<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><title></title><style type="text/css">.expressomail-body-blockquote {margin: 5px 10px 0 3px;padding-left: 10px;border-left: 2px solid #000088;} </style></head><body>Boa tarde a todos.<br><br>Gostaria de fazer algumas observações no conteúdo da Norma.<br><br><b>No item 3</b> - os subitens devem seguir em ordem alfabética (3.7 e 3.9 estão fora de ordem)<br><br><b>No item 4.1.6</b> - "Os instrumentos contratuais celebrados entre a APF <u><b><font color="FF0000">e</font></b></u> prestadores de serviço, em decorrência das contratações de soluções de tecnologia da informação para projetos de implementação ou manutenção de sistemas estruturantes, deverão conter cláusulas que viabilizem a realização de auditorias multidisciplinares e periódicas nos aspectos de SIC de tais prestadores." <br><br>Sugiro a troca do "<b><font color="FF0000"><u>e</u></font></b>" em destaque por "<u><b>ou</b></u>". Entendo que desta forma pode-se dirimir eventuais dúvidas quanto aos contratos entre órgãos da própria APF (Termos de Cooperação, etc).<br>Do contrario, pode-se entender, pela atual redação, que as cláusulas de auditoria deverão ser previstas somente em contratos da APF com terceirizados.<br><br>No item 4.1.7.1 - "Na medida do possível, os sistemas estruturantes devem reduzir, gradualmente, sua dependência externa em relação a ativos de informação constituídos por arquiteturas proprietárias, devendo optar por aqueles de<u><b><font color="FF0000"> arquitetura aberta.</font></b></u>"<br><br>Tenho dúvidas quanto a real segurança das "arquiteturas abertas". Penso que as arquiteturas abertas são dependentes da confiança em suas comunidades mantenedoras.<br><br>Nosso ponto aqui é a segurança, seja em relação a proprietários ou a arquiteturas abertas, o que realmente precisamos é confiar no fornecedor. Para tanto, acredito que a melhor maneira de confiar é auditando, com isso evitaríamos sistemas com eventuais "caixas pretas".<br><br>Portanto, sugiro a seguinte redação para o item 4.1.7.1:<br><br><b>"Na medida do possível, os sistemas estruturantes devem optar, gradualmente, por ativos de informação constituídos por arquiteturas que permitam auditoria."</b><br><br>Sabemos de antemão que ambas as concepções apresentam vantagens e desvantagens. Por isso, tomar partido pode ser prejudicial para todos, desenvolvedores nacionais, comunidades respeitadas, indústrias, e a própria APF, quando opta por uma concepção, por força de norma, que não atende sua demanda.<br><br>A ideia aqui não é restringir o desenvolvimento proprietário ou generalizar tudo para arquiteturas abertas, mas sim, permitir o pleno conhecimento por parte da APF de cada processo no interior do seu sistema.<br><br>Por fim,<b> no item 4.3.3.1</b> - "Os estruturantes que tratam <b><u><font color="FF0000">informações com algum grau de sigilo</font></u></b> e aqueles relacionados à liberação ou manipulação de recursos públicos devem implementar trilhas de auditoria, conforme legislação em vigor."<br><br>Quanto ao tratamento da informação sigilosa, quando se estabelece graus para o sigilo define-se informação classificada (Ultrassecreto, Secreto e Reservado). E para o tratamento de informações com estes graus, os Decretos 7724 e 7845 exigem uma série de medidas específicas. Só para ter uma ideia, não se poderia transmitir um dado classificado como secreto sem o uso de um algoritmo criptográfico de Estado. Creio que este não é o foco da norma.<br><br>Penso que a ideia do texto é garantir a segurança mediante auditoria, portanto, sugiro a troca do termo "informações com algum grau de sigilo" por "<b>informações com sigilo</b>".<br><br>Desta forma, inclui-se as informações sigilosas sem grau de sigilo (pessoal, financeira, etc.) e amplia-se a possibilidade de sistemas com informações classificadas, com qualquer grau de sigilo, que também devem ser auditados.<br><br>Quanto a portaria, estamos na espera também. Tão logo se defina, daremos notícias.<br><br>Bem, por enquanto é isso. O que vocês acham das sugestões?<br><br>Cordialmente,<br>MARCELO DE ALMEIDA MAYMONE<br>Núcleo de Segurança e Credenciamento<br>DSIC - GSI - PR<br><br><br>Em 26/02/2014 18:59:32, Ramon Gomes Brandão escreveu:<br><blockquote class="expressomail-body-blockquote">
Caros, <br>
<br>
Fiz uma pequeníssima alteração no item 4.3.2 da norma, para
viabilizar que a integração do estruturante com o sistema de gestão
unificada de identidades da APF seja realizada apenas quando este
sistema estiver disponível ( o que ainda não é o caso, apesar de já
ser realidade para um dos estruturantes - SIGEPE - mas não para
todos). Segue nossa norma anexa, para avaliação.<br>
<br>
No mais, estou aguardando apenas a assinatura e publicação da
portaria de formalização dos grupos, que ainda não foi assinada,
para que possamos encaminhar nosso memorando e encerrar nossos
trabalhos. Alcyr/Maymone, poderiam averiguar se a Portaria já foi
assinada e nos passar os dados (número, órgão e data de publicação)?<br>
<br>
Cordialmente, <br>
<div class="moz-signature">-- <br>
<link rel="File-List" href="./Sign%20Seguran%E7a-SOF_arquivos/filelist.xml">
<title>Ramon Gomes Brandão</title>
<!-- [if gte mso 9]><!--xml>
<o:DocumentProperties>
<o:Author>ramongb</o:Author>
<o:Template>Normal</o:Template>
<o:LastAuthor>ramongb</o:LastAuthor>
<o:Revision>9</o:Revision>
<o:TotalTime>449</o:TotalTime>
<o:Created>2011-04-28T14:27:00Z</o:Created>
<o:LastSaved>2011-07-14T13:48:00Z</o:LastSaved>
<o:Pages>1</o:Pages>
<o:Words>29</o:Words>
<o:Characters>167</o:Characters>
<o:Company>SOF</o:Company>
<o:Lines>1</o:Lines>
<o:Paragraphs>1</o:Paragraphs>
<o:CharactersWithSpaces>205</o:CharactersWithSpaces>
<o:Version>9.3821</o:Version>
</o:DocumentProperties>
</xml--><!--[endif]---><!-- [if gte mso 9]><!--xml>
<w:WordDocument>
<w:HyphenationZone>21</w:HyphenationZone>
</w:WordDocument>
</xml--><!--[endif]--->
<!--style>
<!--
/* Font Definitions */
@font-face
{font-family:Tahoma;
panose-1:2 11 6 4 3 5 4 4 2 4;
mso-font-charset:0;
mso-generic-font-family:swiss;
mso-font-pitch:variable;
mso-font-signature:1627421319 -2147483648 8 0 66047 0;}
@font-face
{font-family:"Arial Unicode MS";
panose-1:2 11 6 4 2 2 2 2 2 4;
mso-font-charset:128;
mso-generic-font-family:swiss;
mso-font-pitch:variable;
mso-font-signature:-1 -369098753 63 0 4129279 0;}
@font-face
{font-family:"\@Arial Unicode MS";
panose-1:2 11 6 4 2 2 2 2 2 4;
mso-font-charset:128;
mso-generic-font-family:swiss;
mso-font-pitch:variable;
mso-font-signature:-1 -369098753 63 0 4129023 0;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{mso-style-parent:"";
margin:0cm;
margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:12.0pt;
font-family:"Times New Roman";
mso-fareast-font-family:"Times New Roman";}
span.apple-converted-space
{mso-style-name:apple-converted-space;}
span.il
{mso-style-name:il;}
@page Section1
{size:612.0pt 792.0pt;
margin:70.85pt 3.0cm 70.85pt 3.0cm;
mso-header-margin:35.4pt;
mso-footer-margin:35.4pt;
mso-paper-source:0;}
div.Section1
{page:Section1;}
-->
<!-- [if gte mso 9]><!--xml>
<o:shapedefaults v:ext="edit" spidmax="1027"/>
</xml--><!--[endif]---><!-- [if gte mso 9]><!--xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1"/>
</o:shapelayout></xml--><!--[endif]--->
<div class="Section1">
<p class="MsoNormal"><b><span style="font-size:8.5pt;font-family:Tahoma;
color:black"><!-- [if !supportEmptyParas]--> <!-- [endif]--><o:p></o:p></span></b></p>
<p class="MsoNormal"><b><span style="font-size:8.5pt;font-family:Tahoma;
color:black"><!-- [if !supportEmptyParas]--> <!-- [endif]--><o:p></o:p></span></b></p>
<p class="MsoNormal"><b><span style="font-size:8.5pt;font-family:Tahoma;
color:black">RAMON GOMES BRANDÃO</span></b><span style="font-family:"Arial Unicode
MS";mso-fareast-font-family:"Times New
Roman";
color:black"><o:p></o:p></span></p>
<p class="MsoNormal"><b><span style="font-size:8.0pt;font-family:Tahoma;
color:#666699">Analista de Planejamento e Orçamento</span></b><span style="font-family:
"Arial Unicode
MS";mso-fareast-font-family:"Times New
Roman";color:black"><o:p></o:p></span></p>
<p class="MsoNormal"><b><span style="font-size:8.0pt;font-family:Tahoma;
color:#666699">Coordenação de Infraestrutura - Segurança
da Informação</span></b><span style="font-family:
"Arial Unicode
MS";mso-fareast-font-family:"Times New
Roman";color:black"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:8.0pt;font-family:Tahoma;color:#666699">COINF/CGTEC/SEAGE/SOF<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:8.0pt;font-family:Tahoma;color:#666699">Ministério
do
Planejamento, Orçamento e Gestão</span><span style="font-family:"Arial Unicode MS";
mso-fareast-font-family:"Times New
Roman";color:black"><o:p></o:p></span></p>
<p class="MsoNormal"><span class="il"><u><span style="font-size:8.0pt;font-family:
Tahoma;color:#222222;background:#FFFFCC"><a href="#" id="123:ramon.brandao@planejamento.gov.br" class="tinebase-email-link">ramon.brandao@planejamento.gov.br</a></span></u></span><span style="font-family:"Arial Unicode
MS";mso-fareast-font-family:"Times New
Roman";
color:black"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:8.0pt;font-family:Tahoma;color:#333333">(61)
2020-
2178; Ramal 2178</span></p>
<br>
<p class="MsoNormal"><span style="font-size:8.0pt;font-family:Tahoma;color:#333333"><i>"Seja
a mudança que queres ver no mundo."</i> (Mahatma Gandhi)</span></p>
</div>
</div>
<pre>_______________________________________________
Estruturantes mailing list
Estruturantes@listas.planalto.gov.br
<a href="https://www1.planalto.gov.br/mailman/listinfo/estruturantes" target="_blank">https://www1.planalto.gov.br/mailman/listinfo/estruturantes</a>
</pre></blockquote><br></body></html>