Breve Histórico sobre a Infraestrutura de Chaves Públicas Brasileira

As primeiras discussões sobre a criação de uma infraestrutura de chaves públicas para o governo iniciaram em 1999, com o Grupo de Trabalho de Segurança da Informação da Câmara Técnica de Serviços de Rede – GT3/CTSR, sob a gerência da Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão. Para tanto, foi instituído o Grupo de Trabalho Interministerial (GTI) através da Portaria nº 043 da Casa Militar da Presidência da República – CMPR, tendo como objetivo principal propor aos órgãos do Poder Executivo Federal a adoção de instrumentos jurídicos, normativos e organizacionais que os capacitassem científica, tecnológica e administrativamente a assegurar o sigilo, a integridade, a autenticidade, a irretratabilidade e a disponibilidade dos dados e das informações tratadas, classificadas e sensíveis. Em março de 2000 foi submetido ao Comitê Gestor de Segurança da Informação – CGSI a proposta de criação da Infraestrutura de Chave Pública do Poder Executivo – ICP- Gov, ou Infraestrutura de Chaves públicas do Poder Executivo Federal (AGP, 2000).

Em 2000, foi criado o Governo Eletrônico Brasileiro e o GTI passou a ser denominado Grupo de Trabalho em Tecnologia da Informação (GTTI), por meio do Decreto de 3 de abril de 2000, com o objetivo de apresentar propostas de soluções, normas e regulamentações com a finalidade de viabilizar as novas formas eletrônicas de interação do governo com o cidadão (G2C), com outros governos (G2G) e com seus fornecedores (G2B).

Em junho de 2000, foi publicada a Política de Segurança da Informação, através do Decreto Nº 3.505. Em setembro do mesmo ano foram estabelecidas normas para a ICP-Gov, através do Decreto Nº 3.587 e apresentada uma proposta de políticas de governo eletrônico para o Poder Executivo. Em outubro, foi criado o Comitê Executivo de Governo Eletrônico (CEGE), através do Decreto de 18 de outubro de 2000, que tinha por objetivo formular políticas, estabelecer diretrizes, coordenar e articular as ações de implantação do Governo Eletrônico.

Em janeiro de 2001, foi a regulamentação legal e normativa para o uso de documentos eletrônicos na Administração Federal. Em junho, foi criada a ICP-Brasil, através da Medida Provisória Nº 2.200, com a finalidade de garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, assim como a

realização de transações eletrônicas seguras. Em outubro foram

estabelecidas as primeiras diretrizes sobre a prestação de serviços de certificação digital.

Em 2003, o ITI passa a ser vinculado a Casa Civil da Presidência da República.

Desde janeiro de 2001, a Presidência da República passou a receber documentos dos Ministérios, exclusivamente em meio eletrônico, com uso da certificação digital. Foi implantada a expansão da tramitação eletrônica de documentos, envolvendo os Gabinetes de Ministro e as Secretarias de Ministério, por meio do Sistema de Geração e Tramitação de Documentos Oficiais – SIDOF. E, somente a partir de 17 de dezembro, a divulgação dos atos oficiais federais pelo sítio da Imprensa Nacional na internet passou a ser realizada on- line, tão logo assinado e numerado o documento e autorizada sua publicação (IGTI, 2014)

Em 31 de maio de 2004, foi publicado o documento de referência sobre os Padrões de Interoperabilidade em Governo Eletrônico (e- PING), que dentre outras questões, estabelece que o uso de criptografia e certificação digital, para a proteção do tráfego, armazenamento de dados, controle de acesso, assinatura digital e assinatura de código, deve estar em conformidade com as regras da ICP-Brasil.

O Termo de Referência do Comitê Gestor ICP-Brasil surgiu da necessidade de definição de um arcabouço de normatização institucional que detalhasse as suas funções, atribuições, competências e organização funcional, onde foram definidos nove princípios básicos, que devem ser satisfeitos, a fim de garantir a eficácia da ICP-Brasil:

1) Responsabilização – a responsabilidade e a responsabilização dos proprietários, prestadores de serviço e usuários de sistemas de informação e outras partes envolvidas com a segurança dos sistemas de informação devem ser explicitas e documentadas;

2) Conhecimento - os proprietários, prestadores de serviço e usuários dos sistemas de informação e outras partes envolvidas devem prontamente, e de maneira consistente com a manutenção da segurança, adquirir conhecimentos apropriados da existência e da abrangência geral das medidas, práticas e procedimentos relacionados à segurança dos sistemas de informação, mantendo-se informados sobre esse conjunto normativo;

3) Ética – os sistemas de informação que integrarão a ICP-Brasil e os seus mecanismos de segurança deverão ser fornecidos e utilizados de maneira tal que os direitos e interesses legítimos de outrem sejam respeitados;

4) Multidisciplinaridade - normas, práticas e procedimentos relacionados com a segurança dos sistemas de informação integrantes da ICP-Brasil deverão considerar os pontos de vista relevantes, inclusive os técnicos, administrativos, organizacionais, operacionais, comerciais, educacionais e jurídicos, tratando cada um destes de forma adequada;

5) Proporcionalidade - A ICP-Brasil deverá contemplar níveis de segurança, normas, práticas e procedimentos compatíveis com a criticidade, a importância e o valor dos sistemas de informação que a utilizem, considerando-se os ambientes específicos envolvidos;

6) Integração - as normas, práticas e procedimentos relacionados à segurança dos sistemas de informação deverão ser coordenados e integrados de modo a se criar um conjunto harmônico e coerente de segurança da informação para o governo e sociedade civil;

7) Atualização - a segurança dos sistemas de informação integrantes da ICP-Brasil deverá ser reavaliada periodicamente, na medida em que os sistemas de informação e as exigências ligadas à sua segurança variam em relação ao tempo e momento tecnológico considerado;

8) Escalabilidade - a perspectiva de crescimento que abrange tanto o número de aplicações quanto à quantidade de usuários; e

9) Interoperabilidade - os sistemas que compõem a ICP-Brasil preferencialmente devem obedecer ao paradigma de sistemas abertos de modo a se reduzir ao máximo as incertezas relacionadas com a integração de outros sistemas à infraestrutura existente.