Normas Brasileiras

O Departamento de Segurança da Informação e Comunicações - DSIC (BRASIL, 2013), órgão da Presidência da República, é responsável por: coordenar a execução de ações de segurança da informação e comunicações na APF; definir requisitos metodológicos para implementação de ações de segurança da informação e comunicações pelos órgãos e entidades da APF; operacionalizar e manter centro de tratamento e resposta a incidentes ocorridos nas redes de computadores da APF; avaliar tratados, acordos ou atos internacionais relacionados à segurança da informação e comunicações; coordenar as atividades relacionadas à segurança e ao credenciamento de pessoas e de empresas no trato de assuntos e documentos sigilosos; e exercer outras atribuições que lhe forem delegadas pelo Secretário-Executivo. As normas emanadas desse órgão regulam as questões de segurança da informação na APF e são fiscalizadas, quanto ao seu cumprimento, pelo TCU.

A Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008, disciplina a Gestão de Segurança da Informação e Comunicações na APF, direta e indireta, e dá outras providências. Esta norma, dentre outros, estabelece que:

a) Compete ao Gabinete de Segurança Institucional da Presidência da República (GSI/PR), por intermédio do Departamento de Segurança da Informação e Comunicações (DSIC), planejar e coordenar as atividades de segurança da informação e comunicações na APF.

b) Compete ao Comitê Gestor de Segurança da Informação - CGSI assessorar o GSI no aperfeiçoamento da Gestão de Segurança da Informação e Comunicações da APF.

c) Compete aos demais órgãos e entidades da APF, em seu âmbito de atuação, coordenar as ações de segurança da informação e comunicações.

A Norma Complementar nº 02/IN01/DSIC/GSI/PR, de 13 de outubro de 2008, define a metodologia de gestão de segurança da informação e comunicações utilizada pelos órgãos e entidades da APF, direta e indireta. Baseia-se no processo de melhoria contínua denominado ciclo “PDCA” (Plan-Do- Check-Act), referenciado pela norma ABNT NBR ISO/IEC 27001:2006. É

explicado na norma que a escolha desta metodologia levou em consideração três critérios:

a) Simplicidade do modelo;

b) Compatibilidade com a cultura de gestão de segurança da informação em uso nas organizações públicas e privadas brasileiras;

c) Coerência com as práticas de qualidade e gestão adotadas em órgãos públicos brasileiros.

A Norma Complementar nº 03/IN01/DSIC/GSI/PR, de 30 de junho de 2009, tem por objetivo estabelecer diretrizes, critérios e procedimentos para elaboração, institucionalização, divulgação e atualização da Política de Segurança da Informação e Comunicações (POSIC) nos órgãos e entidades da APF, direta e indireta. Considera que:

I. A Política de Segurança da Informação e Comunicações declara o comprometimento da alta direção organizacional com vistas a prover diretrizes estratégicas, responsabilidades, competências e o apoio para implementar a gestão de segurança da informação e comunicações nos órgãos ou entidades da APF, direta e indireta;

II. As diretrizes constantes na Política de Segurança da Informação e Comunicações no âmbito do órgão ou entidade visam viabilizar e assegurar a disponibilidade, integridade, confidencialidade e autenticidade da informação.

Esta norma traz no item 5.3.7 - Competências e Responsabilidades, a recomendação dos seguintes procedimentos:

I. Definir a estrutura para a Gestão da Segurança da Informação e Comunicações;

II. Instituir o Gestor de Segurança da Informação e Comunicações do órgão ou entidade da APF, dentre servidores públicos civis ou militares, conforme o caso, com as seguintes responsabilidades:

a) Promover a cultura de segurança da informação e comunicações;

b) Acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;

c) Propor recursos necessários às ações de segurança da informação e comunicações;

d) Coordenar o Comitê de Segurança da Informação e Comunicações e a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais;

e) Realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na segurança da informação e comunicações;

f) Manter contato permanente e estreito com o Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República para o trato de assuntos relativos à segurança da informação e comunicações;

g) Propor normas e procedimentos relativos à segurança da informação e comunicações no âmbito do órgão ou entidade da APF.

III. Instituir o Comitê de Segurança da Informação e Comunicações do órgão ou entidade da APF com as seguintes responsabilidades:

a) Assessorar na implementação das ações de segurança da informação e comunicações no órgão ou entidade da APF;

b) Constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação e comunicações; e

c) Propor Normas e Procedimentos internos relativos à segurança da informação e comunicações, em conformidade com as legislações existentes sobre o tema.

IV. Instituir a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais do órgão ou entidade da APF.

A norma ainda recomenda que, para a institucionalização da Política de Segurança da Informação e Comunicações (POSIC) no órgão ou entidade da APF, seja ela implementada através da formalização e da aprovação por parte da autoridade máxima responsável pelo órgão ou entidade da APF, demonstrando a todos os servidores e usuários o seu comprometimento; que seja garantida a provisão dos recursos necessários para a implementação da POSIC por parte do órgão ou entidade da APF; e que seja promovida, no órgão ou entidade da APF, a

cultura de segurança da informação e comunicações, por meio de atividades de sensibilização, conscientização, capacitação e especialização.

Por fim, recomenda que a POSIC e suas atualizações devam ser divulgadas a todos os servidores, usuários, prestadores de serviço, contratados e terceirizados que habitualmente trabalham no órgão ou entidade da APF.

A Norma Complementar nº 04/IN01/DSIC/GSI/PR, de 15 de fevereiro de 2013, tem por objetivo estabelecer diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC nos órgãos ou entidades da APF, direta e indireta. Considera que:

a) A implantação do processo de Gestão de Riscos de Segurança da Informação e Comunicações busca identificar as necessidades da organização em relação aos requisitos de segurança da informação e comunicações, bem como criar um sistema de Gestão de Segurança da Informação (SGSI) eficaz;

b) Convém que o processo de Gestão de Riscos de Segurança da Informação e Comunicações esteja alinhado ao planejamento estratégico da organização e, também, com o processo maior de gestão de riscos corporativos, se esse existir;

c) A Gestão de Riscos de Segurança da Informação e Comunicações, objeto desta norma complementar, está limitada ao escopo das ações de Segurança da Informação e Comunicações e tais ações compreendem apenas as medidas de proteção dos ativos de informação, conforme definido nesta norma.

Esta norma tem por princípios e diretrizes:

I. As diretrizes gerais do processo de Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC deverão considerar, prioritariamente, os objetivos estratégicos, os processos, os requisitos legais e a estrutura do órgão ou entidade da APF, direta e indireta, além de estarem alinhadas à respectiva Política de Segurança da Informação e Comunicações do órgão. O processo de Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC deve ser contínuo e aplicado na

implementação e operação da Gestão de Segurança da Informação e Comunicações;

II. O processo de Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC deve estar alinhado ao modelo denominado PDCA (Plan-Do-Check-Act), conforme definido na Norma Complementar nº 02/DSIC/GSIPR, publicada no Diário Oficial da União nº 199, Seção 1, de 14 de outubro de 2008, de modo a fomentar a sua melhoria contínua;

III. A Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC deverá produzir subsídios para suportar o Sistema de Gestão de Segurança da Informação e Comunicações e a Gestão de Continuidade de Negócios.

No que tange a responsabilidades, é definido que cabe à alta administração do órgão ou entidade da APF, direta e indireta, aprovar as diretrizes gerais e o processo de Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC observada, dentre outras, a respectiva Política de Segurança da Informação e Comunicações; os Gestores de Segurança da Informação e Comunicações, no âmbito de suas atribuições, são responsáveis pela coordenação da Gestão de Riscos de Segurança da Informação e Comunicações nos órgãos e entidades da APF, direta e indireta; de acordo com as necessidades de cada órgão ou entidade; os Gestores de Segurança da Informação e Comunicações poderão indicar responsáveis pelo gerenciamento de atividades, a quem serão conferidas, no mínimo, as atribuições de análise/avaliação e tratamento dos riscos e a elaboração sistemática de relatórios para os Gestores de Segurança da Informação e Comunicações, em cujo conteúdo constará a análise quanto à aceitação dos resultados obtidos e a consequente proposição de ajustes e de medidas preventivas e proativas à alta administração. A figura 7 apresenta o diagrama do processo de Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC. 

Figura 7 - Processo de Gestão de Riscos de Segurança da Informação e Comunicações

Fonte: Norma Complementar nº 04/IN01/DSIC/GSI/PR, de 15 de fevereiro de 2013, Anexo A, página 8.

A Norma Complementar nº 05/IN01/DSIC/GSI/PR, de 17 de agosto de 2009, tem por objetivo disciplinar a criação de Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais – ETIR nos órgãos e entidades da APF. Esta norma define que os Gestores de Segurança da Informação e Comunicações são os responsáveis por coordenar a instituição, implementação e manutenção da infraestrutura necessária às Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais, nos órgãos e entidades da APF direta e indireta, conforme descrito no inciso V do art 5º da Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008. Cada órgão ou entidade deverá estabelecer, dentre os modelos apresentados, aquele que melhor se adequar às suas necessidades e limitações, ressalvado que, independentemente do modelo escolhido, deverão ser observadas as diretrizes desta Norma. Qualquer que seja o modelo estabelecido, deverá ser designado formalmente um Agente Responsável, que terá, dentre outras atribuições, a de ser a interface com o Centro de Tratamento e Resposta a

Incidentes de Segurança em Redes de Computadores da Administração Pública Federal – CTIR GOV. Este Agente será o responsável por criar os procedimentos internos, gerenciar as atividades e distribuir tarefas para a Equipe ou Equipes que compõem a ETIR.

Destaca-se na norma a liberdade das instituições na forma de estruturar a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais, sendo que a estrutura dependerá do modelo de implementação a ser adotado, do tamanho da organização, do número de localizações geográficas distribuídas e onde as funções estão localizadas, do número de sistemas e plataformas suportadas, do número de serviços a serem oferecidos e do conhecimento técnico do pessoal existente.

A Norma Complementar nº 10/IN01/DSIC/GSI/PR, de 30 de janeiro de 2012, tem por objetivo estabelecer diretrizes para o processo de Inventário e Mapeamento de Ativos de Informação, para apoiar a Segurança da Informação e Comunicações (SIC), dos órgãos e entidades da APF, direta e indireta. São considerados que:

a) As diretrizes gerais do processo de Inventário e Mapeamento de Ativos de Informação devem considerar, prioritariamente, os objetivos estratégicos, os processos, os requisitos legais, e a estrutura do órgão ou entidade da APF, além de estar alinhadas à Instrução Normativa GSI/PR 01/2008, bem como à Política de Segurança da Informação e Comunicações do órgão ou entidade. Tais diretrizes devem, também, subsidiar propostas de novos investimentos na área de segurança da Informação e Comunicações;

b) O processo de Inventário e Mapeamento de Ativos de Informação objetiva a Segurança das Infraestruturas Críticas de Informação do órgão ou entidade da APF e deve ser aplicado tanto na Gestão de Riscos de Segurança da Informação e Comunicações, quanto na Estratégia de Gestão de Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações;

c) O processo de Inventário e Mapeamento de Ativos de Informação deve subsidiar o órgão ou entidade da APF nas atividades de conhecer, valorizar,

proteger e manter seus ativos de informação, em conformidade com os requisitos legais e do negócio;

d) O processo de Inventário e Mapeamento de Ativos de Informação tem como objetivo prover o órgão ou entidade da APF: de um entendimento comum, consistente e inequívoco de seus ativos de informação; da identificação clara de seu(s) responsável(eis) - proprietário(s) e custodiante(s); de um conjunto completo de informações básicas sobre os requisitos de segurança da informação e comunicações de cada ativo de informação; de uma descrição do conteúdo de cada ativo de informação; e da identificação do valor que o ativo de informação representa para o negócio do órgão ou entidade da APF;

e) O processo de Inventário e Mapeamento de Ativos de Informação deve produzir subsídios tanto para a Gestão de Segurança da Informação e Comunicações, a Gestão de Riscos de Segurança da Informação e Comunicações e a Gestão de Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações da APF, quanto para os procedimentos de avaliação da conformidade, de melhorias contínuas, auditoria e, principalmente, de estruturação e geração de base de dados sobre os ativos de informação;

f) O processo de Inventário e Mapeamento de Ativos de Informação deve ser dinâmico, periódico e estruturado para manter a Base de Dados de Ativos de Informação atualizada e, consequentemente, prover informações para o desenvolvimento de ações e planos de aperfeiçoamento de práticas de Gestão da Segurança da Informação e Comunicações. Tal Base de Dados deve operar como infraestrutura material e técnica em condições de dar suporte às ações de cooperação entre entes federativos que têm sob as suas governanças ativos de informação.

Esta Norma Complementar nº 10/IN01/DSIC/GSI/PR estabelece as seguintes responsabilidades: à alta administração do órgão ou entidade da APF, aprovar as diretrizes gerais e o processo de Inventário e Monitoramento de Ativos de Informação observadas, dentre outros, a Política de Segurança da Informação e Comunicações e a Gestão de Riscos de Segurança da Informação e Comunicações do órgão ou entidade da APF, bem como a sua missão e os seus objetivos estratégicos; ao Gestor de Segurança da Informação e Comunicações,

no âmbito de suas atribuições, coordenar o Inventário e Mapeamento de Ativos de Informação nos órgãos ou entidades da APF, bem como pela indicação de Agente Responsável pela gerência de tais atividades. É responsável, também, pela análise dos resultados obtidos do controle dos níveis de segurança da informação e comunicações de cada ativo de informação e a consequente proposição de ajustes e de medidas preventivas e proativas à alta direção; e ao Agente Responsável, no mínimo, o processo de identificação e classificação de ativos de informação, o monitoramento dos níveis de segurança dos ativos de informação junto aos proprietários e custodiantes dos ativos de informação e a elaboração sistemática de relatórios para os Gestores de Segurança da Informação e Comunicações.

A Norma Complementar nº 11/IN01/DSIC/GSI/PR, de 30 de janeiro de 2012, tem por objetivo estabelecer diretrizes para avaliação de conformidade nos aspectos relativos à Segurança da Informação e Comunicações (SIC) nos órgãos ou entidades da APF, direta e indireta. Traz como diretrizes e princípios:

a) As diretrizes gerais para a avaliação de conformidade em segurança da informação e comunicações deverão considerar, no mínimo, as legislações vigentes a respeito de SIC para a APF e normativos internos específicos de cada órgão.

b) A avaliação de conformidade em SIC deverá ser contínua e aplicada, visando contribuir com a Gestão de Segurança da Informação e Comunicações dos órgãos e entidades da APF.

c) A avaliação de conformidade em SIC poderá ser subsidiada por meio da análise e avaliação de riscos e auditorias internas previstos no item 3.3.5 da NC 02/IN01/GSIPR/DSIC.

d) As não conformidades relativas ao descumprimento de legislações, normas e procedimentos são consideradas riscos de SIC e devem ser tratadas segundo a NC 04/IN01/GSIPR/DSIC.

e) Os responsáveis pela verificação de conformidade devem considerar os requisitos mínimos que assegurem a disponibilidade, integridade, confidencialidade e autenticidade das informações, observando, dentre outros, as legislações vigentes a respeito de SIC para a APF e normativos internos específicos de cada órgão.

f) Os responsáveis pela avaliação de conformidade devem ser capacitados nas legislações vigentes referentes à segurança da informação e comunicações.

g) A avaliação de conformidade de SIC tomará, no mínimo, como base, o inventário e mapeamento de ativos de informação dos órgãos e entidades da APF, visando manter a disponibilidade, integridade, confidencialidade e autenticidade das informações.

A Norma Complementar nº 11/IN01/DSIC/GSI/PR atribui a responsabilidade de aprovar as diretrizes para avaliação de conformidade em SIC à alta administração do órgão ou entidade da APF e de acompanhar se os procedimentos de SIC estão sendo aplicados de forma a atender a conformidade com legislações vigentes a respeito de SIC para a APF e normativos internos específicos de cada órgão e de promover ações de capacitação para os responsáveis pela avaliação de conformidade, visando que esses tenham conhecimento das legislações vigentes que tratam sobre o assunto de SIC ao Gestor de Segurança da Informação e Comunicações. Ao responsável pela avaliação de conformidade, atribui a responsabilidade de remeter os resultados da avaliação de conformidade em SIC ao Gestor de Segurança da Informação e Comunicações.

As demais normas complementares publicadas referem-se à utilização de dispositivos móveis, computação em nuvem, uso de redes sociais etc., atribuindo responsabilidades aos mesmos níveis hierárquicos já mencionados.

Em maio de 2015, o Conselho de Defesa Nacional publicou a Portaria n° 14 (CDN, 2015), em atenção à recomendação do Acórdão 3.051/2014-TCU- Plenário e de forma complementar à Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008, em que apresenta a “Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal 2015 – 2018, versão 1.0”, elaborada pelo DSIC. A estratégia considera que:

...dado que tais áreas são consideradas como questões nacionais, horizontais e estratégicas, que afetam todos os níveis da sociedade, e representam importante instrumento de apoio ao planejamento dos órgãos e entidades do Governo, objetivando melhorar sobremaneira a

segurança e a resiliência das infraestruturas críticas e dos serviços públicos nacionais...

A Segurança da Informação e de Comunicação e a Segurança Cibernética, portanto, vêm se caracterizando cada vez mais como função estratégica de Estado, sendo essenciais à manutenção e preservação tanto das infraestruturas críticas de um país, tais como Energia, Transporte, Telecomunicações, Águas, Finanças, a própria Informação, entre outras, quanto dos direitos individuais, em especial da privacidade, e da soberania. (CDN, 2015).

Destaca-se, ainda, no texto introdutório do documento do DSIC, que, apesar do arcabouço normativo publicado nos últimos oito anos pelo GSI/PR sobre SIC e SegCiber, o nível de maturidade dos órgãos e entidades da APF ainda encontra-se em patamar aquém do desejado.

A estratégia de SIC e a SegCiber, base da Defesa Cibernética, visam assegurar o uso do espaço cibernético, impedindo ou dificultando, em seu âmbito, ações contra os interesses do País e da sociedade e têm a finalidade de apresentar as diretrizes estratégicas para o planejamento de segurança da informação e comunicações e de segurança cibernética no âmbito da APF, objetivando a articulação e a coordenação de esforços dos diversos atores envolvidos, de forma a atingir o aprimoramento da área no Governo Brasileiro e a mitigação dos riscos aos quais encontram-se expostas as organizações e a sociedade. As diretrizes da estratégia aplicam-se a todos os órgãos e entidades que integram a APF.

Baseada na metodologia Balanced Scorecard (BSC) de planejamento e gestão estratégica de Robert Kaplan e David Norton, foram construídas quatro perspectivas sobre as quais foram elaborados os objetivos estratégicos e as metas, quais sejam: (i) Orçamentária; (ii) Aprendizagem, Crescimento e Inovação; (iii) Governo; e (iv) Resultados para a Sociedade. A perspectiva Orçamentária se refere ao aporte contínuo e adequado de recursos do orçamento federal para que se viabilizem as ações necessárias ao alcance dos objetivos propostos; a perspectiva Aprendizagem, Conhecimento e Inovação, envolve o investimento em capital humano, abrangendo ações de sensibilização, conscientização, treinamento, capacitação e especialização nas áreas de SIC e de SegCiber, como

forma de preparar os agentes públicos para promover mudanças e viabilizar a