Federal.
§ 3o As AR de que trata o § 2o serão, preferencialmente, os órgãos integrantes do
Sistema de Administração do Pessoal Civil - SIPEC.
Art. 3o A tramitação de documentos eletrônicos para os quais seja necessária ou exigida
a utilização de certificados digitais somente se fará mediante certificação disponibilizada por AC
integrante da ICP-Brasil.
Art. 3o-A. As aplicações e demais programas utilizados no âmbito da Administração
Pública Federal direta e indireta que admitirem o uso de certificado digital de um determinado tipo
contemplado pela ICP-Brasil devem aceitar qualquer certificado de mesmo tipo, ou com requisitos
de segurança mais rigorosos, emitido por qualquer AC integrante da ICP-Brasil. (Nota:
acrescentado pelo Decreto 4.414/2002)
Art. 4o Será atribuída, na Administração Pública Federal, aos diferentes tipos de
certificados disponibilizados pela ICP-Brasil, a classificação de informações segundo o estabelecido
na legislação específica.
Art. 5o Este Decreto entra em vigor na data de sua publicação.
Art. 6o Fica revogado o n° 3.587, de 5 de setembro de 2000.
Brasília, 31 de outubro de 2001; 180o da Independência e 113o da República.
114
MARCO ANTONIO DE OLIVEIRA MACIEL
Martus Tavares
Silvano Gianni
FONTE: Publicação DOU, de 05/11/2001.
Retificação DOU, de 06/11/2001.
RETIFICAÇÃO
DECRETO Nº 3.996, DE 31 DE OUTUBRO DE 2001
(Publicado no Diário Oficial da União de 5 de novembro de 2001, Seção 1, página 2)
No art. 2°:
onde se lê: "Somente mediante prévia autorização do Comitê Gestor do Governo Eletrônico, .."
leia-se: "Somente mediante prévia autorização do Comitê Executivo do Governo Eletrônico, .."
115
LEI N° 10.176, DE 11 DE JANEIRO DE 2001
Altera a Lei nº 8.248, de 23 de outubro de 1991, a Lei
n° 8.387, de 30 de dezembro de 1991, e o Decreto-Lei n°
288, de 28 de fevereiro de 1967, dispondo sobre a
capacitação e competitividade do setor de tecnologia da
informação.
0 PRESIDENTE DA REPÚBLICA
Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei:
Art. 1° Os arts. 3°, 4° e 9° da Lei n° 8.248, de 23 de outubro de 1991, passam a vigorar
com a seguinte redação:
"Art. 3º Os órgãos e entidades da Administração Pública Federal, direta ou indireta, as
fundações instituídas e mantidas pelo Poder Público e as demais organizações sob o controle direto
ou indireto da União darão preferência, nas aquisições de bens e serviços de informática e
automação, observada a seguinte ordem, a:(NR)"
I - bens e serviços com tecnologia desenvolvida no País;(NR)
II - bens e serviços produzidos de acordo com processo produtivo básico, na forma a ser
definida pelo Poder Executivo.(NR)
§ 1° Revogado.
§ 2° Para o exercício desta preferência, levar-se-ão em conta condições equivalentes de
prazo de entrega, suporte de serviços, qualidade, padronização, compatibilidade e especificação de
desempenho e preço."(NR)
"Art. 4° As empresas de desenvolvimento ou produção de bens e serviços de
informática e automação que investirem em atividades de pesquisa e desenvolvimento em
tecnologia da informação farão jus aos benefícios de que trata a Lei n° 8.191, de 11 de junho de
1991.(NR)"
§ 1° A. O benefício de isenção estende-se até 31 de dezembro de 2000 e, a partir dessa
data, fica convertido em redução do Imposto sobre Produtos Industrializados - IPI, observados os
seguintes percentuais:
I - redução de noventa e cinco por cento do imposto devido, de 1º de janeiro até 31 de
dezembro de 2001;
II - redução de noventa por cento do imposto devido, de 1°de janeiro até 31 de
dezembro de 2002;
III - redução de oitenta e cinco por cento do imposto devido, de 1° de janeiro até 31 de
dezembro de 2003;
IV - redução de oitenta por cento do imposto devido, de 1° de janeiro até 31 de
dezembro de 2004;
V - redução de setenta e cinco por cento do imposto devido, de 1° de janeiro até 31 de
dezembro de 2005;
VI - redução de setenta por cento do imposto devido, de 1° de janeiro de 2006 até 31 de
dezembro de 2009, quando será extinto.
§ 1° B. (VETADO)
§ 1° C. Os benefícios incidirão somente sobre os bens de informática e automação
produzidos de acordo com processo produtivo básico definido pelo Poder Executivo, condicionados
à apresentação de proposta de projeto ao Ministério da Ciência e Tecnologia.
116
§ 1° 0 Poder Executivo definirá a relação dos bens que trata o § 1° C, respeitado o
disposto no art 16A desta Lei, a ser apresentada no prazo de trinta dias, contado da publicação desta
Lei, com base em proposta conjunta dos Ministérios da Fazenda, do Desenvolvimento, Indústria e
Comércio Exterior, da Ciência e Tecnologia e da Integração Nacional. (NR)
§ 2° Os Ministros de Estado do Desenvolvimento, Indústria e Comércio Exterior e da
Ciência e Tecnologia estabelecerão, os processos produtivos básicos no prazo máximo de cento e
vinte dias, contado da data da solicitação fundada da empresa interessada, devendo ser publicados
em portaria interministerial os processos aprovados, bem como os motivos determinantes do
indeferimento.
§ 3° São asseguradas a manutenção e a utilização do crédito do Imposto sobre Produtos
Industrializados - IPI relativo a matérias-primas, produtos intermediários e material de embalagem
empregados na industrialização dos bens de que trata este artigo.
§ 4° A apresentação do projeto de que trata o § 1° C não implica, no momento da
entrega, análise do seu conteúdo, ressalvada a verificação de adequação ao processo produtivo
básico, servindo entretanto de referência para a avaliação dos relatórios de que trata o § 9° do art.
11."
Art. 9° Na hipótese do não cumprimento das exigências desta Lei, ou da não aprovação
dos relatórios referidos no § 9° do art. 11 desta Lei, poderá ser suspensa a concessão do benefício,
sem prejuízo do ressarcimento dos benefícios anteriormente usufruídos, atualizados e acrescidos de
multas pecuniárias aplicáveis aos débitos fiscais relativos aos tributos da mesma natureza.(NR)
Parágrafo único. Na eventualidade de os investimentos em atividades de pesquisa e
desenvolvimento previstos no art. 11 não atingirem, em um determinado ano, o mínimo fixado, o
residual será aplicado no fundo de que trata o inciso III do § 1° do mesmo artigo, atualizado e
acrescido de doze por cento."
Art. 2° 0 art. 11 da Lei n° 8.248, de 23 de outubro de 1991, passa a vigorar com a
seguinte redação:
Art. 11. Para fazer jus aos benefícios previstos no art. 4° desta Lei, as empresas de
desenvolvimento ou produção de bens e serviços de informática e automação deverão investir,
anualmente, em atividades de pesquisa e de desenvolvimento em tecnologia da informação a serem
realizadas no País, no mínimo cinco por cento de seu faturamento bruto no mercado interno,
decorrente da comercialização de bens e serviços de informática, deduzidos os tributos
correspondentes a tais comercializações, bem como o valor das aquisições de produtos incentivados
na forma desta Lei, conforme projeto elaborado pelas próprias empresas, a partir da apresentação da
proposta de projeto de que trata o § 1° C do art. 4°. (NR)
§ 1° No mínimo dois vírgula três por cento do faturamento bruto mencionado no caput
deste artigo deverão ser aplicados como segue:(NR)
I - mediante convênio com centros ou institutos de pesquisa ou entidades brasileiras de
ensino, oficiais ou reconhecidas, credenciados pelo comitê de que trata o § 5° deste artigo, devendo,
neste caso, ser aplicado percentual não inferior a um por cento;
II - mediante convênio com centros ou institutos de pesquisa ou entidades brasileiras de
ensino, oficiais ou reconhecidas, com sede ou estabelecimento principal situado nas regiões de
influência da Sudam da Sudene e da região Centro-Oeste excetuada a Zona Franca de Manaus,
credenciados pelo comitê de que trata o § 5° deste artigo, devendo, neste caso, ser aplicado
percentual não inferior a zero vírgula oito por cento;
III -sob a forma de recursos financeiros, depositados trimestralmente no Fundo
Nacional de Desenvol vimento Científico e Tecnológico - FNDCT, criado pelo Decreto-Lei n° 719,
de 31 de julho de 1969, e restabelecido pela Lei n° 8.172, de 18 de janeiro de 1991, devendo, neste
caso, ser aplicado percentual não inferior a zero vírgula cinco por cento.
117
§ 2° Os recursos de que trata o inciso III do § 1° destinam-se, exclusivamente, à
promoção de projetos estratégicos de pesquisa e desenvolvimento em tecnologia da informação,
inclusive em segurança da informação.
§ 3° Percentagem não inferior a trinta por cento dos recursos referidos no inciso II do §
1º será destinada a universidades, faculdades, entidades de ensino e centro ou institutos de pesquisa,
criados ou mantidos pelo Poder Público Federal, Distrital ou Estadual, com sede ou estabelecimento
principal na região a que o recurso se destina.
§ 4° (VETADO)
§ 5° (VETADO)
§ 6° Os investimentos de que trata este artigo serão reduzidos nos seguintes percentuais:
I - em cinco por cento, de 1° de janeiro de 2001 até 31 de dezembro de 2001;
II - em dez por cento, de 1° de janeiro até 31 de dezembro de 2002;
III - em quinze por cento, de 1° de janeiro até 31 de dezembro de 2003;
IV - em vinte por cento, de 1º de janeiro até 31 de dezembro de 2004;
V - em vinte e cinco por cento, de 1° de janeiro até 31 de dezembro de 2005;
VI - em trinta por cento, de 1° de janeiro de 2006 até 31 de dezembro de 2009.
§ 7° Tratando-se de investimentos relacionados à comercialização de bens de
informática e automação produzidos nas regiões de influência da Sudam, da Sudene e da região
Centro-Oeste, a redução prevista no § 6° obedecerá aos seguintes percentuais:
I - em três por cento, de 1° de janeiro até 31 de dezembro de 2002;
II - em oito por cento, de 1° de janeiro até 31 de dezembro de 2003;
III - em treze por cento, de 1° de janeiro de 31 de dezembro de 2004;
IV - em dezoito por cento, de 1° de janeiro até 31 de dezembro de 2005;
V - em vinte e três por cento, de 1° de janeiro de 2006 até 31 de dezembro de 2009.
§ 8° A redução de que tratam os § § 6° e 7° deverá ocorrer de modo proporcional dentre
as formas de investimento previstas neste artigo.
§ 9° As empresas beneficiárias deverão encaminhar anualmente ao Poder Executivo
demonstrativos do cumprimento, no ano anterior, das obrigações estabelecidas nesta Lei, mediante
apresentação de relatórios descritivos das atividades de pesquisa e desenvolvimento previstas no
projeto elaborado e dos respectivos resultados alcançados.
§ 10. O comitê mencionado no § 5° deste artigo aprovará a consolidação dos relatórios
de que trata o § 9°.
§ 11. O disposto no § 1/ não se aplica às empresas cujo faturamento bruto anual seja
inferior a cinco milhões de Unidades Fiscais de Referência- Ufir.
§ 12. O Ministério da Ciência e Tecnologia divulgará, anualmente, o total dos recursos
financeiros aplicados pelas empresas beneficiárias nas instituições de pesquisa e desenvolvimento
credenciadas, em cumprimento ao disposto no § 1º."
Art. 3º O art. 2° da Lei n° 8.387, de 30 de dezembro de 1991, passa a vigorar com a
seguinte redação:
Art. 2º.........................................................................................................................
......................................................................................................................... .............
§ 3º Para fazer jus aos benefícios previstos neste artigo, as empresas que tenham como
finalidade a produção de bens e serviços de informática deverão aplicar, anualmente, no mínimo
cinco por cento do seu faturamento bruto no mercado interno, decorrente da comercialização de
bens e serviços de informática, deduzidos os tributos correspondentes a tais comercializações, bem
como o valor das aquisições de produtos incentivados na forma desta Lei, em atividades de
pesquisa e desenvolvimento a serem realizadas na Amazônia, conforme projeto elaborado pelas
próprias empresas, com base em proposta de projeto a ser apresentada à Superintendência da Zona
Franca de Manaus - Suframa e ao Ministério da Ciência e Tecnologia.(NR)
I - revogado;
II - vetado.
118
§ 4º No mínimo dois vírgula três por cento do faturamento bruto mencionado no § 3º
deverão ser aplicados como segue:
I - mediante convênio com centros ou institutos de pesquisa ou entidades brasileiras de
ensino, oficiais ou reconhecidas, com sede ou estabelecimento principal na Amazônia Ocidental,
credenciadas pelo comitê de que trata o § 6º deste artigo, devendo, neste caso, ser aplicado
percentual não inferior a um por cento;
II - sob a forma de recursos financeiros, depositados trimestralmente no Fundo Nacional
de Desenvolvimento Científico e Tecnológico - FNDCT, criado pelo Decreto-Lei n° 719, de 31 de
julho de 1969, e restabelecido pela Lei n° 8.172, de 18 de janeiro de 1991, devendo, neste caso, ser
aplicado percentual não inferior a zero vírgula cinco por cento.
§ 5º Percentagem não inferior a cinqüenta por cento dos recursos de que trata o inciso II
do § 4º será destinada a universidades, faculdades, entidades de ensino ou centros ou institutos de
pesquisas, criados ou mantidos pelo Poder Público.
§ 6º Os recursos de que trata o inciso II do § 4º serão geridos por comitê próprio, do
qual participarão representantes do governo, de empresas, instituições de ensino superior e
institutos de pesquisa do setor.
§ 7° As empresas beneficiárias deverão encaminhar anualmente ao Poder Executivo
demonstrativos do cumprimento, no ano anterior, das obrigações estabelecidas nesta Lei, mediante
apresentação de relatórios descritivos das atividades de pesquisa e desenvolvimento previstas no
projeto elaborado e dos respectivos resultados alcançados.
§ 8º O comitê mencionado no § 6º aprovará a consolidação dos relatórios de que trata o
§ 7º.
§ 9º Na hipótese do não cumprimento das exigências deste artigo, ou da não aprovação
dos relatórios referidos no § 8º, poderá ser suspensa a concessão do benefício, sem prejuízo do
ressarcimento dos benefícios anteriormente usufruídos ,atualizados e acrescidos de multas
pecuniárias aplicáveis aos débitos fiscais relativos aos tributos da mesma natureza.
§ 10. Na eventualidade de os investimentos em atividades da pesquisa e
desenvolvimento previstos neste artigo não atingirem, em um determinado ano, o mínimo fixado, o
residual será aplicado no fundo de que trata o inciso II do § 4º deste artigo, atualizado e acrescido
de doze por cento.
§ 11.O disposto no § 4º deste artigo não se aplica às empresas cujo faturamento bruto
anual seja inferior a cinco milhões de Unidades Fiscais de Referência - Ufir.
§ 12. O Ministério da Ciência e Tecnologia divulgará, anualmente, o total dos recursos
financeiros aplicados pelas empresas beneficiárias nas instituições de pesquisa e desenvolvimento
credenciadas, em cumprimento ao disposto no § 4º deste artigo".
Art. 4º O § 6º do art.7° do Decreto-Lei n° 288, de 28 de fevereiro de 1967, modificado
pelo Decreto-Lei n° 1.435, de 16 de dezembro de 1975, e pela Lei n° 8.387, de 30 de dezembro de
1991, passa a vigorar com a seguinte redação:
"Art.7º.....................................................................................................................
......................................................................................................................... .............
§ 6º Os Ministros de Estado do Desenvolvimento, Indústria e Comércio Exterior e da
Ciência e Tecnologia estabelecerão os processos produtivos básicos no prazo máximo de cento e
vinte dias, contado da data da solicitação fundada da empresa interessada, devendo ser indicados em
portaria interministerial os processos aprovados, bem como os motivos determinantes do
indeferimento.(NR)
......................................................................................................................... ............"
Art. 5º A Lei n° 8.248, de 23 de outubro de 1991, passa a vigorar acrescida do seguinte
art. 16A:
119
Art. 16A. Para os efeitos desta Lei, consideram-se bens e serviços de informática e
automação:
I - componentes eletrônicos a semicondutor, optoeletrônicos, bem como os respectivos
insumos de natureza eletrônica;
II - máquinas, equipamentos e dispositivos baseados em técnica digital, com funções de
coleta, tratamento, estruturação, armazenamento, comutação, trasmissão, recuperação ou
apresentação da informação, seus respectivos insumos eletrônicos, partes, peças e suporte físico
para operação;
III - programas para computadores, máquinas, equipamentos e dispositivos de
tratamento da informação e respectiva documentação técnica associada (software);
IV - serviços técnicos associados aos bens e serviços descritos nos incisos I, II e III.
§ 1º O disposto nesta Lei não se aplica às mercadorias dos segmentos de áudio; áudio e
vídeo; e lazer e entretenimento, ainda que incorporem tecnologia digital, incluindo os constantes da
seguinte relação, que poderá ser ampliada em decorrência de inovações tecnológicas, elaborada
conforme nomenclatura do Sistema Harmonizado de Designação e Codificação de Mercadorias -
SH:
I - toca-discos, eletrofones, toca-fitas (leitores de cassetes) e outros aparelhos de
reprodução de som, sem dispositivo de gravação de som, da posição 8519;
II - gravadores de suportes magnéticos e outros aparelhos de gravação de som, mesmo
com dispositivo de reprodução de som incorporado, na posição 8520;
III - aparelhos vídeofônicos de gravação ou de reprodução, mesmo incorporando um
receptor de sinais videofônicos, da posição 8521;
IV - partes e acessórios reconhecíveis como sendo exclusiva ou principalmente
destinados aos aparelhos das posições 8519 a 8521, da posição 8522;
V - suportes preparados para gravação de som ou para gravações semelhantes, não
gravados, da posição 8523;
VI - discos, fitas e outros suportes para gravação de som ou para gravações
semelhantes, gravados, incluídos os moldes e matrizes galvânicos para fabricação de discos, da
posição 8524;
VII - câmeras de vídeo de imagens fixas e outras câmeras de vídeo (camcorders), da
posição 8525;
VIII - aparelhos receptores para radiotelefonia, radiotelegrafia, ou radiodifusão, mesmo
combinados, num mesmo gabinete ou invólucro, com aparelho de gravação ou de reprodução de
som, ou com relógio, da posição 8527, exceto receptores pessoais de radiomensagem;
IX - aparelhos receptores de televisão, mesmo incorporando um aparelho receptor de
radiodifusão ou um aparelho de gravação ou de reprodução de som ou de imagens; monitores e
projetores, de vídeo, da posição 8528;
X - partes reconhecíveis como exclusiva ou principalmente destinadas aos aparelhos das
posições 8526 a 8528 e das câmeras de vídeo de imagens fixas e outras câmeras de vídeo
(camcorders) (8525), da posição 8529;
XI - tubos de raios catódicos para receptores de televisão, da posição 8540;
XII - aparelhos fotográficos; aparelhos e dispositivos, incluídos as lâmpadas e tubos, de
luz- relâmpago (flash), para fotografia, da posição 9006;
XIII - câmeras e projetores cinematográficos, mesmo com aparelhos de gravação ou de
reprodução de som incorporados, da posição 9007;
XIV - aparelhos de projeção fixa; aparelhos fotográficos, de ampliação ou de redução,
da posição 9008;
XV - aparelho de fotocópia, por sistema óptico ou por contato, e aparelhos de
termocópia, da posição 9009;
XVI - aparelho de relojoaria e suas partes, do capítulo 91.
§ 2º É o Presidente da República autorizado a avaliar a inclusão no gozo dos benefícios
de que trata esta Lei dos seguintes produtos:
120
I - terminais portáteis de telefonia celular;
II - monitores de vídeo, próprios para operar com as máquinas, equipamentos ou
dispositivos a que se refere o inciso II do caput deste artigo".
Art. 6º São assegurados os benefícios da Lei n° 8.248, de 23 de outubro de 1991, com a
redação dada por esta Lei, à fabricação de terminais portáteis de telefonia celular e monitores de
vídeo pelas empresas que tenham projetos aprovados sob o regime daquele diploma legal até a data
de publicação desta Lei.
Art. 7º Para efeitos da concessão dos incentivos de que trata a Lei n° 8.387, de 30 de
dezembro de 1991, os produtos especificados no § 2º do art. 16 A da Lei n° 8.248, de 23 de outubro
de 1991, introduzido pelo art. 5º desta Lei, são considerados bens de informática.
Art. 8º Para fazer jus aos benefícios previstos na Lei n° 8.248, de outubro de 1991, e na
Lei n° 8.387, de 30 de dezembro de 1991, as empresas deverão implantar sistema de qualidade, na
forma definida pelo Poder Executivo, e implantar programa de participação dos trabalhadores nos
lucros ou resultados da empresa, nos termos da legislação vigente aplicável. (Nota: regulamentado
pelo Decreto 3.800/2001, pelo Decreto 4.401/2002 e pelo Decreto 5.906/2006)
Art. 9º O Poder Executivo regulamentará, em até sessenta dias contados da data de
vigência desta Lei, o procedimento para fixação do processo produtivo básico referido no § 6º do
art. 7° do Decreto-Lei n° 288, de 28 de fevereiro de 1967, modificado pelo Decreto-Lei n° 1.435, de
16 de dezembro de 1975, pela Lei n° 8.387, de 30 de dezembro de 1991, e por esta Lei, e no § 2º do
art. 4° da Lei n° .248, de 23 de outubro de 1991, introduzido pelo art. 1º desta Lei.
Art. 10. (VETADO)
Art. 11. Para os bens de informática e automação produzidos na região Centro-Oeste e
nas regiões de influência da Agência de Desenvolvimento da Amazônia - ADA e da Agência de
Desenvolvimento do Nordeste - ADENE, o benefício da redução do Imposto sobre Produtos
Industrializados - IPI, de que trata a Lei n° 8.248, de 23 de outubro de 1991, deverá observar os
seguintes percentuais: (Nota: redação dada pela Lei 11.077/2004 e regulamentado pelo Decreto
5.906/2006) (Nota: revogado pela Lei 13.023/2014)
I - redução de 95% (noventa e cinco por cento) do imposto devido, de 1º de janeiro de
2004 até 31 de dezembro de 2014; (Nota: redação dada pela Lei 11.077/2004 e regulamentado
pelo Decreto 5.906/2006) (Nota: revogado pela Lei 13.023/2014)
II - redução de 90% (noventa por cento) do imposto devido, de 1º de janeiro até 31 de
dezembro de 2015; e (Nota: redação dada pela Lei 11.077/2004 e regulamentado pelo Decreto
5.906/2006) (Nota: revogado pela Lei 13.023/2014)
III - redução de 85% (oitenta e cinco por cento) do imposto devido, de 1º de janeiro de
2016 até 31 de dezembro de 2019, quando será extinto. (Nota: redação dada pela Lei 11.077/2004
e regulamentado pelo Decreto 6.906/2006) (Nota: revogado pela Lei 13.023/2014)
Parágrafo único. (Nota: suprimido pela Lei 11.077/2004) (Nota: revogado pela Lei
13.023/2014)
§ 1º O disposto neste artigo não se aplica a microcomputadores portáteis e às unidades
de processamento digitais de pequena capacidade baseadas em microprocessadores, de valor até R$
11.000,00 (onze mil reais), bem como às unidades de discos magnéticos e ópticos, aos circuitos
impressos com componentes elétricos e eletrônicos montados, aos gabinetes e às fontes de
alimentação, reconhecíveis como exclusiva ou principalmente destinados a tais equipamentos, as
quais usufruem, até 31 de dezembro de 2014, o benefício da isenção do Imposto sobre Produtos
Industrializados - IPI que, a partir dessa data, fica convertido em redução do Imposto sobre
121
Produtos Industrializados - IPI, observados os seguintes percentuais: (Nota: acrescentado pela Lei
11.077/2004 e regulamentado pelo Decreto 5.906/2006) (Nota: revogado pela Lei 13.023/2014)
I - redução de 95% (noventa e cinco por cento) do imposto devido, de 1º de janeiro até
31 de dezembro de 2015; (Nota: acrescentado pela Lei 11.077/2004 e regulamentado pelo Decreto
5.906/2006) (Nota: revogado pela Lei 13.023/2014)
II - redução de 85% (oitenta e cinco por cento) do imposto devido, de 1º de janeiro de
2016 até 31 de dezembro de 2019. (Nota: acrescentado pela Lei 11.077/2004 e regulamentado pelo
Decreto 5.906/2006) (Nota: revogado pela Lei 13.023/2014)
§ 2º O Poder Executivo poderá atualizar o valor fixado no § 1º deste artigo. (Nota:
acrescentado pela Lei 11.077/2004 e regulamentado pelo Decreto 5.906/2006) (Nota: revogado
pela Lei 13.023/2014)
§ 3º Para as empresas beneficiárias, na forma do § 1º deste artigo, fabricantes de
microcomputadores portáteis e de unidades de processamento digitais de pequena capacidade
baseadas em microprocessadores, de valor até R$ 11.000,00 (onze mil reais), bem como de
unidades de discos magnéticos e ópticos, circuitos impressos com componentes elétricos e
eletrônicos montados, gabinetes e fontes de alimentação, reconhecíveis como exclusiva ou
principalmente destinados a tais equipamentos, e exclusivamente sobre o faturamento bruto
decorrente da comercialização destes produtos no mercado interno, os percentuais para
investimentos estabelecidos no § 7º do art. 11 da Lei n° 8.248, de 23 de outubro de 1991, serão
reduzidos em 50% (cinqüenta por cento) até 31 de dezembro de 2006. (Nota: acrescentado pela Lei
11.077/2004 e regulamentado pelo Decreto 5.906/2006) (Nota: revogado pela Lei 13.023/2014)
§ 4º Os benefícios de que trata o § 1º deste artigo aplicam-se, também, aos bens
desenvolvidos no País e produzidos na Região Centro-Oeste e nas regiões de influência da Agência
de Desenvolvimento da Amazônia - ADA e da Agência de Desenvolvimento do Nordeste -
ADENE, que sejam incluídos na categoria de bens de informática e automação pela Lei n° 8.248, de
23 de outubro de 1991, conforme regulamento. (Nota: acrescentado pela Lei n° 11.077/2004 e
regulamentado pelo Decreto 5.906/2006) (Nota: revogado pela Lei 13.023/2014)
Art. 12. O Poder Executivo regulamentará esta Lei no prazo de trinta dias, contado da
data da sua publicação.
Art. 13. Esta Lei entra em vigor na data da sua publicação, exceto os arts. 2º, 3º e 4º,
que entram em vigor noventa dias depois da referida publicação.
Art. 14. Revogam-se os arts. 1°, 2°, 5°, 6°, 7° e 15 da Lei n° 8.248, de 23 de outubro
1991.
Brasília, 11 de janeiro de 2001; 180º da Independência e 113º da República.
FERNANDO HENRIQUE CARDOSO
Pedro Malan
Alcides Lopes Tápias
Ronaldo Mota Sardenberg
FONTE: Publicação DOU, de 12/01/2001.
122
DECRETO N° 4.414, DE 7 DE OUTUBRO DE 2002
Altera o Decreto no 3.996, de 31 de outubro de 2001,
que dispõe sobre a prestação de serviços de certificação
digital no âmbito da Administração Pública Federal.
O PRESIDENTE DA REPÚBLICA, no uso das atribuições que lhe confere o art. 84,
incisos II e VI, alínea "a", da Constituição,
DECRETA:
Art. 1o O Decreto n° 3.996, de 31 de outubro de 2001 passa a vigorar acrescido do
seguinte artigo:
“Art.3°-A As aplicações e demais programas utilizados no âmbito da Administração
Pública Federal direta e indireta que admitirem o uso de certificado digital de um determinado tipo
contemplado pela ICP-Brasil devem aceitar qualquer certificado de mesmo tipo, ou com requisitos
de segurança mais rigorosos, emitido por qualquer AC integrante da ICP-Brasil." (NR)
Art. 2o Este Decreto entra em vigor na data de sua publicação.
Brasília, 7 de outubro de 2002; 181o da Independência e 114o da República.
FERNANDO HENRIQUE CARDOSO
Pedro Parente
FONTE: Publicação DOU, de 08/10/2002.
123
DECRETO Nº 4.829, DE 3 DE SETEMBRO DE 2003
Dispõe sobre a criação do Comitê Gestor da Internet
no Brasil - CGIbr, sobre o modelo de governança da
Internet no Brasil, e dá outras providências.
O PRESIDENTE DA REPÚBLICA, no uso das atribuições que lhe confere o art. 84,
incisos II e VI, alínea "a", da Constituição,
DECRETA:
Art. 1º Fica criado o Comitê Gestor da Internet no Brasil - CGIbr, que terá as seguintes
atribuições:
I - estabelecer diretrizes estratégicas relacionadas ao uso e desenvolvimento da Internet
no Brasil;
II - estabelecer diretrizes para a organização das relações entre o Governo e a sociedade,
na execução do registro de Nomes de Domínio, na alocação de Endereço IP (Internet Protocol) e na
administração pertinente ao Domínio de Primeiro Nível (ccTLD - country code Top Level Domain),
".br", no interesse do desenvolvimento da Internet no País;
III - propor programas de pesquisa e desenvolvimento relacionados à Internet, que
permitam a manutenção do nível de qualidade técnica e inovação no uso, bem como estimular a sua
disseminação em todo o território nacional, buscando oportunidades constantes de agregação de
valor aos bens e serviços a ela vinculados;
IV - promover estudos e recomendar procedimentos, normas e padrões técnicos e
operacionais, para a segurança das redes e serviços de Internet, bem assim para a sua crescente e
adequada utilização pela sociedade;
V - articular as ações relativas à proposição de normas e procedimentos relativos à
regulamentação das atividades inerentes à Internet;
VI - ser representado nos fóruns técnicos nacionais e internacionais relativos à Internet;
VII - adotar os procedimentos administrativos e operacionais necessários para que a
gestão da Internet no Brasil se dê segundo os padrões internacionais aceitos pelos órgãos de cúpula
da Internet, podendo, para tanto, celebrar acordo, convênio, ajuste ou instrumento congênere;
VIII - deliberar sobre quaisquer questões a ele encaminhadas, relativamente aos
serviços de Internet no País; e
IX - aprovar o seu regimento interno.
Art. 2º O CGIbr será integrado pelos seguintes membros titulares e pelos respectivos
suplentes:
I - um representante de cada órgão e entidade a seguir indicados:
a) Ministério da Ciência e Tecnologia, que o coordenará;
b) Casa Civil da Presidência da República;
c) Ministério das Comunicações;
d) Ministério da Defesa;
e) Ministério do Desenvolvimento, Indústria e Comércio Exterior;
f) Ministério do Planejamento, Orçamento e Gestão;
g) Agência Nacional de Telecomunicações; e
h) Conselho Nacional de Desenvolvimento Científico e Tecnológico;
II - um representante do Fórum Nacional de Secretários Estaduais para Assuntos de
Ciência e Tecnologia;
III - um representante de notório saber em assuntos de Internet;
IV - quatro representantes do setor empresarial;
V - quatro representantes do terceiro setor; e
124
VI - três representantes da comunidade científica e tecnológica.
Art. 3º O Fórum Nacional de Secretários Estaduais para Assuntos de Ciência e
Tecnologia será representado por um membro titular e um suplente, a serem indicados por sua
diretoria, com mandato de três anos, permitida a recondução.
Art. 4º O Ministério da Ciência e Tecnologia indicará o representante de notório saber
em assuntos da Internet de que trata o inciso III do art. 2º, com mandato de três anos, permitida a
recondução e vedada a indicação de suplente.
Art. 5º O setor empresarial será representado pelos seguintes segmentos:
I - provedores de acesso e conteúdo da Internet;
II - provedores de infra-estrutura de telecomunicações;
III - indústria de bens de informática, de bens de telecomunicações e de software; e
IV - setor empresarial usuário.
§ 1º A indicação dos representantes de cada segmento empresarial será efetivada por
meio da constituição de um colégio eleitoral, que elegerá, por votação não-secreta, os representantes
do respectivo segmento.
§ 2º O colégio eleitoral de cada segmento será formado por entidades de representação
pertinentes ao segmento, cabendo um voto a cada entidade inscrita no colégio e devendo o voto ser
exercido pelo representante legal da entidade.
§ 3º Cada entidade poderá inscrever-se somente em um segmento e deve atender aos
seguintes requisitos:
I - ter existência legal de, no mínimo, dois anos em relação à data de início da inscrição
de candidatos; e
II - expressar em seu documento de constituição o propósito de defender os interesses
do segmento no qual pretende inscrever-se.
§ 4º Cada entidade poderá indicar somente um candidato e apenas candidatos indicados
por entidades inscritas poderão participar da eleição.
§ 5º Os candidatos deverão ser indicados pelos representantes legais das entidades
inscritas.
§ 6º O candidato mais votado em cada segmento será o representante titular do
segmento e o candidato que obtiver a segunda maior votação será o representante suplente do
segmento.
§ 7º Caso não haja vencedor na primeira eleição, deverá ser realizada nova votação em
segundo turno.
§ 8º Persistindo o empate, será declarado vencedor o candidato mais idoso e, se houver
novo empate, decidir-se-á por sorteio.
§ 9º O mandato dos representantes titulares e suplentes será de três anos, permitida a
reeleição.
Art. 6º A indicação dos representantes do terceiro setor será efetivada por meio da
constituição de um colégio eleitoral que elegerá, por votação não-secreta, os respectivos
representantes.
§ 1º O colégio eleitoral será formado por entidades de representação pertinentes ao
terceiro setor.
§ 2º Cada entidade deve atender aos seguintes requisitos para inscrição no colégio
eleitoral do terceiro setor:
I - ter existência legal de, no mínimo, dois anos em relação à data de início da inscrição
de candidatos; e
II - não representar quaisquer dos setores de que tratam os incisos I, II, IV e VI do art.
2º.
125
§ 3º Cada entidade poderá indicar somente um candidato e apenas candidatos indicados
por entidades inscritas poderão participar da eleição.
§ 4º Os candidatos deverão ser indicados pelos representantes legais das entidades
inscritas.
§ 5º O voto será efetivado pelo representante legal da entidade inscrita, que poderá votar
em até quatro candidatos.
§ 6º Os quatro candidatos mais votados serão os representantes titulares, seus suplentes
serão os que obtiverem o quinto, o sexto, o sétimo e o oitavo lugares.
§ 7º Na ocorrência de empate na eleição de titulares e suplentes, deverá ser realizada
nova votação em segundo turno.
§ 8º Persistindo o empate, será declarado vencedor o candidato mais idoso e, se houver
novo empate, decidir-se-á por sorteio.
§ 9º O mandato dos representantes titulares e suplentes será de três anos, permitida a
reeleição.
Art. 7º A indicação dos representantes da comunidade científica e tecnológica será
efetivada por meio da constituição de um colégio eleitoral que elegerá, por votação não-secreta, os
respectivos representantes.
§ 1º O colégio eleitoral será formado por entidades de representação pertinentes à
comunidade científica e tecnológica.
§ 2º Cada entidade deve atender aos seguintes requisitos para inscrição no colégio
eleitoral da comunidade científica e tecnológica:
I - ter existência legal de, no mínimo, dois anos em relação à data de início da inscrição
de candidatos; e
II - ser entidade de cunho científico ou tecnológico, representativa de entidades ou
cientistas e pesquisadores integrantes das correspondentes categorias.
§ 3º Cada entidade poderá indicar somente um candidato e apenas candidatos indicados
por entidades inscritas poderão participar da eleição.
§ 4º Os candidatos deverão ser indicados pelos representantes legais das entidades
inscritas.
§ 5º O voto será efetivado pelo representante legal da entidade inscrita, que poderá votar
em até três candidatos.
§ 6º Os três candidatos mais votados serão os representantes titulares, seus suplentes
serão os que obtiverem o quarto, o quinto e o sexto lugares.
§ 7º Na ocorrência de empate na eleição de titulares e suplentes deverá ser realizada
nova votação em segundo turno.
§ 8º Persistindo o empate, será declarado vencedor o candidato mais idoso e, se houver
novo empate, decidir-se-á por sorteio.
§ 9º O mandato dos representantes titulares e suplentes será de três anos, permitida a
reeleição.
Art. 8º Realizada a eleição e efetuada a indicação dos representantes, estes serão
designados mediante portaria interministerial do Ministro de Estado Chefe da Casa Civil da
Presidência da República e dos Ministros de Estado da Ciência e Tecnologia e das Comunicações.
Art. 9º A participação no CGIbr é considerada como de relevante interesse público e
não ensejará qualquer espécie de remuneração.
Art. 10. A execução do registro de Nomes de Domínio, a alocação de Endereço IP
(Internet Protocol) e a administração relativas ao Domínio de Primeiro Nível poderão ser atribuídas
a entidade pública ou a entidade privada, sem fins lucrativos, nos termos da legislação pertinente.
126
Art. 11. Até que sejam efetuadas as indicações dos representantes do setor empresarial,
terceiro setor e comunidade científica nas condições previstas nos arts. 5º, 6º e 7º, respectivamente,
serão eles designados em caráter provisório mediante portaria interministerial do Ministro de
Estado Chefe da Casa Civil da Presidência da República e dos Ministros de Estado da Ciência e
Tecnologia e das Comunicações.
Art. 12. O Ministro de Estado Chefe da Casa Civil da Presidência da República e os
Ministros de Estado da Ciência e Tecnologia e das Comunicações baixarão as normas
complementares necessárias à fiel execução deste Decreto.
Art. 13. Este Decreto entra em vigor na data de sua publicação.
Brasília, 3 de setembro de 2003; 182º da Independência e 115º da República.
LUIZ INÁCIO LULA DA SILVA
José Dirceu de Oliveira e Silva
Miro Teixeira
Roberto Átila Amaral Vieira
FONTE: Publicação DOU, de 04/09/2003.
127
DECRETO DE 29 DE OUTUBRO DE 2003
Institui Comitês Técnicos do Comitê Executivo do
Governo Eletrônico e dá outras providências.
O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o art. 84,
inciso VI, alínea "a", da Constituição,
DECRETA:
Art. 1o Ficam instituídos Comitês Técnicos, no âmbito do Comitê Executivo do
Governo Eletrônico, criado pelo Decreto de l8 de outubro de 2000, com a finalidade de coordenar e
articular o planejamento e a implementação de projetos e ações nas respectivas áreas de
competência, com as seguintes denominações:
I - Implementação do Software Livre;
II - Inclusão Digital;
III - Integração de Sistemas;
IV - Sistemas Legados e Licenças de Software;
V - Gestão de Sítios e Serviços On-line;
VI - Infra-Estrutura de Rede;
VII - Governo para Governo - G2G; e
VIII - Gestão de Conhecimentos e Informação Estratégica.
Art. 2o Os Comitês Técnicos serão compostos por representantes de órgãos e entidades
da administração pública federal, indicados pelos integrantes do Comitê Executivo do Governo
Eletrônico.
§ 1o Ato dos Ministros de Estado Chefe da Casa Civil da Presidência da República e do
Planejamento, Orçamento e Gestão estabelecerá a composição dos Comitês Técnicos e designará
seus membros e coordenadores.
§ 2o Em seus impedimentos, os membros dos Comitês Técnicos serão substituídos por
seus suplentes.
§ 3o Os órgãos e entidades cujos representantes integrem os respectivos Comitês
Técnicos prestarão o necessário apoio técnico e administrativo ao seu funcionamento, inclusive por
meio da designação de servidores dos seus quadros para a atuação em atividades e projetos.
§ 4o Poderão ser convidados a participar das reuniões dos Comitês Técnicos, a juízo do
seu coordenador, representantes de outros órgãos e entidades públicas, de empresas privadas ou de
organizações da sociedade civil.
§ 5o O Secretário-Executivo do Comitê Executivo do Governo Eletrônico
supervisionará os trabalhos dos Comitês Técnicos, inclusive por meio da convocação dos seus
coordenadores para participação em reuniões periódicas de acompanhamento.
Art. 3o Este Decreto entra em vigor na data de sua publicação.
Brasília, 29 de outubro de 2003; 182º da Independência e 115º da República.
LUIZ INÁCIO LULA DA SILVA
Guido Mantega
FONTE: Publicação DOU, de 30/10/2003.
128
RESOLUÇÃO INPI nº 106/03, de 24/11/2003
Estabelece os valores das retribuições pelos serviços de
registro de programas de computador.
PRESIDENTE DO INPI, no uso de suas atribuições,
RESOLVE:
Estabelecer normas e procedimentos relativos ao recolhimento das retribuições relativas
aos serviços específicos de registro de programas de computador, de acordo com as disposições do
artigo 3º da Lei nº 9.609, de 19 de fevereiro de 1998; do artigo 5º do Decreto nº 2.556, de 20 de
abril de 1998 e do artigo 20 da Lei nº 9.610, de 19 de fevereiro de 1998, na forma abaixo:
Art. 1º Ficam fixadas, pelos valores constantes da Tabela Anexa a esta Resolução, as
retribuições dos serviços de Registro de Programas de Computador.
Art. 2º As retribuições, abaixo especificadas, devidas por pessoas naturais;
microempresas, assim definidas em lei; instituições de ensino e pesquisa; sociedades ou associações
com intuito não econômico, bem como por órgãos públicos, quando se referirem a atos próprios dos
depositantes ou titulares, serão reduzidas em 50 % (cinqüenta por cento), excetuados os casos de
reiteração de exigências e de arbitragem;
Art. 3º Esta Resolução entra em vigor na data de sua publicação, ficando revogada a
Resolução INPI n°59, de 14 de julho de 1998.
LUIZ OTAVIO BEAKLINI
Presidente em exercício
ANTONIO CARLOS RODRIGUES GERMANO
Diretor de Administração Geral
129
(Valores em Reais - R$)
Anexo I, da Resolução nº 106/03, de 24/11/2003.
Cód.
Novo SERVIÇOS DE REGISTRO DE PROGRAMAS DE COMPUTADOR Retr.1 Retr.2(¹)
700 Pedido de Registro de Programas de Computador, utilizando até 05 (cinco)
invólucros. 390,00 195,00
701 Pedido de Registro de Programas de Computador, utilizando 06 (seis) até
15 (quinze) invólucros 780,00 390,00
702
Pedido de Registro de Programas de Computador, utilizando 16
(dezesseis) até 50 (cinqüenta) invólucros.
- Invólucro excedente a 50 (cinqüenta) deve-se somar um adicional de
R$ 75,00
1950,00 950,00
703 Alteração de Endereço.
- Independendo do número de registros 25,00 -
704
Alteração de nome, Averbação de Cessão de direitos ou outras solicitações
que impliquem a expedição de novo Certificado.
- Ex: 2ª Via; Transferência de Titular; etc.
130,00 -
705 Certidão 60,00 -
706 Cumprimento de Exigência decorrente de Exame Formal isento -
707 Cumprimento/Contestação de Exigência 105,00 -
708 Reiteração de Exigência, a cada Reiteração 65,00 -
709 Desistência de Pedido/Registro. isento -
710 Prorrogação do Sigilo, até 05 (cinco) invólucros. 130,00 65,00
711 Prorrogação do Sigilo, utilizando 06 (seis) até 15 (quinze) invólucros 260,00 130,00
712
Prorrogação do Sigilo, utilizando 16 (dezesseis) até 50 (cinqüenta)
invólucros.
- Invólucro excedente a 50 (cinqüenta) deve-se somar um adicional de
R$ 75,00.
650,00 325,00
713 Renúncia ao Sigilo isento -
714 Recurso. 320,00 160,00
717 Pedido de Arbitragem. 520,00 260,00
718 Busca na base de dados do Registro, por objeto (Titular, Autor, Título,
data de depósito e etc.). 40,00 -
719 Solicitação de Levantamento do Sigilo. 60,00 30,00
720 Outras Petições. 50,00 -
(1) Redução proveniente da aplicação do artigo 2º desta Resolução.
(2) Nos casos incluídos no item "PUPLICAÇÕES, IMPRESSOS E CÓPIA REPROGRÁFICA" o
130
INPI editará Tabela própria, em separata, contendo a lista dos produtos disponíveis e especificando
os respectivos "PREÇOS", bem como os pertinentes "Códigos de Serviço".
(*) Retr.2
Resolução INPI No. 104/03, de 24 de novembro de 2003. Redução de valor de retribuição a ser obtida por :
pessoas físicas;
microempresas, assim definidas em lei;
sociedades ou associações de intuito não econômico;
órgãos públicos
FONTE: www.inpi.gov.br.
131
LEI N° 10.973, DE 2 DE DEZEMBRO DE 2004
(Nota: Regulamentada pelo Decreto 5.563/2005)
Dispõe sobre incentivos à inovação e à pesquisa
científica e tecnológica no ambiente produtivo e dá
outras providências.
O PRESIDENTE DA REPÚBLICA
Faço saber que o Congresso Nacional decreta e eu sanciono seguinte Lei:
Capítulo I
DISPOSIÇÕES PRELIMINARES
Art. 1° Esta Lei estabelece medidas de incentivo à inovação à pesquisa científica e
tecnológica no ambiente produtivo, com vistas à capacitação e ao alcance da autonomia tecnológica
e ao desenvolvimento industrial do País, nos termos dos arts. 218 e 219 da Constituição.
Art. 2° Para os efeitos desta Lei, considera-se:
I - agência de fomento: órgão ou instituição de natureza pública ou privada que tenha
entre os seus objetivos o financiamento de ações que visem a estimular e promover o
desenvolvimento da ciência, da tecnologia e da inovação;
II - criação: invenção, modelo de utilidade, desenho industrial, programa de
computador, topografia de circuito integrado, nova cultivar ou cultivar essencialmente derivada e
qualquer outro desenvolvimento tecnológico que acarrete ou possa acarretar o surgimento de novo
produto, processo ou aperfeiçoamento incremental, obtida por um ou mais criadores;
III - criador: pesquisador que seja inventor, obtentor ou autor de criação;
IV - inovação: introdução de novidade ou aperfeiçoamento no ambiente produtivo ou
social que resulte em novos produtos, processos ou serviços;
V - Instituição Científica e Tecnológica - ICT: órgão ou entidade da administração
pública cuja missão institucional seja preponderantemente voltada à execução de atividades de
pesquisa básica ou aplicada de caráter científico, tecnológico ou de inovação; (Redação dada pela
MPV 495/2010)
VI - núcleo de inovação tecnológica: núcleo ou órgão constituído por uma ou mais ICT
com a finalidade de gerir sua política de inovação;
VII - instituição de apoio - fundação criada com a finalidade de dar apoio a projetos de
pesquisa, ensino e extensão e de desenvolvimento institucional, científico e tecnológico de interesse
das IFES e demais ICTs, registrada e credenciada nos Ministérios da Educação e da Ciência e
Tecnologia, nos termos da Lei n° 8.958, de 20 de dezembro de 1994; (Redação dada pela Lei
12.349/2010 )
VIII - pesquisador público: ocupante de cargo efetivo, cargo militar ou emprego público
que realize pesquisa básica ou aplicada de caráter científico ou tecnológico; e
IX - inventor independente: pessoa física, não ocupante de cargo efetivo, cargo militar
ou emprego público, que seja inventor, obtentor ou autor de criação.
Capítulo II
DO ESTÍMULO À CONSTRUÇÃO DE AMBIENTES ESPECIALIZADOS E
COOPERATIVOS DE INOVAÇÃO
Art. 3° A União, os Estados, o Distrito Federal, os Municípios e as respectivas agências
de fomento poderão estimular e apoiar a constituição de alianças estratégicas e o desenvolvimento
de projetos de cooperação envolvendo empresas nacionais, ICT e organizações de direito privado
132
sem fins lucrativos voltadas para atividades de pesquisa e desenvolvimento, que objetivem a
geração de produtos e processos inovadores.
Parágrafo único. O apoio previsto neste artigo poderá contemplar as redes e os projetos
internacionais de pesquisa tecnológica, bem como ações de empreendedorismo tecnológico e de
criação de ambientes de inovação, inclusive incubadoras e parques tecnológicos.
Art. 3ºA. A Financiadora de Estudos e Projetos - FINEP, como secretaria executiva do
Fundo Nacional de Desenvolvimento Científico e Tecnológico - FNDCT, o Conselho Nacional de
Desenvolvimento Científico e Tecnológico - CNPq e as Agências Financeiras Oficiais de Fomento
poderão celebrar convênios e contratos, nos termos do inciso XIII do art. 24 da Lei n° 8.666, de 21
de junho de 1993, por prazo determinado, com as fundações de apoio, com a finalidade de dar apoio
às IFES e demais ICTs, inclusive na gestão administrativa e financeira dos projetos mencionados no
caput do art. 1° da Lei n° 8.958, de 20 de dezembro de 1994, com a anuência expressa das
instituições apoiadas. (Redação dada pela Lei 12.349/2010)
Art. 4° As ICT poderão, mediante remuneração e por prazo determinado, nos termos de
contrato ou convênio:
I - compartilhar seus laboratórios, equipamentos, instrumentos, materiais e demais
instalações com microempresas e empresas de pequeno porte em atividades voltadas à inovação
tecnológica, para a consecução de atividades de incubação, sem prejuízo de sua atividade
finalística;
II - permitir a utilização de seus laboratórios, equipamentos, instrumentos, materiais e
demais instalações existentes em suas próprias dependências por empresas nacionais e organizações
de direito privado sem fins lucrativos voltadas para atividades de pesquisa, desde que tal permissão
não interfira diretamente na sua atividadefim, nem com ela conflite.
Parágrafo único. A permissão e o compartilhamento de que tratam os incisos I e II do
caput deste artigo obedecerão às prioridades, critérios e requisitos aprovados e divulgados pelo
órgão máximo da ICT, observadas as respectivas disponibilidades e assegurada a igualdade de
oportunidades às empresas e organizações interessadas.
Art. 5° Ficam a União e suas entidades autorizadas a participar minoritariamente do
capital de empresa privada de propósito específico que vise ao desenvolvimento de projetos
científicos ou tecnológicos para obtenção de produto ou processo inovadores.
Parágrafo único. A propriedade intelectual sobre os resultados obtidos pertencerá às
instituições detentoras do capital social, na proporção da respectiva participação.
Capítulo III
DO ESTÍMULO À PARTICIPAÇÃO DAS ICT NO PROCESSO DE INOVAÇÃO
Art. 6° É facultado à ICT celebrar contratos de transferência de tecnologia e de
licenciamento para outorga de direito de uso ou de exploração de criação por ela desenvolvida.
§ 1° A contratação com cláusula de exclusividade, para os fins de que trata o caput deste
artigo, deve ser precedida da publicação de edital.
§ 2° Quando não for concedida exclusividade ao receptor de tecnologia ou ao
licenciado, os contratos previstos no caput deste artigo poderão ser firmados diretamente, para fins
de exploração de criação que deles seja objeto, na forma do regulamento.
§ 3° A empresa detentora do direito exclusivo de exploração de criação protegida
perderá automaticamente esse direito caso não comercialize a criação dentro do prazo e condições
definidos no contrato, podendo a ICT proceder a novo licenciamento.
133
§ 4° O licenciamento para exploração de criação cujo objeto interesse à defesa nacional
deve observar o disposto n° § 3° do art. 75 da Lei n° 9.279, de 14 de maio de 1996.
§ 5° A transferência de tecnologia e o licenciamento para exploração de criação
reconhecida, em ato do Poder Executivo, como de relevante interesse público, somente poderão ser
efetuados a título não exclusivo.
Art. 7° A ICT poderá obter o direito de uso ou de exploração de criação protegida.
Art. 8° É facultado à ICT prestar a instituições públicas ou privadas serviços
compatíveis com os objetivos desta Lei, nas atividades voltadas à inovação e à pesquisa científica e
tecnológica no ambiente produtivo.
§ 1° A prestação de serviços prevista no caput deste artigo dependerá de aprovação pelo
órgão ou autoridade máxima da ICT.
§ 2° O servidor, o militar ou o empregado público envolvido na prestação de serviço
prevista no caput deste artigo poderá receber retribuição pecuniária, diretamente da ICT ou de
instituição de apoio com que esta tenha firmado acordo, sempre sob a forma de adicional variável e
desde que custeado exclusivamente com recursos arrecadados no âmbito da atividade contratada.
§ 3° O valor do adicional variável de que trata o § 2° deste artigo fica sujeito à
incidência dos tributos e contribuições aplicáveis à espécie, vedada a incorporação aos vencimentos,
à remuneração ou aos proventos, bem como a referência como base de cálculo para qualquer
benefício, adicional ou vantagem coletiva ou pessoal.
§ 4° O adicional variável de que trata este artigo configurase, para os fins do art. 28 da
Lei n° 8.212, de 24 de julho de 1991, ganho eventual.
Art. 9° É facultado à ICT celebrar acordos de parceria para realização de atividades
conjuntas de pesquisa científica e tecnológica e desenvolvimento de tecnologia, produto ou
processo, com instituições públicas e privadas.
§ 1° O servidor, o militar ou o empregado público da ICT envolvido na execução das
atividades previstas no caput deste artigo poderá receber bolsa de estímulo à inovação diretamente
de instituição de apoio ou agência de fomento.
§ 2° As partes deverão prever, em contrato, a titularidade da propriedade intelectual e a
participação nos resultados da exploração das criações resultantes da parceria, assegurando aos
signatários o direito ao licenciamento, observado o disposto nos §§ 4° e 5° do art. 6° desta Lei.
§ 3° A propriedade intelectual e a participação nos resultados referidas no § 2° deste
artigo serão asseguradas, desde que previsto no contrato, na proporção equivalente ao montante do
valor agregado do conhecimento já existente no início da parceria e dos recursos humanos,
financeiros e materiais alocados pelas partes contratantes.
Art. 10. Os acordos e contratos firmados entre as ICT, as instituições de apoio, agências
de fomento e as entidades nacionais de direito privado sem fins lucrativos voltadas para atividades
de pesquisa, cujo objeto seja compatível com a finalidade desta Lei, poderão prever recursos para
cobertura de despesas operacionais e administrativas incorridas na execução destes acordos e
contratos, observados os critérios do regulamento.
Art. 11. A ICT poderá ceder seus direitos sobre a criação, mediante manifestação
expressa e motivada, a título não-oneroso, nos casos e condições definidos em regulamento, para
que o respectivo criador os exerça em seu próprio nome e sob sua inteira responsabilidade, nos
termos da legislação pertinente.
Parágrafo único. A manifestação prevista no caput deste artigo deverá ser proferida pelo
órgão ou autoridade máxima da instituição, ouvido o núcleo de inovação tecnológica, no prazo
fixado em regulamento.
134
Art. 12. É vedado a dirigente, ao criador ou a qualquer servidor, militar, empregado ou
prestador de serviços de ICT divulgar, noticiar ou publicar qualquer aspecto de criações de cujo
desenvolvimento tenha participado diretamente ou tomado conhecimento por força de suas
atividades, sem antes obter expressa autorização da ICT.
Art. 13. É assegurada ao criador participação mínima de 5% (cinco por cento) e máxima
de 1/3 (um terço) nos ganhos econômicos, auferidos pela ICT, resultantes de contratos de
transferência de tecnologia e de licenciamento para outorga de direito de uso ou de exploração de
criação protegida da qual tenha sido o inventor, obtentor ou autor, aplicando-se, no que couber, o
disposto no parágrafo único do art. 93 da Lei n° 9.279, de 1996.
§ 1° A participação de que trata o caput deste artigo poderá ser partilhada pela ICT entre
os membros da equipe de pesquisa e desenvolvimento tecnológico que tenham contribuído para a
criação.
§ 2° Entende-se por ganhos econômicos toda forma de royalties, remuneração ou
quaisquer benefícios financeiros resultantes da exploração direta ou por terceiros, deduzidas as
despesas, encargos e obrigações legais decorrentes da proteção da propriedade intelectual.
§ 3° A participação prevista no caput deste artigo obedecerá ao disposto nos §§ 3° e 4°
do art. 8°.
§ 4° A participação referida no caput deste artigo será paga
pela ICT em prazo não superior a 1 (um) ano após a realização da receita que lhe servir de base.
Art. 14. Para a execução do disposto nesta Lei, ao pesquisador público é facultado o
afastamento para prestar colaboração a outra ICT, nos termos do inciso II do art. 93 da Lei n° 8.112,
de 11 de dezembro de 1990, observada a conveniência da ICT de origem.
§ 1° As atividades desenvolvidas pelo pesquisador público, na instituição de destino,
devem ser compatíveis com a natureza do cargo efetivo, cargo militar ou emprego público por ele
exercido na instituição de origem, na forma do regulamento.
§ 2° Durante o período de afastamento de que trata o caput deste artigo, são assegurados
ao pesquisador público o vencimento do cargo efetivo, o soldo do cargo militar ou o salário do
emprego público da instituição de origem, acrescido das vantagens pecuniárias permanentes
estabelecidas em lei, bem como progressão funcional e os benefícios do plano de seguridade social
ao qual estiver vinculado.
§ 3° As gratificações específicas do exercício do magistério somente serão garantidas,
na forma do § 2o deste artigo, caso o pesquisador público se mantenha na atividade docente em
instituição científica e tecnológica.
§ 4° No caso de pesquisador público em instituição militar, seu afastamento estará
condicionado à autorização do Comandante da Força à qual se subordine a instituição militar a que
estiver vinculado.
Art. 15. A critério da administração pública, na forma do regulamento, poderá ser
concedida ao pesquisador público, desde que não esteja em estágio probatório, licença sem
remuneração para constituir empresa com a finalidade de desenvolver atividade empresarial relativa
à inovação.
§ 1° A licença a que se refere o caput deste artigo dar-se-á pelo prazo de até 3 (três)
anos consecutivos, renovável por igual período.
§ 2° Não se aplica ao pesquisador público que tenha constituído empresa na forma deste
artigo, durante o período de vigência da licença, o disposto no inciso X do art. 117 da Lei n° 8.112,
de 1990.
§ 3° Caso a ausência do servidor licenciado acarrete prejuízo às atividades da ICT
integrante da administração direta ou constituída na forma de autarquia ou fundação, poderá ser
135
efetuada contratação temporária nos termos da Lei n° 8.745, de 9 de dezembro de 1993,
independentemente de autorização específica.
Art. 16. A ICT deverá dispor de núcleo de inovação tecnológica, próprio ou em
associação com outras ICT, com a finalidade de gerir sua política de inovação.
Parágrafo único. São competências mínimas do núcleo de inovação tecnológica:
I - zelar pela manutenção da política institucional de estímulo à proteção das criações,
licenciamento, inovação e outras formas de transferência de tecnologia;
II - avaliar e classificar os resultados decorrentes de atividades e projetos de pesquisa
para o atendimento das disposições desta Lei;
III - avaliar solicitação de inventor independente para adoção de invenção na forma do
art. 22;
IV - opinar pela conveniência e promover a proteção das criações desenvolvidas na
instituição;
V - opinar quanto à conveniência de divulgação das criações desenvolvidas na
instituição, passíveis de proteção intelectual;
VI - acompanhar o processamento dos pedidos e a manutenção dos títulos de
propriedade intelectual da instituição.
Art. 17. A ICT, por intermédio do Ministério ou órgão ao qual seja subordinada ou
vinculada, manterá o Ministério da Ciência e Tecnologia informado quanto:
I - à política de propriedade intelectual da instituição;
II - às criações desenvolvidas no âmbito da instituição;
III - às proteções requeridas e concedidas; e
IV - aos contratos de licenciamento ou de transferência de tecnologia firmados.
Parágrafo único. As informações de que trata este artigo devem ser fornecidas de forma
consolidada, em periodicidade anual, com vistas à sua divulgação, ressalvadas as informações
sigilosas.
Art. 18. As ICT, na elaboração e execução dos seus orçamentos, adotarão as medidas
cabíveis para a administração e gestão da sua política de inovação para permitir o recebimento de
receitas e o pagamento de despesas decorrentes da aplicação do disposto nos arts. 4°, 6°, 8° e 9°, o
pagamento das despesas para a proteção da propriedade intelectual e os pagamentos devidos aos
criadores e eventuais colaboradores.
Parágrafo único. Os recursos financeiros de que trata o caput deste artigo, percebidos
pelas ICT, constituem receita própria e deverão ser aplicados, exclusivamente, em objetivos
institucionais de pesquisa, desenvolvimento e inovação.
Capítulo IV
DO ESTÍMULO À INOVAÇÃO NAS EMPRESAS
Art. 19. A União, as ICT e as agências de fomento promoverão e incentivarão o
desenvolvimento de produtos e processos inovadores em empresas nacionais e nas entidades
nacionais de direito privado sem fins lucrativos voltadas para atividades de pesquisa, mediante a
concessão de recursos financeiros, humanos, materiais ou de infra-estrutura, a serem ajustados em
convênios ou contratos específicos, destinados a apoiar atividades de pesquisa e desenvolvimento,
para atender às prioridades da política industrial e tecnológica nacional.
§ 1° As prioridades da política industrial e tecnológica nacional de que trata o caput
deste artigo serão estabelecidas em regulamento.
136
§ 2° A concessão de recursos financeiros, sob a forma de subvenção econômica,
financiamento ou participação societária, visando ao desenvolvimento de produtos ou processos
inovadores, será precedida de aprovação de projeto pelo órgão ou entidade concedente.
§ 3° A concessão da subvenção econômica prevista no § 1° deste artigo implica,
obrigatoriamente, a assunção de contrapartida pela empresa beneficiária, na forma estabelecida nos
instrumentos de ajuste específicos.
§ 4° O Poder Executivo regulamentará a subvenção econômica de que trata este artigo,
assegurada a destinação de percentual mínimo dos recursos do Fundo Nacional de
Desenvolvimento Científico e Tecnológico - FNDCT.
§ 5° Os recursos de que trata o § 4o deste artigo serão objeto de programação
orçamentária em categoria específica do FNDCT, não sendo obrigatória sua aplicação na destinação
setorial originária, sem prejuízo da alocação de outros recursos do FNDCT destinados à subvenção
econômica.
Art. 20. Os órgãos e entidades da administração pública, em matéria de interesse
público, poderão contratar empresa, consórcio de empresas e entidades nacionais de direito privado
sem fins lucrativos voltadas para atividades de pesquisa, de reconhecida capacitação tecnológica no
setor, visando à realização de atividades de pesquisa e desenvolvimento, que envolvam risco
tecnológico, para solução de problema técnico específico ou obtenção de produto ou processo
inovador.
§ 1° Considerar-se-á desenvolvida na vigência do contrato a que se refere o caput deste
artigo a criação intelectual pertinente ao seu objeto cuja proteção seja requerida pela empresa
contratada até 2 (dois) anos após o seu término.
§ 2° Findo o contrato sem alcance integral ou com alcance parcial do resultado
almejado, o órgão ou entidade contratante, a seu exclusivo critério, poderá, mediante auditoria
técnica e financeira, prorrogar seu prazo de duração ou elaborar relatório final dando-o por
encerrado.
§ 3° O pagamento decorrente da contratação prevista no caput deste artigo será efetuado
proporcionalmente ao resultado obtido nas atividades de pesquisa e desenvolvimento pactuadas.
Art. 21. As agências de fomento deverão promover, por meio de programas específicos,
ações de estímulo à inovação nas micro e pequenas empresas, inclusive mediante extensão
tecnológica realizada pelas ICT.
Capítulo V
DO ESTÍMULO AO INVENTOR INDEPENDENTE
Art. 22. Ao inventor independente que comprove depósito de pedido de patente é
facultado solicitar a adoção de sua criação por ICT, que decidirá livremente quanto à conveniência e
oportunidade da solicitação, visando à elaboração de projeto voltado a sua avaliação para futuro
desenvolvimento, incubação, utilização e industrialização pelo setor produtivo.
§ 1° O núcleo de inovação tecnológica da ICT avaliará a invenção, a sua afinidade com
a respectiva área de atuação e o interesse no seu desenvolvimento.
§ 2° O núcleo informará ao inventor independente, no prazo máximo de 6 (seis) meses,
a decisão quanto à adoção a que se refere o caput deste artigo.
§ 3° Adotada a invenção por uma ICT, o inventor independente comprometer-se-á,
mediante contrato, a compartilhar os ganhos econômicos auferidos com a exploração industrial da
invenção protegida.
137
Capítulo VI
DOS FUNDOS DE INVESTIMENTO
Art. 23. Fica autorizada a instituição de fundos mútuos de investimento em empresas
cuja atividade principal seja a inovação, caracterizados pela comunhão de recursos captados por
meio do sistema de distribuição de valores mobiliários, na forma da Lei n° 6.385, de 7 de dezembro
de 1976, destinados à aplicação em carteira diversificada de valores mobiliários de emissão dessas
empresas.
Parágrafo único. A Comissão de Valores Mobiliários editará normas complementares
sobre a constituição, o funcionamento e a administração dos fundos, no prazo de 90 (noventa) dias
da data de publicação desta Lei.
CAPÍTULO VII
DISPOSIÇÕES FINAIS
Art. 24. A Lei n° 8.745, de 9 de dezembro de 1993 passa a vigorar com as seguintes
alterações:
“Art. 2° ....................................................................................
..........................................................................................................
VII - admissão de professor, pesquisador e tecnólogo substitutos para suprir a falta de
professor, pesquisador ou tecnólogo ocupante de cargo efetivo, decorrente de licença para exercer
atividade empresarial relativa à inovação.
...............................................................................................” (NR)
“Art. 4° ....................................................................................
...........................................................................................................
IV - 3 (três) anos, nos casos dos incisos VI, alínea 'h', e VII do art. 2°;
...........................................................................................................
Parágrafo único. .......................................................................
...........................................................................................................
V - no caso do inciso VII do art. 2º, desde que o prazo total não exceda 6 (seis) anos.”
(NR)
Art. 25. O art. 24 da Lei n° 8.666, de 21 de junho de 1993, passa a vigorar acrescido do
seguinte inciso:
“Art. 24. ...................................................................................
..........................................................................................................
XXV - na contratação realizada por Instituição Científica e Tecnológica - ICT ou por
agência de fomento para a transferência de tecnologia e para o licenciamento de direito de uso ou de
exploração de criação protegida.
...............................................................................................” (NR)
Art. 26. As ICT que contemplem o ensino entre suas atividades principais deverão
associar, obrigatoriamente, a aplicação do disposto nesta Lei a ações de formação de recursos
humanos sob sua responsabilidade.
Art. 27. Na aplicação do disposto nesta Lei, serão observadas as seguintes diretrizes:
138
I - priorizar, nas regiões menos desenvolvidas do País e na Amazônia, ações que visem
a dotar a pesquisa e o sistema produtivo regional de maiores recursos humanos e capacitação
tecnológica;
II - atender a programas e projetos de estímulo à inovação na indústria de defesa
nacional e que ampliem a exploração e o desenvolvimento da Zona Econômica Exclusiva (ZEE) e
da Plataforma Continental;
III - assegurar tratamento favorecido a empresas de pequeno porte; e
IV - dar tratamento preferencial, diferenciado e favorecido, na aquisição de bens e
serviços pelo poder público e pelas fundações de apoio para a execução de projetos de
desenvolvimento institucional da instituição apoiada, nos termos da Lei n° 8.958, de 20 de
dezembro de 1994, às empresas que invistam em pesquisa e no desenvolvimento de tecnologia no
País e às microempresas e empresas de pequeno porte de base tecnológica, criadas no ambiente das
atividades de pesquisa das ICTs. (Redação dada pela Lei 12.349/2010)
Art. 28. A União fomentará a inovação na empresa mediante a concessão de incentivos
fiscais com vistas na consecução dos objetivos estabelecidos nesta Lei.
Parágrafo único. O Poder Executivo encaminhará ao Congresso Nacional, em até 120
(cento e vinte) dias, contados da publicação desta Lei, projeto de lei para atender o previsto no
caput deste artigo.
Art. 29. Esta Lei entra em vigor na data de sua publicação.
Brasília, 2 de dezembro de 2004; 183° da Independência e 116° da República.
LUIZ INÁCIO LULA DA SILVA
Antonio Palocci Filho
Luiz Fernando Furlan
Eduardo Campos
José Dirceu de Oliveira e Silva
FONTE: Publicação DOU, de 03/12/2004.
Retificação DOU, de 16/03/2005.
139
INSTRUÇÃO NORMATIVA GSI Nº 1, DE 13 DE JUNHO DE 2008
Disciplina a Gestão de Segurança da Informação e
Comunicações na Administração Pública Federal,
direta e indireta, e dá outras providências.
O MINISTRO CHEFE DO GABINETE DE SEGURANÇA INSTITUCIONAL
DA PRESIDÊNCIA DA REPÚBLICA, na condição de SECRETÁRIO-EXECUTIVO DO
CONSELHO DE DEFESA NACIONAL, no uso de suas atribuições;
CONSIDERANDO:
o disposto no artigo 6º e parágrafo único do art. 16 da Lei nº 10.683, de 28 de maio de
2003;
o disposto no inciso IV do caput e inciso III do §1º do art. 1º e art. 8º do Anexo I do
Decreto nº 5.772, de 08 de maio de 2006;
o disposto nos incisos I, VI, VII e XIII do artigo 4º do Decreto nº 3.505, de 13 de junho
de 2000;
as informações tratadas no âmbito da Administração Pública Federal, direta e indireta,
como ativos valiosos para a eficiente prestação dos serviços públicos;
o interesse do cidadão como beneficiário dos serviços prestados pelos órgãos e
entidades da Administração Pública Federal, direta e indireta;
o dever do Estado de proteção das informações pessoais dos cidadãos;
a necessidade de incrementar a segurança das redes e bancos de dados governamentais;
e
a necessidade de orientar a condução de políticas de segurança da informação e
comunicações já existentes ou a serem implementadas pelos órgãos e entidades da Administração
Pública Federal, direta e indireta.
RESOLVE:
Art. 1º Aprovar orientações para Gestão de Segurança da Informação e Comunicações
que deverão ser implementadas pelos órgãos e entidades da Administração Pública Federal, direta e
indireta.
Art. 2º Para fins desta Instrução Normativa, entende-se por:
I - Política de Segurança da Informação e Comunicações: documento aprovado pela
autoridade responsável pelo órgão ou entidade da Administração Pública Federal, direta e indireta,
com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes à implementação
da segurança da informação e comunicações;
II - Segurança da Informação e Comunicações: ações que objetivam viabilizar e
assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;
III - disponibilidade: propriedade de que a informação esteja acessível e utilizável sob
demanda por uma pessoa física ou determinado sistema, órgão ou entidade;
IV - integridade: propriedade de que a informação não foi modificada ou destruída de
maneira não autorizada ou acidental;
V - confidencialidade: propriedade de que a informação não esteja disponível ou
revelada a pessoa física, sistema, órgão ou entidade não autorizado e credenciado;
VI - autenticidade: propriedade de que a informação foi produzida, expedida,
modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão
ou entidade;
140
VII - Gestão de Segurança da Informação e Comunicações: ações e métodos que visam
à integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de
incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética,
segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos
institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à tecnologia da
informação e comunicações;
VIII - quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no
comprometimento da segurança da informação e das comunicações;
IX - tratamento da informação: recepção, produção, reprodução, utilização, acesso,
transporte, transmissão, distribuição, armazenamento, eliminação e controle da informação,
inclusive as sigilosas.
Art. 3º Ao Gabinete de Segurança Institucional da Presidência da República - GSI, por
intermédio do Departamento de Segurança da Informação e Comunicações - DSIC, compete:
I - planejar e coordenar as atividades de segurança da informação e comunicações na
Administração Pública Federal, direta e indireta;
II - estabelecer normas definindo os requisitos metodológicos para implementação da
Gestão de Segurança da Informação e Comunicações pelos órgãos e entidades da Administração
Pública Federal, direta e indireta;
III - operacionalizar e manter centro de tratamento e resposta a incidentes ocorridos nas
redes de computadores da Administração Pública Federal, direta e indireta, denominado
CTIR.GOV;
IV - elaborar e implementar programas destinados à conscientização e à capacitação dos
recursos humanos em segurança da informação e comunicações;
V - orientar a condução da Política de Segurança da Informação e Comunicações na
Administração Pública Federal, direta e indireta;
VI - receber e consolidar os resultados dos trabalhos de auditoria de Gestão de
Segurança da Informação e Comunicações da Administração Pública Federal, direta e indireta;
VII - propor programa orçamentário específico para as ações de segurança da
informação e comunicações.
Art. 4º Ao Comitê Gestor de Segurança da Informação compete:
I - assessorar o GSI no aperfeiçoamento da Gestão de Segurança da Informação e
Comunicações da Administração Pública Federal, direta e indireta;
II - instituir grupos de trabalho para tratar de temas específicos relacionados à segurança
da informação e comunicações.
Art. 5º Aos demais órgãos e entidades da Administração Pública Federal, direta e
indireta, em seu âmbito de atuação, compete:
I - coordenar as ações de segurança da informação e comunicações;
II - aplicar as ações corretivas e disciplinares cabíveis nos casos de quebra de segurança;
III - propor programa orçamentário específico para as ações de segurança da informação
e comunicações;
IV - nomear Gestor de Segurança da Informação e Comunicações;
V - instituir e implementar equipe de tratamento e resposta a incidentes em redes
computacionais;
VI - instituir Comitê de Segurança da Informação e Comunicações;
VII - aprovar Política de Segurança da Informação e Comunicações e demais normas de
segurança da informação e comunicações;
VIII - remeter os resultados consolidados dos trabalhos de auditoria de Gestão de
Segurança da Informação e Comunicações para o GSI.
141
Parágrafo único. Para fins do disposto no caput, deverá ser observado o disposto no
inciso II do art. 3º desta Instrução Normativa.
Art. 6º Ao Comitê de Segurança da Informação e Comunicações, de que trata o inciso
VI do art. 5º, em seu âmbito de atuação, compete:
I - assessorar na implementação das ações de segurança da informação e comunicações;
II - constituir grupos de trabalho para tratar de temas e propor soluções específicas
sobre segurança da informação e comunicações;
III - propor alterações na Política de Segurança da Informação e Comunicações; e
IV - propor normas relativas à segurança da informação e comunicações.
Art. 7º Ao Gestor de Segurança da Informação e Comunicações, de que trata o inciso IV
do art. 5º, no âmbito de suas atribuições, incumbe:
I - promover cultura de segurança da informação e comunicações;
II - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de
segurança;
III - propor recursos necessários às ações de segurança da informação e comunicações;
IV - coordenar o Comitê de Segurança da Informação e Comunicações e a equipe de
tratamento e resposta a incidentes em redes computacionais;
V - realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na
segurança da informação e comunicações;
VI - manter contato direto com o DSIC para o trato de assuntos relativos à segurança da
informação e comunicações;
VII - propor normas relativas à segurança da informação e comunicações.
Art. 8º O cidadão, como principal cliente da Gestão de Segurança da Informação e
Comunicações da Administração Pública Federal, direta e indireta, poderá apresentar sugestões de
melhorias ou denúncias de quebra de segurança que deverão ser averiguadas pelas autoridades.
Art. 9º Esta Instrução Normativa entra em vigor sessenta dias após sua publicação.
JORGE ARMANDO FELIX
FONTE: Publicação DOU, de 18/06/2008.
142
PORTARIA Nº 31 - GSIPR/CH, DE 6 DE OUTUBRO DE 2008
(Nota: revogada pela Portaria GSI n°42 de 29/07/2011)
Institui a Rede Nacional de Segurança da Informação e
Criptografia - RENASIC.
O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANÇA
INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA, no uso de suas atribuições que lhe
conferem os incisos I e II do parágrafo único do art. 87 da Constituição, e tendo em vista o disposto
no caput do art. 6º da Lei nº 10.683, de 28 de maio de 2003, nos incisos III e VI do art. 3º do
Decreto nº 3.505, de 13 de junho de 2000, no inciso IV do art. 1º do Anexo I do Decreto nº 5.772,
de 8 de maio de 2006, RESOLVE:
Art. 1º Instituir a Rede Nacional de Segurança da Informação e Criptografia -
RENASIC, visando ao cumprimento dos objetivos e diretrizes da Política de Segurança da
Informação estabelecida pelo Decreto nº 3.505, de 13 de junho de 2000, que se regerá pelas normas
da presente Portaria.
Art. 2º A RENASIC tem por objetivos:
I - promover o avanço científico-tecnológico no país da segurança da informação, em
geral, e da criptografia e defesa cibernética em particular; e
II - integrar as atividades no país de grupos de pesquisa atuantes nas áreas mencionadas
no inciso anterior.
Parágrafo único. No âmbito da RENASIC serão executadas as seguintes atividades:
I - análise, desenvolvimento e implementação de técnicas e ferramentas relacionadas
com segurança da informação e criptografia;
II - aproximação do conhecimento das comunidades acadêmicas com as necessidades
dos potenciais usuários; e
III - realimentação das dificuldades e problemas práticos advindos das implementações
aos grupos teóricos.
Art. 3º A RENASIC terá como órgão de coordenação central o Gabinete de Segurança
Institucional da Presidência da República - GSI.
§ 1º A RENASIC será formada por um Comitê Diretor, um Comitê Técnico-Científico,
Laboratórios Virtuais e Grupos de Trabalho.
§ 2º Os Laboratórios Virtuais reunirão as diversas áreas científicas ou tecnológicas
relacionadas com a segurança da informação e criptografia, podendo se subdividir em Grupos de
Trabalho.
§ 3º Os Grupos de Trabalho serão formados por pesquisadores de áreas específicas
afins, com atividades e objetivos determinados.
§ 4º Cada Laboratório Virtual terá um Coordenador-Geral que se reportará ao Comitê
Técnico-Científico.
§ 5º Cada Grupo de Trabalho terá um Coordenador que se reportará ao Coordenador-
Geral do respectivo Laboratório Virtual.
§ 6º As atividades dos Laboratórios Virtuais e dos Grupos de Trabalho se desenvolverão
por intermédio de fóruns virtuais, portais colaborativos e listas de distribuição de correio eletrônico,
além de seminários, workshops, congressos, cursos, bolsas de estudo e projetos colaborativos.
§ 7º Os Laboratórios Virtuais e seus Grupos de Trabalho serão criados mediante
aprovação do Comitê Técnico-Científico.
143
Art. 4º A RENASIC poderá admitir entidades associadas, denominação dada às
organizações públicas ou privadas que participarem ou fomentarem suas atividades.
Parágrafo Único. As entidades associadas deverão firmar acordos de cooperação com a
RENASIC, por intermédio do GSI, visando a garantir apoio e ao desenvolvimento científico e
tecnológico relacionados às áreas de segurança da informação e criptografia de seu interesse.
Art. 5º A RENASIC terá a duração de quatro anos, a partir da data de publicação desta
Portaria, podendo ser renovada por períodos idênticos, mediante decisão do Ministro de Estado
Chefe do GSI, ouvidos o Comitê Diretor e o Comitê Técnico-Científico.
Parágrafo único. A RENASIC será avaliada a cada dois anos por comissão
independente composta por especialistas da área, designada pelo Ministro de Estado Chefe do GSI,
e que a ele se reportará de forma conclusiva sobre os seus resultados, a conveniência de aperfeiçoar
sua estrutura e operação, bem como sobre a sua continuidade.
Art. 6º A RENASIC será financiada por recursos captados junto a órgãos de fomento
federais, estaduais, internacionais e outras entidades públicas ou privadas.
Art. 7º Ao Comitê Diretor compete:
I - analisar e aprovar as políticas, diretrizes e prioridades propostas pelo Comitê
Técnico-Científico, bem como os projetos de pesquisa e desenvolvimento para execução no âmbito
da RENASIC;
II - aprovar o Regimento Interno da RENASIC;
III - acompanhar e avaliar periodicamente a execução dos projetos aprovados pela
RENASIC;
IV - apreciar as propostas de ações apresentadas pelo Comitê Técnico-Científico no que
diz respeito ao provimento de recursos humanos à RENASIC, incluindo-se a solicitação de bolsas e
auxílios à pesquisa oferecidos pelo Conselho Nacional de Desenvolvimento Científico e
Tecnológico - CNPq, pela Coordenação de Aperfeiçoamento de Pessoal de Nível Superior - CAPES
e por outras entidades de fomento;
V - acompanhar e avaliar, anualmente, a alocação de recursos, bolsas e outros auxílios
disponibilizados à RENASIC pelos órgãos de fomento e outras entidades públicas ou privadas;
VI - estimular a promoção de eventos e divulgar estudos relacionados à segurança da
informação e criptografia;
VII - estimular a integração das entidades ligadas ao desenvolvimento da segurança da
informação e criptografia;
VIII - desenvolver ferramentas, projetos e programas que articulem as iniciativas
voltadas para o desenvolvimento tecnológico na área de segurança da informação e criptografia; e
IX - estimular a capacitação nacional na área de segurança da informação e criptografia.
Parágrafo único. Para a consecução de seus objetivos, o Comitê Diretor poderá contar
com a colaboração de representantes de outras entidades públicas ou privadas.
Art. 8º O Comitê Diretor terá a seguinte composição:
I - dois representantes do GSI, sendo que um o presidirá;
II - um representante da Casa Civil da Presidência da República;
III - um representante do Centro de Pesquisa e Desenvolvimento para a Segurança das
Comunicações - CEPESC, unidade da Agência Brasileira de Inteligência - ABIN;
IV - um representante dos órgãos de fomento, indicado pelo Ministro de Estado Chefe
do MCT;
144
V - um representante das entidades associadas; e
VI - dois pesquisadores de renome na área científica ou tecnológica indicados em lista
tríplice pela Academia Brasileira de Ciência e pela Sociedade Brasileira para o Progresso da
Ciência.
§ 1º Os representantes do Comitê Diretor e seus suplentes serão designados mediante
Portaria do Ministro de Estado Chefe do GSI.
§ 2º O Comitê Diretor se reunirá a cada quatro meses e, extraordinariamente, quando
convocado por seu presidente.
§ 3º Um dos representantes do GSI no Comitê Diretor, será oriundo do Departamento
de Segurança da Informação e Comunicações - DSIC/GSI.
§ 4º O Comitê Diretor será secretariado pelo DSIC/GSI.
Art. 9º Ao Comitê Técnico-Científico compete:
I - propor ao Comitê Diretor políticas, diretrizes e prioridades visando à integração no
país das atividades de pesquisa e desenvolvimento em segurança da informação e criptografia;
II - assessorar o governo federal e entidades associadas nas questões relativas ao
desenvolvimento de produtos, sistemas e serviços, e à atuação do RENASIC em programas
internacionais na área de segurança da informação e criptografia;
III - analisar os projetos de pesquisa e desenvolvimento a serem executados no âmbito
da RENASIC, a serem submetidos à aprovação do Comitê Diretor;
IV - propor ao Comitê Diretor ações para provimento de recursos humanos à
RENASIC, inclusive no que diz respeito à solicitação de bolsas e auxílios à pesquisa oferecidos
pelo CNPq, pela CAPES e a outras entidades de fomento;
V - deliberar sobre publicações técnicas e sobre as grades dos cursos a serem
ministrados;
VI - organizar seminários, workshops e congressos com o objetivo de difundir o
andamento e resultados obtidos pelos pesquisadores da RENASIC entre seus membros e a
comunidade científica;
VII - manter a rede virtual ComSic; e
VIII - emitir parecer, quando solicitado, sobre questões omissas pertinentes à execução
de ações da RENASIC.
Art. 10. O Comitê Técnico-Científico será composto por sete pesquisadores, com
atuação reconhecida na área de segurança da informação e criptografia, designados mediante
Portaria do Ministro de Estado Chefe do GSI.
§ 1º Na escolha dos pesquisadores, levar-se-á em consideração a estruturação dos
Grupos de Trabalho, devendo, sempre que possível, haver representação das diversas especialidades
científicas.
§ 2º O Comitê Técnico-Científico será presidido por um dos seus integrantes,
escolhidos por seus pares, na forma a ser estabelecida no Regimento Interno da RENASIC.
§ 3º O mandato dos membros do Comitê Técnico- Científico será de dois anos,
permitida apenas uma recondução continuada.
§ 4º O Comitê Técnico-Científico reunir-se-á, ordinariamente, três vezes ao ano,
mediante convocação de seu Presidente e extraordinariamente, quando convocado pelo seu
Presidente ou pela maioria simples de seus membros.
§ 5º O Comitê Técnico-Científico será secretariado pelo CEPESC.
§ 6º O Comitê Técnico-Científico somente deliberará com a presença de seu Presidente
e com quorum não inferior a cinco de seus membros.
§ 7º O Comitê Técnico-Científico poderá solicitar a cooperação de outros órgãos do
setor público, bem como estabelecer formas de colaboração com entidades da comunidade
145
acadêmica e da sociedade civil que tenham atuação relevante na área de segurança informação e
criptografia.
Art. 11. Por ocasião dos eventos presenciais promovidos pela RENASIC, seus
pesquisadores apresentarão relatórios dos trabalhos realizados e haverá ampla discussão dos
objetivos, meios e resultados obtidos.
Art 12. Os casos omissos e as dúvidas que surgirem com relação às disposições desta
Portaria serão resolvidos pelo Ministro de Estado Chefe do GSI, ouvido o Comitê Diretor.
Art. 13. Esta Portaria entra em vigor na data de sua publicação.
JORGE ARMANDO FELIX
FONTE: Publicação DOU, de 07/10/2008.
146
PORTARIA Nº 33, DE 13 DE OUTUBRO DE 2008
Homologa a Norma Complementar nº 01/DSIC/GSIPR
O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANÇA
INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA, na condição de SECRETÁRIO-
EXECUTIVO DO CONSELHO DE DEFESA NACIONAL, no uso da atribuição que lhe
confere o Decreto nº 3.505, de 13 de junho de 2000, e o Decreto nº 5.772, de 8 de maio de 2006;
RESOLVE:
Art. 1º Fica homologada a Norma Complementar nº 01/DSIC/GSIPR aprovada pelo
Departamento de Segurança da Informação e Comunicações, em anexo.
Art. 2º Esta Portaria entra em vigor na data de sua publicação.
JORGE ARMANDO FELIX
147
PRESIDÊNCIA DA REPÚBLICA
Gabinete de Segurança Institucional
Departamento de Segurança da Informação e Comunicações
ORIGEM
Departamento de Segurança da Informação e Comunicações
REFERÊNCIA NORMATIVA
Artigo 6° da Lei n° 10.683, de 28 de maio de 2003.
Artigo 8° do Anexo I do Decreto n° 5.772, de 8 de maio de 2006.
Decreto n° 3.505, de 13 de junho de 2000
Art. 3° da IN n° 1 do Gabinete de Segurança Institucional, de 13 de junho de 2008.
CAMPO DE APLICAÇÃO
Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e
indireta.
SUMÁRIO
1. Objetivo
2. Fundamento Legal da Norma Complementar
3. Elaboração das Normas
4. Apresentação das Normas
5. Atualização das normas
6. Disposições Gerais
7. Vigência
8. Anexos
INFORMAÇÕES ADICIONAIS
Não há
APROVAÇÃO
RAPHAEL MANDARINO JÚNIOR
Diretor do Departamento de Segurança da Informação e Comunicações
148
1 OBJETIVO
Estabelecer critérios e procedimentos para elaboração, atualização, alteração, aprovação e
publicação de normas complementares sobre Gestão de Segurança da Informação e Comunicações,
no âmbito da Administração Pública Federal, direta e indireta.
2 FUNDAMENTO LEGAL DA NORMA COMPLEMENTAR
Conforme disposto no inciso II do art. 3º da Instrução Normativa nº 01, de 13 de Junho de 2008, do
Gabinete de Segurança Institucional, compete ao Departamento de Segurança da Informação e
Comunicações - DSIC, estabelecer normas definindo os requisitos metodológicos para
implementação da Gestão de Segurança da Informação e Comunicações pelos órgãos e entidades da
Administração Pública Federal, direta e indireta.
3 ELABORAÇÃO DAS NORMAS
Cabe a cada órgão e entidade da Administração Pública Federal, direta e indireta, em seu âmbito de
atuação, aprovar as normas de segurança da informação e comunicações.
4 APRESENTAÇÃO DAS NORMAS
4.1 A critério da autoridade competente de cada órgão e entidade da Administração Pública Federal,
direta e indireta, a Política de Segurança da Informação e Comunicações e demais normas de
segurança da informação e comunicações poderão ser elaboradas conforme a seguinte formatação:
4.2 Folha-de-Rosto e Folha de Continuação das Normas
4.2.1 A Folha-de-rosto de cada norma complementar contendo os elementos que a identifiquem e
explicitem o seu conteúdo, contemplando as seguintes informações:
a) Indicação do órgão ou entidade da Administração Pública Federal, direta e indireta;
b) Número da Norma: código estabelecido conforme detalhamento constante do subitem 4.6.1
desta Norma;
c) Revisão: número seqüencial da revisão, identificada por dois algarismos arábicos, sendo 00 a
emissão original;
d) Emissão: dia, mês e ano de emissão da norma ou de sua revisão (exemplo: 22/JAN/00);
e) Folha: número da folha / total de folhas (exemplo: 1/13);
f) Título da Norma: expressão identificadora do conteúdo da norma, de forma concisa, precisa e
inequívoca; digitado com a fonte "Times New Roman" tamanho 14 em negrito;
g) Origem: unidade responsável pela atividade normativa;
h) Referência Normativa: documentos normativos e respectivas datas de aprovação, se houver;
i) Campo de Aplicação: unidades onde se aplica a norma e/ou áreas envolvidas com a execução e
com o acompanhamento do assunto nela tratado;
j) Sumário: lista dos itens constantes da norma, que permite uma visão global e facilita a sua
consulta;
k) Informações adicionais esclarecimentos sobre a edição ou revisão da norma, especialmente
quanto a substituições e cancelamentos de normas anteriores; e
l) Aprovação: assinatura da norma pela autoridade competente.
4.2.2 As folhas de continuação da norma são identificadas, na sua parte superior direita, pelo
conjunto de informações contendo: número da norma complementar, revisão, emissão e folha.
149
4.2.3 O modelo da folha-de-rosto das normas constitui o Anexo A desta Norma.
4.3 Conteúdo das Normas
4.3.1 As normas complementares podem conter uma estrutura básica, compostas dos seguintes
itens:
a) Objetivo: definir o escopo da norma e os aspectos por ela abrangidos;
b) Procedimentos: passos estabelecidos, em seqüência lógica, correspondentes ao assunto tratado,
abrangendo todas as tarefas envolvidas no processo;
c) Disposições Gerais: informações adicionais julgadas necessárias, especialmente com relação a
esclarecimento de eventuais dúvidas e casos omissos;
d) Vigência: data em que a norma entra em vigor; e
e) Anexos: formulários, fluxogramas e dados adicionais, necessários à execução da atividade
constante da norma ou que facilitem a sua compreensão ou uso.
4.3.2 Os procedimentos podem estar divididos em vários itens, observadas as orientações constantes
do item 4.5.4 desta Norma.
4.3.3 Sempre que uma sigla é citada pela primeira vez em uma norma, ela deve ser colocada entre
parênteses, logo após o nome por extenso. O uso da sigla só se justifica quando é usado
repetidamente na norma.
4.3.4 Serão grafadas por extenso quaisquer referências, feitas no texto, a números e percentuais
(trinta, dez, treze, dois vírgula quinze por cento, etc), exceto nos casos em que houver prejuízo para
compreensão do texto.
4.3.5 Valores monetários devem ser expressos em algarismos arábicos, seguidos da indicação, por
extenso, entre parênteses.
4.4 Conteúdo das Normas
4.4.1 A redação deve ter estilo próprio, lingüisticamente correta, sem preocupações literárias e,
tanto quanto possível, uniforme. A qualidade essencial é a clareza do texto, que deve ser facilmente
compreensível por pessoas que não tenham participado na elaboração da norma.
4.4.2 Para maior clareza e objetividade deve-se:
a) construir as frases em ordem direta (sujeito, verbo, complementos);
b) utilizar frases curtas, para facilitar o entendimento e evitar duplo sentido;
c) usar, preferencialmente, o substantivo em lugar do pronome, mesmo com o prejuízo da elegância
da frase;
d) utilizar termos técnicos já definidos em terminologia existente;
e) usar, preferencialmente, o presente do indicativo, salvo quando a regência gramatical exigir o uso
de outros tempos ou modos;
f) utilizar o verbo no infinitivo nas descrições de etapas (exemplos: elaborar, emitir, aprovar); e
g) evitar detalhes excessivos e desnecessários que inibam a criatividade.
4.4.3 As aspas devem ser utilizadas para:
a) dar ênfase a um determinado termo;
b) indicar termo de língua estrangeira; e
c) indicar expressões de linguagem, comumente usadas no meio da especialidade, as quais, todavia,
ainda não foram incorporadas ao vernáculo.
150
4.5 Estrutura do Texto
4.5.1 O texto pode ser subdividido em:
a) itens e subitens; e
b) alíneas e subalíneas.
4.5.2 Os itens podem ser divididos em até três subitens, numerados progressivamente em
algarismos arábicos, conforme exemplo apresentado no Anexo B desta Norma.
4.5.3 Os títulos dos itens devem ser escritos em letras maiúsculas e em negrito, a fim de facilitar a
sua identificação e localização. A escolha dos títulos dos itens deve ser feita de maneira criteriosa,
de forma a permitir reconhecer a seqüência lógica de estruturação da norma. Para facilitar essa
estruturação, devese definir a lista de todos os aspectos a serem incluídos, antes do início de sua
redação.
4.5.4 A matéria do item deve ser apresentada em um único parágrafo, podendo, entretanto, existir
uma ou mais frases. Caso o assunto seja extenso, o item deve ser dividido em dois ou mais subitens.
7.1 Ação Preventiva INCORRETO
7.1.1 A organização deve... Só deveria existir 7.1.1 se existisse o 7.1.2
7.2 Gestão de Recursos CORRETO
7.2.1 Provisão de Recursos... Existem 7.2.1 e 7.2.2
7.2.2 Treinamento, conscientização e....
4.5.5 A numeração do item deve ficar junto à margem esquerda da página. Após o último número
não se deve colocar ponto, parênteses ou hífen. Entre a numeração e a primeira letra seguinte (seja
título ou não) deve ser dado um espaçamento correspondente a dois espaços.
4.5.6 Sempre que o título de um item ocupar mais de uma linha, a segunda e as demais linhas
devem ser alinhadas com a primeira letra do título.
4.5.7 Em algumas situações os subitens podem ter títulos. Nestes casos, todas as palavras são
escritas com apenas a primeira letra em maiúsculo.
4.5.8 A apresentação do assunto de um subitem na forma de alíneas, ordenadas alfabeticamente,
traz clareza e rapidez na compreensão e visualização das idéias. Na identificação das alíneas deve
ser usado o alfabeto completo, incluindo-se as letras "k", "y" e "w".
4.5.9 A disposição gráfica das alíneas obedece às seguintes regras:
a) dentro da alínea somente devem ser usadas vírgulas, isto é, a alínea deve ter uma única frase;
b) as alíneas devem ser ordenadas por letras minúsculas, seguidas de parênteses, sem ponto ou hífen
após os parênteses;
c) nas alíneas de subitens:
- alinhamento das suas letras indicativas deve possuir recuo constante de dez espaços,
correspondente a um TAB, em relação à margem esquerda do texto principal;
- seu texto, quando ocupar mais de uma linha, deve ser alinhado com a primeira letra da
alínea;
d) o texto da alínea deve terminar por ponto-e-vírgula, exceto:
- nos casos em que são seguidas de subalíneas, quando deve terminar por dois-pontos;
- na última alínea, onde deve terminar por ponto; e
151
e) nas seqüências de alíneas e subalíneas, o penúltimo elemento é pontuado com ponto e vírgula
seguido da conjunção "e", quando de caráter cumulativo, ou da conjunção "ou" , se a seqüência for
disjuntiva.
4.5.10 As subalíneas devem ser utilizadas para subdividir o assunto de uma alínea, tornando mais
clara a sua compreensão. A subalínea deve ser indicada apenas por um hífen, sem indicativo de
número ou letra.
4.5.11 O texto deve ser digitado em editor de texto, utilizando a fonte "Times New Roman",
tamanho 12.
4.5.12 A apresentação do texto com os recuos de seus elementos em relação às margens é
apresentado no Anexo C desta Norma.
4.6 Numeração das Normas
4.6.1 As normas complementares podem ser numeradas conforme a seguinte ordem de formação,
exemplificada a seguir:
07/IN04/DSIC/GSIPR
-Número seqüencial da norma complementar
-Identificação da Instrução Normativa
4.6.2 Os anexos são identificados por letra maiúscula, seqüencialmente pela ordem em que
aparecem no texto da norma. A citação dos anexos no texto será em negrito.
5 ATUALIZAÇÃO DAS NORMAS
5.1 Uma norma pode ser atualizada ou cancelada pela ocorrência de alguma das seguintes situações:
a) alteração dos procedimentos vigentes ou adoção de novos;
b) estabelecimento de novos dispositivos legais ou regulamentares, bem como reformulação dos
existentes;
c) acolhimento de sugestões dos usuários, visando ao seu aperfeiçoamento; ou
d) encerramento de atividades.
5.2 Os procedimentos para aprovação e divulgação das normas alteradas seguem a mesma
tramitação de uma norma nova.
6 DISPOSIÇÕES GERAIS
Os casos omissos e as dúvidas com relação a esta Norma serão submetidos ao Diretor do DSIC.
7 VIGÊNCIA
Esta Norma entra em vigor na data de sua publicação.
8 ANEXOS
Anexo A – FOLHA-DE-ROSTO DE CONTINUAÇÃO DA NORMA
Anexo B – EXEMPLO DE NUMERAÇÃO DE ITENS
152
Anexo C – APRESENTAÇÃO DA ESTRUTURA DO TEXTO COM OS RECUOS DOS SEUS
ELEMENTOS EM RELAÇÃO ÀS MARGENS
OBS: Não foi possível disponibilizar os anexos desta Portaria.
FONTE: Publicação DOU, de 15/10/2008.
153
PORTARIA Nº 34, DE 13 DE OUTUBRO DE 2008
Homologa a Norma Complementar nº 02/DSIC/GSIPR
O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANÇA
INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA, na condição de SECRETÁRIO-
EXECUTIVO DO CONSELHO DE DEFESA NACIONAL, no uso da atribuição que lhe
confere o Decreto nº 3.505, de 13 de junho de 2000, e o Decreto nº 5.772, de 8 de maio de 2006;
RESOLVE:
Art. 1º Fica homologada a Norma Complementar nº 02/DSIC/GSIPR aprovada pelo
Departamento de Segurança da Informação e Comunicações, em anexo.
Art. 2º Esta Portaria entra em vigor na data de sua publicação.
JORGE ARMANDO FELIX
154
PRESIDÊNCIA DA REPÚBLICA
Gabinete de Segurança Institucional
Departamento de Segurança da Informação e Comunicações
METODOLOGIA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
E COMUNICAÇÕES
ORIGEM
Departamento de Segurança da Informação e Comunicações
REFERÊNCIA NORMATIVA
Instrução Normativa GSI nº 1, de 13 de junho de 2008.
ABNT NBR ISO/IEC 27001:2006.
CAMPO DE APLICAÇÃO
Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.
SUMÁRIO
1. Objetivo
2. Metodologia
3. Ciclo da Metodologia
4. Responsabilidades
5. Considerações Finais
6. Vigência
INFORMAÇÕES ADICIONAIS
Não há
APROVAÇÃO
RAPHAEL MANDARINO JUNIOR
Diretor do Departamento de Segurança da Informação e Comunicações
155
1. OBJETIVO
Definir a metodologia de gestão de segurança da informação e comunicações utilizada pelos órgãos
e entidades da Administração Pública Federal, direta e indireta.
2. METODOLOGIA
2.1 A metodologia de gestão de segurança da informação e comunicações baseia-se no processo de
melhoria contínua, denominado ciclo "PDCA" (Plan-Do-Check-Act), estabelecido pela norma
ABNT NBR ISO/IEC 27001:2006.
2.2 A escolha desta metodologia levou em consideração três critérios:
a) Simplicidade do modelo;
b) Compatibilidade com a cultura de gestão de segurança da informação em uso nas organizações
públicas e privadas brasileiras; e
c) Coerência com as práticas de qualidade e gestão adotadas em órgãos públicos brasileiros.
3. CICLO DA METODOLOGIA
3.1 ("Plan - P") Planejar - É a fase do ciclo na qual o Gestor de Segurança da Informação e
Comunicações planejará as ações de segurança da informação e comunicações que serão
implementadas, considerando os requisitos ou pressupostos estabelecidos pelo planejamento
organizacional, bem como as diretrizes expedidas pela autoridade decisória de seu órgão ou
entidade. Para planejar é necessário:
3.1.1 Definir o escopo e os limites onde serão desenvolvidas as ações de segurança da informação e
comunicações;
3.1.2 Definir os objetivos a serem alcançados com a implementação das ações de segurança da
informação e comunicações, considerando as expectativas ou diretrizes formuladas pela autoridade
decisória de seu órgão ou entidade;
3.1.3 Definir a abordagem de gestão de riscos de seu órgão ou entidade, sendo necessário:
a) definir uma metodologia de gestão de riscos que seja adequada ao escopo, limites e
objetivos estabelecidos;
b) identificar os níveis de riscos aceitáveis e os critérios para sua aceitação,
considerando decisões superiores e o planejamento estratégico do órgão ou entidade;
3.1.4 Identificar os riscos, sendo necessário:
a) Identificar os ativos e seus responsáveis dentro do escopo onde serão desenvolvidas
as ações de segurança da informação e comunicações;
b) Identificar as vulnerabilidades destes ativos;
c) Identificar os impactos que perdas de disponibilidade, integridade, confidencialidade
e autenticidade podem causar nestes ativos;
3.1.5 Analisar os riscos, sendo necessário:
156
a) identificar os impactos para a missão do órgão ou entidade que podem resultar de
falhas de segurança, levando em consideração as conseqüências de uma perda de
disponibilidade, integridade, confidencialidade ou autenticidade destes ativos;
b) identificar a probabilidade real de ocorrência de falhas de segurança, considerando as
vulnerabilidades prevalecentes, os impactos associados a estes ativos e as ações de
segurança da informação e comunicações atualmente implementadas no órgão ou
entidade;
c) estimar os níveis de riscos;
d) determinar se os riscos são aceitáveis ou se requerem tratamento utilizando os
critérios para aceitação de riscos estabelecidos em 3.1.3;
3.1.6 Identificar as opções para o tratamento de riscos, considerando a possibilidade de:
a) aplicar ações de segurança da informação e comunicações além das que já estão
sendo executadas;
b) aceitar os riscos de forma consciente e objetiva, desde que satisfaçam o planejamento
organizacional, bem como a diretrizes expedidas pela autoridade decisória de seu órgão
ou entidade, bem como aos critérios de aceitação de riscos estabelecidos em 3.1.3;
c) evitar riscos;
d) transferir os riscos a outras partes, por exemplo, seguradoras ou terceirizados;
3.1.7 Selecionar as ações de segurança da informação e comunicações consideradas necessárias
para o tratamento de riscos. (Alguns exemplos de ações de segurança da informação e
comunicações são: Política de Segurança da Informação e Comunicações, infra-estrutura de
segurança da informação e comunicações, tratamento da informação, segurança em recursos
humanos, segurança física, segurança lógica, controle de acesso, segurança de sistemas, tratamento
de incidentes, gesta de continuidade, conformidade, auditoria interna, além de outras que serão
exploradas em outras normas complementares);
3.1.8 Obter aprovação da autoridade decisória de seu órgão ou entidade quanto aos riscos residuais
propostos;
3.1.9 Obter autorização da autoridade decisória de seu órgão ou entidade para implementar as ações
de segurança da informação e comunicações selecionadas, mediante uma Declaração de
Aplicabilidade, incluindo o seguinte:
a) Os objetivos e os recursos necessários para cada ação de segurança da informação e
comunicações selecionada e as razões para sua seleção;
b) Os objetivos de cada ação de segurança da informação e comunicações que já foram
implementadas em seu órgão ou entidade;
c) Um resumo das decisões relativas à gestão de riscos; e
d) Justificativas de possíveis exclusões de ações de segurança da informação e
comunicações sugeridas pelo Gestor de Segurança da Informação e Comunicações e
não autorizadas pela autoridade decisória de seu órgão ou entidade.
3.2 ("Do - D") Fazer - É a fase do ciclo na qual o Gestor de Segurança da Informação e
Comunicações implementará as ações de segurança da informação e comunicações definidas na
fase anterior. Para fazer é necessário:
3.2.1 Formular um plano de metas para cada objetivo das ações de segurança da informação e
comunicações aprovadas na fase do planejamento em ordem de prioridade, incluindo a atribuição de
responsabilidades, os prazos para execução, e os custos estimados;
157
3.2.2 Obter autorização da autoridade decisória de seu órgão ou entidade para implementar o plano
de metas com a garantia de alocação dos recursos planejados;
3.2.3 Implementar o plano de metas para atender as ações de segurança da informação e
comunicações aprovadas;
3.2.4 Definir como medir a eficácia das ações de segurança da informação e comunicações,
estabelecendo indicadores mensuráveis para as metas aprovadas;
3.2.5 Implementar programas de conscientização e treinamento, sendo necessário:
a) assegurar que todo pessoal que tem responsabilidades atribuídas no plano de metas
receba o treinamento adequado para desempenhar suas tarefas;
b) manter registros sobre habilidades, experiências e qualificações do efetivo do órgão
ou entidade relativos à segurança da informação e comunicações;
c) assegurar que todo efetivo do órgão ou entidade esteja consciente da relevância e
importância da segurança da informação e comunicações em suas atividades e como
cada pessoa pode contribuir para o alcance dos objetivos das ações de segurança da
informação e comunicações;
3.2.6 Gerenciar a execução das ações de segurança da informação e comunicações;
3.2.7 Gerenciar os recursos empenhados para o desenvolvimento das ações de segurança da
informação e comunicações; e
3.2.8 Implementar procedimentos capazes de permitir a pronta detecção de incidentes de segurança
da informação e comunicações, bem como a resposta a incidentes de segurança da informação e
comunicações.
3.3 ("Check - C") Checar - É a fase do ciclo na qual o Gestor de Segurança da Informação e
Comunicações avaliará as ações de segurança da informação e comunicações implementadas na
fase anterior. Para checar é necessário:
3.3.1 Executar procedimentos de avaliação e análise crítica, a fim de:
a) detectar erros nos resultados de processamento;
b) identificar incidentes de segurança da informação e comunicações;
c) determinar se as ações de segurança da informação e comunicações delegadas a
pessoas ou implementadas por meio de tecnologia da informação e comunicações estão
sendo executadas conforme planejado;
d) determinar a eficácia das ações de segurança da informação e comunicações
adotadas, mediante o uso de indicadores;
3.3.2 Realizar análises críticas regulares, a intervalos planejados de pelo menos uma vez por ano;
3.3.3 Verificar se os requisitos ou pressupostos estabelecidos pelo planejamento organizacional,
bem como as diretrizes expedidas pela autoridade decisória de seu órgão ou entidade foram
atendidos;
3.3.4 Atualizar a avaliação/análise de riscos a intervalos planejados de pelo menos uma vez por ano;
158
3.3.5 Conduzir auditoria interna, também denominada auditoria de primeira parte, das ações de
segurança da informação e comunicações a intervalos planejados de pelo menos uma vez ao ano;
3.3.6 Atualizar os planos de segurança da informação e comunicações, considerando os resultados
da avaliação e análise de crítica; e
3.3.7 Registrar e levar ao conhecimento da autoridade superior os possíveis impactos na eficácia da
missão de seu órgão ou entidade.
3.4 ("Act - A") Agir - É a fase do ciclo na qual o Gestor de Segurança da Informação e
Comunicações aperfeiçoará as ações de segurança da informação e comunicações, baseando-se no
monitoramento realizado na fase anterior. Para aperfeiçoar e promover a melhoria contínua é
necessário:
3.4.1 Propor à autoridade decisória de seu órgão ou entidade a necessidade de implementar as
melhorias identificadas;
3.4.2 Executar as ações corretivas ou preventivas de acordo com a identificação de não
conformidade real ou potencial;
3.4.3 Comunicar as melhorias à autoridade decisória de seu órgão ou entidade; e
3.4.4 Assegurar-se de que as melhorias atinjam os objetivos pretendidos.
4. CONSIDERAÇÕES FINAIS
A metodologia apresentada nesta norma deve ser complementar aos primeiros processos de Gestão
de Segurança da Informação e Comunicações, previstos na IN 01 GSI, de 13 de junho de 2008, a
serem implementados pelos órgãos e entidades da Administração Pública Federal, direta e indireta.
5. VIGÊNCIA DA NORMA
Esta Norma entra em vigor na data de sua publicação.
FONTE: Publicação DOU, de 14/10/2008.
159
DECRETO Nº 6.605, DE 14 DE OUTUBRO DE 2008
Dispõe sobre o Comitê Gestor da Infra-Estrutura de
Chaves Públicas Brasileira – CG ICP-Brasil, sua
Secretaria-Executiva e sua Comissão Técnica
Executiva - COTEC.
O VICE-PRESIDENTE DA REPÚBLICA, no exercício do cargo de PRESIDENTE
DA REPÚBLICA, usando das atribuições que lhe confere o art. 84, incisos IV e VI, alínea "a", da
Constituição, e tendo em vista o disposto na Medida Provisória nº 2.200-2, de 24 de agosto de 2001,
DECRETA:
Art. 1º O Comitê Gestor da Infra-Estrutura de Chaves Públicas Brasileira - CG ICP-
Brasil, instituído pela Medida Provisória Nº 2.200-2, de 24 de agosto de 2001, exerce a função de
autoridade gestora de políticas da referida Infra-Estrutura.
Art. 2º O CG ICP-Brasil, vinculado à Casa Civil da Presidência da República, é
composto por doze membros e respectivos suplentes, sendo cinco representantes da sociedade civil,
integrantes de setores interessados, e representantes dos seguintes órgãos:
I - Casa Civil da Presidência da República, que o coordenará;
II - Gabinete de Segurança Institucional da Presidência da República;
III - Ministério da Justiça;
IV - Ministério da Fazenda;
V - Ministério do Desenvolvimento, Indústria e Comércio Exterior;
VI - Ministério do Planejamento, Orçamento e Gestão; e
VII - Ministério da Ciência e Tecnologia.
§ 1º Os representantes da sociedade civil serão designados para período de dois anos,
permitida a recondução.
§ 2º Os membros do CG ICP-Brasil serão designados pelo Presidente da República.
§ 3º A participação no CG ICP-Brasil é de relevante interesse público e não será
remunerada.
§ 4º As deliberações do CG ICP-Brasil serão aprovadas por meio de resoluções.
§ 5º O quórum de deliberação do CG ICP-Brasil é de sete representantes, e o quórum de
aprovação de deliberações é de maioria simples.
§ 6º Na hipótese de ausência do Coordenador titular e do seu suplente, a coordenação
será exercida pelo Secretário-Executivo do CG ICP-Brasil.
§ 7º São convidados para participar das reuniões, em caráter permanente, dois
representantes indicados pelo Conselho Nacional de Justiça.
§ 8º Poderão ser convidados a participar das reuniões do CG ICP-Brasil, a juízo do seu
Coordenador ou do próprio Comitê, técnicos e especialistas de áreas afins.
Art. 3º Compete ao CG da ICP-Brasil:
I - coordenar o funcionamento da ICP-Brasil;
II - estabelecer a política, os critérios e as normas técnicas para o credenciamento das
Autoridades Certificadoras - AC, Autoridades de Registro - AR, Autoridades de Carimbo de Tempo
- ACT e demais prestadores de serviço de suporte à ICP-Brasil, em todos os níveis da cadeia de
certificação;
III - estabelecer a política de certificação e as regras operacionais da AC Raiz;
IV - auditar e fiscalizar a AC Raiz e os seus prestadores de serviço de suporte;
160
V - estabelecer diretrizes e normas técnicas para a formulação de políticas de certificado
e regras operacionais das AC, AR e ACT e definir níveis da cadeia de certificação;
VI - aprovar políticas de certificados e regras operacionais, credenciar e autorizar o
funcionamento das AC, das AR, das ACT e demais prestadores de serviço de suporte, bem como
autorizar a AC Raiz a emitir o correspondente certificado;
VII - identificar e avaliar as políticas de infra-estruturas de certificação externas,
negociar acordos de certificação bilateral, de certificação cruzada, regras de interoperabilidade e
outras formas de cooperação internacional, certificar, quando for o caso, sua compatibilidade com a
ICP-Brasil, observado o disposto em tratados, acordos ou atos internacionais.
VIII - aprovar as normas para homologação de sistemas e equipamentos de certificação
digital no âmbito da ICP-Brasil;
IX - atualizar, ajustar e revisar os procedimentos e as práticas estabelecidas para a ICP-
Brasil, de modo a garantir sua compatibilidade e promover a atualização tecnológica do sistema e a
sua conformidade com as políticas de segurança; e
X - aprovar seu regimento interno.
Art. 4º O CG ICP-Brasil será assistido e receberá suporte técnico da Comissão Técnica
Executiva - COTEC.
§ 1º A COTEC será integrada por representantes, titulares e suplentes, indicados pelos
membros do CG ICP-Brasil.
§ 2º O Secretário-Executivo do CG ICP-Brasil será o Coordenador da COTEC,
cabendo-lhe designar os membros da Comissão.
§ 3º Poderão ser convidados a participar das reuniões da COTEC, a juízo do seu
Coordenador ou dela própria, técnicos e especialistas de áreas afins.
Art. 5º Compete à COTEC:
I - manifestar-se previamente sobre matérias de natureza técnica a serem apreciadas e
decididas pelo CG ICP-Brasil;
II - preparar e encaminhar previamente aos membros do CG ICP-Brasil expediente
contendo o posicionamento técnico dos órgãos e das entidades relacionados com as matérias que
serão apreciadas e decididas; e
III - cumprir outras atribuições que lhe forem conferidas por delegação do CG ICP-
Brasil.
Art. 6º O CG ICP-Brasil terá uma Secretaria-Executiva, chefiada pelo Diretor-
Presidente do ITI.
Parágrafo único. O Secretário-Executivo receberá do ITI o apoio necessário ao exercício
de suas funções, inclusive no que se refere aos cargos de assessoria e ao apoio técnico e
administrativo.
Art. 7º Compete à Secretaria-Executiva:
I - prestar assistência direta e imediata ao Coordenador do CG ICP-Brasil;
II - preparar as reuniões do CG ICP-Brasil;
III - coordenar e acompanhar a implementação das deliberações e diretrizes fixadas pelo
CG ICP-Brasil;
IV - coordenar os trabalhos da COTEC; e
V - cumprir outras atribuições que lhe forem conferidas por delegação do CG ICP-
Brasil.
Art. 8º Este Decreto entra em vigor na data de sua publicação.
161
Art. 9º Fica revogado o Decreto nº 3.872, de 18 de julho de 2001.
Brasília, 14 de outubro de 2008; 187o da Independência e 120o da República
JOSÉ ALENCAR GOMES DA SILVA
Dilma Rousseff
FONTE: Publicação DOU, de 15/10/2008.
162
PORTARIA Nº 34, DE 5 DE AGOSTO DE 2009
Institui Grupo de Trabalho de Segurança das
Infraestruturas Críticas da Informação, no âmbito do
Comitê Gestor de Segurança da Informação - CGSI.
O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANÇA
INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA, na condição de SECRETÁRIO-
EXECUTIVO DO CONSELHO DE DEFESA NACIONAL, no uso de suas atribuições, tendo
em vista o disposto no art. 4º do Decreto nº 3.505, de 13 de junho de 2000, e
CONSIDERANDO:
as Infraestruturas Críticas como sendo as instalações, serviços, bens e sistemas que, se
forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político,
internacional ou à segurança do Estado e da sociedade;
a necessidade de assegurar dentro do espaço cibernético ações de segurança da
informação como fundamentais para garantir disponibilidade, integridade, confidencialidade e
autenticidade da informação e comunicações no âmbito da Administração Pública Federal, direta e
indireta;
a possibilidade real de uso dos meios computacionais para ações ofensivas através da
penetração nas redes de computadores de alvos estratégicos; e
o ataque cibernético como sendo uma das maiores ameaças mundiais na atualidade,
RESOLVE:
Art. 1º Instituir, no âmbito do Comitê Gestor de Segurança da Informação - CGSI, um
Grupo de Trabalho para estudo e análise de matérias relacionadas à Segurança de Infraestruturas
Críticas da Informação.
Art. 2º Para fins desta Portaria consideram-se Infraestruturas Críticas da Informação o
subconjunto de ativos de informação que afetam diretamente a consecução e a continuidade da
missão do Estado e a segurança da sociedade.
Parágrafo único. Consideram-se ativos de informação os meios de armazenamento,
transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram
esses meios e as pessoas que a eles têm acesso.
Art. 3° O Grupo de Trabalho será integrado por representantes, titular e suplente, de
cada um dos seguintes órgãos:
I- Gabinete de Segurança Institucional da Presidência da República, que o coordenará
por intermédio do Departamento de Segurança da Informação e Comunicações;
II- Casa Civil da Presidência da República;
III- Ministério da Defesa;
IV- Ministério da Saúde;
V- Ministério da Ciência e Tecnologia;
VI- Ministério do Planejamento, Orçamento e Gestão;
VII- Ministério das Relações Exteriores;
VIII- Banco Central do Brasil;
IX- Banco do Brasil;
X- Caixa Econômica Federal;
163
XI- SERPRO;
XII- PETROBRAS; e
XIII- DATAPREV.
Parágrafo único. O Comitê Gestor de Segurança da Informação indicará, dentre os seus
integrantes, o relator do Grupo de Trabalho.
Art. 4º Os integrantes do Grupo de Trabalho serão indicados pelos dirigentes máximos
dos órgãos referidos no artigo 3º, no prazo de até trinta dias, a partir da data de publicação desta
Portaria.
Parágrafo único. A indicação dos representantes de que trata o caput deverá atender o
perfil técnico necessário.
Art. 5º O Grupo de Trabalho será instalado no prazo de até quinze dias após a indicação
de seus integrantes.
Art. 6º São atribuições do Grupo de Trabalho, além de outras julgadas relevantes e
pertinentes:
I - levantar e avaliar as potenciais vulnerabilidades e riscos que possam afetar a
Segurança de Infraestruturas Críticas da Informação, identificada a sua interdependência;
II - propor, articular e acompanhar medidas necessárias à Segurança de Infraestruturas
Críticas da Informação;
III - estudar, propor e acompanhar a implementação de um sistema de informações que
conterá dados atualizados de Infraestruturas Críticas da Informação, para apoio a decisões; e
IV - pesquisar e propor um método de identificação de alertas e ameaças da Segurança
de Infraestruturas Críticas da Informação.
Art. 7º O Grupo de Trabalho reunir-se-á de forma ordinária uma vez por mês e,
extraordinariamente, quando convocado por seu Coordenador.
Art. 8º O Grupo de Trabalho poderá interagir com outros órgãos para consulta e adoção
de providências necessárias à complementação das atividades atribuídas por esta Portaria.
Art. 9º Poderão ser convidados a participar do Grupo de Trabalho, a juízo de sua
coordenação ou por representantes por ela indicados, técnicos e especialistas dos demais órgãos e
entidades integrantes da Administração Pública Federal, direta e indireta, bem como da academia e
da iniciativa privada.
Art. 10. O Grupo de Trabalho poderá, submetida à aprovação do Comitê Gestor de
Segurança da Informação - CGSI, criar subgrupos de trabalho para deliberar sobre assuntos
específicos.
Art. 11. As medidas e ações necessárias serão relatadas ao Comitê Gestor de Segurança
da Informação - CGSI, por intermédio do Coordenador do Grupo de Trabalho.
Art. 12. A participação no Grupo de Trabalho de que trata esta Portaria será considerada
de relevante interesse público e não remunerada.
Art. 13. Caberá ao Gabinete de Segurança Institucional da Presidência da República, por
intermédio do Departamento de Segurança da Informação e Comunicações, prover o apoio
administrativo e os meios necessários para o cumprimento desta Portaria.
164
Art. 14. Esta Portaria entra em vigor na data de sua publicação.
JORGE ARMANDO FELIX
FONTE: Publicação DOU, de 06/08/2009.
165
PORTARIA Nº 37, DE 14 DE AGOSTO DE 2009
Homologa a Norma Complementar nº
04/IN01/DSIC/GSIPR.
O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANÇA
INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA, na condição de SECRETÁRIO-
EXECUTIVO DO CONSELHO DE DEFESA NACIONAL, no uso da atribuição que lhe
confere o Art. 4º do Decreto nº 3.505, de 13 de junho de 2000, e o inciso IV do art. 1º do Anexo I
do Decreto nº 5.772, de 08 de maio de 2006, resolve:
Art. 1º Fica homologada a Norma Complementar nº 04/IN01/DSIC/GSIPR que
estabelece as diretrizes para o processo de Gestão de Riscos de Segurança da Informação e
Comunicações - GRSIC nos órgãos e entidades da Administração Pública Federal, aprovada pelo
Diretor do Departamento de Segurança da Informação e Comunicações, em anexo.
Art. 2º Esta portaria entra em vigor na data de sua publicação.
JORGE ARMANDO FELIX
166
PRESIDÊNCIA DA REPÚBLICA
Gabinete de Segurança Institucional
Departamento de Segurança da Informação e Comunicações
GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO
E COMUNICAÇÕES - GRSIC
ORIGEM
Departamento de Segurança da Informação e Comunicações
REFERÊNCIA NORMATIVA
Art. 6º da Lei nº 10.683, de 28 de maio de 2003.
Art. 8º do Anexo I do Decreto nº 5.772, de 8 de maio de 2006.
Decreto nº 3.505, de 13 de junho de 2000.
Instrução Normativa nº 01 do Gabinete de Segurança Institucional, de 13 de junho de 2008.
Norma Complementar 01/DSIC/GSIPR de 13 de outubro de 2008.
Norma Complementar 02/DSIC/GSIPR de 13 de outubro de 2008.
ABNT NBR ISO/IEC 27001:2006.
ABNT NBR ISO/IEC 27005:2008.
CAMPO DE APLICAÇÃO
Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.
SUMÁRIO
1. Objetivo
2. Fundamento Legal da Norma Complementar
3. Conceitos e Definições
4. Princípios e Diretrizes
5. Procedimentos
6. Responsabilidades
7. Vigência
8. Anexo
INFORMAÇÕES ADICIONAIS
Não há
APROVAÇÃO
RAPHAEL MANDARINO JUNIOR
Diretor do Departamento de Segurança da Informação e
Comunicações
167
1 OBJETIVO
Estabelecer diretrizes para o processo de Gestão de Riscos de Segurança da Informação e
Comunicações - GRSIC nos órgãos ou entidades da Administração Pública Federal, direta e indireta
- APF.
2 FUNDAMENTO LEGAL DA NORMA COMPLEMENTAR
Conforme disposto no inciso II do art. 3º da Instrução Normativa nº 01, de 13 de Junho de 2008, do
Gabinete de Segurança Institucional, compete ao Departamento de Segurança da Informação e
Comunicações - DSIC, estabelecer normas definindo os requisitos metodológicos para
implementação da Gestão de Segurança da Informação e Comunicações pelos órgãos e entidades da
Administração Pública Federal, direta e indireta.
3 CONCEITOS E DEFINIÇÕES
Para os efeitos desta Norma Complementar são estabelecidos os seguintes conceitos e definições:
3.1 Ameaça - conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode
resultar em dano para um sistema ou organização;
3.2 Análise de riscos - uso sistemático de informações para identificar fontes e estimar o risco;
3.3 Análise/avaliação de riscos - processo completo de análise e avaliação de riscos;
3.4 Ativos de Informação - os meios de armazenamento, transmissão e processamento, os sistemas
de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm
acesso;
3.5 Avaliação de riscos - processo de comparar o risco estimado com critérios de risco
predefinidos para determinar a importância do risco;
3.6 Comunicação do risco - troca ou compartilhamento de informação sobre o risco entre o
tomador de decisão e outras partes interessadas;
3.7 Estimativa de riscos - processo utilizado para atribuir valores à probabilidade e consequências
de um risco;
3.8 Evitar risco - uma forma de tratamento de risco na qual a alta administração decide não realizar
a atividade, a fim de não se envolver ou agir de forma a se retirar de uma situação de risco;
3.9 Gestão de Riscos de Segurança da Informação e Comunicações - conjunto de processos que
permite identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os
riscos a que estão sujeitos os seus ativos de informação, e equilibrálos com os custos operacionais e
financeiros envolvidos;
3.10 Identificação de riscos - processo para localizar, listar e caracterizar elementos do risco;
3.11 Reduzir risco - uma forma de tratamento de risco na qual a alta administração decide realizar
a atividade, adotando ações para reduzir a probabilidade, as consequências negativas, ou ambas,
associadas a um risco;
168
3.12 Reter risco - uma forma de tratamento de risco na qual a alta administração decide realizar a
atividade, assumindo as responsabilidades caso ocorra o risco identificado;
3.13 Riscos de Segurança da Informação e Comunicações – potencial associado à exploração de
uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por
parte de uma ou mais ameaças, com impacto negativo no negócio da organização;
3.14 Transferir risco - uma forma de tratamento de risco na qual a alta administração decide
realizar a atividade, compartilhando com outra entidade o ônus associado a um risco;
3.15 Tratamento dos riscos - processo e implementação de ações de segurança da informação e
comunicações para evitar, reduzir, reter ou transferir um risco;
3.16 Vulnerabilidade - conjunto de fatores internos ou causa potencial de um incidente indesejado,
que podem resultar em risco para um sistema ou organização, os quais podem ser evitados por uma
ação interna de segurança da informação.
4 PRINCÍPIOS E DIRETRIZES
4.1 As diretrizes gerais do processo de Gestão de Riscos de Segurança da Informação e
Comunicações - GRSIC deverão considerar, prioritariamente, os objetivos estratégicos, os
processos, os requisitos legais e a estrutura do órgão ou entidade da Administração Pública Federal,
direta e indireta - APF, além de estarem alinhadas à respectiva Política de Segurança da Informação
e Comunicações do órgão ou entidade;
4.2 O processo de Gestão de Riscos de Segurança da Informação e Comunicações - GRSIC deve ser
contínuo e aplicado na implementação e operação da Gestão de Segurança da Informação e
Comunicações;
4.3 O processo de Gestão de Riscos de Segurança da Informação e Comunicações - GRSIC deve
estar alinhado ao modelo denominado PDCA (Plan-Do-Check-Act), conforme definido na Norma
Complementar nº 02/DSIC/GSIPR, publicada no Diário Oficial da União nº 199, Seção 1, de 14 de
outubro de 2008, de modo a fomentar a sua melhoria contínua;
4.4 A Gestão de Riscos de Segurança da Informação e Comunicações - GRSIC deverá produzir
subsídios para suportar o Sistema de Gestão de Segurança da Informação e Comunicações e a
Gestão de Continuidade de Negócios.
5 PROCEDIMENTOS
Nos itens abaixo será apresentada uma abordagem sistemática do processo Gestão de Riscos de
Segurança da Informação e Comunicações - GRSIC, com o objetivo de manter os riscos em níveis
aceitáveis. Esse processo é composto pelas etapas de definições preliminares, análise/avaliação dos
riscos, plano de tratamento dos riscos, aceitação dos riscos, implementação do plano de tratamento
dos riscos, monitoração e análise crítica, melhoria do processo de Gestão de Riscos de Segurança da
Informação e Comunicações e comunicação do risco, conforme apresentado no Anexo A desta
Norma.
5.1 Definições preliminares: nesta fase, deve-se realizar uma análise da organização visando
estruturar o processo de gestão de riscos de segurança da informação e comunicações, sendo
consideradas as características do órgão ou entidade e as restrições a que estão sujeitas. Esta análise
169
inicial permite que os critérios e o enfoque da Gestão de Riscos de Segurança da Informação e
Comunicações - GRSIC sejam os mais apropriados para o órgão, apoiando-o na definição do
escopo e na adoção de uma metodologia.
5.1.1 Definir o escopo de aplicação da Gestão de Riscos de Segurança da Informação e
Comunicações - GRSIC a fim de delimitar o âmbito de atuação. Esse escopo pode abranger o órgão
ou entidade como um todo, um segmento, um processo, um sistema, um recurso ou um ativo de
informação;
5.1.2 Adotar uma metodologia de Gestão de Riscos de Segurança da Informação e Comunicações -
GRSIC que atenda aos objetivos, diretrizes gerais e o escopo definido contemplando, no mínimo, os
critérios de avaliação e de aceitação do risco.
5.2 Análise/avaliação dos riscos: nesta fase, inicialmente serão identificados os riscos,
considerando as ameaças e as vulnerabilidades associadas aos ativos de informação para, em
seguida, serem estimados os níveis de riscos de modo que eles sejam avaliados e priorizados.
5.2.1 Identificar os ativos e seus respectivos responsáveis dentro do escopo estabelecido;
5.2.2 Identificar os riscos associados ao escopo definido, considerando:
a) as ameaças envolvidas;
b) as vulnerabilidades existentes nos ativos de informação;
c) as ações de Segurança da Informação e Comunicações – SIC já adotadas.
5.2.3 Estimar os riscos levantados, considerando os valores ou níveis para a probabilidade e para a
consequência do risco associados à perda de disponibilidade, integridade, confidencialidade e
autenticidade nos ativos considerados;
5.2.4 Avaliar os riscos, determinando se são aceitáveis ou se requerem tratamento, comparando a
estimativa de riscos com os critérios estabelecidos no item 5.1.2;
5.2.5 Relacionar os riscos que requeiram tratamento, priorizando-os de acordo com os critérios
estabelecidos pelo órgão ou entidade.
5.3 Plano de Tratamento dos Riscos
5.3.1 Determinar as formas de tratamento dos riscos, considerando as opções de reduzir, evitar,
transferir ou reter o risco, observando:
a) a eficácia das ações de Segurança da Informação e Comunicações - SIC já existentes;
b) as restrições organizacionais, técnicas e estruturais;
c) os requisitos legais;
d) a análise custo/ benefício.
5.3.2 Formular um plano para o tratamento dos riscos, relacionando, no mínimo, as ações de
Segurança da Informação e Comunicações - SIC, responsáveis, prioridades e prazos de execução
necessários à sua implantação.
5.4 Aceitação do Risco: verificar os resultados do processo executado, considerando o plano de
tratamento, aceitando-os ou submetendo-os à nova avaliação.
5.5 Implementação do Plano de Tratamento dos Riscos: executar as ações de Segurança da
Informação e Comunicações - SIC incluídas no Plano de Tratamento dos Riscos aprovado.
170
5.6 Monitoração e análise crítica: detectar possíveis falhas nos resultados, monitorar os riscos, as
ações de Segurança da Informação e Comunicações - SIC e verificar a eficácia do processo de
Gestão de Riscos de Segurança da Informação e Comunicações - GRSIC.
5.6.1 Do processo de gestão: monitorar e analisar criticamente o processo de Gestão de Riscos de
Segurança da Informação e Comunicações - GRSIC de forma a mantê-lo alinhado às diretrizes
gerais estabelecidas e às necessidades do órgão ou entidade;
5.6.2 Do risco: manter os riscos monitorados e analisados criticamente, a fim de verificar
regularmente, no mínimo, as seguintes mudanças:
a) nos critérios de avaliação e aceitação dos riscos;
b) no ambiente;
c) nos ativos de informação;
d) nas ações de Segurança da Informação e Comunicações - SIC;
e) nos fatores do risco (ameaça, vulnerabilidade, probabilidade e impacto).
5.7 Melhoria do Processo de GRSIC
5.7.1 Propor à autoridade decisória do órgão ou entidade a necessidade de implementar as melhorias
identificadas durante a fase de monitoramento e análise crítica;
5.7.2 Executar as ações corretivas ou preventivas aprovadas;
5.7.3 Assegurar que as melhorias atinjam os objetivos pretendidos.
5.8 Comunicação do Risco: manter as instâncias superiores informadas a respeito de todas as fases
da gestão de risco, compartilhando as informações entre o tomador da decisão e as demais partes
envolvidas e interessadas.
6 RESPONSABILIDADES
6.1 Cabe à Alta Administração do órgão ou entidade da Administração Pública Federal, direta e
indireta - APF aprovar as diretrizes gerais e o processo de Gestão de Riscos de Segurança da
Informação e Comunicações - GRSIC observada, dentre outras, a respectiva Política de Segurança
da Informação e Comunicações;
6.2 Os Gestores de Segurança da Informação e Comunicações, no âmbito de suas atribuições, são
responsáveis pela coordenação da Gestão de Riscos de Segurança da Informação e Comunicações
nos órgãos e entidades da Administração Pública Federal, direta e indireta - APF;
6.3 De acordo com as necessidades de cada órgão ou entidade, os Gestores de Segurança da
Informação e Comunicações poderão indicar responsáveis pelo gerenciamento de atividades, a
quem serão conferidas, no mínimo, as seguintes atribuições:
6.3.1 análise/avaliação e tratamento dos riscos;
6.3.2 elaboração sistemática de relatórios para os Gestores de Segurança da Informação e
Comunicações, em cujo conteúdo constará a análise quanto à aceitação dos resultados obtidos, e
consequente proposição de ajustes e de medidas preventivas e proativas à Alta Administração.
171
7 VIGÊNCIA
Esta Norma entra em vigor na data de sua publicação.
8 ANEXO
A - Processo de Gestão de Riscos de Segurança da Informação e Comunicações
172
ANEXO A
PROCESSO DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E
COMUNICAÇÕES
FONTE: Publicação DOU, de 17/08/2009.
173
PORTARIA Nº 38, DE 14 DE AGOSTO DE 2009
Homologa a Norma Complementar nº
05/IN01/DSIC/GSIPR.
O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANÇA
INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA, na condição de SECRETÁRIO-
EXECUTIVO DO CONSELHO DE DEFESA NACIONAL, no uso da atribuição que lhe
confere o Art. 4º do Decreto nº 3.505, de 13 de junho de 2000, e o inciso IV do art. 1º do Anexo I
do Decreto nº 5.772, de 08 de maio de 2006, resolve:
Art. 1º Fica homologada a Norma Complementar nº 05/IN01/DSIC/GSIPR que
disciplina a criação de Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais -
ETIR nos órgãos e entidades da Administração Pública Federal, aprovada pelo Diretor do
Departamento de Segurança da Informação e Comunicações, em anexo.
Art. 2º Esta portaria entra em vigor na data de sua publicação.
JORGE ARMANDO FELIX
174
PRESIDÊNCIA DA REPÚBLICA
Gabinete de Segurança Institucional
Departamento de Segurança da Informação e Comunicações
CRIAÇÃO DE EQUIPES DE TRATAMENTO E RESPOSTA A INCIDENTES EM REDES
COMPUTACIONAIS – ETIR
ORIGEM
Departamento de Segurança da Informação e Comunicações
REFERÊNCIA NORMATIVA
Art. 6º da Lei nº 10.683, de 28 de maio de 2003.
Art. 8º do Anexo I do Decreto nº 5.772, de 8 de maio de 2006.
Decreto nº 3.505, de 13 de junho de 2000.
Instrução Normativa nº 01 do Gabinete de Segurança Institucional, de 13 de junho de 2008.
Incisos II e IV do art. 37 da Portaria nº 13 do Gabinete de Segurança Institucional, de 4 de agosto de
2006.
CAMPO DE APLICAÇÃO
Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.
SUMÁRIO
1. Objetivo
2. Considerações Iniciais
3. Fundamento Legal da Norma Complementar
4. Conceitos e Definições
5. Responsabilidade
6. Definição da Missão
7. Modelo de Implementação
8. Estrutura Organizacional
9. Autonomia da ETIR
10. Disposições Gerais
11. Vigência
12. Anexo
INFORMAÇÕES ADICIONAIS
Não há
APROVAÇÃO
RAPHAEL MANDARINO JUNIOR
Diretor do Departamento de Segurança da Informação e Comunicações
175
1 OBJETIVO
Disciplinar a criação de Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais –
ETIR nos órgãos e entidades da Administração Pública Federal, direta e indireta - APF.
2 CONSIDERAÇÕES INICIAIS
2.1 Nos últimos anos os órgãos públicos vêm implementando e consolidando redes locais de
computadores cada vez mais amplas, como exigência para suportar o fluxo crescente de
informações, bem como permitir que seus funcionários acessem à rede mundial de computadores
para melhor desempenharem suas funções. Manter a segurança da informação e comunicações de
uma organização em um ambiente computacional interconectado nos dias atuais é um grande
desafio, que se torna mais difícil à medida que são lançados novos produtos para a Internet e novas
ferramentas de ataque são desenvolvidas.
2.2 Diante da premissa de garantir e incrementar a segurança da informação e comunicações nos
órgãos e entidades da Administração Pública Federal, direta e indireta, há a necessidade de orientar
a condução de políticas de segurança já existentes ou a serem implementadas.
2.3 Considerando a estratégia de segurança da informação composta por várias camadas, uma delas,
que vem sendo adotada por diversas instituições, é a criação de Equipes de Tratamento e Resposta a
Incidentes em Redes Computacionais, mundialmente conhecido como CSIRT ® (do inglês
"Computer Security Incident Response Team").
2.4 É competência da Coordenação-Geral de Tratamento de Incidentes de Redes do Departamento
de Segurança da Informação e Comunicações - DSIC do Gabinete de Segurança Institucional – GSI
apoiar os órgãos e entidades da Administração Pública Federal, direta e indireta, nas atividades de
capacitação e tratamento de incidentes de segurança em redes de computadores, conforme disposto
nos incisos III e VI do art. 39 do anexo da Portaria nº 13 do GSI, de 04 de agosto de 2006.
2.5 É condição necessária para a criação de uma Equipe de Tratamento e Resposta a Incidentes em
Redes Computacionais, o órgão ou entidade possuir a competência formal e respectiva atribuição de
administrar a infra-estrutura da rede de computadores de sua organização.
3 FUNDAMENTO LEGAL DA NORMA COMPLEMENTAR
Conforme disposto no inciso II do art. 3º da Instrução Normativa nº 01, de 13 de Junho de 2008, do
Gabinete de Segurança Institucional, compete ao Departamento de Segurança da Informação e
Comunicações - DSIC, estabelecer normas definindo os requisitos metodológicos para
implementação da Gestão de Segurança da Informação e Comunicações pelos órgãos e entidades da
Administração Pública Federal, direta e indireta.
4 CONCEITOS E DEFINIÇÕES
Para os efeitos desta Norma Complementar são estabelecidos os seguintes conceitos e definições:
4.1 Agente responsável: Servidor Público ocupante de cargo efetivo ou militar de carreira de órgão
ou entidade da Administração Pública Federal, direta ou indireta incumbido de chefiar e gerenciar a
Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais;
176
4.2 Artefato malicioso: é qualquer programa de computador, ou parte de um programa, construído
com a intenção de provocar danos, obter informações não autorizadas ou interromper o
funcionamento de sistemas e/ou redes de computadores;
4.3 Comunidade ou Público Alvo: é o conjunto de pessoas, setores, órgãos ou entidades atendidas
por uma Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais;
4.4 CTIR GOV: Centro de Tratamento e Resposta a Incidentes de Segurança em Redes de
Computadores da Administração Pública Federal, subordinado ao Departamento de Segurança de
Informação e Comunicações - DSIC do Gabinete de Segurança Institucional da Presidência da
República - GSI;
4.5 Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR: Grupo
de pessoas com a responsabilidade de receber, analisar e responder às notificações e atividades
relacionadas a incidentes de segurança em redes de computadores;
4.6 Incidente de segurança: é qualquer evento adverso, confirmado ou sob suspeita, relacionado à
segurança dos sistemas de computação ou das redes de computadores;
4.7 Serviço: é o conjunto de procedimentos, estruturados em um processo bem definido, oferecido à
comunidade da Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais;
4.8 Tratamento de Incidentes de Segurança em Redes Computacionais: é o serviço que consiste
em receber, filtrar, classificar e responder às solicitações e alertas e realizar as análises dos
incidentes de segurança, procurando extrair informações que permitam impedir a continuidade da
ação maliciosa e também a identificação de tendências;
4.9 Vulnerabilidade: é qualquer fragilidade dos sistemas computacionais e redes de computadores
que permitam a exploração maliciosa e acessos indesejáveis ou não autorizados.
5 RESPONSABILIDADE
Os Gestores de Segurança da Informação e Comunicações são os responsáveis por coordenar a
instituição, implementação e manutenção da infraestrutura necessária às Equipes de Tratamento e
Resposta a Incidentes em Redes Computacionais, nos órgãos e entidades da Administração Pública
Federal, direta e indireta, conforme descrito no inciso V do art 5º da Instrução Normativa nº 01, do
Gabinete de Segurança Institucional, de 13 de junho de 2008.
6 DEFINIÇÃO DA MISSÃO
6.1 A missão deve fornecer uma breve e inequívoca descrição dos objetivos básicos e a função da
Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais. A definição da missão
fornecerá a linha base para as atividades a serem desenvolvidas pela Equipe.
6.2 Recomenda-se como missão prioritária para a Equipe a facilitação e a coordenação das
atividades de tratamento e resposta a incidentes em redes computacionais, além de alguma outra
missão específica, em consonância com as atividades de resposta e tratamento a incidentes em
redes, tais como: recuperação de sistemas, análise de ataques e intrusões, cooperação com outras
equipes, participação em fóruns e redes nacionais e internacionais.
6.3 A definição da missão, juntamente com os serviços a serem prestados pela Equipe, influenciará
o modelo de implementação mais adequado à necessidade da organização.
177
6.4 As missões da Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais
deverão ser descritas no respectivo documento de sua constituição, conforme o Anexo A desta
Norma Complementar.
7 MODELO DE IMPLEMENTAÇÃO
Cada órgão ou entidade deverá estabelecer, dentre os modelos apresentados abaixo, aquele que
melhor se adequar às suas necessidades e limitações, ressalvado que, independentemente do modelo
escolhido, deverão ser observadas as diretrizes desta Norma Complementar. Nada obstante, em
quaisquer dos modelos estabelecidos deverá ser designado formalmente o Agente Responsável, que
terá, dentre outras atribuições, a de ser a interface com o Centro de Tratamento e Resposta a
Incidentes de Segurança em Redes de Computadores da Administração Pública Federal - CTIR
GOV. Este Agente será o responsável por criar os procedimentos internos, gerenciar as atividades e
distribuir tarefas para a Equipe ou Equipes que compõem a ETIR.
7.1 Modelo 1 - Utilizando a equipe de Tecnologia da Informação - TI
7.1.1 Neste modelo não existirá um grupo dedicado exclusivamente às funções de tratamento e
resposta a incidentes de Rede. A Equipe será formada a partir dos membros das equipes de TI do
próprio órgão ou entidade, que além de suas funções regulares passarão a desempenhar as
atividades relacionadas ao tratamento e resposta a incidentes em redes computacionais. Neste
modelo as funções e serviços de tratamento de incidente deverão ser realizadas, preferencialmente,
por administradores de rede ou de sistema ou, ainda, por peritos em segurança.
7.1.2 A Equipe que utilizar este modelo desempenhará suas atividades, via de regra, de forma
reativa, sendo desejável, porém que o Agente Responsável pela ETIR atribua responsabilidades
para que os seus membros exerçam atividades pró-ativas.
7.2 Modelo 2 - Centralizado
7.2.1 A Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais será estabelecida
de forma centralizada no âmbito da organização.
7.2.2 A Equipe será composta por pessoal com dedicação exclusiva às atividades de tratamento e
resposta aos incidentes em redes computacionais.
7.3 Modelo 3 - Descentralizado
7.3.1 No modelo descentralizado a Equipe de Tratamento e Resposta a Incidentes em Redes
Computacionais será composta por colaboradores distribuídos por diversos locais dentro da
organização, dispersos por uma região ou pelo país inteiro. Essas equipes devem possuir pessoal
próprio dedicado às atividades de tratamento e resposta aos incidentes de rede computacionais,
podendo atuar operacionalmente de forma independente, porém alinhadas com as diretrizes
estabelecidas pela coordenação central.
7.3.2 A ETIR da organização será formada pelo conjunto dessas equipes distribuídas e chefiada
pelo Agente Responsável designado.
7.4 Modelo 4 - Combinado ou Misto
178
7.4.1 Trata-se da junção dos modelos Descentralizado e Centralizado. Neste modelo existirá uma
Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais central e Equipes
distribuídas pela organização.
7.4.2 A Equipe central será a responsável por criar as estratégias, gerenciar as atividades e distribuir
as tarefas entre as Equipes descentralizadas, além de ser a responsável, perante toda a organização,
pela comunicação com o CTIR GOV.
7.4.3 As Equipes distribuídas serão responsáveis por implementar as estratégias e exercer suas
atividades em suas respectivas áreas de responsabilidade.
8 ESTRUTURA ORGANIZACIONAL
8.1 Existem muitas maneiras diferentes de uma Equipe de Tratamento e Resposta a Incidentes em
Redes Computacionais ser estruturada. A estrutura dependerá do modelo de implementação a ser
adotado, do tamanho da organização, do número de localizações geográficas distribuídas e onde as
funções estão localizadas, do número de sistemas e plataformas suportadas, do número de serviços a
serem oferecidos e do conhecimento técnico do pessoal existente.
8.2 Os membros da Equipe deverão ser selecionados, sempre que possível, dentre o pessoal
existente, com perfil técnico adequado às funções de tratamento de incidentes de rede, os quais
deverão dedicar o tempo integral, ou um percentual do seu tempo de trabalho, dependendo do
modelo de implementação adotado, de forma reativa e pró-ativa.
8.3 O percentual do esforço dedicado será negociado entre a supervisão de cada um dos membros e
o Agente Responsável pela Equipe e deverá estar descrito no documento de constituição da Equipe
de Tratamento e Resposta a Incidentes em Redes Computacionais.
8.4 Recomenda-se que os membros da ETIR sejam: administradores de sistema ou de segurança,
administradores de banco de dados, administradores de rede, analistas de suporte ou quaisquer
outras pessoas da organização com conhecimento técnico comprovado. A Equipe poderá ser
estendida com a inclusão dos seguintes membros: representantes legais de áreas específicas da
organização, advogados, estatísticos, recursos humanos, relações públicas, gestão de riscos, controle
interno e grupo de investigação, ou outro que a organização entenda ser adequado.
8.5 Para cada membro da Equipe deverá ser designado um substituto que deverá ser treinado e
orientado para a realização das tarefas e atividades da ETIR.
8.6 O Gestor de Segurança da Informação e Comunicações da organização será o responsável por
prover os meios necessários para a capacitação e o aperfeiçoamento técnico dos membros da
Equipe, bem como prover a infraestrutura necessária.
9 AUTONOMIA DA ETIR
A autonomia da Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR
descreve o escopo de atuação e o nível de responsabilidade que a Equipe tem sobre as suas próprias
ações e sobre as atividades de resposta e tratamento dos incidentes na rede de computadores. A
autonomia define o nível de controle da Equipe no relacionamento com os componentes da sua
organização. A autonomia deverá ser definida, explicitamente, no documento de constituição da
ETIR, conforme apresentado no Anexo A desta Norma.
9.1 Autonomia Completa
179
Se uma ETIR tem plena autonomia, ela poderá conduzir o seu público alvo para realizar ações ou as
medidas necessárias para reforçar a resposta ou a postura da organização na recuperação de
incidentes de segurança. Durante um incidente de segurança, se tal se justificar, a Equipe poderá
tomar a decisão de executar as medidas de recuperação, sem esperar pela aprovação de níveis
superiores de gestão.
9.2 Autonomia Compartilhada
9.2.1 Se a ETIR possui a autonomia compartilhada, ela trabalhará em acordo com os outros setores
da organização a fim de participar do processo de tomada de decisão sobre quais medidas devam ser
adotadas.
9.2.2 A ETIR participará no resultado da decisão, sendo, no entanto, apenas um membro no
processo decisório. Neste caso, a Equipe poderá recomendar os procedimentos a serem executados
ou as medidas de recuperação durante um ataque e discutirá as ações a serem tomadas (ou as
repercussões se as recomendações não forem seguidas) com os outros membros da organização.
9.2.3 A indicação dos membros do processo decisório deverá ser definida explicitamente no
documento de constituição da ETIR.
9.3 Sem Autonomia
9.3.1 Se uma Equipe não tem autonomia, só poderá agir com a autorização de um membro da
organização com a autoridade para tal, designado no documento de constituição da ETIR.
9.3.2 A ETIR não terá autonomia para a tomada de decisões ou adoção de ações, podendo, no
entanto, recomendar os procedimentos a serem executados ou as medidas de recuperação durante
um ataque, mas não terá um voto na decisão final.
9.3.3 A ETIR poderá ser capaz, devido à sua posição na organização e capacidade técnica, de
conduzir os tomadores de decisão a agir durante um incidente de segurança, ressalvado o caráter
sugestivo das recomendações.
10 DISPOSIÇÕES GERAIS
10.1 Os órgãos ou entidades que inicialmente optarem pela implantação do Modelo 1 (Utilizando a
equipe de Tecnologia da Informação) deverão, assim que possível, migrar para um dos outros
modelos.
10.2 Preferencialmente a Equipe deve ser composta por servidores públicos ocupantes de cargo
efetivo ou militares de carreira, conforme o caso, com perfil técnico compatível, lotados nos seus
respectivos órgãos.
10.3 Cada órgão poderá deliberar o nome de sua Equipe de Tratamento e Resposta a Incidentes em
Redes Computacionais.
10.4 A ETIR deverá guiar-se por padrões e procedimentos técnicos e normativos no contexto de
tratamento de incidentes de rede orientados pelo Centro de Tratamento e Resposta a Incidentes de
Segurança em Redes de Computadores da Administração Pública Federal - CTIR GOV.
180
10.5 A ETIR poderá usar as melhores práticas de mercado, desde que não conflitem com os
dispositivos desta Norma Complementar.
10.6 A ETIR deverá comunicar de imediato a ocorrência de todos os incidentes de segurança
ocorridos na sua área de atuação ao CTIR GOV, conforme padrão definido por esse órgão, a fim de
permitir a geração de estatísticas e soluções integradas para a Administração Pública Federal.
10.7 A troca de informações e a forma de comunicação entre as ETIR, e entre estas e o CTIR GOV,
serão formalizadas caso a caso, se necessário, por Termo de Cooperação Técnica.
11 VIGÊNCIA
Esta Norma Complementar entra em vigor na data de sua publicação.
12 ANEXO
A - DOCUMENTO DE CONSTITUIÇÃO DA ETIR.
181
ANEXO A
DOCUMENTO DE CONSTITUIÇÃO DA ETIR
A fim de regulamentar o funcionamento da Equipe de Tratamento e Resposta a Incidentes em
Redes Computacionais - ETIR, os órgãos e entidades da Administração Pública Federal, direta e
indireta – APF deverão elaborar e publicar o Documento de Constituição da ETIR, alinhado com a
Política de Segurança da Informação e Comunicações, devidamente aprovado pela Alta
Administração do órgão ou entidade.
No documento de constituição da ETIR deverão constar, no mínimo, os seguintes pontos: definição
da missão, comunidade ou público alvo, modelo de implementação escolhido, estrutura
organizacional, autonomia e serviços que serão prestados.
1 MISSÃO
A missão deve fornecer uma breve e inequívoca descrição dos objetivos básicos e a função da
ETIR. A organização deve observar o previsto no item 6 desta Norma Complementar e as seguintes
premissas no que se refere à definição da missão:
1.1 Não deve conter termos ambíguos;
1.2 Não deve ser extensa, descrevendo de forma sucinta a missão da ETIR;
1.3 Deve ajudar a Equipe a entender os seus objetivos;
1.4 Deve complementar a missão do órgão ao qual pertence;
1.5 Deve estar alinhada à Política de Segurança da Informação e Comunicações do órgão ou
entidade.
2 COMUNIDADE OU PÚBLICO ALVO
2.1 Deve ser formada pelos usuários da rede de computadores e sistemas do(s) órgão(ãos) ou
entidade(s) atendidos pela ETIR.
2.2 Deve ser descrito o público com o qual a Equipe irá se relacionar, principalmente quando este
não for composto por todos os integrantes do próprio órgão ou entidade, além da forma e as
condições nas quais a comunicação será realizada.
2.3 Devem ser descritos ainda os relacionamentos com outros organismos de tratamento de
incidente e as condições deste relacionamento.
3 MODELO DE IMPLEMENTAÇÃO
Cada órgão ou entidade deve estabelecer o modelo que melhor se adequar às suas necessidades e
limitações, dentre os apresentados no item 7 desta Norma Complementar, descrevendo o modelo de
forma detalhada e a maneira de atuação da Equipe de Tratamento e Resposta a Incidentes em Redes
Computacionais dentro da organização.
4 ESTRUTURA ORGANIZACIONAL
Observadas as diretrizes constantes no item 8 desta Norma Complementar, deve ser definida a
estrutura organizacional da ETIR, nos seguintes termos:
182
4.1 Posição na estrutura organizacional do órgão a que pertence;
4.2 Definição do Agente Responsável pela ETIR, suas competências, atribuições e
responsabilidades perante o Gestor de Segurança da Informação e Comunicações, as demais esferas
decisórias da organização e o CTIR GOV;
4.3 Definição da Equipe e/ou Equipes descentralizadas, seus membros componentes e membros
agregados, suas funções, responsabilidades, maneira de atuação e tempo destinado às tarefas da
ETIR;
4.4 Definição dos membros substitutos, suas atribuições e responsabilidades.
5 AUTONOMIA DA ETIR
5.1 Na definição da autonomia da ETIR o órgão ou entidade deve observar as diretrizes constantes
no item 9 desta Norma Complementar.
5.2 Devem ser definidos explicitamente o modelo adotado, o escopo de atuação, o nível de
responsabilidade e a independência da Equipe sobre as ações necessárias à resposta e tratamento
dos incidentes de segurança na rede de computadores, divulgando para toda a organização.
5.3 Dependendo do nível de autonomia da ETIR, devem ser indicados os membros da organização
com autoridade para decidir sobre as ações a serem adotadas.
6 SERVIÇOS
6.1 Para a definição dos serviços que serão prestados cada órgão deve observar as suas necessidades
e limitações, a missão, o modelo de implementação adotado e a autonomia da ETIR, tudo em
consonância com o que prescreve esta Norma Complementar.
6.2 Os serviços prestados por uma ETIR definem quais os procedimentos a Equipe desempenhará.
Para cada serviço este documento deve descrever, no mínimo, os seguintes atributos:
6.2.1 Objetivo;
6.2.2 Definição;
6.2.3 Descrição das funções e procedimentos que compõem o serviço;
6.2.4 Disponibilidade do serviço: quando, como e onde o serviço será oferecido;
6.2.5 Metodologia para execução do serviço.
6.3 A ETIR deve implementar, no mínimo, o serviço de Tratamento de Incidentes de Segurança em
Redes Computacionais. Este serviço, conforme sua definição, consiste em receber, filtrar, classificar
e responder às solicitações e alertas e realizar as análises dos incidentes de segurança, procurando
extrair informações que permitam impedir a continuidade da ação maliciosa e também a
identificação de tendências.
183
6.4 A Equipe poderá oferecer à sua comunidade ou público alvo, além do tratamento de incidentes,
outros serviços correlacionados à resposta e tratamento de incidentes de segurança em redes
computacionais, de acordo com normas nacionais e internacionais.
FONTE: Publicação DOU, de 127/08/2009.
184
PORTARIA Nº 62, DE 19 DE NOVEMBRO DE 2009
Homologa a Norma Complementar nº 06/IN
01/DSIC/GSIPR
O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANÇA
INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA, na condição de SECRETÁRIO-
EXECUTIVO DO CONSELHO DE DEFESA NACIONAL, no uso das atribuições que lhe
conferem os Decretos nº 3.505, de 13 de junho de 2000 e o Decreto nº 6.931, de 11 de agosto de
2009, resolve:
Art. 1º Homologar a Norma Complementar nº 06/IN 01/DSIC/GSIPR anexa, aprovada
pelo Diretor do Departamento de Segurança da Informação e Comunicações.
Art. 2º Esta Portaria entra em vigor na data de sua publicação.
JORGE ARMANDO FELIX
185
ANEXO
Departamento de Segurança da Informação e Comunicações
GESTÃO DE CONTINUIDADE DE NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E
COMUNICAÇÕES
ORIGEM
Departamento de Segurança da Informação e Comunicações
REFERÊNCIA NORMATIVA
Art. 6º da Lei nº 10.683, de 28 de maio de 2003.
Art. 8º do Anexo I do Decreto nº 6.931, de 11 de agosto de 2009.
Decreto nº 3.505, de 13 de junho de 2000.
Instrução Normativa nº 01 do Gabinete de Segurança Institucional, de 13 de junho de 2008.
NBR 15999-1: 2007 - Gestão de Continuidade de Negócios.
NBR ISO/IEC 27002 (17799:2005)
Cobit 4.1 DS4 Ensure Continuous Service
CAMPO DE APLICAÇÃO
Esta Norma Complementar se aplica no âmbito da Administração
Pública Federal, direta e indireta.
SUMÁRIO
1.Objetivo
2.Considerações Iniciais
3.Fundamento Legal da Norma Complementar
4.Conceitos e Definições
5. Procedimentos
6.Responsabilidades
7. Vigência
INFORMAÇÕES ADICIONAIS
Não há
APROVAÇÃO
RAPHAEL MANDARINO JUNIOR
Diretor do Departamento de Segurança da
Informação e Comunicações
186
1 - OBJETIVO
Estabelecer diretrizes para Gestão de Continuidade de Negócios, nos aspectos relacionados à
Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública
Federal, direta e indireta - APF.
2 - CONSIDERAÇÕES INICIAIS
A implantação do processo de Gestão de Continuidade de Negócios busca minimizar os impactos
decorrentes de falhas, desastres ou indisponibilidades significativas sobre as atividades do órgão ou
entidade, além de recuperar perdas de ativos de informação a um nível aceitável, por intermédio de
ações de prevenção, resposta e recuperação.
A Gestão de Continuidade de Negócios pode envolver ações mais abrangentes do que as definidas
no âmbito da Gestão de Segurança da Informação e Comunicações, especialmente devido aos
requisitos estratégicos de continuidade relativos às pessoas, à infraestrutura, aos processos e às
atividades operacionais.
A Gestão de Continuidade de Negócios, objeto desta norma complementar, está limitada ao escopo
das ações de Segurança da Informação e Comunicações implementadas nos órgãos ou entidades da
APF.
3 - FUNDAMENTO LEGAL DA NORMA COMPLEMENTAR
Conforme disposto no inciso II do art. 3º da Instrução Normativa nº 01, de 13 de Junho de 2008, do
Gabinete de Segurança Institucional, compete ao Departamento de Segurança da Informação e
Comunicações - DSIC, estabelecer normas definindo os requisitos metodológicos para
implementação da Gestão de Segurança da Informação e Comunicações pelos órgãos e entidades da
Administração Pública Federal, direta e indireta.
4 - CONCEITOS E DEFINIÇÕES
Para os efeitos desta Norma Complementar, aplicam-se os seguintes conceitos e definições:
4.1 Atividade: processo ou conjunto de processos executados por um órgão ou entidade, ou em seu
nome, que produzem ou suportem um ou mais produtos ou serviços;
4.2 Atividades Críticas: atividades que devem ser executadas de forma a garantir a consecução dos
produtos e serviços fundamentais do órgão ou entidade de tal forma que permitam atingir os seus
objetivos mais importantes e sensíveis ao tempo.
4.3 Análise de Impacto nos Negócios (AIN): visa estimar os impactos resultantes da interrupção
de serviços e de cenários de desastres que possam afetar o desempenho dos órgãos ou entidades da
APF, bem como as técnicas para quantificar e qualificar esses impactos. Define também a
criticidade dos processos de negócio, suas prioridades de recuperação, interdependências e os
requisitos de segurança da informação e comunicações para que os objetivos de recuperação sejam
atendidos nos prazos estabelecidos
4.4 Ativos de informação: os meios de armazenamento, transmissão e processamento, os sistemas
de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm
acesso;
187
4.5 Continuidade de Negócios: capacidade estratégica e tática de um órgão ou entidade de se
planejar e responder a incidentes e interrupções de negócios, minimizando seus impactos e
recuperando perdas de ativos da informação das atividades críticas, de forma a manter suas
operações em um nível aceitável, previamente definido;
4.6 Desastre : Evento repentino e não planejado que causa perda para toda ou parte da organização
e gera sérios impactos em sua capacidade de entregar serviços essenciais ou críticos por um período
de tempo superior ao tempo objetivo de recuperação;
4.7 Estratégia de Continuidade de Negócios: abordagem de um órgão ou entidade que garante a
recuperação dos ativos de informação e a continuidade das atividades críticas ao se defrontar com
um desastre, uma interrupção ou outro incidente maior;
4.8 Gestão de Continuidade: processo abrangente de gestão que identifica ameaças potenciais para
uma organização e os possíveis impactos nas operações de negócio, caso estas ameaças se
concretizem. Este processo fornece uma estrutura para que se desenvolva uma resiliência
organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das partes
interessadas, a reputação e a marca da organização, e suas atividades de valor agregado;
4.9 Incidente: evento que tenha causado algum dano, colocado em risco, algum ativo de
informação crítico ou interrompido a execução de alguma atividade crítica por um período de tempo
inferior ao tempo objetivo de recuperação;
4.10 Plano de Continuidade de Negócios: documentação dos procedimentos e informações
necessárias para que os órgãos ou entidades da APF mantenham seus ativos de informação críticos
e a continuidade de suas atividades críticas em local alternativo num nível previamente definido, em
casos de incidentes;
4.11 Plano de Gerenciamento de Incidentes: plano de ação claramente definido e documentado,
para ser usado quando ocorrer um incidente que basicamente cubra as principais pessoas, recursos,
serviços e outras ações que sejam necessárias para implementar o processo de gerenciamento de
incidentes;
4.12 Plano de Recuperação de Negócios: documentação dos procedimentos e informações
necessárias para que o órgão ou entidade da APF operacionalize o retorno das atividades críticas a
normalidade;
4.13 Programa de Gestão da Continuidade de Negócios: processo contínuo de gestão e
governança suportado pela alta direção e que recebe recursos apropriados para garantir que os
passos necessários estão sendo tomados de forma a identificar o impacto de perdas em potencial,
manter estratégias e planos de recuperação viáveis e garantir a continuidade de fornecimento de
produtos e serviços por intermédio análises críticas, testes, treinamentos e manutenção;
4.14 Tempo Objetivo de Recuperação: é o tempo pré-definido no qual uma atividade deverá estar
disponível após uma interrupção ou incidente;
4.15 Resiliência: poder de recuperação ou capacidade de uma organização resistir aos efeitos de um
desastre.
5 - PROCEDIMENTOS
188
5.1 A elaboração do Programa de Gestão da Continuidade de Negócios envolve os seguintes
procedimentos:
5.1.1 desenvolver documento com as diretrizes do Programa de Continuidade;
5.1.2 definir as atividades críticas do órgão ou entidade;
5.1.3 avaliar os riscos a que estas atividades críticas estão expostas;
5.1.4 definir as estratégias de continuidade para as atividades críticas;
5.1.5 desenvolver e implementar os Planos previstos no Programa de Gestão da Continuidade de
Negócios para respostas tempestivas a interrupções;
5.1.6 realizar exercícios, testes e manutenção periódica dos Planos, promovendo as revisões
necessárias;
5.1.7 desenvolver a cultura de continuidade de negócios no órgão ou entidade;
5.2 Os procedimentos previstos no Programa de Gestão da Continuidade de Negócios são
executados em conformidade com os requisitos de segurança da informação e comunicações
necessários à proteção dos ativos de informação críticos, tratando as atividades de forma
abrangente, o que inclui as pessoas, os processos, a infraestrutura e os recursos de tecnologia da
informação e comunicações;
5.3 Recomenda-se que o Programa de Gestão de Continuidade de Negócios de um órgão ou
entidade da APF seja composto, no mínimo, pelos seguintes Planos, de acordo com as suas
necessidades específicas, de forma a assegurar a disponibilidade dos ativos de informação e a
recuperação das atividades críticas:
5.3.1 Plano de Gerenciamento de Incidentes - PGI;
5.3.2 Plano de Continuidade de Negócios - PCN;
5.3.3 Plano de Recuperação de Negócios - PRN.
5.4 Cada um dos Planos contém, no mínimo:
5.4.1 Plano de Gerenciamento de Incidentes:
a) Objetivo e escopo;
b) Papéis e responsabilidades;
c) Condições para a ativação de Planos;
d) Autoridade responsável;
e) Detalhes de contato;
f) Lista de tarefas e ações;
g) Atividades das pessoas;
h) Comunicação à mídia;
i) Localização para o gerenciamento de incidentes.
5.4.2 Plano de Continuidade de Negócios:
a) Objetivo e escopo;
b) Papéis e responsabilidades;
189
c) Autoridade responsável;
d) Detalhes de contato;
e) Lista de tarefas;
f) Recursos necessários.
5.4.3 Plano de Recuperação de Negócios:
a) Objetivo e escopo;
b) Papéis e responsabilidades;
c) Autoridade responsável;
d) Detalhes de contato;
e) Lista de tarefas;
f) Recursos necessários.
5.5 Os Planos são exercitados e testados periodicamente, bem assim os resultados documentados de
forma a garantir a sua efetividade.
5.6 A revisão dos Planos é realizada nas seguintes situações:
5.6.1 No mínimo, uma vez por ano;
5.6.2 Em função dos resultados dos testes realizados; ou
5.6.3 Após alguma mudança significativa nos ativos de informação, nas atividades ou em algum de
seus componentes.
5.7 Sugere-se que os contratos firmados com empresas terceirizadas que suportem atividades
críticas contenham cláusula segundo a qual as referidas empresas possuam Planos de Continuidade
dos seus Negócios, bem como as evidências dos testes realizados.
6 - RESPONSABILIDADES
6.1 Para a Alta Administração do órgão ou entidade da APF, no âmbito de suas atribuições,
recomenda-se que sejam adotadas as seguintes responsabilidades:
6.1.1 aprovar as diretrizes estratégicas que norteiam a elaboração do Programa de Gestão de
Continuidade de Negócios;
6.1.2 avaliar a relação custo / benefício das estratégias de continuidade propostas e dos Planos que
compõem o Programa de Gestão da Continuidade de Negócios e decida sobre sua implementação;
6.1.3 garantir os recursos necessários para estabelecer, implementar, operar e manter o Programa de
Gestão da Continuidade de Negócios.
6.2 As seguintes atribuições devem ser conferidas ao responsável pela Gestão da Continuidade de
Negócios, ou ao Gestor de Segurança da Informação e Comunicações, no caso do órgão ou entidade
não possuir o Gestor de Continuidade de Negócios;
6.2.1 Propor as diretrizes estratégicas do Programa de Gestão da Continuidade de Negócios;
6.2.2 Avaliar o plano de tratamento de riscos;
6.2.3 Realizar, periodicamente, a Análise de Impacto nos Negócios (AIN);
190
6.2.4 Propor melhorias na implantação de novos controles relativos ao Programa de Gestão de
Continuidade de Negócios;
6.2.5 Supervisionar a elaboração, implementação, testes e atualização dos Planos;
6.2.6 Desenvolver a cultura de Gestão de Continuidade de Negócios.
6.3 As seguintes atribuições devem ser conferidas aos responsáveis pelos setores ou processos onde
foram identificadas atividades críticas para o órgão ou entidade da APF:
6.3.1 Elaborar os Planos previstos no Programa de Gestão da Continuidade de Negócios
relacionados às atividades críticas;
6.3.2 Realizar os testes e exercícios dos Planos;
6.3.3 Avaliar e aprimorar os Planos a partir dos resultados dos testes e exercícios;
6.3.4 Administrar a contingência quando da interrupção de atividades, com base nos Planos
desenvolvidos;
6.3.5 Propor os recursos necessários para a implantação e o desenvolvimento das ações relacionadas
à continuidade das atividades, bem como para a realização dos testes e dos exercícios dos Planos.
7 - VIGÊNCIA
Esta Norma entra em vigor na data de sua publicação, gerando seus efeitos a partir de 17 de maio de
2010.
FONTE: Publicação DOU, de 23.11.61.
191
PORTARIA Nº 666, DE 4 DE AGOSTO DE 2010
Cria o Centro de Defesa Cibernética do Exército e dá
outras providências.
O COMANDANTE DO EXÉRCITO, no uso das atribuições que lhe conferem o art.
4º da Lei Complementar nº 97, de 9 de junho de 1999, e o inciso V do art. 20 da Estrutura
Regimental do Comando do Exército, aprovada pelo Decreto nº 5.751, de 12 de abril de 2006, e de
acordo com o que propõe o Estado-Maior do Exército, ouvido o Departamento de Ciência e
Tecnologia, resolve:
Art. 1º Criar o Centro de Defesa Cibernética do Exército (CDCiber) com subordinação
regulada em Diretriz a ser expedida pelo Estado-Maior do Exército (EME).
Art. 2º Determinar que o EME e os órgãos de direção setorial adotem, em suas áreas de
competência, as providências decorrentes.
Art. 3º Estabelecer que esta Portaria entre em vigor na data de sua publicação.
FONTE: Boletim do Exército n° 31, de 6 de agosto de 2010.
192
PORTARIA Nº 667, DE 4 DE AGOSTO DE 2010
Ativa o Núcleo do Centro de Defesa Cibernética do
Exército e dá outras providências.
O COMANDANTE DO EXÉRCITO, no uso das atribuições que lhe conferem o art.
4º da Lei Complementar nº 97, de 9 de junho de 1999, e o inciso V do art. 20 da Estrutura
Regimental do Comando do Exército, aprovada pelo Decreto nº 5.751, de 12 de abril de 2006, e de
acordo com o que propõe o Estado-Maior do Exército, ouvido o Departamento de Ciência e
Tecnologia, resolve:
Art. 1º Ativar, a contar de 2 de agosto de 2010, o Núcleo do Centro de Defesa
Cibernética do Exército (Nu CDCiber), subordinado ao Departamento de Ciência e Tecnologia,
responsável pela implantação do Centro de Defesa Cibernética do Exército (CDCiber).
Art. 2º Determinar que o Estado-Maior do Exército e os órgãos de direção setorial
adotem, em suas áreas de competência, as providências decorrentes.
Art. 3º Estabelecer que esta Portaria entre em vigor na data de sua publicação.
FONTE: Boletim do Exército n° 31, de 6 de agosto de 2010.
193
PORTARIA Nº 405-A/ABIN/GSIPR, DE 1º DE DEZEMBRO DE 2010
Cria o Comitê Técnico da Infraestrutura de
Chaves Públicas da Agência Brasileira de
Inteligência (ICP-ABIN) e nomeia os servidores
custodiantes de Chave Privada da ICP-ABIN
O DIRETOR-GERAL DA AGÊNCIA BRASILEIRA DE
INTELIGÊNCIA DO GABINETE DE SEGURANÇA INSTITUCIONAL DA
PRESIDÊNCIA DA REPÚBLICA , no uso das atribuições que lhe confere o
Regimento Interno da Agência Brasileira de Inteligência (ABIN), aprovado pela
Portaria nº 037-GSIPR/CH/ABIN, de 17 de outubro de 2008 e alterado pela Portaria nº
07/GSIPR/CH/ABIN, de 3 de fevereiro de 2009, e consoante o Decreto de 1º de
dezembro de 2009, publicado na edição do DOU nº 230, de 2 de dezembro de 2 009,
RESOLVE:
Art. 1º Criar o Comitê Técnico da Infraestrutura de Chaves Públicas da
Agência Brasileira de Inteligência (ICP-ABIN).
Art. 2º Nomear os servidores abaixo relacionados para compor o Comitê
Técnico ICP-ABIN.
I – Marlos Ribas Lima, matrícula nº 40106, Dire tor do Departamento de
Pesquisa e Desenvolvimento Tecnológico;
II – Otávio Carlos Cunha da Silva, matrícula nº 909433, Coordenador -Geral
do Centro de Pesquisa para o Desenvolvimento da Segurança das Comunicações, do
Departamento de Pesquisa e Desenvolvimento Tecnológico;
III – Antonio Magno Figueiredo de Oliveira, matrícula nº 909522,
Coordenador-Geral da Coordenação-Geral de Tecnologia da Informação e Eletrônica,
do Departamento de Pesquisa e Desenvolvimento Tecnológico; e
IV – Álisson Campos Raposo, matrícula nº 909097, Coordenador -Geral da
Coordenação-Geral de Proteção do Conhecimento Sensível, do Departamento de
Contrainteligência.
Art. 3º - Nomear os servidores abaixo relacionados para atuarem na
condição de custodiantes de Chave Privada da ICP-ABIN.
I – Luely Moreira Rodrigues, matrícula nº 21144, representante do
Secretário de Planejamento, Orçamento e Administração;
II – Ana Maria Junqueira Dantas, matrícula nº 32782, Diretora do
Departamento de Gestão de Pessoal;
III – José Carlos Martins da Cunha, matrícula nº 33967, representante do
Departamento de Inteligência Estratégica;
IV – Renan Barbosa Monteiro Soares, matrícula nº 909235, representante do
Departamento de Contraterrorismo; e
V – José David de Oliveira, matrícula nº 908806, representante do
Departamento de Contrainteligência.
194
Art. 4º - Esta Portaria entra em vigor na data de sua publicação em Boletim
de Serviço.
WILSON ROBERTO TREZZA
FONTE : Publicação BSC ABIN, v12, n. 24, dez.2010. p.16.
195
PORTARIA Nº 411-A/ABIN/GSIPR, DE 6 DE DEZEMBRO DE 2010
Aprova as Chaves Públicas da Autoridade
Certificadora Raiz da Agência Brasileira de
Inteligência (AC Raiz) e da Autoridade
Certificadora da Agência Brasileira de
Inteligência (AC ABIN) e as Políticas de
Segurança da AC Raiz e de Segurança da AC-
ABIN.
O DIRETOR-GERAL DA AGÊNCIA BRASILEIRA DE
INTELIGÊNCIA DO GABINETE DE SEGURANÇA INSTITUCIONAL DA
PRESIDÊNCIA DA REPÚBLICA , no uso das atribuições que lhe confere o
Regimento Interno da Agência Brasileira de Inteligência (ABIN), aprovado pela
Portaria nº 037-GSIPR/CH/ABIN, de 17 de outubro de 2008 e alterado pela Portaria nº
07/GSIPR/CH/ABIN, de 3 de fevereiro de 2009, e consoante o Decreto de 1º de
dezembro de 2009, publicado na edição do DOU nº 230, de 2 de dezembro de 2009,
RESOLVE:
Art. 1º Aprovar as Chaves Públicas da Autoridade Certificadora Raiz da
Agência Brasileira de Inteligência (AC Raiz) e da Autoridade Certificadora da
Agência Brasileira de Inteligência (AC ABIN) e as Políticas de Segurança da AC Raiz
e de Segurança da AC ABIN.
Art. 2º Esta Portaria entra em vigor na data de sua publicação em B oletim
de Serviço.
WILSON ROBERTO TREZZA
FONTE: Publicação BSC ABIN, v.12, n.24, dez.2010. p.18.
196
PORTARIA N° 42, DE 29 DE JULHO DE 2011
O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANÇA
INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA, no uso de suas atribuições que lhe
confere o inciso II do parágrafo único do art. 87 da Constituição, e tendo em vista o encerramento
das ações relativas à Rede Nacional de Segurança da Informação e Criptografia - RENASIC no
âmbito deste Gabinete de Segurança Institucional, resolve:
Art. 1º Ficam revogadas as Portarias n° 31, de 6 de outubro de 2008 e n° 54, de 18 de
agosto de 2010.
Art. 2º Esta Portaria entra em vigor na data de sua publicação.
JOSÉ ELITO CARVALHO SIQUEIRA
FONTE: Publicação DOU, de 01/08/2011.
197
PORTARIA Nº 7, DE 7 DE FEVEREIRO DE 2012 (*)
Homologa a Norma Complementar nº 11/ IN01/ DSIC/
GSIPR.
O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANÇA
INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA, na condição de SECRETÁRIO
EXECUTIVO DO CONSELHO DE DEFESA NACIONAL, no uso da atribuição que lhe
confere o Art. 4º do Decreto nº 3.505, de 13 de junho de 2000, e o inciso IV do art. 1º do Anexo I
do Decreto nº 7.411, de 29 de dezembro de 2010, resolve:
Art. 1º Fica homologada a Norma Complementar nº 11/IN01/DSIC/GSIPR que
estabelece as Diretrizes para avaliação de conformidade nos aspectos relativos à Segurança da
Informação e Comunicações (SIC), nos órgãos e entidades da Administração Pública Federal
(APF), direta e indireta, aprovada pelo Diretor do Departamento de Segurança da Informação e
Comunicações, em anexo.
Art. 2º Esta portaria entra em vigor na data de sua publicação.
JOSÉ ELITO CARVALHO SIQUEIRA
FONTE: Publicação DOU, de 10/02/2012.
(*) Republicada por ter saído com omissão do anexo no DOU, de 9 de fevereiro de 2012, Seção 1.
198
ANEXO
NÚMERO DA NORMA COMPLEMENTAR
11/ IN01/ DSIC/ GSIPR
DIRETRIZES PARA AVALIAÇÃO DE CONFORMIDADE
NOS ASPECTOS RELATIVOS À SEGURANÇA DA
INFORMAÇÃO E COMUNICAÇÕES
ORIGEM
Departamento de Segurança da Informação e Comunicações
REFERÊNCIA NORMATIVA
Lei nº 10.683, de 28 de maio de 2003.
Decreto nº 7.411, de 29 de dezembro de 2010.
Decreto nº 3.505, de 13 de junho de 2000.
Instrução Normativa nº 01 do Gabinete de Segurança Institucional, de 13 de junho de 2008 e
respectivas Normas Complementares publicadas no D.O.U pelo DSIC/GSIPR.
ABNT NBR ISO/IEC 27001:2006.
ABNT NBR ISO/IEC 27002:2005.
Livreto de Avaliação de Conformidade, 5ª Edição, maio de 2007 do Instituto Nacional de
Metrologia, Qualidade e Tecnologia - Inmetro.
Padrões de Interoperabilidade do Governo Eletrônico (e-PING).
CAMPO DE APLICAÇÃO
Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.
SUMÁRIO
1. Objetivo
2. Fundamento Legal da Norma Complementar
3. Conceitos e Definições
4. Princípios e Diretrizes
5. Responsabilidades
6. Vigência
INFORMAÇÕES ADICIONAIS
Não há
APROVAÇÃO
RAPHAEL MANDARINO JUNIOR
Diretor do Departamento de Segurança da Informação e
Comunicações
199
1 OBJETIVO
Estabelecer diretrizes para avaliação de conformidade nos aspectos relativos à Segurança da
Informação e Comunicações (SIC) nos órgãos ou entidades da Administração Pública Federal,
direta e indireta - APF.
2 FUNDAMENTO LEGAL DA NORMA COMPLEMENTAR
Conforme disposto no inciso II do art. 3º da Instrução Normativa nº 01, de 13 de Junho de 2008, do
Gabinete de Segurança Institucional, compete ao Departamento de Segurança da Informação e
Comunicações - DSIC, estabelecer normas definindo os requisitos metodológicos para
implementação da Gestão de Segurança da Informação e Comunicações pelos órgãos e entidades da
Administração Pública Federal, direta e indireta.
3 CONCEITOS E DEFINIÇÕES
Para os efeitos desta Norma Complementar são estabelecidos os seguintes conceitos e definições:
3.1 Análise de riscos: uso sistemático de informações para identificar fontes e estimar o risco;
3.2 Ativos de Informação: os meios de armazenamento, transmissão e processamento, os sistemas
de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm
acesso;
3.3 Autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou
destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;
3.4 Avaliação de Conformidade em Segurança da Informação e Comunicações: exame
sistemático do grau de atendimento dos requisitos relativos à SIC com as legislações específicas;
3.5 Avaliação de riscos: processo de comparar o risco estimado com critérios de risco predefinidos
para determinar a importância do risco;
3.6 Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a
pessoa física, sistema, órgão ou entidade não autorizado e credenciado;
3.7 Conformidade em Segurança da Informação e Comunicações: cumprimento das legislações,
normas e procedimentos relacionados à Segurança da Informação e Comunicações da organização.
3.8 Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por
uma pessoa física ou determinado sistema, órgão ou entidade;
3.9 Gestão de Riscos de Segurança da Informação e Comunicações: conjunto de processos que
permite identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os
riscos a que estão sujeitos os seus ativos de informação, e equilibrálos com os custos operacionais e
financeiros envolvidos;
3.10 Integridade: propriedade de que a informação não foi modificada ou destruída de maneira não
autorizada ou acidental;
200
3.11 Riscos de Segurança da Informação e Comunicações: potencial associado à exploração de
uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por
parte de uma ou mais ameaças, com impacto negativo no negócio da organização;
3.12 Verificação de Conformidade em Segurança da Informação e Comunicações:
procedimentos que fazem parte da avaliação de conformidade que visam identificar o cumprimento
das legislações, normas e procedimentos relacionados à Segurança da Informação e Comunicações
da organização.
4 PRINCÍPIOS E DIRETRIZES
4.1 As diretrizes gerais para a avaliação de conformidade em segurança da informação e
comunicações deverão considerar, no mínimo, as legislações vigentes a respeito de SIC para a APF
e normativos internos específicos de cada órgão;
4.2 A avaliação de conformidade em SIC deve ser contínua e aplicada visando contribuir com a
Gestão de Segurança da Informação e Comunicações dos órgãos e entidades da APF;
4.3 A avaliação de conformidade em SIC pode ser subsidiada por meio da análise e avaliação de
riscos e auditorias internas previsto no item 3.3.5 da NC 02/IN01/GSIPR/DSIC;
4.4 As não-conformidades relativas ao descumprimento de legislações, normas e procedimentos são
consideradas riscos de SIC e devem ser tratadas segundo a NC 04/IN01/GSIPR/DSIC;
4.5 Os responsáveis pela verificação de conformidade devem considerar os requisitos mínimos que
assegurem a disponibilidade, integridade, confidencialidade e autenticidade das informações,
observando, dentre outros, as legislações vigentes a respeito de SIC para a APF e normativos
internos específicos de cada órgão;
4.6 Os responsáveis pela avaliação de conformidade devem ser capacitadas nas legislações vigentes
referentes à segurança da informação e comunicações; e
4.7 A avaliação de conformidade de SIC tomará, no mínimo, como base no inventário e
mapeamento de ativos de informação dos órgãos e entidades da APF, visando manter a
disponibilidade, integridade, confidencialidade e autenticidade das informações.
5 RESPONSABILIDADES
5.1 Cabe à Alta Administração do órgão ou entidade da Administração Pública Federal, direta e
indireta - APF aprovar as diretrizes para avaliação de conformidade em SIC;
5.2 Cabe ao Gestor de Segurança da Informação e Comunicações:
5.2.1 acompanhar se os procedimentos de SIC estão sendo aplicados de forma atender a
conformidade com legislações vigentes a respeito de SIC para a APF e normativos internos
específicos de cada órgão;
5.2.2 Promover ações de capacitação para os responsáveis pela avaliação de conformidade, visando
que esses tenham conhecimento das legislações vigentes que tratam sobre o assunto de SIC; e
5.3 Cabe ao responsável pela avaliação de conformidade remeter os resultados da avaliação de
conformidade em SIC ao Gestor de Segurança da Informação e Comunicações.
202
PORTARIA Nº 8, DE 7 DE FEVEREIRO DE 2012 (*)
Homologa a Norma Complementar nº
12/IN01/DSIC/GSIPR.
O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANÇA
INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA, na condição de SECRETÁRIO
EXECUTIVO DO CONSELHO DE DEFESA NACIONAL, no uso da atribuição que lhe
confere o Art. 4º do Decreto nº 3.505, de 13 de junho de 2000, e o inciso IV do art. 1º do Anexo I
do Decreto nº 7.411, de 29 de dezembro de 2010, resolve:
Art. 1º Fica homologada a Norma Complementar nº 12/IN01/DSIC/GSIPR que
estabelece as Diretrizes para uso de dispositivos móveis nos aspectos relativos à Segurança da
Informação e Comunicações (SIC), nos órgãos e entidades da Administração Pública Federal
(APF), direta e indireta, aprovada pelo Diretor do Departamento de Segurança da Informação e
Comunicações, em anexo.
Art. 2º Esta portaria entra em vigor na data de sua publicação.
JOSÉ ELITO CARVALHO SIQUEIRA
FONTE: Publicação DOU, de 10/02/2012.
(*) Republicada por ter saído com omissão do anexo no DOU, de 9 de fevereiro de 2012, Seção 1.
203
ANEXO
NÚMERO DA NORMA COMPLEMENTAR
12/IN01/DSIC/GSIPR
Uso de Dispositivos Móveis nos Aspectos relativos à Segurança
da Informação e Comunicações nos órgãos e entidades
da Administração Pública
ORIGEM
Departamento de Segurança da Informação e Comunicações
REFERÊNCIA NORMATIVA E BIBLIOGRÁFICAS
Instrução Normativa GSI Nº 01 de 13 de junho de 2008 e suas respectivas Normas
Complementares publicadas no DOU pelo DSIC/GSIPR.
Decreto Nº 3.505, de 13 de junho de 2000.
Decreto Nº 4.553, de 27 de dezembro de 2002
ABNT NBR ISO/IEC 27001:2006
ABNT NBR ISO/IEC 27002: (17799:2005)
IEEE 802.11
CAMPO DE APLICAÇÃO
Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.
SUMÁRIO
1. Objetivo
2. Fundamento Legal da Norma Complementar
3. Conceitos e definições
4. Princípios e Diretrizes
5. Orientações Específicas
6. Responsabilidades
7. Vigência
INFORMAÇÕES ADICIONAIS
Não há
APROVAÇÃO
RAPHAEL MANDARINO JUNIOR
Diretor do Departamento de Segurança da Informação
e Comunicações
204
1 OBJETIVO
Estabelecer diretrizes e orientações básicas para o uso de dispositivos móveis nos
aspectos referentes à Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da
Administração Pública Federal (APF), direta e indireta.
2 FUNDAMENTO LEGAL DA NORMA COMPLEMENTAR
Conforme disposto no inciso II do art. 3º da Instrução Normativa nº 01, de 13 de Junho
de 2008, do Gabinete de Segurança Institucional, compete ao Departamento de Segurança da
Informação e Comunicações - DSIC, estabelecer normas definindo os requisitos metodológicos
para implementação da Gestão de Segurança da Informação e Comunicações pelos órgãos e
entidades da Administração Pública Federal, direta e indireta.
3 CONCEITOS E DEFINIÇÕES
Para os efeitos desta norma complementar, aplicam-se os seguintes termos e definições:
3.1 Agentes públicos com dispositivos móveis corporativos: servidores ou empregados da APF,
que utilizam dispositivos móveis de computação de propriedade dos órgãos ou entidade a que
pertencem.
3.2 Agentes públicos com dispositivos móveis particulares: servidores ou empregados da APF
que utilizam dispositivos móveis de computação de sua propriedade. Para fins desta Norma
Complementar, os dispositivos particulares que se submetem aos padrões corporativos de software
e controles de segurança, e que são incorporados à rede de dados do órgão, são considerados como
dispositivos corporativos.
3.3 Agente Responsável - Servidor Público ocupante de cargo efetivo ou militar de carreira de
órgão ou entidade da Administração Pública Federal, direta ou indireta, incumbido de chefiar e
gerenciar o uso de dispositivos móveis;
3.4 Ameaça - conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode
resultar em dano para um sistema ou organização;
3.5 Ativos de Informação - os meios de armazenamento, transmissão e processamento da
informação; os equipamentos necessários a isso; os sistemas utilizados para tal; os locais onde se
encontram esses meios, e também os recursos humanos que a eles têm acesso.
3.6 Autenticidade - propriedade de que a informação foi produzida, expedida, modificada ou
destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade.
3.7 Confidencialidade - propriedade de que a informação não esteja disponível ou revelada a
pessoa física, sistema, órgão ou entidade não autorizado e credenciado.
3.8 Disponibilidade - propriedade de que a informação esteja acessível e utilizável sob demanda
por uma pessoa física ou determinado sistema, órgão ou entidade.
3.9 Integridade - propriedade de que a informação não foi modificada ou destruída de maneira não
autorizada ou acidental;
205
3.10 Gestão de riscos de segurança da informação e comunicações - conjunto de processos que
permite identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os
riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais
e financeiros envolvidos;
3.11 Segurança da informação e comunicações - ações que objetivam viabilizar e assegurar a
disponibilidade, a integridade, a confidencialidade e a autenticidade das informações; e
3.12 Vulnerabilidade - conjunto de fatores internos ou causa potencial de um incidente indesejado,
que podem resultar em risco para um sistema ou organização, os quais podem ser evitados por uma
ação interna de segurança da informação.
3.13 Dispositivos móveis - consiste em equipamentos portáteis dotados de capacidade
computacional, e dispositivos removíveis de memória para armazenamento, entre os quais se
incluem, não se limitando a estes: notebooks, netbooks, smartphones, tablets, pendrives, USB
drives, HDs externos e cartões de memória.
3.14 Padrões Corporativos de sistemas e de controle: conjunto de regras e procedimentos que
compõem os normativos internos das corporações.
3.15 Usuários visitantes com dispositivos móveis: agentes públicos ou não que utilizam
dispositivos móveis de sua propriedade, ou do órgão ou entidade a que pertencem, dentro dos
ambientes físicos e virtuais de órgãos ou entidades da APF, dos quais não fazem parte.
4 PRINCÍPIOS E DIRETRIZES
4.1 As diretrizes gerais para o uso dos dispositivos móveis pela APF, devem considerar,
prioritariamente, os requisitos legais e a estrutura do órgão ou entidade, além de estarem alinhadas à
Política de Segurança da Informação e Comunicações do órgão ou entidade, a qual, deve
contemplar recomendações sobre o uso desses dispositivos.
5 ORIENTAÇÕES BÁSICAS
5.1 Dispositivos móveis
5.1.1 Para fins de utilização dos dispositivos móveis pela APF, esta norma complementar classifica
os usuários desses dispositivos em três grupos, conforme itens 3.1, 3.2 e 3.15.
5.1.2 Agentes públicos com dispositivos móveis corporativos
a) Os dispositivos móveis de computação fornecidos pelos órgãos e entidades da APF devem ser
cadastrados, garantindo sua identificação única, bem como a do usuário responsável pelo uso;
b) Os equipamentos devem ser utilizados única e exclusivamente por aqueles agentes que
assumiram a responsabilidade pelo seu uso;
c) Os agentes públicos não devem instalar aplicativos ou recursos não disponibilizados pelo setor
responsável sem permissão;
d) É necessária a implementação de mecanismos de autenticação, autorização e registro de acesso
do usuário, bem como do dispositivo às conexões de rede e recursos disponíveis;
206
e) É recomendada a adoção de mecanismos que garantam a proteção e sigilo dos dados
armazenados nos dispositivos em casos de extravio;
f) Os agentes públicos devem ser orientados a respeito dos procedimentos de segurança acerca dos
dispositivos que lhes forem disponibilizados, mediante a assinatura de Termo de Uso e
Responsabilidade do órgão ou entidade a que pertencem, não sendo admitida a alegação de seu
desconhecimento nos casos de uso indevido.
5.1.3 Agentes públicos com dispositivos móveis particulares
a) O agente público proprietário de dispositivo móvel particular, deve solicitar autorização ao
Gestor de Segurança da Informação e Comunicações ou Agente Responsável para tais atribuições, o
acesso aos recursos corporativos;
b) Cabe ao órgão ou entidade da APF definir a quais recursos ou dados corporativos o dispositivo
móvel particular terá acesso;
c) É necessária a implementação de mecanismos de autenticação, autorização e registro de acesso
do usuário, bem como do dispositivo às conexões de rede e recursos disponíveis;
d) É recomendada a adoção de mecanismos que garantam a proteção e sigilo dos dados corporativos
armazenados nos dispositivos móveis em casos de extravio;
e) Os agentes públicos devem ser orientados a respeito dos procedimentos de segurança acerca dos
dispositivos móveis e dos recursos que lhes forem disponibilizados, mediante a assinatura de Termo
de Uso e Responsabilidade do órgão ou entidade a que pertencem, não sendo admitida a alegação
de seu desconhecimento nos casos de uso indevido.
5.1.4 Usuários visitantes com dispositivos móveis
a) Devem ser estabelecidos procedimentos de controle e concessão de acesso a visitantes que
durante a permanência em instalações de órgãos e entidades da APF, necessitem conectar seus
dispositivos móveis à rede da entidade;
b) A concessão de uso deve estar vinculada à conscientização do usuário sobre as normas internas
de uso da rede, podendo o órgão ou entidade da APF estabelecer critérios próprios.
5.1.5 Dispositivos móveis removíveis de armazenamento
a) Informações classificadas somente podem ser armazenadas em dispositivos móveis removíveis
que possibilitem a aplicação de controles compatíveis com seu nível de classificação;
b) Os dispositivos móveis removíveis devem ser utilizados considerando-se soluções de segurança,
de acordo com a Política de Segurança da Informação e Comunicações, do órgão ou entidade da
APF.
5.1.6 Termo de Uso e Responsabilidade
Os órgãos e entidades da APF devem elaborar Termos de Uso e Responsabilidade a ser assinado
pelo agente público, quando da disponibilização para seu uso de dispositivos móveis.
207
5.2 Com relação à utilização de dispositivos móveis removíveis de armazenamento, não há
distinção entre grupos de usuários. As regras devem ser aplicadas a todos os agentes públicos
portadores de dispositivos móveis corporativos, particulares, bem como a usuários visitantes.
6 RESPONSABILIDADES
6.1 Compete à Alta Administração do órgão ou entidade da APF aprovar as diretrizes gerais do uso
dos Dispositivos Móveis, em conformidade com as orientações contidas nesta Norma
Complementar e na Política de Segurança da Informação e Comunicações, do órgão ou entidade.
6.2 O Gestor de Segurança da Informação e Comunicações, no âmbito de suas atribuições, é
responsável pela coordenação do uso dos Dispositivos Móveis nos órgãos ou entidades da APF,
bem como pela indicação de Agente Responsável pela gerência de tais atividades.
6.3 O agente público ao receber um dispositivo móvel torna-se responsável pelo mesmo, devendo
assinar o respectivo Termo de Uso e Responsabilidade.
7 VIGÊNCIA
Esta Norma Complementar entra em vigor na data de sua publicação.
208
PORTARIA Nº 9, DE 7 DE FEVEREIRO DE 2012 (*)
Homologa a Norma Complementar nº
13/IN01/DSIC/GSIPR.
O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANÇA
INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA, na condição de SECRETÁRIO
EXECUTIVO DO CONSELHO DE DEFESA NACIONAL, no uso da atribuição que lhe
confere o Art. 4º do Decreto nº 3.505, de 13 de junho de 2000, e o inciso IV do art. 1º do Anexo I
do Decreto nº 7.411, de 29 de dezembro de 2010, resolve:
Art. 1º Fica homologada a Norma Complementar nº 13/IN01/DSIC/GSIPR que
estabelece as Diretrizes para gestão de mudanças nos aspectos relativos à Segurança da Informação
e Comunicações (SIC), nos órgãos e entidades da Administração Pública Federal (APF), direta e
indireta, aprovada pelo Diretor do Departamento de Segurança da Informação e Comunicações, em
anexo.
Art. 2º Esta portaria entra em vigor na data de sua publicação.
JOSÉ ELITO CARVALHO SIQUEIRA
FONTE: Publicação DOU, de 10/02/2012.
(*) Republicada por ter saído com omissão do anexo no DOU, de 9 de fevereiro de 2012, Seção 1.
209
ANEXO
NÚMERO DA NORMA COMPLEMENTAR
13/IN01/DSIC/GSIPR
DIRETRIZES PARA GESTÃO DE MUDANÇAS
NOS ASPECTOS RELATIVOS À SEGURANÇA
DA INFORMAÇÃO E COMUNICAÇÕES NOS ÓRGÃOS
E ENTIDADES DA ADMINISTRAÇÃO PÚBLICA FEDERAL
ORIGEM
Departamento de Segurança da Informação e Comunicações
REFERÊNCIA LEGAL E NORMATIVA
Lei nº 10.683, de 28 de maio de 2003.
Decreto nº 7.411, de 29 de dezembro de 2010.
Decreto nº 3.505, de 13 de junho de 2000.
Instrução Normativa nº 01 do Gabinete de Segurança Institucional, de 13 de junho de 2008, e
respectivas Normas Complementares.
ABNT NBR ISO/IEC 27002:2005.
COBIT 4.1.
ITIL.
CAMPO DE APLICAÇÃO
Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.
SUMÁRIO
1. Objetivo
2. Considerações iniciais
3. Fundamento Legal da Norma Complementar
4. Conceitos e Definições
5. Responsabilidades e competências
6. Procedimentos
7. Diretrizes gerais
8. Vigência
INFORMAÇÕES ADICIONAIS
Não há
APROVAÇÃO
RAPHAEL MANDARINO JUNIOR
Diretor do Departamento de Segurança da Informação
e Comunicações
210
1 OBJETIVO
Estabelecer diretrizes para a Gestão de Mudanças nos aspectos relativos à Segurança da Informação
e Comunicações (SIC) nos órgãos e entidades da Administração Pública Federal, direta e indireta
(APF).
2 CONSIDERAÇÕES INICIAIS
2.1 Devido ao dinamismo da evolução das Tecnologias da Informação e Comunicações (TIC) nos
dias atuais faz-se necessário preparar e adaptar as organizações públicas para as mudanças
decorrentes deste avanço.
2.2 A Gestão de Mudanças nos aspectos relativos à segurança da informação e comunicações requer
especial atenção e comprometimento da Alta Direção para apoiar estratégias de superação dos
desafios das transformações a serem realizadas, visando minimizar possíveis resistências, e obter
mudanças eficientes e eficazes.
2.3 O processo decisório das mudanças deve ser balizado por ações que visem viabilizar e assegurar
a disponibilidade, integridade, confidencialidade e autenticidade da informação.
3 FUNDAMENTO LEGAL DA NORMA COMPLEMENTAR
Conforme disposto no inciso II do art. 3º da Instrução Normativa nº 01, de 13 de Junho de 2008, do
Gabinete de Segurança Institucional, compete ao Departamento de Segurança da Informação e
Comunicações - DSIC, estabelecer normas definindo os requisitos metodológicos para
implementação da Gestão de Segurança da Informação e Comunicações pelos órgãos e entidades da
Administração Pública Federal, direta e indireta.
4 CONCEITOS E DEFINIÇÕES
Para os efeitos desta Norma Complementar são estabelecidos os seguintes conceitos e definições:
4.1 Ativos de informação: os meios de armazenamento, transmissão e processamento, os sistemas
de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm
acesso.
4.2 Autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou
destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade.
4.3 Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a pessoa
física, sistema, órgão ou entidade não autorizado e credenciado.
4.4 Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por
uma pessoa física ou determinado sistema, órgão ou entidade.
4.5 Gestão de Continuidade: processo abrangente de gestão que identifica ameaças potenciais para
uma organização e os possíveis impactos nas operações de negócio, caso estas ameaças se
concretizem. Este processo fornece uma estrutura para que se desenvolva uma resiliência
organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das partes
interessadas, a reputação e a marca da organização, e suas atividades de valor agregado.
211
4.6 Gestão de mudanças nos aspectos relativos à SIC: é o processo de gerenciamento de
mudanças, de modo que ela transcorra com mínimos impactos no âmbito do órgão ou entidade da
APF, visando viabilizar e assegurar a disponibilidade, integridade, confidencialidade e
autenticidade da informação.
4.7 Gestão de Riscos de Segurança da Informação e Comunicações: conjunto de processos que
permite identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os
riscos a que estão sujeitos os seus ativos de informação, e equilibrálos com os custos operacionais e
financeiros envolvidos.
4.8 Gestor de Mudanças: é o responsável pelo processo de mudanças no âmbito do órgão ou
entidade da APF.
4.9 Gestor de Segurança da Informação e Comunicações: é o responsável pelas ações de
segurança da informação e comunicações no âmbito do órgão ou entidade da APF.
4.10 Integridade: propriedade de que a informação não foi modificada ou destruída de maneira não
autorizada ou acidental.
4.11 Mudança: transição ou alteração de uma situação atual.
5 RESPONSABILIDADES E COMPETÊNCIAS
5.1 O Gestor de Segurança da Informação e Comunicações (Gestor de SIC) é o responsável pelas
recomendações referentes às mudanças nos aspectos relativos à segurança da informação e
comunicações, assim como, em observar todas as demais recomendações constantes nesta Norma
Complementar. No processo de gerenciamento de mudanças, cabem-lhe as seguintes competências:
5.1.1 Avaliar os potenciais impactos à segurança da informação e comunicações que possam
ocorrer durante a implementação da mudança;
5.1.2 Recomendar a implementação ou não das mudanças propostas, indicando, sempre que
possível, soluções que mitiguem riscos à SIC;
5.1.3 Verificar se o andamento e o resultado da mudança viabilizam e asseguram a disponibilidade,
integridade, confidencialidade e autenticidade da informação; e
5.1.4 Capacitar em SIC as equipes envolvidas com os processos de mudanças.
5.2 O Gestor de Mudanças, no âmbito de suas atribuições, é o responsável pelo planejamento e
implementação das mudanças no âmbito do órgão ou entidade da APF, assim como, em observar
todas as recomendações constantes nesta Norma Complementar.
5.3 Compete ao Gestor de Mudanças, no que tange à SIC, envolver o Gestor de SIC no processo de
mudanças nos aspectos relativos à segurança da informação e comunicações, bem como envolver a
gestão de risco de SIC e a gestão de continuidade de negócios em SIC do órgão ou entidade da
APF.
212
6 PROCEDIMENTOS
6.1 Recomenda-se adotar uma metodologia de processo de gestão de mudanças que atenda, no
mínimo, ao objetivo e às diretrizes gerais definidos nesta Norma Complementar.
6.2 Recomenda-se que o processo de gestão de mudanças seja composto, no mínimo, pelas fases de
Descrição, Avaliação, Aprovação, Implementação e Verificação, de forma a viabilizar e assegurar a
disponibilidade, integridade, confidencialidade e autenticidade da informação, conforme detalhado
a seguir:
6.2.1 Descrição: nesta fase, deve-se realizar uma descrição detalhada da mudança, contendo
escopo, objetivo e benefícios de modo que, a partir dessa descrição, possa ser feita uma análise dos
impactos à segurança da informação e comunicações. O escopo de aplicação da mudança pode
abranger o órgão ou entidade como um todo, um segmento ou um ativo de informação.
6.2.2 Avaliação : nesta fase, são avaliados os potenciais impactos à segurança da informação e
comunicações que possam ocorrer durante a implementação da mudança. Nesta fase deverão ser
avaliados:
a) Os detalhes do procedimento de implementação da mudança;
b) A análise de risco do (s) ativo (s) de informação que serão afetados com a mudança;
c) As legislações e normas pertinentes;
d) A relação desta mudança com outras mudanças que possam estar ocorrendo simultaneamente;
e) O impacto de adiar ou de não se fazer a mudança.
6.2.3 Aprovação : nesta fase, formaliza-se a aprovação ou não das mudanças propostas com base
nas avaliações descritas no item 6.2.2.
6.2.4 Implementação: nesta fase, as mudanças aprovadas são agendadas e implementadas de
acordo com o procedimento aprovado no item 6.2.3.
6.2.5 Verificação : esta fase transcorre paralelamente à fase de Implementação, e nela é verificado
se o andamento e o resultado da mudança viabilizam e asseguram a disponibilidade, integridade,
confidencialidade e autenticidade da informação.
6.3 Orienta-se ao Gestor de Mudanças observar, ainda, se o processo de gestão de mudanças
contempla os seguintes procedimentos:
a) Identificação e registro de todas as etapas das mudanças;
b) Correta alocação dos recursos disponíveis;
c) Planejamento e testes das mudanças;
d) Comunicação dos detalhes das mudanças para todas as pessoas envolvidas; e
213
e) Procedimentos de recuperação de mudanças em caso de insucesso ou na ocorrência de eventos
inesperados.
7 DIRETRIZES GERAIS
Para que os resultados previstos sejam atingidos e da forma mais eficaz possível, são recomendadas
as seguintes ações no processo de gestão de mudanças nos aspectos relativos à SIC:
7.1 Levar sempre em consideração a natureza e finalidade do órgão ou entidade da APF, alinhando-
se à sua missão e ao planejamento estratégico.
7.2 Utilizar, sempre que possível, ferramentas e técnicas para gerenciar os vários aspectos
envolvidos em um processo de mudança.
7.3 Promover interação constante com a gestão de SIC, gestão de riscos de SIC e gestão de
continuidade de negócios em SIC.
7.4 Promover no órgão ou entidade da APF ampla divulgação das mudanças, visando a redução de
eventuais resistências e dificuldades de implementação das mesmas.
8 VIGÊNCIA
Esta Norma entra em vigor na data de sua publicação.
214
PORTARIA Nº 10, DE 7 DE FEVEREIRO DE 2012 (*)
Homologa a Norma Complementar nº
10/IN01/DSIC/GSIPR.
O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANÇA
INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA, na condição de SECRETÁRIO
EXECUTIVO DO CONSELHO DE DEFESA NACIONAL, no uso da atribuição que lhe
confere o Art. 4º do Decreto nº 3.505, de 13 de junho de 2000, e o inciso IV do art. 1º do Anexo I
do Decreto nº 7.411, de 29 de dezembro de 2010, resolve:
Art. 1º Fica homologada a Norma Complementar nº 10/IN01/DSIC/GSIPR que
estabelece as Diretrizes para o processo de Inventário e Mapeamento de Ativos de Informação nos
aspectos relativos à Segurança da Informação e Comunicações (SIC), nos órgãos e entidades da
Administração Pública Federal (APF), direta e indireta, aprovada pelo Diretor do Departamento de
Segurança da Informação e Comunicações, em anexo.
Art. 2º Esta portaria entra em vigor na data de sua publicação.
JOSÉ ELITO CARVALHO SIQUEIRA
FONTE: Publicação DOU, de 10/02/2012.
(*) Republicada por ter saído com omissão do anexo no DOU, de 9 de fevereiro de 2012, Seção 1.
215
ANEXO
NÚMERO DA NORMA COMPLEMENTAR
10/IN01/DSIC/GSIPR
Inventário e Mapeamento de Ativos de Informação nos
Aspectos Relativos à Segurança da Informação e Comunicações
nos órgãos e entidades da Administração Pública Federal
ORIGEM
Departamento de Segurança da Informação e Comunicações
REFERÊNCIA NORMATIVA E BIBLIOGRÁFICA
Instrução Normativa GSI Nº 01, de 13 de junho de 2008, e respectivas Normas
Complementares publicadas no DOU pelo DSIC/GSIPR
ABNT NBR ISO/IEC 27002: (17799:2005)
Decreto Nº. 4.553 de 27 de dezembro de 2002
Guia de Referência para a Segurança das Infraestruturas Críticas da Informação
(BRASIL/GSIPR, 2010)
CAMPO DE APLICAÇÃO
Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.
SUMÁRIO
1. Objetivo
2. Fundamento Legal da Norma Complementar
3. Conceitos e Definições
4. Princípios e Diretrizes
5. Procedimentos
6. Responsabilidades
7. Vigência
INFORMAÇÕES ADICIONAIS
Não há
APROVAÇÃO
RAPHAEL MANDARINO JUNIOR
Diretor do Departamento de Segurança da Informação e
Comunicações
216
1 OBJETIVO
Estabelecer diretrizes para o processo de Inventário e Mapeamento de Ativos de Informação, para
apoiar a Segurança da Informação e Comunicações (SIC), dos órgãos e entidades da Administração
Pública Federal, direta e indireta - APF.
2 FUNDAMENTO LEGAL DA NORMA COMPLEMENTAR
Conforme disposto no inciso II do art. 3º da Instrução Normativa nº 01, de 13 de Junho de 2008, do
Gabinete de Segurança Institucional, compete ao Departamento de Segurança da Informação e
Comunicações - DSIC, estabelecer normas definindo os requisitos metodológicos para
implementação da Gestão de Segurança da Informação e Comunicações pelos órgãos e entidades da
Administração Pública Federal, direta e indireta.
3 CONCEITOS E DEFINIÇÕES
Para os efeitos desta Norma Complementar, aplicam-se os seguintes termos e definições:
3.1 Agente Responsável - Servidor Público ocupante de cargo efetivo ou militar de carreira de
órgão ou entidade da Administração Pública Federal, direta ou indireta, incumbido de chefiar e
gerenciar o processo de Inventário e Mapeamento de Ativos de Informação;
3.2 Ameaça - conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode
resultar em dano para um sistema ou organização;
3.3 Ativos de Informação - os meios de armazenamento, transmissão e processamento da
informação; os equipamentos necessários a isso; os sistemas utilizados para tal; os locais onde se
encontram esses meios, e também os recursos humanos que a eles têm acesso.
3.4 Autenticidade - propriedade de que a informação foi produzida, expedida, modificada ou
destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;
3.5 Confidencialidade - propriedade de que a informação não esteja disponível ou revelada a
pessoa física, sistema, órgão ou entidade não autorizado e credenciado;
3.6 Contêineres dos Ativos de Informação - o contêiner é o local onde "vive" o ativo de
informação, onde está armazenado, como é transportado ou processado.
3.7 Continuidade de Negócios - capacidade estratégica e tática de um órgão ou entidade de se
planejar e responder a incidentes e interrupções de negócios, minimizando seus impactos e
recuperando perdas de ativos da informação das atividades críticas, de forma a manter suas
operações em um nível aceitável, previamente definido;
3.8 Custodiante do ativo de informação - refere-se a qualquer indivíduo ou estrutura do órgão ou
entidade da APF que tenha a responsabilidade formal de proteger um ou mais ativos de informação,
como é armazenado, transportado e processado, ou seja, é o responsável pelos contêineres dos
ativos de informação. Consequentemente, o custodiante do ativo de informação é responsável por
aplicar os níveis de controles de segurança em conformidade com as exigências de segurança da
informação e comunicações comunicadas pelos proprietários dos ativos de informação;
217
3.9 Disponibilidade - propriedade de que a informação esteja acessível e utilizável sob demanda
por uma pessoa física ou determinado sistema, órgão ou entidade;
3.10 Estratégia de Continuidade de Negócios - abordagem de um órgão ou entidade que garante a
recuperação dos ativos de informação e a continuidade das atividades críticas ao se defrontar com
um desastre, uma interrupção ou outro incidente maior;
3.11 Gestão de riscos de segurança da informação e comunicações - conjunto de processos que
permite identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os
riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais
e financeiros envolvidos;
3.12 Identificação e Classificação de Ativos de Informação - é um processo composto por 6
(seis) etapas: (a) coletar informações gerais; (b) definir as informações dos ativos; (c) identificar
o(s) responsável(is); (d) identificar os contêineres dos ativos; (e) definir os requisitos de segurança;
e (f) estabelecer o valor do ativo de informação;
3.13 Infraestrutura Crítica da Informação - são os meios de armazenamento, transmissão e
processamento, sistemas de informação, bem como os locais onde se encontram esses meios e as
pessoas que a eles têm acesso, que afetam diretamente a consecução e a continuidade da missão do
Estado e a segurança da sociedade;
3.14 Integridade - propriedade de que a informação não foi modificada ou destruída de maneira
não autorizada ou acidental;
3.15 Inventário e Mapeamento de Ativos de Informação - é um processo interativo e evolutivo,
composto por 3 (três) etapas: (a) identificação e classificação de ativos de informação, (b)
identificação de potenciais ameaças e vulnerabilidades e (c) avaliação de riscos.
3.16 Proprietário do ativo de informação - refere-se a parte interessada do órgão ou entidade da
APF, indivíduo legalmente instituído por sua posição e/ou cargo, o qual é responsável primário pela
viabilidade e sobrevivência dos ativos de informação, assumindo, no mínimo, as seguintes
atividades: a) descrever o ativo de informação; b) definir as exigências de segurança da informação
e comunicações do ativo de informação; c) comunicar as exigências de segurança da informação e
comunicações do ativo de informação a todos os custodiantes e usuários; d) buscar assegurar-se de
que as exigências de segurança da informação e comunicações estejam cumpridas por meio de
monitoramento; e, e) indicar os riscos que podem afetar os ativos de informação;
3.17 Riscos de segurança da informação e comunicações – potencial associado à exploração de
uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por
parte de uma ou mais ameaças, com impacto negativo no negócio da organização;
3.18 Segurança da informação e comunicações - ações que objetivam viabilizar e assegurar a
disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;
3.19 Valor do Ativo de Informação - valor, tangível e intangível, que reflete tanto a importância
do ativo de informação para o alcance dos objetivos estratégicos de um órgão ou entidade da APF,
quanto o quão cada ativo de informação é imprescindível aos interesses da sociedade e do Estado.
3.18 Vulnerabilidade - conjunto de fatores internos ou causa potencial de um incidente indesejado,
que podem resultar em risco para um sistema ou organização, os quais podem ser evitados por uma
ação interna de segurança da informação.
218
4 PRINCÍPIOS E DIRETRIZES
4.1 As diretrizes gerais do processo de Inventário e Mapeamento de Ativos de Informação devem
considerar, prioritariamente, os objetivos estratégicos, os processos, os requisitos legais, e a
estrutura do órgão ou entidade da APF, além do que devem estar alinhadas à Instrução Normativa
GSIPR 01/2008, bem como à Política de Segurança da Informação e Comunicações do órgão ou
entidade.
4.1.1 Tais diretrizes devem, também, subsidiar propostas de novos investimentos na área de
segurança da Informação e Comunicações;
4.2 O processo de Inventário e Mapeamento de Ativos de Informação objetiva a Segurança das
Infraestruturas Críticas de Informação do órgão ou entidade da APF, e deve ser aplicado tanto na
Gestão de Riscos de Segurança da Informação e Comunicações, quanto na Estratégia de Gestão de
Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações;
4.3 O processo de Inventário e Mapeamento de Ativos de Informação deve subsidiar o órgão ou
entidade da APF a conhecer, valorizar, proteger e manter seus ativos de informação, em
conformidade com os requisitos legais e do negócio;
4.4 O processo de Inventário e Mapeamento de Ativos de Informação tem como objetivo prover o
órgão ou entidade da APF: de um entendimento comum, consistente e inequívoco de seus ativos de
informação; da identificação clara de seu(s) responsável(eis) - proprietário(s) e custodiante(s); de
um conjunto completo de informações básicas sobre os requisitos de segurança da informação e
comunicações de cada ativo de informação; de uma descrição do contêiner de cada ativo de
informação; e da identificação do valor que o ativo de informação representa para o negócio do
órgão ou entidade da APF;
4.5 O processo de Inventário e Mapeamento de Ativos de Informação deve produzir subsídios tanto
para a Gestão de Segurança da Informação e Comunicações, a Gestão de Riscos de Segurança da
Informação e Comunicações, e a Gestão de Continuidade de Negócios, nos aspectos relacionados à
Segurança da Informação e Comunicações, da APF, quanto para os procedimentos de avaliação da
conformidade, de melhorias contínuas, auditoria e, principalmente, de estruturação e geração de
base de dados sobre os ativos de informação;
4.6 O processo de Inventário e Mapeamento de Ativos de Informação, deve ser dinâmico, periódico,
e estruturado, para manter a Base de Dados de Ativos de Informação atualizada e
conseqüentemente, prover informações para o desenvolvimento de ações e planos de
aperfeiçoamento de práticas de Gestão da Segurança da Informação e Comunicações. Tal Base de
Dados, deve operar como infraestrutura material e técnica em condições de dar suporte às ações de
cooperação entre entes federativos que têm sob as suas governança ativos de informação.
5 PROCEDIMENTOS
Apresenta-se uma abordagem sistemática do processo de Inventário e Mapeamento de Ativos de
Informação, o qual é composto por 3 (três) sub-processos (1) identificação e classificação de ativos
de informação, (2) identificação de potenciais ameaças e vulnerabilidades e (3) avaliação de riscos.
O sub-processo 1 é apresentado a seguir, e os sub-processos 2 e 3 são objetos tratados na Norma
Complementar Nº 04 DSIC/GSIPR, e no Guia de Referência para a Segurança das Infraestruturas
Críticas da Informação (Brasil/GSIPR, 2010).
219
O sub-processo de Identificação e Classificação de Ativos de Informação caracteriza-se por 6 (seis)
etapas: (1) coleta de informações gerais dos ativos de informação; (2) detalhamento dos ativos de
informação; (3) identificação do(s) responsável(is) - proprietário(s) e custodiante(s) de cada ativo de
informação; (4) caracterização dos contêineres dos ativos de informação; (5) definição dos
requisitos de segurança da informação e comunicações; e (6) estabelecimento do valor do ativo de
informação.
5.1 Coleta de informações gerais dos ativos de informação
Nesta etapa, deve-se definir como será a estratégia da coleta das informações gerais dos ativos de
informação, quem serão os responsáveis pela coleta, qual a previsão de conclusão dos trabalhos, e
qual a periodicidade de atualização. Esta análise inicial deve estar embasada nos objetivos
estratégicos e no negócio do órgão ou entidade da APF.
5.1.1 Recomenda-se definir o escopo da coleta, levantando no mínimo um conjunto essencial de
informações sobre cada ativo de informação. Esse escopo pode abranger o órgão ou entidade da
APF como um todo, um segmento, ou mesmo, um processo; e
5.1.2 Recomenda-se adotar metodologias de Gestão de Riscos de Segurança da Informação e
Comunicações e de Gestão de Continuidade de Negócios, nos aspectos relacionados à SIC, que
incorporem o processo de Inventário e Mapeamento de Ativos de Informação.
5.2 Detalhamento dos ativos de informação
Nesta fase, cabe observar que o nível de detalhe das informações dos ativos de informação, deve ser
definido pelo órgão ou entidade da APF, a partir da necessidade do negócio e dos objetivos
estratégicos dos mesmos, bem como com vistas a atender aos interesses da sociedade e do Estado.
Recomenda-se, portanto, que o detalhamento inicial dos ativos de informação, contemple no
mínimo um conjunto essencial de informações, e deva ser suficiente para:
5.2.1 determinar com clareza e objetividade o conteúdo do ativo de informação;
5.2.2 identificar o(s) responsável(is) - proprietário(s) e custodiante(s) - de cada ativo de informação;
5.2.3 identificar o valor de cada ativo de informação; e,
5.2.4 identificar os respectivos requisitos de segurança da informação e comunicações dos ativos de
informação.
Recomenda-se, que o detalhamento dos ativos de informação contemple também, e sempre que
possível, o levantamento das interfaces e das interdependências internas e externas dos ativos de
informação considerados críticos, dos órgãos ou entidades da APF, bem como os impactos quando
da indisponibilidade ou destruição de tais ativos de informação, seja no caso de incidentes ou de
desastres, visando atender os interesses da sociedade e do Estado.
5.3 Identificação do(s) responsável(is) - proprietário(s) e custodiante(s) - de cada ativo de
informação
5.3.1 O proprietário do ativo de informação refere-se à parte interessada do órgão ou entidade da
APF, indivíduo legalmente instituído por sua posição e/ou cargo, o qual é responsável primário pela
viabilidade e sobrevivência dos ativos de informação;
220
5.3.2 O proprietário do ativo de informação deve assumir, no mínimo, as seguintes atividades: 1)
descrever o ativo de informação; 2) definir as exigências de segurança da informação e
comunicações do ativo de informação; 3) comunicar as exigências de segurança da informação e
comunicações do ativo de informação a todos os custodiantes e usuários; 4) buscar assegurar-se de
que as exigências de segurança da informação e comunicações estejam cumpridas por meio de
monitoramento contínuo; e, 5) indicar os riscos de segurança da informação e comunicações que
podem afetar os ativos de informação;
5.3.3 O custodiante do ativo de informação deve proteger um ou mais ativos de informação do
órgão ou entidade da APF, como é armazenado, transportado e processado, de forma a assegurar a
disponibilidade, integridade, confidencialidade e autenticidade da informação. Ou seja, deve
proteger os contêineres dos ativos de informação, e, consequentemente, aplicar os níveis de
controles de segurança conforme as exigências de segurança da informação e comunicações,
comunicadas pelo(s) proprietário(s) do(s) ativo(s) de informação.
5.4 Caracterização dos contêineres dos ativos de informação
5.4.1 O contêiner é o local onde "vive" o ativo de informação, e assim, recomenda-se que o mesmo
seja caracterizado, no mínimo, com as seguintes informações: lista de todos os recipientes em que
um ativo da informação é armazenado, transportado ou processado, e respectiva indicação dos
responsáveis por manter estes recipientes;
5.4.2 Além disso, tanto definir os limites do ambiente que deve ser examinado para o risco, quanto
descrever os relacionamentos que devem ser compreendidos para atendimento das exigências de
segurança da informação e comunicações, caracterizam, também, o(s) contêiner(s) do(s) ativo(s) de
informação.
5.5 Definição dos requisitos de segurança da informação e comunicações dos ativos de
informação
5.5.1 Os requisitos de segurança da informação e comunicações dos ativos de informação devem ser
definidos por meio de critérios que atendam a disponibilidade, a integridade, a confidencialidade e a
autenticidade da informação.
5.5.2 Recomenda-se que os requisitos de segurança da informação e comunicações dos ativos de
informação sejam categorizados, no mínimo, em 5 categorias de controle: a) tratamento da
informação; b) controles de acesso físico e lógico; c) gestão de risco de segurança da informação e
comunicações; d) tratamento e respostas a incidentes em redes computacionais, e, f) gestão de
continuidade dos negócios nos aspectos relacionados à segurança da informação e comunicações.
5.6 Estabelecimento do valor do ativo de informação
5.6.1 Cabe ao(s) proprietário(s) dos ativos de informação indicar o valor do ativo para o negócio do
órgão ou entidade da APF, considerando fatores do(s) risco(s) os quais os ativos possam estar
expostos, como ameaça, vulnerabilidade e impacto;
5.6.2 O proprietário do ativo da informação deve indicar o valor do ativo, o qual deve refletir o
quão cada ativo de informação é importante para a que organização alcance seus objetivos
estratégicos, e o quão o ativo de informação é imprescindível aos interesses da sociedade e do
Estado.
221
6 RESPONSABILIDADES
6.1 Cabe à Alta Administração do órgão ou entidade da APF aprovar as diretrizes gerais e o
processo de Inventário e Monitoramento de Ativos de Informação observada, dentre outros, a
Política de Segurança da Informação e Comunicações e a Gestão de Riscos de Segurança da
Informação e Comunicações, do órgão ou entidade da APF, bem como a sua missão e os seus
objetivos estratégicos;
6.2 O Gestor de Segurança da Informação e Comunicações, no âmbito de suas atribuições, é
responsável pela coordenação do Inventário e Mapeamento de Ativos de Informação nos órgãos ou
entidades da APF, bem como pela indicação de Agente Responsável pela gerência de tais
atividades. É responsável, também, pela análise quanto aos resultados obtidos de controle dos níveis
de segurança da informação e comunicações de cada ativo de informação, e conseqüente,
proposição de ajustes e de medidas preventivas e próativas à Alta Direção; e
6.3 Cabe ao Agente Responsável, no mínimo, as seguintes atividades: o processo de identificação e
classificação de ativos de informação; o monitoramento dos níveis de segurança dos ativos de
informação junto aos proprietários e custodiantes dos ativos de informação; e, a elaboração
sistemática de relatórios para os Gestores de Segurança da Informação e Comunicações.
7 VIGÊNCIA
Esta Norma Complementar entra em vigor na data de sua publicação.
222
PORTARIA Nº 11, DE 7 DE FEVEREIRO DE 2012 (*)
Homologa a Norma Complementar nº
14/IN01/DSIC/GSIPR.
O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANÇA
INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA, na condição de SECRETÁRIO
EXECUTIVO DO CONSELHO DE DEFESA NACIONAL, no uso da atribuição que lhe
confere o Art. 4º do Decreto nº 3.505, de 13 de junho de 2000, e o inciso IV do art. 1º do Anexo I
do Decreto nº 7.411, de 29 de dezembro de 2010, resolve:
Art. 1º Fica homologada a Norma Complementar nº 14/IN01/DSIC/GSIPR que
estabelece as Diretrizes relacionadas à Segurança da Informação e Comunicações (SIC), para o uso
de Computação em Nuvem, nos órgãos e entidades da Administração Pública Federal (APF), direta
e indireta, aprovada pelo Diretor do Departamento de Segurança da Informação e Comunicações,
em anexo.
Art. 2º Esta portaria entra em vigor na data de sua publicação.
JOSÉ ELITO CARVALHO SIQUEIRA
FONTE: Publicação DOU, de 10/02/2012.
(*) Republicada por ter saído com omissão do anexo no DOU, de 9 de fevereiro de 2012, Seção 1.
223
ANEXO
NÚMERO DA NORMA COMPLEMENTAR
14/IN01/DSIC/GSIPR
DIRETRIZES RELACIONADAS À SEGURANÇA DA
INFORMAÇÃO E COMUNICAÇÕES PARA O USO DE
COMPUTAÇÃO EM NUVEM NOS ÓRGÃOS E ENTIDADES
DA ADMINISTRAÇÃO PÚBLICA FEDERAL
ORIGEM
Departamento de Segurança da Informação e Comunicações
REFERÊNCIA LEGAL, NORMATIVA E BIBLIOGRÁFICA
Decreto nº 3.505, de 13 de junho de 2000.
ABNT NBR ISO/IEC 27002:2005 - Código de Práticas para a Gestão da Segurança da Informação.
Instrução Normativa GSI Nº 1, de 13 de junho de 2008, e respectivas Normas Complementares.
The NIST Definition of Cloud Computing (Special Publication 800-145).
CSA - Security Guidance for Critical Areas of Focus in Cloud Computing V3.0.
Guia de Referência para a Segurança das Infraestruturas Críticas da Informação, versão 01 -
Nov./2010.
CAMPO DE APLICAÇÃO
Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.
SUMÁRIO
1. Objetivo
2. Considerações Iniciais
3. Fundamento Legal da Norma Complementar
4. Conceitos e Definições
5. Princípios e Diretrizes
6. Responsabilidades
7. Vigência
8. Anexo
INFORMAÇÕES ADICIONAIS
Não há
1 OBJETIVO
Estabelecer diretrizes para a utilização de tecnologias de Computação em Nuvem, nos
aspectos relacionados à Segurança da Informação e Comunicações (SIC), nos órgãos e entidades da
Administração Pública Federal (APF), direta e indireta.
2 CONSIDERAÇÕES INICIAIS
A Computação em Nuvem despontou com a grande promessa de reduzir os custos das
organizações em tecnologia da informação - seja pela simplificação dos ambientes, pela diminuição
dos encargos de administração das infraestruturas ou pela facilidade de alocação de recursos ou
serviços. Porém, o uso dessa tecnologia exige esforços e atenção por parte dos órgãos e entidades da
APF para que possam viabilizar e assegurar a SIC. Esse novo cenário está gerando lacunas e,
224
inevitavelmente, dúvidas a respeito de que medidas devem ser tomadas para que a nova tecnologia
seja melhor aproveitada para atender, com segurança, aos objetivos estratégicos institucionais.
3 FUNDAMENTO LEGAL DA NORMA COMPLEMENTAR
Conforme disposto no inciso II do art. 3º da Instrução Normativa nº 01, de 13 de Junho
de 2008, do Gabinete de Segurança Institucional, compete ao Departamento de Segurança da
Informação e Comunicações - DSIC, estabelecer normas definindo os requisitos metodológicos
para implementação da Gestão de Segurança da Informação e Comunicações pelos órgãos e
entidades da Administração Pública Federal, direta e indireta.
4 CONCEITOS E DEFINIÇÕES
Para os efeitos desta Norma Complementar são estabelecidos os seguintes conceitos e
definições:
4.1. Agente Responsável: servidor público ocupante de cargo efetivo ou militar de carreira de
órgão ou entidade da Administração Pública Federal, direta ou indireta, incumbido de implementar
procedimentos relativos ao uso seguro de tecnologias de computação em nuvem;
4.2. Ativos de Informação: os meios de armazenamento, transmissão e processamento, os sistemas
de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm
acesso;
4.3. Autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou
destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;
4.4. Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a
pessoa física, sistema, órgão ou entidade não autorizado e credenciado;
4.5. Computação em Nuvem: modelo computacional que permite acesso por demanda, e
independente da localização, a um conjunto compartilhado de recursos configuráveis de
computação (rede de computadores, servidores, armazenamento, aplicativos e serviços),
provisionados com esforços mínimos de gestão ou interação com o provedor de serviços;
4.6. Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda
por uma pessoa física ou determinado sistema, órgão ou entidade;
4.7. Gestão de Segurança da Informação e Comunicações: ações e métodos que visam à
integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de
incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética,
segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos
institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à tecnologia da
informação e comunicações;
4.8. Integridade: propriedade de que a informação não foi modificada ou destruída de maneira não
autorizada ou acidental;
4.9. Modelo de Serviço: são modelos de serviço da computação em nuvem, em geral: Software em
Nuvem como um Serviço (Software as a Service - SaaS); em Nuvem como um Serviço (Plataform
as a Service - PaaS); e Infraestrutura em Nuvem como um Serviço (Infrastructure as a Service -
IaaS);
225
4.10. Modelo de Implementação: são os modelos de implementação da computação em nuvem em
geral: Nuvem Própria, Nuvem Comunitária, Nuvem Pública e Nuvem Híbrida;
4.11. Política de Segurança da Informação e Comunicações (POSIC): documento aprovado pela
autoridade responsável do órgão ou entidade da APF, com o objetivo de fornecer diretrizes, critérios
e suporte administrativo suficientes à implementação da segurança da informação e comunicações;
4.12. Segurança da Informação e Comunicações (SIC): ações que objetivam viabilizar e
assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação;
4.13. Valor do Ativo de Informação: valor, tangível e intangível, que reflete tanto a importância
do ativo de informação para o alcance dos objetivos estratégicos de um órgão ou entidade da APF,
quanto o quão cada ativo de informação é imprescindível aos interesses da sociedade e do Estado.
5 PRINCÍPIOS E DIRETRIZES
5.1. O órgão ou entidade da APF deve observar, no mínimo, antes de adotar a tecnologia de
computação em nuvem:
5.1.1. As diretrizes estabelecidas em sua POSIC;
5.1.2. As diretrizes do processo de Gestão de Riscos de SIC a respeito da adoção dos modelos de
serviço e implementação de computação em nuvem;
5.1.3. As diretrizes do processo de Gestão de Continuidade de Negócios nos aspectos relacionados à
SIC;
5.2. Ao contratar ou implementar um serviço de computação em nuvem, o órgão ou entidade da
APF deve garantir que:
5.2.1. O ambiente de computação em nuvem, sua infraestrutura e canal de comunicação estejam
aderentes às diretrizes e normas de SIC, estabelecidas pelo GSIPR, e às legislações vigentes;
5.2.2. A legislação brasileira prevaleça sobre qualquer outra, de modo a ter todas as garantias legais
enquanto tomadora do serviço e proprietária das informações hospedadas na nuvem;
5.2.3. O contrato de prestação de serviço, quando for o caso, deve conter cláusulas que garantam a
disponibilidade, a integridade, a confidencialidade e a autenticidade das informações hospedadas na
nuvem, em especial aquelas sob custódia e gerenciamento do prestador de serviço;
5.3. Os órgãos ou entidades da APF devem avaliar quais informações serão hospedadas na nuvem,
considerando:
5.3.1. O processo de Classificação da Informação de acordo com a legislação vigente;
5.3.2. O valor do ativo de informação;
5.3.3. Os Controles de Acesso, físicos e lógicos, relativos à SIC;
5.3.4. O modelo de serviço e de implementação de computação em nuvem a serem adotados;
226
5.3.5. A localização geográfica onde as informações estarão fisicamente armazenadas.
6 RESPONSABILIDADES
6.1. Cabe à Alta Administração dos órgãos ou entidades da APF, no âmbito de suas competências,
assegurar a utilização de tecnologias de computação em nuvem em conformidade com as
orientações contidas nesta norma;
6.2. Ao Gestor de SIC, no âmbito de suas atribuições, cabe propor ações de SIC para a
implementação ou a contração, nos órgãos ou entidades da APF, de tecnologias de computação em
nuvem em conformidade com as orientações contidas nesta Norma Complementar;
6.3. De acordo com as necessidades de cada órgão ou entidade da APF, podem ser indicados
agentes responsáveis pela implementação dos procedimentos relativos ao uso seguro de tecnologias
de computação em nuvem em conformidade com as orientações contidas nesta Norma
Complementar.
7 VIGÊNCIA
Esta Norma Complementar entra em vigor na data de sua publicação.
8 ANEXO
O modelo de computação em nuvem possui cinco características essenciais, três
modelos de serviço e quatro modelos de implementação:
1 CARACTERÍSTICAS ESSENCIAIS
1.1. Autosserviço por demanda: os clientes podem provisionar, conforme suas necessidades,
capacidades computacionais - como servidores e espaço de armazenamento de dados - de maneira
automática, sem solicitar diretamente ao provedor de serviços;
1.2. Amplo acesso à rede: os recursos computacionais estão disponíveis através da rede e podem
ser acessados através de mecanismos padrão, que possibilitam uso de plataformas heterogêneas;
1.3. Agrupamento de recursos: os recursos de computação dos provedores de serviço estão
organizados em um modelo de negócio com multi-arrendatários, com diversos recursos físicos e
virtuais, que podem ser dinamicamente configurados pelos clientes conforme suas demandas;
1.4. Elasticidade: os recursos podem ser provisionados de maneira rápida, ou até mesmo
automaticamente, para se ajustar à demanda necessária. Para os clientes de computação em nuvem,
as capacidades dos recursos parecem ser ilimitadas;
1.5. Medição de Serviços: os sistemas de nuvem gerenciam os recursos por meio de medições num
certo nível de abstração apropriado para o tipo de serviço, como por exemplo: espaço de
armazenamento, processamento, largura de banda utilizada e contas de usuários ativos. Relatórios
sobre o uso de recursos podem ser utilizados pelas partes de modo a trazer transparência na
prestação do serviço.
227
2 MODELOS DE SERVIÇOS
2.1. Software em Nuvem como um Serviço (Software as a Service - SaaS): nesta modalidade, o
cliente tem a possibilidade de utilizar aplicações do provedor de serviços na infraestrutura da
nuvem, que são acessíveis de vários equipamentos por meio de uma interface leve, como um
navegador. Essencialmente, trata-se de uma forma de trabalho cuja aplicação é oferecida como
serviço, eliminando-se a necessidade de se adquirir licenças de uso ou infraestutura para utilizá-la.
O cliente de computação em nuvem gerencia apenas as configurações dos aplicativos, específicas
do usuário;
2.2. Plataforma em Nuvem como um Serviço (Plataform as a Service - PaaS): nesta modalidade,
o cliente tem a possibilidade de ter sua capacidade computacional atendida por uma infraestrutura
customizada na nuvem, possibilitando o uso de aplicações adquiridas ou desenvolvidas utilizando-
se de ferramentas, bibliotecas, serviços ou linguagens de programação suportadas pelo provedor de
serviço. O cliente tem ingerência sobre os aplicativos implementados e hospedados na nuvem, e
sobre as configurações do ambiente;
2.3. Infraestrutura em Nuvem como um Serviço (Infrastructure as a Service - IaaS): esta
modalidade assemelha-se ao conceito de Plataforma em Nuvem como um Serviço, mas a
diferença está na oferta da infraestrutura do hardware - processamento, armazenamento,
comunicação -, seja físico ou virtual, do provedor de serviço. O cliente tem liberdade para
implementar e executar arbitrariamente suas aplicações, o que inclui o sistema operacional e seus
recursos.
3 MODELOS DE IMPLEMENTAÇÃO
3.1. Nuvem Própria: a infraestrutura da nuvem pertence apenas a uma organização e suas
subsidiárias;
3.2. Nuvem Comunitária: a infraestrutura da nuvem é compartilhada entre diversas organizações
que possuem necessidades comuns (missão, valores, requisitos de segurança, políticas, requisitos
legais);
3.3. Nuvem Pública: a infraestrutura da nuvem está disponível para a sociedade ou para um grupo
de organizações e é administrada por um provedor os serviços;
3.4. Nuvem Híbrida: é a composição de dois ou mais modelos de nuvem interligados por padrões
ou tecnologias proprietárias que proporcionam a interoperabilidade entre elas, possibilitando a
portabilidade de aplicações e dados.
228
PORTARIA Nº 25, DE 15 DE MAIO DE 2012
O DIRETOR PRESIDENTE DO INSTITUTO NACIONAL DE
TECNOLOGIA DA INFORMAÇÃO, AUTARQUIA VINCULADA À CASA CIVIL
DA PRESIDÊNCIA DA REPÚBLICA , no uso de suas atribuições, tendo em vista o
disposto no art. 24 da Lei nº 12.527, de 18 novembro de 2011,
Considerando que é dever dos órgãos e entidades do poder público assegurar
a gestão transparente da informação, propiciando amplo acesso a ela e sua divulgação;
Considerando que o direito fundamental de acesso à informação deve ser
executado em conformidade com os princípios básicos da administração;
Considerando que é dever do Estado controlar o acesso e a divulgação de
informações sigilosas produzidas por seus órgãos e entidades, assegurando a sua
proteção;
Resolve classificar as informações contidas nesta Portaria, observado o seu
teor e em razão de sua imprescindibilidade à segurança da sociedade ou do Estado, nos
seguintes termos:
Art. 1º Classificar como secretos os documentos e lencados no Anexo 1 desta
Portaria.
Art. 2º Esta Portaria entra em vigor na data de sua publicação.
RENATO DA SILVEIRA MARTINI
ANEXO 1
Documentos Secretos
Papéis de Trabalho/Auditoria; Relatórios/Auditoria; Conceitos de
Risco/Auditoria; Pareceres/Auditoria; Relação das pessoas que serão detentores
partições de recursos criptográficos da AC, com respectivos termos de designação para
a função; Relação das necessidades de acesso físico e lógico para cada cargo; Relação
de pessoas que possuem acesso às chaves ou componentes de chaves criptográficas da
AC com sua respectiva designação formal e atribuição de responsabilidades; Relação
do pessoal contratado para a AC/cargo desempenhado e a respectiva documentação;
Termos de Designação de Gestor ou Responsável pelos Ativos da AC (ativos de
informação e de processamento); Termos de Responsabilidade sobre a segurança física
da AC; Termos de responsabilidade contendo descrição dos recursos que os
funcionários e detentores de chaves ou componentes de chaves c riptográficas deverão
devolver à AC no ato de seu desligamento; Inventário dos ativos de processamento da
AC e da AR contendo nº do patrimônio, localização física, atividade a ser
desenvolvida e agente responsável pela utilização; Inventário de cartões/cha ves de
acesso às dependências e recursos da AC (em uso ou no cofre); Relação das pessoas
autorizadas a ter acesso aos componentes da Infraestrutura da AC (painéis de controle
de energia, comunicações, cabeamento etc.); Documentação dos sistemas e
dispositivos redundantes que estão disponíveis para garantir a continuidade da
operação dos serviços críticos (elétrico, geradores, nobreak, ar condicionado etc.);
Documentação dos sistemas que provêm segurança física (alarmes, monitoramento por
câmaras de vídeo, proteção contra incêndio e detecção de fumaça, sistemas de controle
de acesso físico); Documentação dos Equipamentos de Emergência; Planta baixa da
área construída; Topologia das redes de cabos lógicos e elétricos; Documentação
229
técnica da construção de segurança de nível 1, 2, 3, 4, 5 e 6; Relação dos
procedimentos e ferramentas usados para controle do envio de equipamentos para
manutenção e para controle de entrada e saída de indivíduos em ambiente de nível 3 e
4; Relação dos usuários cadastrados para acesso ao sistema operacional (/etc/passwd);
Relação dos recursos da AC que possuem controle de acesso lógico e relação dos
procedimentos e ferramentas usados para esse controle; Relação dos funcionários que
possuem acesso lógico aos recursos da AC relacionados no item anterior; Relação dos
procedimentos e ferramentas que serão usados para detectar e responder a violações de
segurança; Sistemas e arquivos da AC sujeitos a backup; Relação dos procedimentos e
ferramentas usados para realização de backup dos sistem as e arquivos relacionados no
item anterior, e dos controles estabelecidos para guarda das mídias geradas; Relação
dos sistemas da AC do qual serão extraídos logs, respectiva periodicidade de extração
e forma de guarda dos arquivos gerados; Planilha relacionando os eventos de guarda
obrigatórios, definidos no item 4.5.1 da DPC, e os arquivos de log citados no item
anterio; Formato dos arquivos de log e descrição dos campos relevantes;
Procedimentos previstos para análise dos logs (relatórios ou planilhas el aborados pelo
responsável pela atividade) e das ações tomadas em decorrência, no caso de
constatação de irregularidades; Relação dos softwares autorizados a estarem instalados
nos servidores, estações de trabalho, notebooks e demais equipamentos da AC, com a
respectiva versão; Documentação evidenciando que a versão dos softwares utilizados
está de acordo com a recomendações dos fabricante; Procedimentos previstos para
realização de auditorias internas nos equipamentos e/ou outras providências adotadas
para evitar a utilização de softwares não autorizados nos equipamentos da AC
relacionados no Inventário de Ativos; Procedimentos previstos para registrar as
mudanças de configuração nos sistemas (aplicação de patches, instalação de novas
versões, alteração de parâmetros do sistema, etc.); Relação dos arquivos/diretórios dos
servidores da AC cuja integridade seja verificada periodicamente; Relação dos
procedimentos e ferramentas que serão usados para verificação periódica de
integridade dos arquivos/diretórios relacionados no item anterior; Diagrama
topológico atualizado da rede interna e das ligações com redes externas, evidenciando
também, caso existam, pontos de conexão para acesso remoto; Relação dos
equipamentos, procedimentos e ferramentas usados para prover segurança à rede da
AC; Política de segurança aplicada nos equipamentos e ferramentas listados no item
anterior (política de senhas, login local/remoto e outros parâmetros de segurança);
Relação dos procedimentos e ferramentas que serão usados para public ação da LCR da
AC na periodicidade adequada; Análise de Risco com documentação que comprove a
participação/conhecimento da alta administração; Plano de Continuidade de Negócios;
Plano de Extinção; Procedimentos e scripts de instalação usados para criação d a AC;
Relação dos procedimentos e ferramentas que serão utilizados para geração, guarda,
manuseio e destruição da chave da AC; Manuais contendo procedimentos executados
na AC; Documentação técnica dos seguintes sistemas e equipamentos; Documentos
gerados pela entidade auditada em tempo de auditoria; Transações (Logs); Sistema
(Logs); Segurança (Logs); Imagens de Vídeo (CFTV); Registros de Entrada e Saída de
Controle de Acesso; Registro de Alarmes e Eventos Diversas; Registros Telefônicos;
Análise de Risco; Avaliação de Risco; Manual de Segurança Patrimonial; Manual de
Administração da Autoridade Certificadora; Manual de Administração da Segurança;
Manual de Administração do Sistema de Gestão de Certificados (SGC); Manual de
Administração de Banco de Dados; Plano de Continuidade de Negócios; Plano de
Recuperação de Desastre; Plano de Contingência; Plano de Ação de Resposta a
Incidente; Plano de Gerência de Configuração e Mudança; Termo de Admissão; Termo
de Desligamento; Termos de Responsabilidade de detentore s de CIK; Plano de
Treinamento; Manual de Auditoria Interna; Scripts/roteiros de operação; Diagramas da
230
Rede de Computadores; Diagramas da Rede elétrica; Configuração de Equipamento;
Especificação Técnica de Hardware; Especificação Técnica de Sistema; Espe cificação
Técnica da Infraestrutura; Configuração de Sistema Controle de Acesso; Chave
Privada de Autoridade Certifica Raiz (AC-Raiz); Senha de Operação /Administração
de Equipamentos (Hardware); Senha de Operação /Administração do Sistema e Gestão
de Certificados (SCG); Senha de Operação /Administração de Sistemas (Software);
Senha de Operação /Administração do Sistema de extinção de Incêndio; Senha de
Operação /Administração do Sistema de Intrusão; Senha de Operação /Administração
do Circuito Fechado de TV; Senha de Operação /Administração do Controle Acesso
Físico; Habilitação Jurídica; Laudo de Conformidade; Relatório de Análise
Quantitativa e Qualitativa; Ensaios de Conformidade; Código - Fonte de Sistemas;
Listas de Tarefas dos Vigilantes -Recepção; Livro de Registro de Destruição de
Mídias e Documentos; Livro de Registro de Manutenção de Hardware; Livro de
Registro de Presença - CCD - ITI; Livro de Registro de Termos de Cartão de Acesso -
CCD; Livro de Registro de Termos de Entrada de Material; Livro de Registro de
Termos de Saída de Material; Manual de Administração do Banco de Dados; Manual
de Uso das Estações de Trabalho; Manual dos Administradores - CCD; Manual dos
Vigilantes - CCD; Planilha de Controle de Cartões de Acesso do CCD; Planilha de
Controle de Cds-Bakcup CFTV-CCD; Planilha de Controle de Chaves Mecânicas;
Listas de Tarefas dos Vigilantes -Recepção; Livro de Registro de Destruição de
Mídias e Documentos; Livro de Registro de Manutenção de Hardware; Sistemas
(Logs); Servidores (Logs); Imagens de Vídeo (CFTV); Registro de Incidentes de
Segurança; Registros Telefônicos; Base de dados de ferramentas de monitoramento
(redes, sistemas, servidores); Documentação da topologia/arquitetura da rede;
Arquivos de configuração de Firewall; Arquivos de conf iguração de Servidores;
Arquivos de configuração de Switches; Diagramas da Rede Dados; Diagrama de
CFTV; Diagramas da Rede elétrica; Dados de Fitas de Backup; E -mails Institucionais(
Serviço de Correio Eletrônico); Arquivos do serviço de armazenamento de d ados
corporativos (Sistema de Aquivos Dados-ITI); Senha de Operação /Administração de
Equipamentos (Hardware); Senha de Operação /Administração de Sistemas e
Servidores (Software);Senha de Operação /Administração do Circuito Fechado de TV.
FONTE : Publicação DOU, de 16/05/2012.
231
PORTARIA Nº 38, DE 11 DE JUNHO DE 2012
Homologa a Norma Complementar nº 15/IN01/DSIC/GSIPR.
O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANÇA
INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA, na condição de SECRETÁRIO-
EXECUTIVO DO CONSELHO DE DEFESA NACIONAL, no uso da atribuição que lhe
confere o Art. 4º do Decreto nº 3.505, de 13 de junho de 2000, e o inciso IV do art. 1º do Anexo I
do Decreto nº 7.411, de 29 de dezembro de 2010,
RESOLVE:
Art. 1º Fica homologada a Norma Complementar nº 15/IN01/DSIC/GSIPR que
estabelece as Diretrizes para o uso seguro das redes sociais na Administração Pública Federal
(APF), aprovada pelo Diretor do Departamento de Segurança da Informação e Comunicações, em
anexo.
Art. 2º Esta portaria entra em vigor na data de sua publicação.
JOSÉ ELITO CARVALHO SIQUEIRA
232
ANEXO
Norma Complementar nº 15/IN01/DSIC/GSIPR.
1 OBJETIVO
Estabelecer diretrizes de Segurança da Informação e Comunicações para o uso das redes
sociais, nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta.
2 CONSIDERAÇÕES INICIAIS
2.1 O fenômeno das redes sociais é uma realidade mundial. No Brasil, o seu uso vem
crescendo exponencialmente, inclusive nos órgãos e entidades da APF, como uma ferramenta para
aproximarem-se ainda mais do cidadão brasileiro e prestar atendimento e serviços públicos de
forma mais ágil e transparente, em consonância com os princípios constitucionais da legalidade,
impessoalidade, moralidade, publicidade e eficiência.
2.2 Essa nova realidade de interação e comunicação entre as pessoas, empresas, órgãos
e entidades públicas e privadas, quando não utilizada com critérios bem definidos pode trazer riscos
à Segurança da Informação e Comunicações (SIC), comprometendo a disponibilidade, integridade,
confidencialidade e autenticidade dos ativos de informação da APF.
2.3 Assim, urge a necessidade de o Estado brasileiro construir parâmetros de segurança
que orientem a conduta dos órgãos e entidades da APF no uso das redes sociais, respeitada a
legislação vigente e a respectiva Políticas de Segurança da Informação e Comunicações (POSIC) de
cada órgão e entidade.
3 FUNDAMENTO LEGAL DA NORMA COMPLEMENTAR
Conforme disposto no inciso II do art. 3° da Instrução Normativa n° 01, de 13 de junho
de 2008, do Gabinete de Segurança Institucional da Presidência da República (GSIPR), compete ao
Departamento de Segurança da Informação e Comunicações (DSIC), estabelecer normas definindo
os requisitos metodológicos para implementação da Gestão de Segurança da Informação e
Comunicações pelos órgãos e entidades da Administração Pública Federal.
4 CONCEITOS E DEFINIÇÕES
Para os efeitos desta Norma Complementar, aplicam-se os seguintes termos e
definições:
4.1 Administrador de Perfil Institucional: agentes públicos que detenham autorização
do responsável pela área interessada para administrar perfis institucionais de um órgão ou entidade
da APF nas redes sociais.
4.2 Agente Responsável: servidor público ocupante de cargo efetivo ou militar de
carreira de órgão ou entidade da Administração Pública Federal, direta ou indireta, incumbido da
gestão do uso seguro das redes sociais.
4.3 Ativos de informação: os meios de armazenamento, transmissão e processamento,
os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a
eles têm acesso.
233
4.4 Autenticidade: propriedade de que a informação foi produzida, expedida,
modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão
ou entidade.
4.5 Comitê de Segurança da Informação e Comunicações: grupo de pessoas com a
responsabilidade de assessorar a implementação das ações de segurança da informação e
comunicações no âmbito do órgão ou entidade da APF.
4.6 Confidencialidade: propriedade de que a informação não esteja disponível ou
revelada a pessoa física, sistema, órgão ou entidade não autorizado e credenciado.
4.7 Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob
demanda por uma pessoa física ou determinado sistema, órgão ou entidade.
4.8 Gestor de Segurança da Informação e Comunicações: responsável pelas ações de
segurança da informação e comunicações no âmbito do órgão ou entidade da APF.
4.9 Integridade: propriedade de que a informação não foi modificada ou destruída de
maneira não autorizada ou acidental.
4.10 Perfil institucional: cadastro de órgão ou entidade da APF como usuário em redes
sociais, alinhado ao planejamento estratégico e à Política de Segurança da Informação e
Comunicações (POSIC) da instituição, com observância de sua correlata atribuição e competência.
4.11 Política de Segurança da Informação e Comunicações (POSIC): documento
aprovado pela autoridade responsável do órgão ou entidade da APF, com o objetivo de fornecer
diretrizes, critérios e suporte administrativo à implementação da segurança da informação e
comunicações.
4.12 Redes sociais: estruturas sociais digitais compostas por pessoas ou organizações
conectadas por um ou vários tipos de relações, que partilham valores e objetivos comuns.
4.13 Segurança da Informação e Comunicações: ações que objetivam viabilizar e
assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações.
4.14 Termo de Responsabilidade: termo assinado pelo usuário concordando em
contribuir com a disponibilidade, a integridade, a confidencialidade e a autenticidade das
informações que acessar, bem como assumir responsabilidades decorrentes de tal acesso.
4.15 Usuários: servidores, terceirizados, colaboradores, consultores, auditores e
estagiários que detenham autorização do responsável pela área interessada para acesso aos ativos de
informação de um órgão ou entidade da APF, formalizada por meio da assinatura do Termo de
Responsabilidade.
4.16 Vulnerabilidade: conjunto de fatores internos ou causa potencial de um incidente
indesejado, que podem resultar em risco para um sistema ou organização, os quais podem ser
evitados por uma ação interna de segurança da informação.
5 PRINCÍPIOS E DIRETRIZES
5.1 A presente Norma Complementar (NC) tem como foco o uso institucional das redes
sociais nos aspectos relacionados à Segurança da Informação e Comunicações. O órgão ou entidade
da APF pode, a seu critério, expandir a abrangência de sua Norma Interna de Uso Seguro das Redes
234
Sociais para ações que vão além da SIC, como por exemplo, estratégia de comunicação social e
processo de gestão de conteúdo, dentre outras.
5.2 A normatização interna de uso seguro das redes sociais deve estar alinhada tanto à
Política de Segurança da Informação e Comunicações (POSIC) quanto aos objetivos estratégicos do
órgão ou entidade. Também deve estabelecer diretrizes, critérios, limitações e responsabilidades na
gestão do uso seguro das redes sociais, por usuários que tenham permissão para administrar perfis
institucionais ou que possuam credencial de acesso para qualquer rede social, a partir da
infraestrutura das redes de computadores da APF.
5.3 A Norma Interna do órgão ou entidade da APF também deve considerar os
requisitos legais de segurança da informação e comunicações em vigor, especialmente as Normas
Complementares NC 04/IN01/DSIC/GSIPR, que trata sobre a Gestão de Riscos de Segurança da
Informação e Comunicações; NC 06/IN01/DSIC/GSIPR, sobre a Gestão de Continuidade de
Negócios em Segurança da Informação e Comunicações; NC 07/IN01/DSIC/GSIPR sobre
Controles de Acesso Relativos à SIC e NC 08/IN01/DSIC/GSIPR, que estabelece Diretrizes para
Gerenciamento de Incidentes em Redes Computacionais nos órgãos e entidades da APF no que
couber, bem como novas Normas Complementares do GSI referentes à SIC para a Administração
Pública Federal.
5.4 Perfis institucionais mantidos nas redes sociais devem, preferencialmente, ser
administrados e gerenciados por equipes integradas exclusivamente por servidores ou empregados
públicos federais ocupantes de cargo efetivo ou militar de carreira, de órgão ou entidade da APF.
Quando não for possível, a equipe pode ser mista, desde que sob a coordenação e responsabilidade
de um servidor ou empregado público.
5.5 É vedada a terceirização completa da administração e da gestão de perfis de órgãos e
entidades da APF nas redes sociais, assim entendida a terceirização que viole o disposto no item
anterior.
5.6 O órgão ou entidade da APF deve nomear um servidor público, ocupante de cargo
efetivo ou militar de carreira, para a função de Agente Responsável pela gestão do uso seguro de
cada perfil institucional nas redes sociais, com o seguinte perfil profissional: capacidade de
estabelecer bons relacionamentos interpessoais, de interagir e dialogar com as demais áreas
presentes nas redes sociais, proativo e, principalmente, que conheça e entenda o negócio do órgão
ou entidade da APF a que esteja vinculado.
6 RESPONSABILIDADES
6.1 Cabe à Alta Administração aprovar as diretrizes estratégicas alinhadas à SIC, que
norteiam o uso seguro das redes sociais do órgão ou entidade da APF de sua responsabilidade;
6.2 Cabe ao Comitê de Segurança da Informação e Comunicações, de cada órgão ou
entidade analisar a Norma Interna de Uso Seguro das Redes Sociais e submeter à aprovação da Alta
Administração.
6.3 Cabe ao Gestor de Segurança da Informação e Comunicações:
6.3.1 Propor diretrizes estratégicas de Segurança da Informação e Comunicações (SIC)
para a gestão do uso seguro das redes sociais.
235
6.3.2 Fomentar o fortalecimento da cultura de Segurança da Informação e
Comunicações do órgão ou entidade da Administração Pública Federal de sua responsabilidade, no
que diz respeito ao uso seguro das redes sociais;
6.4 Cabe ao Agente Responsável:
6.4.1 Gerir, acompanhar e analisar, de forma contínua, o uso seguro das redes sociais
pelo órgão ou entidade da APF;
6.4.2 Verificar se a Norma Interna de Uso Seguro das Redes Sociais está sendo seguida
pelo órgão ou entidade;
6.4.3 Atuar como parceiro institucional no fortalecimento da cultura de SIC no uso
seguro das redes sociais em seu órgão ou entidade, bem como no planejamento e apoio às ações de
segurança da informação e comunicações cabíveis nesse contexto.
7 - VIGÊNCIA
Esta Norma Complementar entra em vigor na data de sua publicação.
FONTE: Publicação DOU, de 21/06/2012.
236
LEI Nº 12.735, DE 30 DE NOVEMBRO DE 2012
Altera o Decreto-Lei nº2.848, de 7 de dezembro de
1940 - Código Penal, o Decreto- Lei nº 1.001, de 21 de
outubro de 1969 - Código Penal Militar, e a Lei nº
7.716, de 5 de janeiro de 1989, para tipificar condutas
realizadas mediante uso de sistema eletrônico, digital
ou similares, que sejam praticadas contra sistemas
informatizados e similares; e dá outras providências.
A PRESIDENTA DA REPÚBLICA Faço saber que o Congresso Nacional decreta e
eu sanciono a seguinte Lei:
Art. 1º Esta Lei altera o Decreto-Lei n° 2.848, de 7 de dezembro de 1940 - Código
Penal, o Decreto-Lei nº 1.001, de 21 de outubro de 1969 - Código Penal Militar, e a Lei nº 7.716, de
5 de janeiro de 1989, para tipificar condutas realizadas mediante uso de sistema eletrônico, digital
ou similares, que sejam praticadas contra sistemas informatizados e similares; e dá outras
providências.
Art. 2º (vetado)
Art. 3º (vetado)
Art. 4º Os órgãos da polícia judiciária estruturarão, nos termos de regulamento, setores e
equipes especializadas no combate à ação delituosa em rede de computadores, dispositivo de
comunicação ou sistema informatizado.
Art. 5º O inciso II do § 3° do art. 20 da Lei n° 7.716, de 5 de janeiro de 1989, passa a
vigorar com a seguinte redação:
"Art. 20. ...................................................................................
...........................................................................................................
§ 3º ...........................................................................................
...........................................................................................................
II - a cessação das respectivas transmissões radiofônicas, televisivas, eletrônicas ou da
publicação por qualquer meio;
.............................................................................................." (NR)
Art. 6º Esta Lei entra em vigor após decorridos 120 (cento e vinte) dias de sua
publicação oficial.
Brasília, 30 de novembro de 2012; 191º da Independência e 124º da República.
DILMA ROUSSEFF
José Eduardo Cardozo
Paulo Bernardo Silva
Maria do Rosário Nunes
FONTE: Publicação DOU, de 03/12/2012.
237
LEI Nº 12.737, DE 30 DE NOVEMBRO DE 2012
Dispõe sobre a tipificação criminal de delitos
informáticos; altera o Decreto-Lei no 2.848, de 7 de
dezembro de 1940 - Código Penal; e dá outras
providências.
A PRESIDENTA DA REPÚBLICA
Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei:
Art. 1º Esta Lei dispõe sobre a tipificação criminal de delitos informáticos e dá outras
providências.
Art. 2º O Decreto-Lei n° 2.848, de 7 de dezembro de 1940 - Código Penal, fica
acrescido dos seguintes arts. 154-A e 154-B:
"Invasão de dispositivo informático
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de
computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter,
adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do
dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:
Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.
§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde
dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no
caput.
§ 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo
econômico.
§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas
privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o
controle remoto não autorizado do dispositivo invadido:
Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui
crime mais grave.
§ 4º Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver divulgação,
comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.
§ 5º Aumenta-se a pena de um terço à metade se o crime for praticado contra:
I - Presidente da República, governadores e prefeitos;
II - Presidente do Supremo Tribunal Federal;
III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia
Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou
IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou
do Distrito Federal."
"Ação penal
Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante
representação, salvo se o crime é cometido contra a administração pública direta ou indireta de
qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas
concessionárias de serviços públicos."
238
Art. 3º Os arts. 266 e 298 do Decreto-Lei 2.848, de 7 de dezembro de 1940 - Código
Penal, passam a vigorar com a seguinte redação:
"Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático
ou de informação de utilidade pública
Art. 266. ...................................................................................
§ 1º Incorre na mesma pena quem interrompe serviço telemático ou de informação de
utilidade pública, ou impede ou dificulta-lhe o restabelecimento.
§ 2º Aplicam-se as penas em dobro se o crime é cometido por ocasião de calamidade
pública." (NR)
"Falsificação de documento particular
Art. 298. ...................................................................................
Falsificação de cartão
Parágrafo único. Para fins do disposto no caput, equipara-se a documento particular o
cartão de crédito ou débito." (NR)
Art. 4º Esta Lei entra em vigor após decorridos 120 (cento e vinte) dias de sua
publicação oficial.
Brasília, 30 de novembro de 2012; 191º da Independência e 124º da República.
DILMA ROUSSEFF
José Eduardo Cardozo
FONTE: Publicação DOU, de 03/12/2012.
239
PORTARIA Nº 2, DE 15 DE FEVEREIRO DE 2013
Homologa a Norma Complementar nº
04/IN01/DSIC/GSIPR.
O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANÇA
INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA, na condição de SECRETÁRIO
EXECUTIVO DO CONSELHO DE DEFESA NACIONAL, no uso da atribuição que lhe
confere o Art. 4º do Decreto nº 3.505, de 13 de junho de 2000, e o inciso IV do art. 1º do Anexo I
do Decreto nº 7.411, de 29 de dezembro de 2010, resolve:
Art. 1º Fica homologada a Norma Complementar nº 04/IN01/DSIC/GSIPR que
estabelece as diretrizes para o processo de Gestão de Riscos de Segurança da Informação e
Comunicações - GRSIC nos órgãos ou entidades da Administração Pública Federal - APF, direta e
indireta, aprovada pelo Diretor do Departamento de Segurança da Informação e Comunicações, em
anexo.
Art. 2º Esta portaria entra em vigor na data de sua publicação.
JOSÉ ELITO CARVALHO SIQUEIRA
PRESIDÊNCIA DA REPÚBLICA
Gabinete de Segurança Institucional
Departamento de Segurança da Informação
e Comunicações
240
GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO
E COMUNICAÇÕES - GRSIC
ORIGEM
Departamento de Segurança da Informação e Comunicações
REFERÊNCIA NORMATIVA
Decreto nº 3.505, de 13 de junho de 2000.
Instrução Normativa nº 01 do Gabinete de Segurança Institucional, de 13 de junho de 2008.
Norma Complementar 01/DSIC/GSIPR de 13 de outubro de 2008.
Norma Complementar 02/DSIC/GSIPR de 13 de outubro de 2008.
Norma Complementar 10/DSIC/GSIPR de 30 de janeiro de 2012.
ABNT NBR ISO/IEC 27001:2006.
ABNT NBR ISO/IEC 27002:2005.
ABNT NBR ISO/IEC 27005:2011.
CAMPO DE APLICAÇÃO
Esta Norma Complementar se aplica no âmbito da Administração
Pública Federal, direta e indireta.
SUMÁRIO
1.Objetivo
2.Fundamento Legal da Norma Complementar
3.Conceitos e Definições
4.Princípios e Diretrizes
5.Procedimentos
6.Responsabilidades
7. Vigência
8.Anexo
INFORMAÇÕES ADICIONAIS
Não há
APROVAÇÃO
RAPHAEL MANDARINO JUNIOR
Diretor do Departamento de Segurança da Informação
e Comunicações
241
1 OBJETIVO
Estabelecer diretrizes para o processo de Gestão de Riscos de Segurança da Informação
e Comunicações - GRSIC nos órgãos ou entidades da Administração Pública Federal - APF, direta
e indireta.
2 CONSIDERAÇÕES INICIAIS
2.1 A implantação do processo de Gestão de Riscos de Segurança da Informação e
Comunicações busca identificar as necessidades da organização em relação aos requisitos de
segurança da informação e comunicações, bem como, criar um sistema de Gestão de Segurança da
Informação (SGSI) eficaz;
2.2 Convém que o processo de Gestão de Riscos de Segurança da Informação e
Comunicações esteja alinhado ao planejamento estratégico da organização e também, com o
processo maior de gestão de riscos corporativos, se esse existir;
2.3 A Gestão de Riscos de Segurança da Informação e Comunicações, objeto desta
norma complementar, está limitada ao escopo das ações de Segurança da Informação e
Comunicações e tais ações compreendem apenas as medidas de proteção dos ativos de informação,
conforme definido nesta norma.
3 FUNDAMENTO LEGAL DA NORMA COMPLEMENTAR
Conforme disposto no inciso II do art. 3º da Instrução Normativa nº 01, de 13 de Junho
de 2008, do Gabinete de Segurança Institucional da Presidência da República - GSI/PR, compete ao
Departamento de Segurança da Informação e Comunicações - DSIC, estabelecer normas definindo
os requisitos metodológicos para implementação da Gestão de Segurança da Informação e
Comunicações pelos órgãos e entidades da APF, direta e indireta.
4 CONCEITOS E DEFINIÇÕES
Para os efeitos desta Norma Complementar são estabelecidos os seguintes conceitos e
definições:
4.1 Ameaça - conjunto de fatores externos ou causa potencial de um incidente
indesejado, que pode resultar em dano para um sistema ou organização;
4.2 Análise de riscos - uso sistemático de informações para identificar fontes e estimar o
risco;
4.3 Análise/avaliação de riscos - processo completo de análise e avaliação de riscos;
4.4 Ativos de Informação - os meios de armazenamento, transmissão e processamento,
os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a
eles têm acesso;
4.5 Avaliação de riscos - processo de comparar o risco estimado com critérios de risco
predefinidos para determinar a importância do risco;
4.6 Comunicação do risco - troca ou compartilhamento de informação sobre o risco
entre o tomador de decisão e outras partes interessadas;
4.7 Estimativa de riscos - processo utilizado para atribuir valores à probabilidade e
consequências de um risco;
4.8 Evitar risco - uma forma de tratamento de risco na qual a alta administração decide
não realizar a atividade, a fim de não se envolver ou agir de forma a se retirar de uma situação de
risco;
242
4.9 Gestão de Riscos de Segurança da Informação e Comunicações - conjunto de
processos que permitem identificar e implementar as medidas de proteção necessárias para
minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los
com os custos operacionais e financeiros envolvidos;
4.10 Identificação de riscos - processo para localizar, listar e caracterizar elementos do
risco;
4.11 Reduzir risco - uma forma de tratamento de risco na qual a alta administração
decide realizar a atividade, adotando ações para reduzir a probabilidade, as consequências
negativas, ou ambas, associadas a um risco;
4.12 Reter risco - uma forma de tratamento de risco na qual a alta administração decide
realizar a atividade, assumindo as responsabilidades caso ocorra o risco identificado;
4.13 Riscos de Segurança da Informação e Comunicações – potencial associado à
exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais
ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização;
4.14 Transferir risco - uma forma de tratamento de risco na qual a alta administração
decide realizar a atividade, compartilhando com outra entidade o ônus associado a um risco;
4.15 Tratamento dos riscos - processo e implementação de ações de segurança da
informação e comunicações para evitar, reduzir, reter ou transferir um risco;
4.16 Vulnerabilidade - conjunto de fatores internos ou causa potencial de um incidente
indesejado, que podem resultar em risco para um sistema ou organização, os quais podem ser
evitados por uma ação interna de segurança da informação.
5 PRINCÍPIOS E DIRETRIZES
5.1 As diretrizes gerais do processo de Gestão de Riscos de Segurança da Informação e
Comunicações - GRSIC deverão considerar, prioritariamente, os objetivos estratégicos, os
processos, os requisitos legais e a estrutura do órgão ou entidade da APF, direta e indireta, além de
estarem alinhadas à respectiva Política de Segurança da Informação e Comunicações do órgão ou
entidade;
5.2 O processo de Gestão de Riscos de Segurança da Informação e Comunicações -
GRSIC deve ser contínuo e aplicado na implementação e operação da Gestão de Segurança da
Informação e Comunicações;
5.3 O processo de Gestão de Riscos de Segurança da Informação e Comunicações -
GRSIC deve estar alinhado ao modelo denominado PDCA (Plan-Do-Check-Act), conforme
definido na Norma Complementar nº 02/DSIC/GSIPR, publicada no Diário Oficial da União nº 199,
Seção 1, de 14 de outubro de 2008, de modo a fomentar a sua melhoria contínua;
5.4 A Gestão de Riscos de Segurança da Informação e Comunicações - GRSIC deverá
produzir subsídios para suportar o Sistema de Gestão de Segurança da Informação e Comunicações
e a Gestão de Continuidade de Negócios.
6 PROCEDIMENTOS
Nos itens abaixo será apresentada uma abordagem sistemática do processo Gestão de
Riscos de Segurança da Informação e Comunicações - GRSIC, com o objetivo de manter os riscos
em níveis aceitáveis. Esse processo é composto pelas etapas de definições preliminares,
análise/avaliação dos riscos, plano de tratamento dos riscos, aceitação dos riscos, implementação do
plano de tratamento dos riscos, monitoração e análise crítica, melhoria do processo de Gestão de
Riscos de Segurança da Informação e Comunicações e comunicação do risco, conforme
apresentado no Anexo A desta Norma.
6.1 Definições preliminares: nesta fase, deve-se realizar uma análise da organização
visando estruturar o processo de gestão de riscos de segurança da informação e comunicações,
sendo consideradas as características do órgão ou entidade e as restrições a que estão sujeitas. Esta
243
análise inicial permite que os critérios e o enfoque da Gestão de Riscos de Segurança da Informação
e Comunicações - GRSIC sejam os mais apropriados para o órgão, apoiando-o na definição do
escopo e na adoção de uma metodologia.
6.1.1 Definir o escopo de aplicação da Gestão de Riscos de Segurança da Informação e
Comunicações - GRSIC a fim de delimitar o âmbito de atuação. Esse escopo pode abranger o órgão
ou entidade como um todo, um segmento, um processo, um sistema, um recurso ou um ativo de
informação;
6.1.2 Adotar uma metodologia de Gestão de Riscos de Segurança da Informação e
Comunicações - GRSIC que atenda aos objetivos, diretrizes gerais e o escopo definido
contemplando, no mínimo, os critérios de avaliação e de aceitação do risco.
6.2 Análise/avaliação dos riscos: nesta fase, inicialmente serão identificados os riscos,
considerando as ameaças e as vulnerabilidades associadas aos ativos de informação para, em
seguida, serem estimados os níveis de riscos de modo que eles sejam avaliados e priorizados.
6.2.1 Realizar inventário e mapeamento dos ativos de informação, no âmbito do escopo
estabelecido, e conforme as diretrizes da NC 10/IN01/DSIC/GSIPR;
6.2.2 Identificar os riscos associados ao escopo definido, considerando:
a) as ameaças envolvidas;
b) as vulnerabilidades existentes nos ativos de informação; e
c) as ações de Segurança da Informação e Comunicações - SIC já adotadas.
6.2.3 Estimar os riscos levantados, considerando os valores ou níveis para a
probabilidade e para a consequência do risco associados à perda de disponibilidade, integridade,
confidencialidade e autenticidade nos ativos considerados;
6.2.4 Avaliar os riscos, determinando se são aceitáveis ou se requerem tratamento,
comparando a estimativa de riscos com os critérios estabelecidos no item 5.1.2;
6.2.5 Relacionar os riscos que requeiram tratamento, priorizando-os de acordo com os
critérios estabelecidos pelo órgão ou entidade.
6.3 Plano de Tratamento dos Riscos
6.3.1 Determinar as formas de tratamento dos riscos, considerando as opções de reduzir,
evitar, transferir ou reter o risco, observando:
a) a eficácia das ações de Segurança da Informação e Comunicações - SIC já existentes;
b) as restrições organizacionais, técnicas e estruturais;
c) os requisitos legais; e
d) a análise custo/ benefício.
6.3.2 Formular um plano para o tratamento dos riscos, relacionando, no mínimo, as
ações de Segurança da Informação e Comunicações - SIC, responsáveis, prioridades e prazos de
execução necessários à sua implantação.
6.4 Aceitação do Risco: verificar os resultados do processo executado, considerando o
plano de tratamento, aceitando-os ou submetendo-os à nova avaliação.
6.5 Implementação do Plano de Tratamento dos Riscos: executar as ações de Segurança
da Informação e Comunicações – SIC incluídas no Plano de Tratamento dos Riscos aprovado.
6.6 Monitoração e análise crítica: detectar possíveis falhas nos resultados, monitorar os
riscos, as ações de Segurança da Informação e Comunicações - SIC e verificar a eficácia do
processo de Gestão de Riscos de Segurança da Informação e Comunicações - GRSIC.
6.6.1 Do processo de gestão: monitorar e analisar criticamente o processo de Gestão de
Riscos de Segurança da Informação e Comunicações - GRSIC de forma a mantê-lo alinhado às
diretrizes gerais estabelecidas e às necessidades do órgão ou entidade;
6.6.2 Do risco: manter os riscos monitorados e analisados criticamente, a fim de
verificar regularmente, no mínimo, as seguintes mudanças:
a) nos critérios de avaliação e aceitação dos riscos;
b) no ambiente;
c) nos ativos de informação;
d) nas ações de Segurança da Informação e Comunicações - SIC; e
244
e) nos fatores do risco (ameaça, vulnerabilidade, probabilidade e impacto).
6.7 Melhoria do Processo de GRSIC
6.7.1 Propor à autoridade decisória do órgão ou entidade a necessidade de implementar
as melhorias identificadas durante a fase de monitoramento e análise crítica;
6.7.2 Executar as ações corretivas ou preventivas aprovadas;
6.7.3 Assegurar que as melhorias atinjam os objetivos pretendidos.
6.8 Comunicação do Risco: manter as instâncias superiores informadas a respeito de
todas as fases da gestão de risco, compartilhando as informações entre o tomador da decisão e as
demais partes envolvidas e interessadas.
7 RESPONSABILIDADES
7.1 Cabe à Alta Administração do órgão ou entidade da APF, direta e indireta, aprovar
as diretrizes gerais e o processo de Gestão de Riscos de Segurança da Informação e Comunicações
– GRSIC observada, dentre outras, a respectiva Política de Segurança da Informação e
Comunicações;
7.2 Os Gestores de Segurança da Informação e Comunicações, no âmbito de suas
atribuições, são responsáveis pela coordenação da Gestão de Riscos de Segurança da Informação e
Comunicações nos órgãos e entidades da APF, direta e indireta;
7.3 De acordo com as necessidades de cada órgão ou entidade, os Gestores de
Segurança da Informação e Comunicações poderão indicar responsáveis pelo gerenciamento de
atividades, a quem serão conferidas, no mínimo, as seguintes atribuições:
7.3.1 Análise/avaliação e tratamento dos riscos; e
7.3.2 Elaboração sistemática de relatórios para os Gestores de Segurança da Informação
e Comunicações, em cujo conteúdo constará a análise quanto à aceitação dos resultados obtidos, e
conseqüente proposição de ajustes e de medidas preventivas e proativas à Alta Administração.
8 VIGÊNCIA
Esta Norma entra em vigor na data de sua publicação.
FONTE: Publicação DOU, de 25/02/2013
OBS: Não foi possível disponibilizar o anexo desta Portaria.
245
RESOLUÇÃO INPI Nº 1, DE 18 DE MARÇO DE 2013
Revoga os atos normativos do INPI publicados até
31/12/2012.
O Presidente do Instituto Nacional da Propriedade Industrial - INPI, no exercício das
suas atribuições legais, e.
CONSIDERANDO a necessidade de consolidar os diversos normativos existentes no
INPI; e
CONSIDERANDO a necessidade de conceder maior transparência à sociedade sobre
os atos normativos em vigência no âmbito desta Autarquia, resolve:
Art. 1º Ficam revogados todos os atos normativos publicados até 31/12/2012 constantes
no Anexo desta Resolução.
Art. 2º Esta Resolução entra em vigor em todo o território nacional, na data de sua
publicação.
JORGE DE PAULA COSTA ÁVILA
246
ANEXO
Atos Normativos Revogados
Resolução 293/12 Resolução 195/08 Resolução 225/09
Resolução 287/12 Resolução 290/12 Resolução 271/2011
Resolução 251/2010 Resolução 262/11 Resolução 273/11, 274/11,
275/11 e 280/11
Resolução 144/2007 Resolução 299/12 Resolução 295/12
Resolução 297/12 Resolução 179/08 Resolução 229/09
Resolução 236/09 Resolução 247/10 Resolução 246/2010
Resolução 116/2004 Resolução 117/2005 Resolução 121/2005
Resolução 123/2006 Resolução 126/2006 Resolução 127/2006
Resolução 128/2006 Resolução 260/2010 Resolução 261/2010
Resolução 263/2011 Ato Normativo 138/97 Resolução 279/2011
Ato Normativo 150/1999 Ato Normativo 151/1999 Resolução 143/2007
Resolução 185/2008 Resolução 188/2008 Resolução 197/2008
Resolução 224/2009 Resolução 253/2010 Resolução 241/2010
Resolução 244/2010 Resolução 245/2010 Ordem de Serviço DAG 001/96
Ordem de Serviço DAG
002/96 Resolução 40/93 Resolução 146/07
Resolução 147/07 Resolução 184/08 Resolução 206/09
Resolução 235/09 Ato Normativo 155/00 Resolução 167/11
Resolução 278/11 Resolução 171/08 Resolução 190/08
Resolução 231/09 Resolução 111/04 Resolução 076/00
Resolução 300/12 Resolução 233/09 Resolução 092/02
Ato Normativo 139/97 Resolução 124/06 Resolução 191/08
Resolução 207/09 Resolução 228/09 Resolução 149/07
Resolução 269/11 Resolução 272/11 Resolução 277/11
Resolução 283/12 Resolução 286/12 Resolução 291/12
Resolução 242/2010 Instrução Normativa DIRPA
006/2012 Instrução Normativa PR 01/2010
Instrução Normativa PR
02/2010
Instrução Normativa PR
03/2010 Instrução Normativa PR 04/2011
Instrução Normativa PR
05/2011
Instrução Normativa PR
08/2011 Instrução Normativa PR 07/2011
Instrução Normativa PR
11/2011
Instrução Normativa PR
273/11 Resolução 058/98
Resolução 075/00 Ato Normativo 161/02 Resolução 249/10
Resolução 094/03 Ato Normativo 135/97 Ato Normativo 127/97
Ato Normativo 126/96 Resolução 296/2012 Instrução Normativa DIRMA
001/2010
Norma Operacional DIRPA
005/2012
Norma Operacional DIRPA
001/2009
Norma Operacional DIRPA
001/2012
Norma Operacional DIRPA
002/2012
Norma Operacional DIRPA
003/2012
Norma Operacional DIRPA
004/2012
Ordem de Serviço DAS
001/2009
Ordem de Serviço DAS
005/2009
Ordem de Serviço DAS
006/2009
Ordem de Serviço DAS
008/2009
Ordem de Serviço DAG
001/2004
FONTE: Publicação DOU, de 19/03/2013.
247
PORTARIA Nº 34, DE 19 DE AGOSTO DE 2013
Disciplina as atividades do Comitê Gestor de
Tecnologia da Informação.
O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANÇA
INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA, no uso das atribuições que lhe
confere o art. 87, parágrafo único, inciso II, da Constituição, resolve:
Art. 1º Disciplinar as atividades do Comitê Gestor de Tecnologia da Informação, do
Gabinete de Segurança Institucional da Presidência da República (CGTI-GSI/PR).
Parágrafo único: Excluem-se deste comitê as atividades da Agência Brasileira de
Inteligência (ABIN).
Art. 2º Ao CGTI-GSI/PR compete:
I - Acompanhar a execução do Plano Diretor de Tecnologia da Informação (PDTI) do
GSI/PR, e atualizá-lo sempre que necessário;
II - Avaliar os processos de aquisição e contratação de soluções de Tecnologia da
Informação demandados pelos órgãos integrantes do GSI/PR, quanto ao alinhamento ao PDTI;
III - Consultar, quando necessário, pessoal especializado para prestar assessoria técnica
acerca das soluções de Tecnologia da Informação demandadas;
IV - Propor normas específicas para disciplinar as atividades de Tecnologia da
Informação no âmbito do GSI/PR;
V - Propor medidas para a implantação da Governança de Tecnologia da Informação no
âmbito do GSI/PR;
Parágrafo único: O CGTI-GSI/PR reportar-se-á exclusivamente ao Secretário-Executivo
do GSI/PR no desempenho de suas atribuições.
Art. 3º O CGTI-GSI/PR será integrado por representantes - titular e suplente - indicados
pelos seguintes órgãos:
I - Secretaria-Executiva:
a) Departamento de Gestão e de Articulação Institucional; e
b) Departamento de Segurança da Informação e Comunicações;
II - Secretaria de Coordenação e Acompanhamento de Assuntos Militares;
III - Secretaria de Acompanhamento e Estudos Institucionais; e
IV - Secretaria de Segurança Presidencial.
§ 1º Os titulares e os suplentes do CGTI-GSI/PR serão designados pelo Secretário-
Executivo do GSI/PR.
§ 2º A participação no CGTI-GSI/PR será considerada de relevante interesse público e
não remunerada.
Art. 4º O Coordenador e o Coordenador-Adjunto do CGTIGSI/PR serão designados
pelo Secretário-Executivo do GSI/PR.
§ 1º Os órgãos do GSI/PR deverão indicar um servidor para desempenhar a função de
Coordenador do CGTI-GSI/PR.
§ 2º O Secretário Executivo do GSI/PR designará as funções de que trata o caput deste
artigo, dentre os servidores indicados no parágrafo anterior.
§ 3º Compete ao Coordenador do CGTI-PR:
I - Dirigir, coordenar e supervisionar as atividades desenvolvidas pelo CGTI-GSI/PR;
248
II - Convocar os integrantes do CGTI-GSI/PR para as reuniões ordinárias e
extraordinárias; e
III - Elaborar relatório das atividades do CGTI-GSI/PR, a ser encaminhado ao
Secretário-Executivo, com periodicidade semestral.
§ 4º O Coordenador será substituído, em suas ausências e impedimentos, pelo
Coordenador-Adjunto.
Art. 5º Caberá ao órgão no qual está lotado o Coordenador do CGTI-GSI/PR prover o
apoio administrativo e os meios necessários para o cumprimento das atividades afetas a este Comitê
Gestor.
Art. 6º Esta Portaria entra em vigor na data de sua publicação.
Art. 7º Fica revogada a Portaria nº 28, de 9 de junho de 2011.
JOSÉ ELITO CARVALHO SIQUEIRA
FONTE: Publicação DOU, de 20/08/2013.
249
LEI Nº 13.023, DE 8 DE AGOSTO DE 2014
Altera as Leis nºs 8.248, de 23 de outubro de 1991, e
8.387, de 30 de dezembro de 1991, e revoga dispositivo
da Lei nº 10.176, de 11 de janeiro de 2001, para dispor
sobre a prorrogação de prazo dos benefícios fiscais
para a capacitação do setor de tecnologia da
informação.
A PRESIDENTA DA REPÚBLICA Faço saber que o Congresso Nacional decreta e
eu sanciono a seguinte Lei:
Art. 1º Os arts. 4° e 11 da Lei n°8248, de 23 de outubro de 1991, passam a vigorar com
as seguintes alterações:
"Art. 4° ....................................................................................
.........................................................................................................
§ 1º-A. .....................................................................................
..........................................................................................................
IV - redução de 80% (oitenta por cento) do imposto devido, de 1º de janeiro de 2004 até
31 de dezembro de 2024;
V - redução de 75% (setenta e cinco por cento) do imposto devido, de 1º de janeiro de
2025 a 31 de dezembro de 2026; e
VI - redução de 70% (setenta por cento) do imposto devido, de 1º de janeiro de 2027 até
31 de dezembro de 2029, quando será extinto.
..........................................................................................................
§ 1º-D. Para os bens de informática e automação produzidos na região Centro-Oeste e
nas regiões de influência da Superintendência do Desenvolvimento da Amazônia - SUDAM e da
Superintendência do Desenvolvimento do Nordeste - SUDENE, o benefício da redução do IPI
deverá observar os seguintes percentuais:
I - redução de 95% (noventa e cinco por cento) do imposto devido, de 1º de janeiro de
2004 até 31 de dezembro de 2024;
II - redução de 90% (noventa por cento) do imposto devido, de 1º de janeiro de 2025 até
31 de dezembro de 2026; e
III - redução de 85% (oitenta e cinco por cento) do imposto devido, de 1º de janeiro de
2027 até 31 de dezembro de 2029, quando será extinto.
§ 1º-E. O disposto no § 1º-D não se aplica a microcomputadores portáteis e às unidades
de processamento digitais de pequena capacidade baseadas em microprocessadores, de valor até R$
11.000,00 (onze mil reais), bem como às unidades de discos magnéticos e ópticos, aos circuitos
impressos com componentes elétricos e eletrônicos montados, aos gabinetes e às fontes de
alimentação, reconhecíveis como exclusiva ou principalmente destinados a tais equipamentos, as
quais usufruem, até 31 de dezembro de 2024, o benefício da isenção do IPI que, a partir dessa data,
fica convertido em redução do Imposto sobre Produtos Industrializados - IPI, observados os
seguintes percentuais:
I - redução de 95% (noventa e cinco por cento) do imposto devido, de 1º de janeiro de
2025 até 31 de dezembro de 2026; e
II - redução de 85% (oitenta e cinco por cento) do imposto devido, de 1º de janeiro de
2027 até 31 de dezembro de 2029, quando será extinto.
§ 1º-F. Os benefícios de que trata o § 1º-E aplicam-se, também, aos bens desenvolvidos
no País e produzidos na região Centro-Oeste e nas regiões de influência da Superintendência do
Desenvolvimento da Amazônia - SUDAM e da Superintendência do Desenvolvimento do Nordeste
250
- SUDENE, que sejam incluídos na categoria de bens de informática e automação por esta Lei,
conforme regulamento.
.........................................................................................................
§ 5º .........................................................................................
I - redução de 95% (noventa e cinco por cento) do imposto devido, de 1º de janeiro de
2004 a 31 de dezembro de 2024;
II - redução de 90% (noventa por cento) do imposto devido, de 1º de janeiro de 2025 a
31 de dezembro de 2026; e
III - redução de 70% (setenta por cento) do imposto devido, de 1º de janeiro de 2027 até
31 de dezembro de 2029, quando será extinto.
§ 6º (Revogado).
§ 7º .........................................................................................
I - redução de 100% (cem por cento) do imposto devido, de 15 de dezembro de 2010 até
31 de dezembro de 2024;
II - redução de 95% (noventa e cinco por cento) do imposto devido, de 1º de janeiro de
2025 até 31 de dezembro de 2026;
e III - redução de 90% (noventa por cento) do imposto devido, de 1º de janeiro de 2027
até 31 de dezembro de 2029, quando será extinto.
§ 8º O Poder Executivo poderá atualizar os valores fixados nos §§ 1º-E e 5º deste
artigo." (NR)
"Art. 11. ..................................................................................
.........................................................................................................
§ 6º .........................................................................................
........................................................................................................
IV - em 20% (vinte por cento), de 1º de janeiro de 2004 até 31 de dezembro de 2029;
V - (Revogado);
VI - (Revogado).
§ 7º ..........................................................................................
..........................................................................................................
III - em 13% (treze por cento), de 1º de janeiro de 2004 até 31 de dezembro de 2029;
IV - (Revogado);
V - (Revogado).
§ 13. Para as empresas beneficiárias na forma do § 5º do art. 4º desta Lei fabricantes de
microcomputadores portáteis e de unidades de processamento digitais de pequena capacidade
baseadas em microprocessadores, de valor até R$ 11.000,00 (onze mil reais), bem como de
unidades de discos magnéticos e ópticos, circuitos impressos com componentes elétricos e
eletrônicos montados, gabinetes e fontes de alimentação, reconhecíveis como exclusiva ou
principalmente destinados a tais equipamentos, e exclusivamente sobre o faturamento bruto
decorrente da comercialização desses produtos no mercado interno, os percentuais para
investimentos estabelecidos neste artigo serão reduzidos em 25% (vinte e cinco por cento) até 31 de
dezembro de 2029.
" (NR)
Art. 2º O§ 13 do art. 2° da Lei n° 8.387. de 30 de dezembro de 1991, passa a vigorar
com a seguinte redação:
"Art. 2° ....................................................................................
.........................................................................................................
§ 13. Para as empresas beneficiárias fabricantes de microcomputadores portáteis e de
unidades de processamento digitais de pequena capacidade baseadas em microprocessadores, de
valor até R$ 11.000,00 (onze mil reais), bem como de unidades de discos magnéticos e ópticos,
circuitos impressos com componentes elétricos e eletrônicos montados, gabinetes e fontes de
251
alimentação, reconhecíveis como exclusiva ou principalmente destinados a tais equipamentos, e
exclusivamente sobre o faturamento bruto decorrente da comercialização desses produtos no
mercado interno, os percentuais para investimentos estabelecidos neste artigo serão reduzidos em
25% (vinte e cinco por cento) até 31 de dezembro de 2029.
.............................................................................................." (NR)
Art. 3º As isenções e os benefícios das Áreas de Livre Comércio criadas até a data de
publicação desta Lei ficam prorrogadas até 31 de dezembro de 2050.
Art. 4º Esta Lei entra em vigor na data de sua publicação.
Art. 5º Ficam revogados o § 6° do art.4°, os incisos V e VI do § 6° e os incisos IV e V
do § 7° do art. 11 da Lei n° 8.248, de 23 de outubro de 1991, e o art. 11 da Lei n° 10.176, de 11 de
janeiro de 2001.
Brasília, 8 de agosto de 2014; 193º da Independência e 126º da República.
DILMA ROUSSEFF
Guido Mantega
Mauro Borges Lemos
Clélio Campolina Diniz
FONTE: Publicação no DOU, 11/08/2014 - Edição Extra 1.
252
Série Coletânea de Legislação
Números Publicados
n° 1 – Gratificação de Desempenho de Atividade de Informações Estratégicas (GDI). Publicação
encerrada. (reservado)
n° 2 – Atividade de Inteligência no Brasil ( v.1, 2, 3, 4, 5)
(nome anterior Histórico da Inteligência no Brasil)
n° 3 – Crime Organizado
n° 4 – Proteção de Conhecimentos Sensíveis e Sigilosos
(nome anterior Salvaguarda de Assuntos Sigilosos: Proteção ao Conhecimento)
n° 5 – Normas do Cerimonial Público
n° 6 – Código de Ética dos Servidores Públicos Civis
n° 7 – Ética no Serviço Público
n° 8 – Regime Jurídico dos Servidores Públicos Civis
n° 9 – Gratificação de Desempenho de Atividades do Grupo de Informações (GDAGI), e
Gratificação Complementar de Inteligência (GCI). Publicação encerrada. (reservado)
nº 10 – Legislação Básica da ABIN (v. 1, 2, 3, 4, 5)
nº 11 – Proteção de Áreas e Instalações
(nome anterior Proteção de Áreas e Instalações: Proteção ao Conhecimento)
nº 12 – Propriedade Intelectual e Industrial
(nome anterior Propriedade Intelectual e Industrial: Proteção ao Conhecimento)
nº 13 – Lavagem de Dinheiro
nº 14 – Biossegurança
(nome anterior Biossegurança: Proteção ao Conhecimento)
n° 15 – Legislação Básica sobre a Estrutura e o Funcionamento do SISBIN e da ABIN
n° 16 – Proteção de Documentos e Materiais
(nome anterior Proteção de Documentos e Materiais: Proteção ao Conhecimento)
n° 17 – Biopirataria
(nome anterior Biopirataria: Proteção ao Conhecimento)
n° 18 – Proteção de Sistemas de Informação
(nome anterior Proteção de Sistemas de Informação: Proteção ao Conhecimento)
n° 19 – Proteção de Pessoal
( nome anterior Proteção de Pessoal: Proteção ao Conhecimento)
------
Setor Policial Sul, Área 5, Quadra 1 - Bloco A - 2º andar
CEP: 70610.905 - BRASÍLIA - DF
TEL: (0xx 61) 3445-8301
FAX: (0XX 61) 3445-8422
Home Page: http://www.abin.gov.br
e-mail: [email protected]