:: Luís Osvaldo Grossmann
:: Convergência Digital :: 16/07/2014
O
governo publicou nesta quarta, 16/7, quatro normas relacionadas à
segurança da informação nos órgãos da administração federal. Entre novos
e revistos, os dispositivos tratam, entre outros pontos, do uso da
criptografia e da biometria, do armazenamento de dados e das redes para
transmiti-los, uso da computação em nuvem e contratação de terceiros.
As normas são do Departamento de Segurança da
Informação e Comunicações (DSIC, do Gabinete de Segurança Institucional
da Presidência). Elas determinam a proteção de dados na administração,
com papel essencial da criptografia, exigida para dados sigilosos mas
também para informações não classificadas. E dão 180 dias para que os
órgãos se adaptem.
No primeiro caso, algoritmos de Estado são
mandatórios. No segundo, das não classificadas, pode haver contratação
de terceiros, mas o rigor aumentou. É exigido que o contratado seja
listado como Empresa Estratégica de Defesa do setor de TIC e utilize
tecnologia nacional, não sendo aceitas empresas que apenas forneçam
recursos criptográficos com tecnologia estrangeira.
As próprias redes devem ser protegidas – o canal de
comunicação seguro (a rede privada virtual, ou VPN) que interligue
redes dos órgãos federais e entidades da administração direta e indireta
também deve se valer de criptografia com algoritmo de Estado. E, claro,
lembra que as redes devem ser estatais, como já previsto no Decreto
8135/13.
Há recomendações diversas, como as aparentemente
óbvias de que “os equipamentos de acesso franqueado ao público estejam
em ambiente isolado da rede corporativa”, ou ainda que os órgãos
públicos devam “providenciar a sanitização de mídias, tais como
dispositivos móveis, discos rígidos (...) antes de seu descarte, a fim
de evitar a recuperação irregular de dados destes meios”.
Nas orientações para os “sistemas estruturantes”,
recomenda-se o uso de “arquiteturas que permitam auditar seus
respectivos projetos e códigos”, dispositivos “fisicamente localizados
em dependências de um ou mais órgãos ou entidades públicos da
administração pública federal, dentro do território nacional” e, de
preferência, de fabricantes nacionais.
Caso a opção seja por um sistema de computação em
nuvem, ela pode ser ‘própria’ ou ‘comunitária’, na forma como trata do
DSIC – mas mesmo os modelos de nuvem pública devem ser “restritos às
infraestruturas de órgãos ou entidades da administração pública
federal”.
Além das mudanças, foram criados quatro grupos de
trabalho dentro do Comitê Gestor de Segurança da Informação para a
proposição de novas normas em preservação de evidências de incidentes de
segurança da informação; segurança em grandes volumes de dados,
recursos humanos e a elaboração de um guia de orientações aos gestores.
Nenhum comentário:
Postar um comentário