Últimas notícias

Fique informado
MARCOS DO GOVERNO BRASILEIRO EM SIC E SEGCIBER

MARCOS DO GOVERNO BRASILEIRO EM SIC E SEGCIBER

17 de julho de 2015

SIC E SEGCIBER

ESTRATÉGIA DE SEGURANÇA DA  INFORMAÇÃO E  COMUNICAÇÕES E DE  SEGURANÇA CIBERNÉTICA DA ADMINISTRAÇÃO PÚBLICA FEDERAL

PERÍODO: 2000 A 2015

Em 2000

Foi publicado o Decreto nº 3.505/2000, instituindo a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal (APF). Esse Decreto criou o Comitê Gestor da Segurança da Informação (CGSI), com atribuição de assessorar a Secretaria -Executiva   do   Conselho   de   Defesa Nacional   (CDN)   na consecução das diretrizes da Política, bem como na avaliação e análise de assuntos relativos aos objetivos estabelecidos nesse Decreto. Integram o CGSI os seguintes 17 órgãos da APF: GSI/PR (que o coordena); CC/PR; CGU; AGU; SECOM/PR; SG/PR; MJ; MD; MRE; MF; MPS; MS; MDIC; MP; MC; MCTI; MME

Em 2001

Foi publicada a Medida Provisória nº 2.200 de 28 de junho de 2001, instituindo a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), incluindo o GSI/PR como membro do Comitê Gestor da ICP-Brasil.

Foi publicado o Decreto nº 3.872 de 18 de julho de 2001, que dispõe sobre o Comitê Gestor da Infra Estrutura de Chaves Públicas Brasileira (CG ICP-Brasil). Este Decreto foi revogado pelo Decreto nº 6.605/2008.

Foi publicado o Decreto nº 3.996 de 31 de outubro de 2001, que dispõe sobre aprestação de serviços de certificação digital no âmbito da APF.

Em 2002

Foi publicado o Decreto nº 4.553 de 27 de dezembro de 2002, que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesses da segurança da sociedade e do Estado, no âmbito da APF. Esse Decreto foi revogado pelo Decreto nº 7.845/2012.

Em 2003

Lei nº 10.683, de 28 de maio de 2003, em seu art. 6º,estabelece ao Gabinete de Segurança Institucional da Presidência da República (GSI/PR) a competência de coordenar as atividades de inteligência federal e de segurança da informação do governo, entre outras.

Decreto nº 4.801, de 06 de agosto de 2003, cria a Câmara de Relações Exteriores e Defesa Nacional (CREDEN) do Conselho de Governo, com a finalidade de formular políticas públicas e diretrizes de matérias relacionadas com a área das relações exteriores e defesa nacional do Governo Federal, aprovar, promover a articulação e acompanhar a implementação dos programas e ações estabelecidos, no âmbito de ações cujo escopo ultrapasse a competência de um único Ministério. Integravam à época os seguintes Ministérios: GSI/PR (que a preside); Casa Civil/PR; Justiça;   Defesa;   Relações   Exteriores;   Planejamento,   Orçamento   e   Gestão;   Meio Ambiente e Ciência e Tecnologia, sendo convidados a participar das reuniões, em caráter permanente, os Comandantes da Marinha, do Exército, da Aeronáutica e o Chefe do Estado-Maior Conjunto das Forças Armadas (composição atualizada em 2009 e 2013)

Decreto nº 4.829, de 03 de setembro de 2003, que dispõe sobre a criação do Comitê Gestor da Internet no Brasil -CGI.br, sobre o modelo de governança da Internet no Brasil, e estabelece a coordenação do mesmo a ser exercida pelo, então, Ministério da Ciência e Tecnologia –MCT, contando com governança multissetorial, ou seja, participação de representantes do governo, da academia, do setor empresarial e do terceiro setor.

Em 2004

Criação da equipe de tratamento de incidentes em redes computacionais do governo, CTIR Gov, no GSI/P

Lei nº 10.973, de 02 de dezembro de 2004, publicada como instrumento legal de fomento à inovação

Em 2005

Foi realizada a “I Conferência de Segurança para o Governo (SECGOV-2005)”, sob   a   coordenação   do   GSI/PR,   para   tratar   de   temas   atinentes   à   segurança   da informação e comunicações.

Em 13 de outubro o Brasil assina com Portugal, na Cidade do Porto, acordo de Troca e Proteção Mútua de Informações Classificadas.

Decreto nº 5.563, de 11 de outubro de 2005, regulamenta a Lei de Inovação (Lei nº 10.973/2004) que dispõe sobre incentivos à inovação e à pesquisa científica e tecnológica no ambiente produtivo

Em 2006

Decreto nº 5.772, de 08 de maio de 2006, dispõe sobre a reestruturação do GSI/PR, com inserção de novas atribuições relacionadas à Segurança da Informação no rol de competências da secretaria executiva. Fica, então, criado o Departamento de Segurança   da   Informação   e   Comunicações (DSIC),   com   a   missão   de   planejar   e coordenar as atividades de Segurança da Informação e Comunicações (SIC) na APF.

Foi estabelecida a ação orçamentária 6232 (Capacitação de Recursos Humanos na Área de Segurança da Informação) destinada à formação e ao aprimoramento de recursos humanos com vistas à definição e à implementação de mecanismos capazes de fixar e fortalecer o desenvolvimento e a execução da Segurança da Informação.

Foi estabelecida parceria do GSI/PR, como órgão coordenador das atividades de Segurança da Informação no Governo Federal, com vários órgãos, entre eles, o Ministério do Turismo (MTur), Controladoria-Geral da União (CGU), Advocacia-Geral da União (AGU), Secretaria da Receita Federal (SRF), Secretaria da Receita Previdenciária (SRP), Instituto Nacional do Seguro Social (INSS), Empresa Brasileira de Pesquisa Agropecuária (EMBRAPA), Serviço Federal de Processamento de Dados (SERPRO) empresa Brasileira de Radiodifusão (Radiobrás), Agência Brasileira de Inteligência (ABIN), Banco Central do Brasil (BCB), Banco do Brasil (BB), Caixa Econômica Federal (CEF), Petróleo Brasileiro S.A. (Petrobrás) e a Rede Nacional de Ensino e Pesquisa (RNP), com a finalidade de organizarem atividades em conjunto que possibilitassem a disseminação da cultura da Segurança da Informação.

Foi realizada a “II Conferência de Segurança para o Governo (SECGOV-2006)”, já sob a coordenação do DSIC/GSI/PR.

Em 2007

Iniciou-se a primeira turma do “Curso de Especialização em Gestão de SIC (CEGSIC 2007-2008)”, em convênio com o Departamento de Ciência da Computação da Universidade de Brasília. O CEGSIC 2007-2008 teve carga horária de 375 horas aula, realizadas em regime presencial, nas dependências da Universidade de Brasília. Contou com a participação de 40 alunos agentes públicos da APF e formou 36 especialistas.

Foi realizado o “I Congresso de Segurança da Informação e Comunicações (SICGov-2008)”, no Auditório do Anexo I do Palácio do Planalto, em Brasília, DF.

Em 17 de setembro o Brasil assina com a Espanha, em Madri, Acordo de Troca e Proteção Mútua de Informações Classificadas.

Em 2008

Instrução Normativa GSI nº 01,publicada em 13 de junho de 2008, elaborada de forma colaborativa com os membros do Comitê Gestor de Segurança da Informação (CGSI), disciplinando a Gestão de Segurança da Informação e Comunicações na APF.

Foram publicadas as primeiras Normas Complementares (NC) da IN 01 GSI/PR, a NC nº01 sobre atividade de normatização e NC a nº02 sobre metodologia de gestão de SIC.

Acórdão 1.603/2008-TCU-Plenário de 13 de agosto, divulga o resultado do levantamento da governança de TI, realizado no processo do TCU nº 008.380/2007-1, e recomenda ao GSI/PR que oriente os órgãos e entidades da APF sobre a importância do gerenciamento da segurança da informação, promovendo, inclusive mediante orientação normativa, ações que objetive estabelecer e/ou aperfeiçoar a gestão da continuidade   do   negócio,   a   gestão   de   mudanças,   a   gestão   de   capacidade,   a classificação da informação, a gerência de incidentes, a análise de riscos de TI, a área específica para gerenciamento da segurança da informação, a política de segurança da informação e os procedimentos de controle de acesso.

Foi realizado o “II Congresso de Segurança da Informação e Comunicações (SICGov-2008)”, no Auditório do Conjunto Cultural da Caixa Econômica Federal, em Brasília, DF.

Decreto nº6.703, de 18 de dezembro de 2008, aprova a Estratégia Nacional de Defesa (END) a qual estabelece o setor cibernético entre os 3 setores estratégicos do País, considerados essenciais para a defesa   nacional.   Realça   que para o setor cibernético será constituída organização encarregada de desenvolver a capacitação cibernética nos campos industrial e militar.   Além de realçar as medidas para a segurança das áreas de infraestruturas críticas, incluindo serviços, em especial no que se refere à energia, transporte, água e telecomunicações, a cargo dos Ministérios da Defesa, das Minas e Energia, dos Transportes, da Integração Nacional e das Comunicações, e ao trabalho de coordenação, avaliação, monitoramento e redução de riscos, desempenhado pelo Gabinete de Segurança Institucional da Presidência da República (GSI/PR), o que inclui as infraestruturas críticas de informação.

Instrução   Normativa nº04   da   Secretaria   de   Logística   e   Tecnologia   da Informação –SLTI, do Ministério do Planejamento, Orçamento e Gestão –MP, dispõe sobre o processo de contratação de Soluções de Tecnologia da Informação pelos órgãos integrantes do Sistema de Administração dos Recursos de Informação e Informática –SISP, do Poder Executivo Federal.

Em 13 de agosto, o Brasil assina com a Rússia, em Moscou, o Acordo de Troca e Proteção Mútua de Informações Classificadas.

Foi publicado o Decreto nº 6.605 de 14 de julho de 2008, dispondo sobre o Comitê Gestor da ICP-Brasil, revogando o Decreto nº 3.872/2001 e fazendo nova redação.

Portaria GSI/PR nº 31, de 06de outubro de 2008, institui a Rede Nacional de Excelência em Segurança da Informação e Criptografia –RENASIC.

Em 2009

Foram publicadas mais quatro Normas Complementares à IN 01 GSI/PR:

NC 03/IN01/DSIC/GSI/PR -Diretrizes para a Elaboração de Política de Segurança da Informação e Comunicações nos Órgãos e Entidades da APF;

NC   04/IN01/DSIC/GSI/PR –Gestão de Riscos de  Segurança da  Informação e Comunicações -GRSIC nos órgãos e entidades da Administração Pública Federal;

NC   05/IN01/DSIC/GSI/PR -Disciplina   a   criação   de   Equipes   de Tratamento e Respostas a Incidentes em Redes Computacionais -ETIR nos órgãos e entidades da Administração Pública Federal; e

NC   06/IN01/DSIC/GSI/PR -Estabelece   Diretrizes   para   Gestão   de Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal, direta e indireta.

Iniciou-se a segunda turma do “Curso de Especialização em Gestão de SIC (CEGSIC 2009-2010)”, em convênio com o Departamento de Ciência da Computação da Universidade de Brasília. O CEGSIC 2009-2010 teve carga horária de 375 horas aula, realizadas em regime presencial, nas dependências da Universidade de Brasília. Contou com a participação de 40 alunos agentes públicos da APF e formou 39 especialistas.

Foi realizado o “III Congresso de Segurança da Informação e Comunicações (SICGov-2009)”, na Universidade Corporativa dos Correios, Brasília –DF, com foco em segurança cibernética.

O DSIC/SE/GSI/PR apoiou o evento da Organização dos Estados Americanos (OEA), realizado nos dias 16 a 20 de novembro de 2009, no Rio de Janeiro, que contou com a presença de 136 participantes estrangeiros, representantes dos países do continente americano, com a finalidade de estabelecer proposta de “Estratégia Nacional de Segurança Cibernética do Hemisfério”, para os países da região.

Decreto nº 7.009, de 12 de novembro de 2009, inclui o tema segurança cibernética nos objetivos da Câmara de Relações Exteriores e Defesa Nacional –CREDEN do Conselho de Governo, e realça o acompanhamento e estudo de questões e fatos relevantes com potencial de risco à estabilidade institucional, para prover informações   ao   Presidente   da   República.   A   composição   foi   então   atualizada contemplando os seguintes Ministérios: GSI/PR (que a preside); Casa Civil/PR; Justiça; Defesa; Relações Exteriores; Planejamento, Orçamento e Gestão; Meio Ambiente; Ciência e Tecnologia; Fazenda e SAE/PR, sendo convidados a participar das reuniões, em caráter permanente, os Comandantes da Marinha, do Exército, da Aeronáutica e o 25

Chefe do Estado-Maior Conjunto das Forças Armadas (composição atualizada em 2013).

Portaria CREDEN nº45, de 8 de setembro de 2009, institui o Grupo Técnico de Segurança Cibernética, com o objetivo de propor diretrizes e estratégias para a Segurança   Cibernética,   no   âmbito da  Administração   Pública   Federal.   Órgãos integrantes: GSI/PR; MRE; MJ; MD; MD/EB; MD/MB; e MD/COMAER.

A Diretriz Ministerial nº14/2009 atribuiu ao Exército Brasileiro institucionalizar o Núcleo do Centro de Defesa Cibernética do Exército (Nu CDCiber).

 Em 2010

Foi contratada a Fundação Trompowsky do Exército Brasileiro para planejar, customizar e manter infraestrutura de ambiente virtual para a realização de Cursos de Fundamentos de Gestão de SIC, na modalidade de ensino a distância -EAD, incluindo a execução de duas turmas que, juntas, totalizaram   350 servidores de órgãos e entidades da APF.

Iniciou-se a terceira turma do CEGSIC na modalidade de ensino a distância (EAD), em convênio com a Universidade de Brasília (UnB), destinado a especializar 180 servidores de órgãos e entidades da APF, formando 146 especialistas.

Foi realizado o “IV Congresso de Segurança da Informação e Comunicações (SICGov-2010)”, na Universidade Corporativa dos Correios, com o tema: Visão de Futuro para Segurança Cibernética.

Foi publicado o Acórdão 2.308/2010-TCU-Plenário de 8 de setembro de 2010 divulgando o resultado do levantamento da governança de TI realizado no processo do TCU nº 000.390/2010-0. O referido Acórdão descreve que não houve melhora nos processos de segurança da informação na APF, porém, ressalva que a piora em parte dos indicadores pode não refletir deterioração da situação segurança da informação da APF, mas sim uma possível melhora na compreensão dos conceitos questionados, e por fim, reconhece o trabalho do GSI/PR a respeito da Segurança da Informação com a publicação da IN 01 GSI/PR e respectivas Normas Complementares.

Foram publicadas mais 3 Normas Complementares à IN 01 GSI/PR:

NC 07/IN01/DSIC/GSI/PR – Estabelece as Diretrizes para Implementação de Controles de Acesso Relativos à Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta;

NC 08/IN01/DSIC/GSI/PR -Estabelece as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal; e

NC 09/IN01/DSIC/GSI/PR -Estabelece orientações específicas para o uso de recursos criptográficos em Segurança da Informação e Comunicações, nos órgãos ou entidades da Administração Pública Federal (APF), direta e indireta.

Foi ativado o Núcleo do Centro de Defesa Cibernética, tendo como principal atribuição coordenar as atividades do setor cibernético no Exército.

Em 22 de novembro, o Brasil assina com a Itália, em Roma, o Acordo de Troca e Proteção Mútua de Informações Classificadas.

Em 24 de novembro, o Brasil assina com Israel, em Tel Aviv, o Acordo de Troca e Proteção Mútua de Informações Classificadas.

Em 2011

Lei nº12.527, de 18 de novembrode 2011 (Lei de Acesso à Informação) traz a primazia da transparência das informações sob a custódia do Estado.

Decreto nº 7.579, de 11 de outubro de 2011, dispõe sobre o Sistema de Administração dos Recursos de Tecnologia da Informação -SISP, do Poder Executivo federal, e estabelece que o Órgão Central do SISP, Ministério de Planejamento, Orçamento e Gestão, elaborará, em conjunto com os Órgãos Setoriais e Seccionais do SISP, a “Estratégia Geral de Tecnologia da Informação –EGTI” para a Administração direta, autárquica e fundacional do Poder Executivo Federal, revisada e publicada anualmente, para servir de subsídio à elaboração dos PDTI pelos órgãos e entidades integrantes do SISP.

Foi publicado o Acórdão 1.145/2011-TCU-Plenário de 4 de maio de 2011, realizado no processo TCU nº 028.772/2010-5, especificando que o GSI/PR, dentre outros, é um Órgão Governante Superior (OGS) com a responsabilidade de normatizar aspectos da Segurança da Informação e Comunicações,   em seus   respectivos segmentos da APF.

Transferência da Rede Nacional de Excelência em Segurança da Informação e Criptografia –RENASIC do GSI/PR para o CDCiber/EB/MD.

 Em 2012

Foi publicado o Acórdão 1.233/2012-TCU-Plenário de 23 de maio de 2012 referenciando o resultado do levantamento da governança de TI realizado no processo do TCU nº011.772/2010-7. O referido Acórdão recomenda ao GSI/PR que:

Articule-se com as Escolas de Governo, notadamente à ENAP, a fim de ampliar a oferta de ações de capacitação em segurança da informação para os entes sob sua jurisdição;

Oriente os órgãos e entidades sob sua jurisdição que a implantação dos controles gerais de segurança da informação positivados nas normas do GSI/PR não é faculdade,   mas   obrigação   da Alta Administração,   e   sua   não implantação   sem justificativa é passível da sanção prevista na Lei; e

Reveja   a   Norma   Complementar   4/IN01/DSIC/GSIPR,   uma   vez   que aborda o tema gestão de riscos considerando apenas ativo de informação e não ativo em sentido amplo, como o faz a NBR ISO/IEC 27.002 no item 7.1.1.

Foram publicadas mais sete Normas Complementares à IN 01GSI/PR:

NC 10/IN01/DSIC/GSI/PR -Estabelece diretrizes para o processo de Inventário e Mapeamento de Ativos de Informação, para apoiar a Segurança da Informação e Comunicações (SIC), dos órgãos e entidades da Administração Pública Federal, direta e indireta –APF;

NC 11/IN01/DSIC/GSI/PR -Estabelece diretrizes para avaliação de conformidade nos aspectos relativos à Segurança da Informação e Comunicações (SIC) nos órgãos ou entidades da Administração Pública Federal, direta e indireta -APF;

NC 12/IN01/DSIC/GSI/PR -Estabelece diretrizes e orientações básicas para o uso de dispositivos móveis nos aspectos referentes à Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta;

NC 13/IN01/DSIC/GSI/PR -Estabelece diretrizes para a Gestão de Mudanças nos aspectos relativos à Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da Administração Pública Federal, direta e indireta (APF);

NC 14/IN01/DSIC/GSIPR -Estabelece diretrizes para a utilização de tecnologias de Computação em Nuvem, nos aspectos relacionados à Segurança da Informação e Comunicações (SIC), nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta;

NC   15/IN01/DSIC/GSI/PR -Estabelece diretrizes de Segurança   da Informação e Comunicações para o uso de redes sociais, nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta;

NC    16/IN01/DSIC/GSIPR -Estabelece as Diretrizes para o Desenvolvimento   e   Obtenção   de   Software   Seguro   nos   Órgãos   e   Entidades   da Administração Pública Federal, direta e indireta.

Foi publicado o Acórdão 2.585/2012-TCU-Plenário de 26 de setembro de 2012 divulgando o resultado do levantamento da governança de TI realizado no processo do TCU nº 007.887/2012-4.

O Decreto nº 7.724, de 16 de maio de 2012 regulamenta a LAI no âmbito do Poder Executivo Federal, estabelecendo as diretrizes para a transparência ativa e passiva. No mesmo dia, a Lei de Acesso à Informação entra em vigor.

Decreto nº 7.845, de 14 de novembro de 2012 é publicado encerrando a regulamentação   da   LAI, estabelecendo   o   tratamento   para   as   informações   com restrição de acesso e dispondo sobre o Núcleo de Segurança e Credenciamento (NSC) no GSI/PR.

Foram publicadas duas leis contra o crime cibernético:

Lei nº 12.737, de 30 de novembro de 2012, a qual dispõe sobre a tipificação criminal de delitos informáticos.

Lei nº12.735, de 30 de novembro de 2012, a qual tipifica as condutas realizadas mediante uso de sistema eletrônico, digital ou semelhante, que sejam praticadas contra sistemas informatizados e similares.

A “Política   Cibernética  de   Defesa” é   estabelecida   por   meio   da   Portaria Normativa nº3.389/MD, com a finalidade de orientar, no âmbito do Ministério da Defesa (MD), as atividades de Defesa Cibernética, no nível estratégico, e de Guerra Cibernética, nos níveis operacional e tático, visando à consecução dos seus objetivos.

Em 2013

Foram publicadas mais duas Normas Complementares à IN 01 GSI/PR:

NC   17/IN01/DSIC/GSI/PR -Estabelece   Diretrizes   nos   contextos   de atuação e adequações para Profissionais da Área de Segurança da Informação e Comunicações (SIC) nos Órgãos e Entidades da Administração Pública Federal (APF).

NC 18/IN01/DSIC/GSI/PR -Estabelece as Diretrizes para as Atividades de Ensino em Segurança da Informação e Comunicações (SIC) nos Órgãos e Entidades da Administração Pública Federal (APF).

Com a publicação da LAI em 2011 e seus Decretos regulamentadores no âmbito do Poder Executivo Federal, fez-se necessário revisar a NC 09/IN01/DSIC/GSI/PR, principalmente, em relação ao conceito de algoritmo de Estado.

Conforme determinação do Acórdão nº 1.233/2012-TCU- Plenário de 23 de maio de 2012, foi feita a primeira revisão da NC 04/IN01/DSIC/GSI/PR, na qual foi incluído item 2,nas considerações gerais, o seguinte texto:

A Gestão de Riscos de Segurança da Informação e Comunicações, objeto desta Norma Complementar, está limitada ao escopo das ações de Segurança da Informação   e   Comunicações e   tais   ações   compreendem   apenas   as   medidas   de proteção dos ativos de informação, conforme definido nesta Norma.

Iniciou-se a quarta turma do CEGSIC na modalidade de ensino a distância (EAD), em convênio com a Universidade de Brasília (UnB), destinado a especializar 216 servidores de órgãos e entidades da APF, com previsão de formatura de mais 140 especialistas ao final do curso em 2015.

Portaria SAE/PR nº 124 institui Grupo de Trabalho Interministerial (GTI) com o objetivo de elaborar proposta de Plano Estratégico para promover ou subsidiar o aperfeiçoamento das políticas públicas voltadas à segurança e defesa do espaço cibernético nacional. O art.3º dacitada Portaria nomeia os membros Titulares e Suplentes que representam os seguintes órgãos que integram o GTI: SAE/PR; MD;MRE; MEC; MDIC; MP; MCTI; MC; GSI/PR; CGI.br; ANATEL; SERPRO; DATAPREV; e TELEBRÁS

IN GSI/PR 02, de 5 de fevereiro de 2013, regulando o Credenciamento de Segurança e o tratamento de informação classificada em grau de sigilo.

IN GSI/PR 03, de 6 de março de 2013, estabelecendo os parâmetros e padrões mínimos dos recursos criptográficos baseados em algoritmos de Estado.

NC 01/IN02/DSIC/GSI/PR, de 27 de junho de 2013, inaugura os trabalhos de Credenciamento sob a égide das novas regras para o tratamento das informações classificadas em grau de sigilo.

Decreto nº 8.096, de 04 de setembro de 2013, atualiza a composição da CREDEN, e a Câmara passa a contar com os seguintes Ministérios: GSI/PR (que a preside); Casa Civil/PR; Justiça; Defesa; Relações Exteriores; Planejamento, Orçamento e Gestão; Meio Ambiente; Ciência e Tecnologia; Fazenda; SAE/PR; Integração Nacional; Minas e Energia; e Transportes, sendo convidados a participar das reuniões, em caráter permanente, os Comandantes da Marinha, do Exército, da Aeronáutica e o Chefe do Estado- Maior Conjunto das Forças Armadas.

Decreto Legislativo nº 3703, de 12de julho de 2013, atualiza a “Estratégia Nacional de Defesa” e aprova o “Livro Branco de Defesa Nacional”. Entre as premissas sobre o setor cibernético, cita que a proteção do espaço cibernético abrange um grande número de áreas, como: capacitação, inteligência, pesquisa científica, doutrina, preparo e emprego operacional; e gestão de pessoal.

Decreto nº 8.135, de 04 de novembro de 2013, dispõe sobre as comunicações de dados da administração pública federal direta, autárquica e fundacional, e sobre a dispensa   de   licitação   nas   contratações   que possam   comprometer  a   segurança nacional.

Em 2014

A NC 09/IN01/DSIC/GSI/PR recebeu a segunda revisão, destacando-se o novo conceito de algoritmo registrado:

Algoritmo Registrado: função matemática utilizada na cifração e na decifração de informações não classificadas, para uso exclusivo em interesse do serviço de órgãos ou entidades da APF, direta e indireta, cujo código fonte e método de processo sejam passíveis de controle e auditoria.

A NC 07/IN01/DSIC/GSI/PR recebeu a primeira revisão, sendo incorporado o tema “Biometria” como controle de acesso.

Foram publicadas três normas complementares à IN 01 GSI/PR:

NC 19/IN01/DSIC/GSI/PR estabelece Padrões Mínimos de Segurança da Informação e Comunicações para os Sistemas Estruturantes da Administração Pública Federal (APF), direta e indireta;

NC   20/IN01/DSIC/GSI/PR estabelece   as   Diretrizes   de   Segurança   da Informação   e   Comunicações   para   Instituição   do   Processo   de   Tratamento   da Informação nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta; e

NC 21/IN01/DSIC/GSI/PR estabelece as Diretrizes para o Registro de Eventos, Coleta e Preservação de Evidências de Incidentes de Segurança em Redes nos órgãos e entidades da Administração Pública Federal, direta e indireta. No mesmo ano, essa NC recebeu a primeira revisão.

Foi publicado o Acórdão 3.051/2014-TCU-Plenário de 5 de novembro de 2014, referente ao processo do TCU nº 023.050/2013-6. Esse Acórdão contextualiza as auditorias realizadas em diversos órgãos e entidades da Administração Pública federal com o objetivo de avaliar a implementação dos controles de TI informados em resposta ao levantamento do perfil de governança de TI de 2012. Pontos de interesses da segurança da informação:

A segurança da informação segue sendo objeto de preocupação. Há baixa conformidade das organizações para com os normativos e com as boas práticas aplicáveis. Na maioria das organizações fiscalizadas na primeira fase, falhas foram observadas: a) 80% -falhas na gestão de continuidade de negócio; b) 70% -falhas no controle de acesso; c) 75% -falhas na gestão de incidentes; e, d) 85% – falhas na gestão de riscos de segurança da informação.

Principais causas estão ligadas a falhas típicas de governança, como a falta de designação de um responsável pela segurança da informação, fato observado em 40% das organizações.

Houve   tendência   de   mudança   de   comportamento   dos   dirigentes públicos sobre a segurança da informação.

A redução dos percentuais observados não se traduz necessariamente em retrocesso, mas pode ser interpretado como amadurecimento dos gestores de TI no   sentido   de   compreender   melhor   os   conceitos   relacionados   à   segurança   da informação.

Ainda não há, por exemplo, um planejamento estratégico do Estado brasileiro que reúna e coordene ações dos diversos atores responsáveis por assuntos ligados a essa área.

Recomendações   ao   GSI/PR: elabore   e   acompanhe   periodicamente planejamento que abranja a estratégia geral de segurança da informação para o setor sob sua jurisdição; e alerte as organizações sob sua jurisdição que a elaboração periódica   de   planejamento   das   ações   de   segurança   da   informação   é   obrigação expressa prevista no item 3.1 da Norma Complementar 02/IN01/DSIC/GSI/PR.

Foi publicado o Acórdão 3.117/2014-TCU-Plenário de 12 de novembro de 2014, referente   ao   processo   do   TCU   nº   003.732/2014-2.   Trata-se   de   relatório   de levantamento realizado com o objetivo de acompanhar a situação da Governança de Tecnologia da Informação na Administração Pública Federal, realizado a cada dois anos pelo TCU. Pontos de interesses da segurança da informação:

A segurança da informação tem sido objeto de preocupação em todos os levantamentos anteriores por causa da baixa conformidade das organizações em relação aos normativos e às boas práticas aplicáveis.

Como referência para elaboração das questões da auditoria, foram utilizadas principalmente a norma técnica ABNT NBR ISO/IEC 27002:2005 e as normas complementares do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República (DSIC/GSI/PR).

Apesar   de   ser   o   principal   instrumento   direcionador   da   gestão   da segurança   da   informação,   preocupa   que   apenas   66%   (15%   parcialmente   e 51% integralmente) das organizações participantes declarem dispor de uma política de segurança   da   informação   formalmente   instituída,   como norma   de   cumprimento obrigatório.

Apesar   de   ser   o   principal   instrumento   direcionador   da gestão   da segurança da informação, preocupa que apenas 66% das organizações participantes declarem dispor de uma política de segurança da informação formalmente instituída, como norma de cumprimento obrigatório;

O   comitê   de   segurança   da   informação   formalmente   instituído, composto por representes das áreas relevantes da organização e responsável por formular   e   conduzir   diretrizes   para   a   segurança   da informação   corporativa,   é encontrado em 62% das organizações, segundo declarado.

Observa-se que apenas 50% das organizações declararam possuir gestor da   segurança   da   informação   formalmente   designado,   responsável   pelas   ações corporativas de segurança da informação.

Quanto à política que normatiza o acesso às informações e aos recursos e serviços de TI, somente 52% (declararam dispor desse normativo formalmente instituído, com cumprimento obrigatório).

Quanto à política de cópias de segurança (backup), que são necessárias para garantir a disponibilidade das informações em casos de falhas de sistemas ou pessoas, somente 54% declararam dispor desse normativo formalmente instituído, com cumprimento obrigatório.

Lei nº12.965, de 23 de abril de 2014, conhecida como Marco Civil da Internet, estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil.

Portaria Normativa MD 2.777, de 27de outubro de 2014, aprova a diretriz de implantação de medidas visando à potencialização da Defesa Cibernética Nacional e cria o Comando de Defesa Cibernética –ComDCiber e a Escola Nacional de Defesa. Cibernética–EnaDCiber, na Estrutura Regimental do Comando do Exército, com ênfase na implantação e a consolidação do Sistema de Homologação e Certificação de Produtos de Defesa Cibernética, o apoio à pesquisa e ao desenvolvimento de produtos de defesa cibernética, bem como a criação do Observatório de Defesa Cibernética.

Em 14 de abril o Brasil assina com a Suécia, em Estocolmo, o Acordo de Troca e Proteção Mútua de Informações Classificadas.

Durante todo o ano, na qualidade de Autoridade Nacional de Segurança (ANS) exercida GSI/PR, manteve estreita relação com o Ministério das Relações Exteriores na articulação, tanto de ajustes nos Acordos de Troca e Proteção Mútua de Informações Classificadas assinados com seispaíses, visando alinhamento à LAI, quanto de novos acordos demandados por outros 14 países.

Portaria   Interministerial   MP MD MC nº 141,   de   02   de   maio   de 2014,

Regulamenta o Decreto nº8.135/2013, dispõe para toda a administração pública federal o dever de realizar as suas comunicações, armazenamentos e recuperações de dados através de redes de telecomunicações e serviços de tecnologia de informação fornecidos por órgãos ou entidades da própria administração pública federal (SERPRO, TELEBRÁS, DATAPREV, entre outros), com exceção de serviço móvel pessoal e serviço telefônico fixo comutado, garantindo-se a segurança da informação e comunicações conforme   normativos   do   GSI/PR.   O   SERPRO   inicia   implantação   do   serviço   de mensageira Expresso V3 na APF.

Publicada a “Doutrina Militar de Defesa Cibernética (MD31-M-07,   1ª Edição/2014)”, por meio da Portaria normativa nº3.010/MD, de 18 de novembro de 2014.

Relatório Final da CPI da Espionagem, elaborado pela Comissão Parlamentar de Inquérito   destinada   a   investigar   a   denúncia   de   existência   de   um   sistema   de espionagem,   estruturado   pelo   governo   dos   Estados   Unidos,   com   o   objetivo   de monitorar e-mails, ligações telefônicas, dados digitais, além de outras formas de captar informações   privilegiadas   ou   protegidas   pela Constituição   Federal   aponta   para diversos aspectos essenciais e recomendações à segurança da informação e segurança cibernética, entre eles:

Elaboração   de   uma   Estratégia   Nacional   de   Segurança Cibernética, realçando que houve unanimidade entre os convidados à CPI, de que mais urgente do que a Estratégia, é   que   sejam   delineadas   as   principais   medidas   de segurança cibernética para o Estado brasileiro, englobando ações coordenadas entre os setores público e privado.

Criação de uma agência para a segurança cibernética no âmbito da Administração Pública Federal, favorecendo visão de conjunto no tema e ações mais eficazes e efetivas. Alternativamente à criação de um novo órgão, poderia ser alterada a estrutura de órgão já existente, modificando suas atribuições, para lhe conferir capacidade   de   atuar,   com   independência,   em   sua   totalidade e em estreita coordenação com os demais órgãos atuantes nos mais diversos temas que englobam a segurança cibernética.

Até o 1º. Trimestre de 2015

Regulamentação do Marco Civil da Internet, processo de regulamentação da Lei nº 12.965/2014, em andamento por meio de consultas públicas pelo Comitê Gestor da Internet e pelo Ministério da Justiça.

Projeto de Lei de Dados Pessoais. Em consulta pública disponibilizada pelo Ministério da Justiça. Alteração da Instrução Normativa SLTI nº04, em 12 de janeiro de 2015, estabelecendo a “Estratégia Geral de Tecnologia da Informação e Comunicações (EGTIC) –2014/2015”, a qual compreende um instrumento de gestão do Sistema de Administração dos Recursos de Tecnologia da Informação (SISP), traçando a direção da Tecnologia da Informação e Comunicações (TIC), e definindo o plano estratégico que visa promover a melhoria contínua da gestão e governança de TIC no governo.

Em fevereiro de 2015, realização da “II Jornada de Discussões dos Projetos ENaDCiber e SHCDCiber”, evento organizado pelo CDCiber/EB/MD em parceria com a UnB, para debater sobre a concepção e a viabilidade de criação da Escola Nacional de Defesa Cibernética (ENaDCiber) e do Sistema de Homologação e Certificação de Produtos e Serviços de Defesa Cibernética (SHCDCiber).

Decreto nº 8.414, de 26de fevereiro de 2015,institui o Programa “Bem Mais Simples Brasil” com a finalidade de simplificar e agilizar a prestação dos serviços públicos e de melhorar o ambiente de negócios e a eficiência da gestão pública. Objetivos: (i)simplificar eagilizar o acesso do cidadão, das empresas e das entidades sem fins lucrativos aos serviços e informações públicos; (ii) promover a prestação de informações e serviços públicos por meio eletrônico; (iii) reduzir formalidades e exigências na prestação de serviços públicos; (iv) promover a integração dos sistemas de informação pelos órgãos públicos para oferta de serviços públicos; (v) celebrar o “Pacto Bem Mais Simples Brasil” com os demais Poderes da União e com os Estados, o Distrito Federal e os Municípios; e (vi) modernizar a gestão interna da administração pública.

 Objetivos:

(i) simplificar e agilizar o acesso do cidadão, das empresas e das entidades sem fins lucrativos aos serviços e informações públicos;

(ii) promover a prestação de informações e serviços públicos por meio eletrônico;

(iii) reduzir formalidades e exigências na prestação de serviços públicos;

(iv) promover a integração dos sistemas de informação pelos órgãos públicos para oferta de serviços públicos;

(v) celebrar o “Pacto Bem Mais Simples Brasil” com os demais Poderes da União e com os Estados, o Distrito Federal e os Municípios; e (vi) modernizar a gestão interna da administração pública.

Fonte: GSI/PR

CATEGORIAS

Destaques Notícias