RES: RES: [Estruturantes] Fase Final dos Trabalhos

[João Eduardo Gonçalves da Silva]

Caros,

No entendimento brasileiro, as nossas representações no exterior são território nacional e, como tal, o MRE irá interpretar a norma com a manutenção do texto sugerido inicialmente. A minha sugestão foi no intuito de evitar, em algum momento no futuro (hoje não vejo qualquer problema), que isso gerasse algum tipo de ambiguidade, até mesmo com outro órgão, mas me alinho com a decisão do grupo sobre o tema.

O mesmo passa com relação ao outro item. Apenas uma sugestão, apresentada ao grupo para apreciação. A intenção, nesse caso, foi a de evitar que uma interpretação literal do texto se mostrasse tão restritiva que inviabilizasse a exequibilidade da mesma, tornando-a inócua.

Não tenho nada a acrescentar ou sugerir com relação ao memorando. Está muito bom.

No mais, estão todos de parabéns pelo excelente trabalho produzido e tão brilhantemente conduzido pelo nosso coordenador.

Att.,

João

De: estruturantes-bounces em listas.planalto.gov.br [mailto:estruturantes-bounces em listas.planalto.gov.br] Em nome de Ramon Gomes Brandão
Enviada em: terça-feira, 11 de fevereiro de 2014 14:51
Para: estruturantes em listas.planalto.gov.br
Assunto: Re: RES: [Estruturantes] Fase Final dos Trabalhos

Caros,

Essa é uma discussão bastante válida e necessária. Concordo com o colega Marcelo a respeito do caráter disciplinatório inicial da norma, quando aplicada ao caso das atividades consulares brasileiras. A preocupação do colega João é válida, pois pode causar impacto nas atividades corriqueiras das nossas embaixadas mundo afora.

Lembremo-nos, entretanto, que não incitar, pelo menos nas discussão sobre a norma após ser entregue ao CGSI, a melhora em algumas situações de SIC da APF, perderemos a janela de oportunidades, no tocante à situação dos sistemas estruturantes consulares do Brasil. Onde estão esses sistemas hoje? O João pode nos esclarecer melhor, mas creio que o MRE, ou através do SERPRO ou por estrutura própria, hospeda esses sistemas e as embaixadas mundo afora se conectam via internet, VPN, satélite etc. Imaginem a situação em que, sem uma norma brasileira que dispusesse claramente ou detalhadamente em contrário, um estruturante brasileiro fosse então hospedado em um CPD da embaixada brasileira nos Estados Unidos ou na Inglaterra. Creio que, conforme nos esclareceu o João, essa situação iria se embaraçar mais ainda pelo fato da própria indefinição entre "território nacional" e local inviolável. Na minha opinião, a questão jurídica seria o menor dos problemas, pois, em caso do comprometimento da SIC de um sistema hospedado dessa maneira, o dano já estaria feito, com possibilidades de controle e contorno muito menores do que estando em território nacional (controle o qual já é bastante difícil). Em face dos eventos dos últimos meses, imaginem o risco para a soberania nacional.

Creio que é uma oportunidade para levar essa discussão para o CGSI. No meu entendimento, não deveríamos retirar esse dispositivo de nossa norma, pois é a única que traz, até onde pudemos ver, orientação específica a respeito dessa hospedagem. Não pudemos verificar em maiores detalhes a situação do MRE, mas creio que o sistema de gestão consular brasileiro não esteja hospedado (e nem poderia estar) em terras estrangeiras. Com esse dispositivo 4.2.1, acredito que será a forma de provocarmos melhorias de segurança da informação bastante necessárias para as atividades consulares brasileiras, e não apenas criar uma norma que se adapte à realidade existente. Nosso objetivo é exatamente sair dela :)


Quanto ao item 4.3.2, adicionei-o na última versão da minuta encaminhada, para nossa discussão. Trata sobre a gestão de identidades unificada para os estruturantes da APF. Lembremos que, para as normas complementares do GSI, a expressão "sempre que possível" tem praticamente o mesmo peso do "cumpra-se".  Tentamos ainda usar termos como "na medida do possível", mas que, na prática terão o mesmo efeito do "cumpra-se" também.  Observando o caput do item 4, elucidamos que "os padrões de segurança dos sistemas estruturantes deverão incorporar, gradativamente, controles de segurança da informação ...". Creio que, apesar da gestão de identidades não estar amplamente implantada, não precisamos colocar "sempre que possível", pois a ideia já estaria embutida na gradação da implantação desse controle. E, em termos interpretativos, o "sempre que possível" traria a ideia de que um estruturante poderia existir sem a integração à gestão de identidades, fato que, na minha opinião, queremos combater. O que acham?

Quanto ao memorando de encerramento dos trabalhos e o relatório de atividades, alguma crítica?

Atenciosamente,
RAMON GOMES BRANDÃO
Analista de Planejamento e Orçamento
Coordenação de Infraestrutura - Segurança da Informação
COINF/CGTEC/SEAGE/SOF
Ministério do Planejamento, Orçamento e Gestão
ramon.brandao em planejamento.gov.br<mailto:ramon.brandao em planejamento.gov.br>
(61) 2020- 2178; Ramal 2178

"Seja a mudança que queres ver no mundo." (Mahatma Gandhi)
On 06/02/2014 18:52, João Eduardo Gonçalves da Silva wrote:
Caro Marcelo,

Desculpe se não fui claro. Estava exatamente me referindo à infraestrutura dentro das repartições diplomáticas brasileiras. Sob o ponto de vista jurídico internacional, ainda há controvérsias se essas repartições são, para todos os fins e direitos, consideradas como "território nacional" ou simplesmente locais invioláveis. O próprio Decreto que você menciona não cita "dentro de território nacional", por isso acho que seria, smj, prudente suprimir esse detalhamento, que não me parece afetar, na prática, o nosso objetivo.

Para sua informação, segue o texto original do item 4.3.2 da minuta:

4.3.2 O acesso lógico ao sistema estruturante deverá ser integrado à gestão unificada de identidades e acessos da APF e deverá empregar:

Att.,

João Eduardo

De: estruturantes-bounces em listas.planalto.gov.br<mailto:estruturantes-bounces em listas.planalto.gov.br> [mailto:estruturantes-bounces em listas.planalto.gov.br] Em nome de Marcelo de Almeida Maymone
Enviada em: quinta-feira, 6 de fevereiro de 2014 18:13
Para: estruturantes em listas.planalto.gov.br<mailto:estruturantes em listas.planalto.gov.br>
Assunto: RES: [Estruturantes] Fase Final dos Trabalhos
Prioridade: Alta

Caros integrantes do GT Estruturantes,

Desculpe minha dúvida. Mas, se possível, gostaria de entender melhor o problema apresentado pelo colega.

Quanto ao item 4.2.1 que determina que "os dispositivos de armazenamento, recuperação e contingência de dados que suportam, total ou parcialmente, sistemas estruturantes deverão estar fisicamente localizados em dependências de um ou mais órgãos ou entidades públicos da administração pública federal, dentro do território nacional, conforme legislação em vigor".

A questão é:
Haveria então, sistemas estruturantes cuja infraestrutura esteja hospedada no exterior fora das embaixadas e consulados brasileiros?
Ou seja, sistema que atendesse mais de um órgão da APF cujos servidores, storages, firewalls, switches e etc estariam terceirizados em empresas estrangeiras e fisicamente localizados no exterior?

Bem, se este for o caso, há de se notar o previsto no Decreto 8.135, de 4 de novembro de 2013, destacando o § 4º do Art 1º, a saber:

"Art. 1º  As comunicações de dados da administração pública federal direta, autárquica e fundacional deverão ser realizadas por redes de telecomunicações e serviços de tecnologia da informação fornecidos por órgãos ou entidades da administração pública federal, incluindo empresas públicas e sociedades de economia mista da União e suas subsidiárias.
(...)
§ 4º  O armazenamento e a recuperação de dados a que se refere o caput deverá ser realizada em centro de processamento de dados fornecido por órgãos e entidades da administração pública federal."

Evidentemente o Decreto ainda será regulado, contudo a proposta da Norma, a meu ver, parece menos restritiva se comparada ao Decreto 8.135/2013 já em vigor.

Por outro lado, a despeito de qualquer sistema de governo, estruturante ou não, que estiver em produção em infraestrutura no exterior é demasiadamente vulnerável e crítico, em termos de segurança da informação e comunicações. Até mesmo para efeito jurídico, tal situação é embaraçosa para a administração pública, uma vez que não garante a soberania brasileira sobre ativos de informação nacionais. Em outras palavras, bens públicos nacionais a mercê de decisões alheias à Nação. Isso para não me estender em outras áreas onde a quebra de segurança de sistemas nessa situação prejudicaria, em última instância, o país e a sociedade brasileira.

Sem considerar qualquer impacto econômico ou estrutural em sistemas já existentes, penso que tal circunstância não seria desejável ou mesmo aceitável, no que se refere à SIC. Portanto, o item 4.2.1 é uma excelente oportunidade de o GT tipificar o cuidado desejado para sistemas de TI do Estado brasileiro, corroborando com a finalidade do Comitê em fomentar a SIC no âmbito da APF.

Vocês concordam?

Claro que, se há sistemas nestas condições, esta seria uma boa oportunidade para os gestores subsidiarem atualizações para evitar esta situação. Entendendo que toda adaptação às novas normas tem um prazo de execução, este seria um passo importante para segurança dos nossos ativos.

Quanto ao 4.3.1, não encontrei a referência, será que a minuta que eu tenho está desatualizada (versão de 07JAN14)?

Por fim, esta é apenas uma opinião. Poderíamos desenvolver mais esta ideia e formularmos conceitos substanciados que publicados em normas, poderão se tornar contribuições perenes para uma doutrina de SIC.

Obrigado. Estamos às ordens.

Cordialmente,

MARCELO DE ALMEIDA MAYMONE
Assessor Técnico
Núcleo de Segurança e Credenciamento
Gabinete de Segurança Institucional da Presidência da República

DSIC: (61) 3411-1429, (61) 3411-1348 e  FAX (61) 3411-1217



De: estruturantes-bounces em listas.planalto.gov.br<mailto:estruturantes-bounces em listas.planalto.gov.br> [mailto:estruturantes-bounces em listas.planalto.gov.br] Em nome de João Eduardo Gonçalves da Silva
Enviada em: quinta-feira, 6 de fevereiro de 2014 14:09
Para: 'estruturantes em listas.planalto.gov.br<mailto:estruturantes em listas.planalto.gov.br>'
Assunto: RES: [Estruturantes] Fase Final dos Trabalhos

Caro Ramon,

Com relação ao conteúdo, tenho apenas duas sugestões a fazer:

- 4.2.1 > "dentro de território nacional", pode, eventualmente, não ser o caso, ainda que numa repartição diplomática no exterior. Eu suprimiria essa indicação.
- 4.3.2 > Por não estar ainda amplamente implantada, embora já seja uma realidade, eu alteraria ligeiramente de "...deverá ser integrado à gestão..." para "...deverá, sempre que possível, ser integrado à...".

Era isso!

Abs,

João Eduardo

De: estruturantes-bounces em listas.planalto.gov.br<mailto:estruturantes-bounces em listas.planalto.gov.br> [mailto:estruturantes-bounces em listas.planalto.gov.br] Em nome de Ramon Gomes Brandão
Enviada em: segunda-feira, 3 de fevereiro de 2014 20:24
Para: estruturantes em listas.planalto.gov.br<mailto:estruturantes em listas.planalto.gov.br>
Assunto: [Estruturantes] Fase Final dos Trabalhos

Caros,

Estamos nos dirigindo para a finalização dos trabalhos dessa "instância" de nosso grupo. Em conversa com o colega Maymone na última reunião, externei a minha opinião/sugestão de encaminharmos ao comitê, além da minuta de norma, aquela antiga ideia nossa de estabelecimento de um fórum permanente de discussão, no âmbito do CGSI, a respeito da segurança dos estruturantes, a qual pudemos notar, ao longo desses meses de discussão, que carece de muita atenção por parte do Estado/governo. Consideramos ser uma boa ideia tal andamento.

Com o intuito de não perdermos, afinal, a janela de oportunidade, encaminho para apreciação dos senhores dois documentos (peço vossa contribuição para uma leitura crítica):

1) Memorando de encerramento dos trabalhos e relatório final de atividades - Alcyr/Maymone, poderiam me informar qual é a portaria desse ano que instituiu os grupos de trabalho?;

2) Minuta de Norma Complementar - realizei mais uma alteração no item CONTROLE DE ACESSO, após participar de uma promissora reunião no MP sobre a Gestão Unificada de Identidades dos estruturantes. A Gestão Unificada de Identidades da APF já é uma realidade, senhores, e já está em fase final de implantação no novo SIGEPE.

Peço a manifestação dos senhores, no mais tardar até a quinta feira (6/2), para que, na sexta, possamos encaminhar a documentação ao GSI e encerrarmos oficialmente os trabalhos.

Abraço a todos,
--


RAMON GOMES BRANDÃO
Analista de Planejamento e Orçamento
Coordenação de Infraestrutura - Segurança da Informação
COINF/CGTEC/SEAGE/SOF
Ministério do Planejamento, Orçamento e Gestão
ramon.brandao em planejamento.gov.br<mailto:ramon.brandao em planejamento.gov.br>
(61) 2020- 2178; Ramal 2178

"Seja a mudança que queres ver no mundo." (Mahatma Gandhi)




_______________________________________________

Estruturantes mailing list

Estruturantes em listas.planalto.gov.br<mailto:Estruturantes em listas.planalto.gov.br>

https://www1.planalto.gov.br/mailman/listinfo/estruturantes

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://www1.planalto.gov.br/pipermail/estruturantes/attachments/20140211/0c7fd7d4/attachment-0001.html