[Estruturantes] Encaminhamento da Minuta de Norma dos Estruturantes

Marcelo de Almeida Maymone marcelo.maymone em presidencia.gov.br
Quinta Fevereiro 27 16:42:21 BRT 2014 

Boa tarde a todos.

Gostaria de fazer algumas observações no conteúdo da Norma.

No item 3  - os subitens devem seguir em ordem alfabética (3.7 e 3.9 estão fora de ordem)

No item 4.1.6 - "Os instrumentos contratuais celebrados entre a APF e prestadores de serviço, em decorrência das contratações de soluções de tecnologia da informação para projetos de implementação ou manutenção de sistemas estruturantes, deverão conter cláusulas que viabilizem a realização de auditorias multidisciplinares e periódicas nos aspectos de SIC de tais prestadores." 

Sugiro a troca do "e" em destaque por "ou". Entendo que desta forma pode-se dirimir eventuais dúvidas quanto aos contratos entre órgãos da própria APF (Termos de Cooperação, etc).
Do contrario, pode-se entender, pela atual redação, que as cláusulas de auditoria deverão ser previstas somente em contratos da APF com terceirizados.

No item 4.1.7.1 - "Na medida do possível, os sistemas estruturantes devem reduzir, gradualmente, sua dependência externa em relação a ativos de informação constituídos por arquiteturas proprietárias, devendo optar por aqueles de arquitetura aberta."

Tenho dúvidas quanto a real segurança das "arquiteturas abertas". Penso que as arquiteturas abertas são dependentes da confiança em suas comunidades mantenedoras.

Nosso ponto aqui é a segurança, seja em relação a proprietários ou a arquiteturas abertas, o que realmente precisamos é confiar no fornecedor. Para tanto, acredito que a melhor maneira de confiar é auditando, com isso evitaríamos sistemas com eventuais "caixas pretas".

Portanto, sugiro a seguinte redação para o item 4.1.7.1:

"Na medida do possível, os sistemas estruturantes devem optar, gradualmente, por ativos de informação constituídos por arquiteturas que permitam auditoria."

Sabemos de antemão que ambas as concepções apresentam vantagens e desvantagens. Por isso, tomar partido pode ser prejudicial para todos, desenvolvedores nacionais, comunidades respeitadas, indústrias, e a própria APF, quando opta por uma concepção, por força de norma, que não atende sua demanda.

A ideia aqui não é restringir o desenvolvimento proprietário ou generalizar tudo para arquiteturas abertas, mas sim, permitir o pleno conhecimento por parte da APF de cada processo no interior do seu sistema.

Por fim, no item 4.3.3.1 - "Os estruturantes que tratam informações com algum grau de sigilo e aqueles relacionados à liberação ou manipulação de recursos públicos devem implementar trilhas de  auditoria, conforme legislação em vigor."

Quanto ao tratamento da informação sigilosa, quando se estabelece graus para o sigilo define-se informação classificada (Ultrassecreto, Secreto e Reservado). E para o tratamento de informações com estes graus, os Decretos 7724 e 7845 exigem uma série de medidas específicas. Só para ter uma ideia, não se poderia transmitir um dado classificado como secreto sem o uso de um algoritmo criptográfico de Estado. Creio que este não é o foco da norma.

Penso que a ideia do texto é garantir a segurança mediante auditoria, portanto, sugiro a troca do termo "informações com algum grau de sigilo" por "informações com sigilo".

Desta forma, inclui-se as informações sigilosas sem grau de sigilo (pessoal, financeira, etc.) e amplia-se a possibilidade de sistemas com informações classificadas, com qualquer grau de sigilo, que também devem ser auditados.

Quanto a portaria, estamos na espera também. Tão logo se defina, daremos notícias.

Bem, por enquanto é isso. O que vocês acham das sugestões?

Cordialmente,
MARCELO DE ALMEIDA MAYMONE
Núcleo de Segurança e Credenciamento
DSIC - GSI - PR


Em 26/02/2014 18:59:32, Ramon Gomes Brandão escreveu:
> 
  
  
    Caros, 
> 
> 
    Fiz uma pequeníssima alteração no item 4.3.2 da norma, para
    viabilizar que a integração do estruturante com o sistema de gestão
    unificada de identidades da APF seja realizada apenas quando este
    sistema estiver disponível ( o que ainda não é o caso, apesar de já
    ser realidade para um dos estruturantes - SIGEPE - mas não para
    todos). Segue nossa norma anexa, para avaliação.
> 
> 
    No mais, estou aguardando apenas a assinatura e publicação da
    portaria de formalização dos grupos, que ainda não foi assinada,
    para que possamos encaminhar nosso memorando e encerrar nossos
    trabalhos. Alcyr/Maymone, poderiam averiguar se a Portaria já foi
    assinada e nos passar os dados (número, órgão e data de publicação)?
> 
> 
    Cordialmente, 
> -- 
> Ramon Gomes Brandão> 
        >  > 
        >  > 
        > RAMON GOMES BRANDÃO> 
        > Analista de Planejamento e Orçamento> 
        > Coordenação de Infraestrutura - Segurança
              da Informação> 
        > COINF/CGTEC/SEAGE/SOF> 
        > Ministério
do
            Planejamento, Orçamento e Gestão> 
        > ramon.brandao em planejamento.gov.br> 
        > (61)
            2020-
            2178; Ramal 2178> 
        
> "Seja
              a mudança que queres ver no mundo.">  (Mahatma Gandhi)> 
      > 
    > 
  

> _______________________________________________
Estruturantes mailing list
Estruturantes em listas.planalto.gov.br
> https://www1.planalto.gov.br/mailman/listinfo/estruturantes> 



-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://www1.planalto.gov.br/pipermail/estruturantes/attachments/20140227/9609cbd0/attachment.html

Mais detalhes sobre a lista de discussão Estruturantes