RES: [Estruturantes] Encaminhamento da Minuta de Norma dos
Estruturantes
João Eduardo Gonçalves da Silva
joao.silva em itamaraty.gov.br
Sexta Fevereiro 28 12:24:18 BRT 2014
Boa tarde,
Concordo com as sugestões apresentadas pelo Marcelo.
O texto no item 4.1.6 poderia, então, ficar "Os instrumentos contratuais celebrados entre órgãos da APF ou entre esses e prestadores de serviço...", não?
No item 4.3.3.1, poderia ser "informações sigilosas"?
Abs,
João Eduardo
De: estruturantes-bounces em listas.planalto.gov.br [mailto:estruturantes-bounces em listas.planalto.gov.br] Em nome de Marcelo de Almeida Maymone
Enviada em: quinta-feira, 27 de fevereiro de 2014 16:42
Para: estruturantes em listas.planalto.gov.br
Assunto: Re: [Estruturantes] Encaminhamento da Minuta de Norma dos Estruturantes
Boa tarde a todos.
Gostaria de fazer algumas observações no conteúdo da Norma.
No item 3 - os subitens devem seguir em ordem alfabética (3.7 e 3.9 estão fora de ordem)
No item 4.1.6 - "Os instrumentos contratuais celebrados entre a APF e prestadores de serviço, em decorrência das contratações de soluções de tecnologia da informação para projetos de implementação ou manutenção de sistemas estruturantes, deverão conter cláusulas que viabilizem a realização de auditorias multidisciplinares e periódicas nos aspectos de SIC de tais prestadores."
Sugiro a troca do "e" em destaque por "ou". Entendo que desta forma pode-se dirimir eventuais dúvidas quanto aos contratos entre órgãos da própria APF (Termos de Cooperação, etc).
Do contrario, pode-se entender, pela atual redação, que as cláusulas de auditoria deverão ser previstas somente em contratos da APF com terceirizados.
No item 4.1.7.1 - "Na medida do possÃvel, os sistemas estruturantes devem reduzir, gradualmente, sua dependência externa em relação a ativos de informação constituÃdos por arquiteturas proprietárias, devendo optar por aqueles de arquitetura aberta."
Tenho dúvidas quanto a real segurança das "arquiteturas abertas". Penso que as arquiteturas abertas são dependentes da confiança em suas comunidades mantenedoras.
Nosso ponto aqui é a segurança, seja em relação a proprietários ou a arquiteturas abertas, o que realmente precisamos é confiar no fornecedor. Para tanto, acredito que a melhor maneira de confiar é auditando, com isso evitarÃamos sistemas com eventuais "caixas pretas".
Portanto, sugiro a seguinte redação para o item 4.1.7.1:
"Na medida do possÃvel, os sistemas estruturantes devem optar, gradualmente, por ativos de informação constituÃdos por arquiteturas que permitam auditoria."
Sabemos de antemão que ambas as concepções apresentam vantagens e desvantagens. Por isso, tomar partido pode ser prejudicial para todos, desenvolvedores nacionais, comunidades respeitadas, indústrias, e a própria APF, quando opta por uma concepção, por força de norma, que não atende sua demanda.
A ideia aqui não é restringir o desenvolvimento proprietário ou generalizar tudo para arquiteturas abertas, mas sim, permitir o pleno conhecimento por parte da APF de cada processo no interior do seu sistema.
Por fim, no item 4.3.3.1 - "Os estruturantes que tratam informações com algum grau de sigilo e aqueles relacionados à liberação ou manipulação de recursos públicos devem implementar trilhas de auditoria, conforme legislação em vigor."
Quanto ao tratamento da informação sigilosa, quando se estabelece graus para o sigilo define-se informação classificada (Ultrassecreto, Secreto e Reservado). E para o tratamento de informações com estes graus, os Decretos 7724 e 7845 exigem uma série de medidas especÃficas. Só para ter uma ideia, não se poderia transmitir um dado classificado como secreto sem o uso de um algoritmo criptográfico de Estado. Creio que este não é o foco da norma.
Penso que a ideia do texto é garantir a segurança mediante auditoria, portanto, sugiro a troca do termo "informações com algum grau de sigilo" por "informações com sigilo".
Desta forma, inclui-se as informações sigilosas sem grau de sigilo (pessoal, financeira, etc.) e amplia-se a possibilidade de sistemas com informações classificadas, com qualquer grau de sigilo, que também devem ser auditados.
Quanto a portaria, estamos na espera também. Tão logo se defina, daremos notÃcias.
Bem, por enquanto é isso. O que vocês acham das sugestões?
Cordialmente,
MARCELO DE ALMEIDA MAYMONE
Núcleo de Segurança e Credenciamento
DSIC - GSI - PR
Em 26/02/2014 18:59:32, Ramon Gomes Brandão escreveu:
Caros,
Fiz uma pequenÃssima alteração no item 4.3.2 da norma, para viabilizar que a integração do estruturante com o sistema de gestão unificada de identidades da APF seja realizada apenas quando este sistema estiver disponÃvel ( o que ainda não é o caso, apesar de já ser realidade para um dos estruturantes - SIGEPE - mas não para todos). Segue nossa norma anexa, para avaliação.
No mais, estou aguardando apenas a assinatura e publicação da portaria de formalização dos grupos, que ainda não foi assinada, para que possamos encaminhar nosso memorando e encerrar nossos trabalhos. Alcyr/Maymone, poderiam averiguar se a Portaria já foi assinada e nos passar os dados (número, órgão e data de publicação)?
Cordialmente,
--
RAMON GOMES BRANDÃO
Analista de Planejamento e Orçamento
Coordenação de Infraestrutura - Segurança da Informação
COINF/CGTEC/SEAGE/SOF
Ministério do Planejamento, Orçamento e Gestão
ramon.brandao em planejamento.gov.br
(61) 2020- 2178; Ramal 2178
"Seja a mudança que queres ver no mundo." (Mahatma Gandhi)
_______________________________________________
Estruturantes mailing list
Estruturantes em listas.planalto.gov.br<mailto:Estruturantes em listas.planalto.gov.br>
https://www1.planalto.gov.br/mailman/listinfo/estruturantes
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://www1.planalto.gov.br/pipermail/estruturantes/attachments/20140228/c9ad7253/attachment.html
Mais detalhes sobre a lista de discussão Estruturantes