RES: [Estruturantes] Fase Final dos Trabalhos

[João Eduardo Gonçalves da Silva]

Caro Marcelo,

Desculpe se não fui claro. Estava exatamente me referindo à infraestrutura dentro das repartições diplomáticas brasileiras. Sob o ponto de vista jurídico internacional, ainda há controvérsias se essas repartições são, para todos os fins e direitos, consideradas como "território nacional" ou simplesmente locais invioláveis. O próprio Decreto que você menciona não cita "dentro de território nacional", por isso acho que seria, smj, prudente suprimir esse detalhamento, que não me parece afetar, na prática, o nosso objetivo.

Para sua informação, segue o texto original do item 4.3.2 da minuta:

4.3.2 O acesso lógico ao sistema estruturante deverá ser integrado à gestão unificada de identidades e acessos da APF e deverá empregar:

Att.,

João Eduardo

De: estruturantes-bounces em listas.planalto.gov.br [mailto:estruturantes-bounces em listas.planalto.gov.br] Em nome de Marcelo de Almeida Maymone
Enviada em: quinta-feira, 6 de fevereiro de 2014 18:13
Para: estruturantes em listas.planalto.gov.br
Assunto: RES: [Estruturantes] Fase Final dos Trabalhos
Prioridade: Alta

Caros integrantes do GT Estruturantes,

Desculpe minha dúvida. Mas, se possível, gostaria de entender melhor o problema apresentado pelo colega.

Quanto ao item 4.2.1 que determina que "os dispositivos de armazenamento, recuperação e contingência de dados que suportam, total ou parcialmente, sistemas estruturantes deverão estar fisicamente localizados em dependências de um ou mais órgãos ou entidades públicos da administração pública federal, dentro do território nacional, conforme legislação em vigor".

A questão é:
Haveria então, sistemas estruturantes cuja infraestrutura esteja hospedada no exterior fora das embaixadas e consulados brasileiros?
Ou seja, sistema que atendesse mais de um órgão da APF cujos servidores, storages, firewalls, switches e etc estariam terceirizados em empresas estrangeiras e fisicamente localizados no exterior?

Bem, se este for o caso, há de se notar o previsto no Decreto 8.135, de 4 de novembro de 2013, destacando o § 4º do Art 1º, a saber:

"Art. 1º  As comunicações de dados da administração pública federal direta, autárquica e fundacional deverão ser realizadas por redes de telecomunicações e serviços de tecnologia da informação fornecidos por órgãos ou entidades da administração pública federal, incluindo empresas públicas e sociedades de economia mista da União e suas subsidiárias.
(...)
§ 4º  O armazenamento e a recuperação de dados a que se refere o caput deverá ser realizada em centro de processamento de dados fornecido por órgãos e entidades da administração pública federal."

Evidentemente o Decreto ainda será regulado, contudo a proposta da Norma, a meu ver, parece menos restritiva se comparada ao Decreto 8.135/2013 já em vigor.

Por outro lado, a despeito de qualquer sistema de governo, estruturante ou não, que estiver em produção em infraestrutura no exterior é demasiadamente vulnerável e crítico, em termos de segurança da informação e comunicações. Até mesmo para efeito jurídico, tal situação é embaraçosa para a administração pública, uma vez que não garante a soberania brasileira sobre ativos de informação nacionais. Em outras palavras, bens públicos nacionais a mercê de decisões alheias à Nação. Isso para não me estender em outras áreas onde a quebra de segurança de sistemas nessa situação prejudicaria, em última instância, o país e a sociedade brasileira.

Sem considerar qualquer impacto econômico ou estrutural em sistemas já existentes, penso que tal circunstância não seria desejável ou mesmo aceitável, no que se refere à SIC. Portanto, o item 4.2.1 é uma excelente oportunidade de o GT tipificar o cuidado desejado para sistemas de TI do Estado brasileiro, corroborando com a finalidade do Comitê em fomentar a SIC no âmbito da APF.

Vocês concordam?

Claro que, se há sistemas nestas condições, esta seria uma boa oportunidade para os gestores subsidiarem atualizações para evitar esta situação. Entendendo que toda adaptação às novas normas tem um prazo de execução, este seria um passo importante para segurança dos nossos ativos.

Quanto ao 4.3.1, não encontrei a referência, será que a minuta que eu tenho está desatualizada (versão de 07JAN14)?

Por fim, esta é apenas uma opinião. Poderíamos desenvolver mais esta ideia e formularmos conceitos substanciados que publicados em normas, poderão se tornar contribuições perenes para uma doutrina de SIC.

Obrigado. Estamos às ordens.

Cordialmente,

MARCELO DE ALMEIDA MAYMONE
Assessor Técnico
Núcleo de Segurança e Credenciamento
Gabinete de Segurança Institucional da Presidência da República

DSIC: (61) 3411-1429, (61) 3411-1348 e  FAX (61) 3411-1217



De: estruturantes-bounces em listas.planalto.gov.br<mailto:estruturantes-bounces em listas.planalto.gov.br> [mailto:estruturantes-bounces em listas.planalto.gov.br] Em nome de João Eduardo Gonçalves da Silva
Enviada em: quinta-feira, 6 de fevereiro de 2014 14:09
Para: 'estruturantes em listas.planalto.gov.br'
Assunto: RES: [Estruturantes] Fase Final dos Trabalhos

Caro Ramon,

Com relação ao conteúdo, tenho apenas duas sugestões a fazer:

- 4.2.1 > "dentro de território nacional", pode, eventualmente, não ser o caso, ainda que numa repartição diplomática no exterior. Eu suprimiria essa indicação.
- 4.3.2 > Por não estar ainda amplamente implantada, embora já seja uma realidade, eu alteraria ligeiramente de "...deverá ser integrado à gestão..." para "...deverá, sempre que possível, ser integrado à...".

Era isso!

Abs,

João Eduardo

De: estruturantes-bounces em listas.planalto.gov.br<mailto:estruturantes-bounces em listas.planalto.gov.br> [mailto:estruturantes-bounces em listas.planalto.gov.br] Em nome de Ramon Gomes Brandão
Enviada em: segunda-feira, 3 de fevereiro de 2014 20:24
Para: estruturantes em listas.planalto.gov.br<mailto:estruturantes em listas.planalto.gov.br>
Assunto: [Estruturantes] Fase Final dos Trabalhos

Caros,

Estamos nos dirigindo para a finalização dos trabalhos dessa "instância" de nosso grupo. Em conversa com o colega Maymone na última reunião, externei a minha opinião/sugestão de encaminharmos ao comitê, além da minuta de norma, aquela antiga ideia nossa de estabelecimento de um fórum permanente de discussão, no âmbito do CGSI, a respeito da segurança dos estruturantes, a qual pudemos notar, ao longo desses meses de discussão, que carece de muita atenção por parte do Estado/governo. Consideramos ser uma boa ideia tal andamento.

Com o intuito de não perdermos, afinal, a janela de oportunidade, encaminho para apreciação dos senhores dois documentos (peço vossa contribuição para uma leitura crítica):

1) Memorando de encerramento dos trabalhos e relatório final de atividades - Alcyr/Maymone, poderiam me informar qual é a portaria desse ano que instituiu os grupos de trabalho?;

2) Minuta de Norma Complementar - realizei mais uma alteração no item CONTROLE DE ACESSO, após participar de uma promissora reunião no MP sobre a Gestão Unificada de Identidades dos estruturantes. A Gestão Unificada de Identidades da APF já é uma realidade, senhores, e já está em fase final de implantação no novo SIGEPE.

Peço a manifestação dos senhores, no mais tardar até a quinta feira (6/2), para que, na sexta, possamos encaminhar a documentação ao GSI e encerrarmos oficialmente os trabalhos.

Abraço a todos,
--

RAMON GOMES BRANDÃO
Analista de Planejamento e Orçamento
Coordenação de Infraestrutura - Segurança da Informação
COINF/CGTEC/SEAGE/SOF
Ministério do Planejamento, Orçamento e Gestão
ramon.brandao em planejamento.gov.br<mailto:ramon.brandao em planejamento.gov.br>
(61) 2020- 2178; Ramal 2178

"Seja a mudança que queres ver no mundo." (Mahatma Gandhi)
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://www1.planalto.gov.br/pipermail/estruturantes/attachments/20140206/e6cd9ac2/attachment-0001.html