segunda-feira, 5 de janeiro de 2015

Norma sobre Segurança da Informação do Governo Federal tem cláusula de estímulo ao software livre retirada da pauta

O governo publicou em meados do mês passado uma revisão da norma sobre o tratamento das informações no âmbito da administração federal. Entre as principais modificações, exige-se a identificação da pessoa ou órgão responsável por determinada informação, a ampliação do uso de criptografia de Estado. Também pela segurança descartou-se o privilégio de adoção de formatos abertos e não proprietários.
Trata-se da primeira revisão da Norma 20, do Departamento de Segurança da Informação e Comunicações – documento que trata de diretrizes de segurança do processo de tratamento da informação. Em si, ela trata das regras a serem seguidas por todos os órgãos públicos federais sobre acesso, classificação e tratamento de informações.

Uma das alterações parece atingir diretamente o estímulo ao software livre. Na versão original, “os órgãos e entidades da APF [Administração Pública Federal] deverão priorizar a adoção de formatos abertos e não proprietários, sempre que possível, para preservar as informações digitais e permitir seu amplo acesso, conforme padrões de interoperabilidade do Governo Eletrônico.

O texto revisado não inclui mais nenhuma menção aos “formatos abertos e não proprietários”, muito menos a prioridade de adoção dos mesmos. Em seu lugar, a referência ficou restrita a: “Recomenda-se a observância dos padrões de interoperabilidade do Governo Eletrônico”.

No campo criptográfico, as regras do DSIC já previam que informações sigilosas devem ser submetidas a criptografia que utilize algoritmo de Estado – ou seja, um sistema criptográfico desenvolvido dentro do governo. Vale dizer, com uso dos algoritmos do Centro de Pesquisas e Desenvolvimento para a Segurança das Comunicações, Cepesc, ligado à Abin.

Com a revisão qualquer informação classificada deve ser “produzida e custodiada”, “armazenada em meios eletrônicos” sempre com “uso de criptografia baseada em algoritmo de Estado”. Mais do que isso, mesmo no “transporte, transmissão e distribuição de mídias que contenham informação sigilosa” também precisa ser usada a criptografia.

A norma revisada inclui conceitos novos como do “custodiante da informação” – qualquer indivíduo ou estrutura do órgão “que tenha a responsabilidade formal de proteger a informação” – de “informação pessoal” ou ainda “proprietário da informação” –  o indivíduo que, pelo cargo que ocupa, é o responsável pela sobrevivência da informação.

May the Source be with You.

Nenhum comentário:

Postar um comentário