O governo publicou nesta quarta, 16/7, quatro normas relacionadas à segurança da informação nos órgãos da administração federal. Entre novos e revistos, os dispositivos tratam, entre outros pontos, do uso da criptografia e da biometria, do armazenamento de dados e das redes para transmiti-los, uso da computação em nuvem e contratação de terceiros.
As normas são do Departamento de Segurança da Informação e Comunicações (DSIC, do Gabinete de Segurança Institucional da Presidência). Elas determinam a proteção de dados na administração, com papel essencial da criptografia, exigida para dados sigilosos mas também para informações não classificadas. E dão 180 dias para que os órgãos se adaptem. No primeiro caso, algoritmos de Estado são mandatórios. No segundo, das não classificadas, pode haver contratação de terceiros, mas o rigor aumentou. É exigido que o contratado seja listado como Empresa Estratégica de Defesa do setor de TIC e utilize tecnologia nacional, não sendo aceitas empresas que apenas forneçam recursos criptográficos com tecnologia estrangeira. As próprias redes devem ser protegidas – o canal de comunicação seguro (a rede privada virtual, ou VPN) que interligue redes dos órgãos federais e entidades da administração direta e indireta também deve se valer de criptografia com algoritmo de Estado. E, claro, lembra que as redes devem ser estatais, como já previsto no Decreto 8135/13. Há recomendações diversas, como as aparentemente óbvias de que “os equipamentos de acesso franqueado ao público estejam em ambiente isolado da rede corporativa”, ou ainda que os órgãos públicos devam “providenciar a sanitização de mídias, tais como dispositivos móveis, discos rígidos (...) antes de seu descarte, a fim de evitar a recuperação irregular de dados destes meios”.
Nas orientações para os “sistemas estruturantes”, recomenda-se o uso de “arquiteturas que permitam auditar seus respectivos projetos e códigos”, dispositivos “fisicamente localizados em dependências de um ou mais órgãos ou entidades públicos da administração pública federal, dentro do território nacional” e, de preferência, de fabricantes nacionais. Caso a opção seja por um sistema de computação em nuvem, ela pode ser ‘própria’ ou ‘comunitária’, na forma como trata do DSIC – mas mesmo os modelos de nuvem pública devem ser “restritos às infraestruturas de órgãos ou entidades da administração pública federal”. Além das mudanças, foram criados quatro grupos de trabalho dentro do Comitê Gestor de Segurança da Informação para a proposição de novas normas em preservação de evidências de incidentes de segurança da informação; segurança em grandes volumes de dados, recursos humanos e a elaboração de um guia de orientações aos gestores.
Siga-nos
twitter