SlideShare uma empresa Scribd logo
1 de 48
Baixar para ler offline
Pós-Graduação 2008
     Legislação (digital) Brasileira



                                Jairo Willian Pereira
Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified
                                  jairo.pereira@gmail.com
Cronograma

Semana                                     Teoria                                       Prática
         Conceituação Básica SI
  1                                                                                      E01
         Conceitos de Gestão de Risco

         Histórico do Surgimento das Normas de Segurança                                 E02
  2
         Sarbanes Oxley
         Legislação Brasileira
  3                                                                                      E03
         ISO/EIC 15408 (CC)

         Família 2700x (BS-7799)                                                         E04
  4
         COBIT
         Planejamento Corporativo de Segurança da Informação
  5                                                                                      P01
         Primeira Avaliação - Dissertativa

         Apresentação Trabalhos:
              BS 25999 – Gestão de Contiuidade de Negócios                               T01
  6           RFC 2196 – Gestão de Resposta à Incidentes de Seguranca
              ITIL – Infomation Technology Infrastructure Library                        T02
              COSO - Committee of Sponsoring Organizations of the Treadway Commission



                                               2                                               CON – A3
Índice Histórico



1. Tipificação
2. Regulamentação Bancária
3. Legislação Brasileira
4. Conclusão
5. Cartoon
6. Exercício
7. HomeWork


                 3                    CON – A3
Tipificação


                   Crime


“Qualquer violação grave da lei moral, civil ou religiosa;
 ato ilícito; contravenção ou ação anti-jurídica culpável.”


“Nullum crimen, nulla poena sine praevia lege”

   “Não há crime, sem lei anterior que o defina.
     Não há pena sem prévia cominação legal”

                            4                           CON – A3
Tipificação


             Crime Informático?


“Qualquer conduta ilegal não ética, ou não autorizada, que envolva
  processamento automático de dados e/ou transmissão de dados”
        Organização para Cooperação Econômica e Desenvolvimento, ONU



  “Recente fenômeno histórico-sócio-cultural caracterizado pela
   elevada incidência de ilícitos penais que têm por objeto material
      ou meio de execução o ambiente tecnológico informático”
                           Guilherme Guimarães Feliciano, Escritor e Juiz



                                  5                                CON – A3
Tipificação


      Tipos de Crimes Informático


:: Impróprios
   Informática é utilizada como meio para prática do crime.
   A tecnologia é instrumento de execução do delito.
                  (violação direitos autorais, pornografia, difamação...)

:: Próprios
   Informática é o objeto do crime. Tecnologia, dado ou
   informação são finalidades almejadas pelo agente.
                    (DoS, acesso não autorizado, fraude eletrônica...)

                                6                                 CON – A3
Regulamentação Bancária


             CMN – BACEN Resolução 2554/98

 IMPLANTAÇÃO E IMPLEMENTAÇÃO DE SISTEMA DE CONTROLES INTERNOS


    Art. 2º - Os controles internos, que devem ser acessíveis a todos os funcioná-
     rios da instituição, de forma a assegurar seu conhecimento função, e as respec-
     tivas responsa-bilidades atribuídas aos níveis da organização, devem prever:

      I - A definição de responsabilidades corporativas;

      III - Meios de identificar e avaliar possíveis ameaças internas e externas;

      V - Continua avaliação dos diversos riscos e respectivas atividades associadas;

      VII - Testes periódicos de segurança para os sistemas de informações;



                                         7                                      CON – A3
Regulamentação Bancária


             CMN – BACEN Resolução 2554/98

 IMPLANTAÇÃO E IMPLEMENTAÇÃO DE SISTEMA DE CONTROLES INTERNOS


    Art. 3º - O acompanhamento sistemático das atividades relacionadas
     com o sistema de controles internos deve ser objeto de relatórios,
     no mínimo semestrais, contendo:

      I - Conclusões dos exames/análises efetuadas;

      II - Recomendações sobre eventuais deficiências e cronograma saneamento;

      III - Manifestação dos responsáveis pelas respectivas áreas deficientes e
      contra-medidas adotadas;



                                        8                                    CON – A3
Regulamentação Bancária


               CMN – BACEN Resolução 2554/98

 IMPLANTAÇÃO E IMPLEMENTAÇÃO DE SISTEMA DE CONTROLES INTERNOS


    Art. 3º

      Parágrafo único: As conclusões, recomendações e manifestação
      referidas nos incisos I, II e III deste artigo:

           I - devem ser submetidas ao conselho de administração ou a
           diretoria, bem como a auditoria externa da instituição;

           II - devem permanecer a disposição do Banco Central do Brasil
           por 5 (cinco) anos.



                                    9                                   CON – A3
Regulamentação Bancária


               CMN – BACEN Resolução 2554/98

 IMPLANTAÇÃO E IMPLEMENTAÇÃO DE SISTEMA DE CONTROLES INTERNOS


    Art. 4º


      Incumbe a diretoria da instituição, alem das responsabilidades enumeradas
      no art. 1., parágrafo 2., a promoção de elevados padrões éticos e de
      integridade e de uma cultura organizacional que demonstre e enfatize,
      a todos os funcionários, a importância dos controles internos
      e o papel de cada um no processo.




                                     10                                  CON – A3
Regulamentação Bancária


                 CMN – BACEN Resolução 2817/01

 ABERTURA E MOVIMENTAÇÃO DE CONTA DEPÓSITO POR MEIO ELETRÔNICO (APENAS)
 RESPECTIVO MEIO ELETRÔNICO DE COMUNICAÇÃO


•   Parágrafo 1: consideram-se meios eletrônicos a Internet, terminais de
    auto-atendimento, o telefone e outros meios de comunicação a distancia
    disponíbilizados pela instituição.

      Art. 2º

        III – Cabe a diretoria, responsabilidade pelos sistemas de controles que
        garantam o sigilo e a segurança dos meios eletrônicos disponíveis, bem
        como o adequado monitoramento das informações sobre movimentação
        das contas de depósitos de que trata esta Resolução;


                                         11                                   CON – A3
Regulamentação Bancária


                 Arquitetura & Requisitos - SPB

:: Atuação Segurança                      Composição do GT de Segurança

• Política de Segurança                   • ABBC         Associação Brasil. de Bancos
• Certificação Digital                    • ABBI         Assoc. Brasil. de Bancos Internacionais
• Especificações Segurança (M/A)        • ASBACE       Assoc. Brasil. Bancos Estad. Regionais
• Informações para Testes de Segurança    • FEBRABAN     Federação Brasil. de Bancos


:: Das Câmaras (Clearings)

• CETIP   Central de Liquidação de Títulos Privados
• SELIC   Sistema Especial de Liquidação e de Custódia
• CBLC    Câmara Brasileira de Liquidação e Custódia
• BM&F    Bolsa de Mercadoria & Futuros
• CIP     Câmara Interbancária de Pagamentos
• BC      Banco Central
                                            12                                        CON – A3
Regulamentação Bancária

Arquitetura & Requisitos - SPB




             13                  CON – A3
Regulamentação Bancária


                                Premissas - SPB

:: Premissas

3.5.1 – Todos serviços do SPB, devem estar disponíveis pelo período estabelecido no
        regulamento do BACEN – Banco Central do Brasil;

3.5.2 - Mensagens transmitidas entre participantes-BACEN são irrevogáveis,
        incondicionais e finais;

3.5.3 - Todas mensagens enviadas são obrigatoriamente assinadas digitalmente pelo Emissor;
               (exceção, se julgado necessário, das relativas a testes de conectividade);

3.5.4 – Todas mensagens enviadas serão obrigatoriamente criptografadas
(exceção a testes de conectividade, comunicação de erros, e sem destinatário específico);


                                            14                                      CON – A3
Regulamentação Bancária


                               Premissas - SPB

:: Premissas

3.5.5 – Todas mensagens devem possuir identificação única garantindo rastreabilidade
        e unicidade;

3.5.6 – Todas aplicações devem ser testadas e homologadas em ambiente de certificação;

3.5.7 - Todas as Instituições devem aderir às especificações de segurança do SPB;
         (inclusive ao Protocolo de Segurança para troca das mensagens);

3.5.8 - Toda e qualquer mensagem gerada/enviada ao SPB pelo participantes é de
        exclusiva responsabilidade de quem a originou;

3.5.9 - As premissas anteriores também se aplicam aos arquivos disponibilizados via FTP;


                                          15                                      CON – A3
Regulamentação Bancária


                                  Diretrizes - SPB

:: Diretrizes

3.6.1 – Todas conexões da RSFN deverão estar configuradas de acordo com as normas
        de segurança da concessionária fornecedora da infra-estrutura;

3.6.5 - As Câmaras, Aglomerados e Conglomerados devem possuir ambiente redundante,
        incluindo elementos de rede e de processamento, para garantia de disponibilidade;

3.6.6 - As Instituições serão responsáveis pela “segurança” e acesso a sua chave privada;

3.6.9 - As Instituições deverão possuir sistemática de Segurança da Informação
        visando assegurar a confidencialidade, a integridade, a autenticidade, o não repúdio
        e disponibilidade dos dados e informações tratadas, classificadas e sensíveis;


                                             16                                        CON – A3
Regulamentação Bancária


                                Diretrizes - SPB

:: Diretrizes

3.6.12 - As Câmaras, Aglomerados e Conglomerados deverão possuir procedimentos
         de backup que garantam a recuperação do ambiente e dados trafegados;

3.6.14 - As Instituições deverão possuir registros que capacitem a rastreabilidade e/ou a
         recomposição das transações geradas no SPB, garantindo assim sua auditabilidade;

3.6.15 - Os Certificados Digitais deverão ser emitidos por uma entidade certificadora que
         atenda aos requisitos da legislação vigente e que seja devidamente credenciado
         pelo Comitê Gestor da Infra-estrutura de Chaves Públicas Brasileira - ICP-Brasil.


   + Info: Manual Técnico RSFN – Comunicação de dados BACEN, Instituições e Clearings.


                                           17                                      CON – A3
Regulamentação Bancária


                 CVM – Instrução 358/02

 DIVULGAÇÃO/USO DE FATOS/INFORMAÇÕES RELEVANTES DE CIAS CAPITAL ABERTO

•   Art. 8º

    Cumpre aos responsáveis, subordinados, terceiros e quaisquer órgãos com funções técnicas
    ou consultivas, guardar sigilo das informações relativas a ato ou fato relevante às quais
    tenham acesso privilegiado em razão do cargo ou posição que ocupam, até sua divulgação
    ao mercado, respondendo solidariamente com estes na hipótese de descumprimento.

•   Art. 13º

    Antes da divulgação ao mercado de ato ou fato relevante, é vedada a negociação com
    valores mobiliários de sua emissão, ou a eles referenciados, pela própria companhia aberta,
    pelos acionistas controladores, demais membros ou funcionários diretos ou indiretos, ou por
    quem quer que, em virtude de sua “posição”, tenha conhecimento da informação relativa
    ao ato ou fato relevante.

        Parágrafo único: A CVM deverá comunicar ao Ministério Público a ocorrência dos eventos
         previstos nesta Instrução que constituam crime.

                                             18                                       CON – A3
Legislação Brasileira


                 Novo Código Cívil, Lei 10.406/02

 RESPONSABILIDADE DO ADMINISTRADOR


•   Art. 1.011

    O administrador da sociedade deverá ter, no exercício de suas funções, o cuidado
    e a diligência que todo homem ativo e probo costuma empregar na administração
    de seus próprios negócios.

•   Art. 1.016

    Os administradores respondem solidariamente perante a sociedade e os terceiros
    prejudicados, por culpa no desempenho de suas funções.




                                           19                                     CON – A3
Legislação Brasileira


                Novo Código Cívil, Lei 10.406/02

 RESPONSABILIDADE DO ADMINISTRADOR


“... sócios têm o dever legal de exigir de diretores, gerentes ou CSOs que "fechem" as
             vulnerabilidades nos sistemas, evitando, assim, repercutir qualquer
                                  tipo de dano a terceiros.”

   “...deverão os sócios ter o total empenho e diligência em identificar e processar os
         responsáveis por ilícitos digitais, sob pena de incorrerem em má gestão, e
    responderem com seu patrimônio pessoal perante aqueles terceiros lesados com
        tais eventos, que não foram devidamente apurados e que não tiveram seus
                   responsáveis sujeitados ao devido processo judicial.”

                                         Renato Opice Blum, Opice Blum Advogados

                                         20                                      CON – A3
Legislação Brasileira


                            Projeto de Lei 89/03

 CRIMES DA ÁREA DE INFORMÁTICA, SUAS PENALIDADES E PROVIDÊNCIAS

•   Artigo 3º
    Para fins desta lei, entende-se por informações privadas aquelas relativas à pessoa
    física ou jurídica identificada ou identificável.

        Parágrafo Único: É identificável a pessoa cuja individualização não envolva custos
        ou prazos desproporcionados.

•   Artigo 5º
    A coleta, o processamento e a distribuição, com finalidades comerciais, de
    informações privadas ficam sujeitas à prévia aquiescência da pessoa a que se
    referem, que poderá ser tornada sem efeito a qualquer momento, ressalvando-se o
    pagamento de indenizações a terceiros, quando couberem.


                                            21                                      CON – A3
Legislação Brasileira


                              Projeto de Lei 89/03

 CRIMES DA ÁREA DE INFORMÁTICA, SUAS PENALIDADES E PROVIDÊNCIAS

•   Artigo 8º
    Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou parcialmente, dado
    ou programa de computador, de forma indevida ou não autorizada.
    PENA: detenção, de um a três anos e multa.

•   Artigo 10º
    Apagar, destruir, alterar, ou de qualquer forma inutilizar, senha ou qualquer outro
    mecanismo de acesso a computador, programa de computador ou dados, de forma
    indevida ou não autorizada.
    PENA: detenção, de um a dois anos e multa.




                                              22                                        CON – A3
Legislação Brasileira


                             Projeto de Lei 89/03

 CRIMES DA ÁREA DE INFORMÁTICA, SUAS PENALIDADES E PROVIDÊNCIAS

•   Artigo 12º
    Obter segredos, de industria, ou comércio, ou informações pessoais armazenadas
    em computador, redes, meio eletrônico de natureza magnética, óptica ou similar,
    de forma indevida ou não autorizada.
    PENA: detenção, de um a três anos e multa.

•   Artigo 13º
    Criar, desenvolver ou inserir, dado ou programa em computador ou redes, de
    forma indevida ou não autorizada, com a finalidade de apagar, destruir, inutilizar ou
    modificar dados, programas, redes de computadores, dificultar ou impossibilitar, total ou
    parcialmente, a utilização de computador ou rede de computadores.
    PENA: reclusão, de um a três anos e multa.


                                             23                                        CON – A3
Legislação Brasileira


                              Decreto 3.505/00

 INSTITUI P.S.I. EM ÓRGÃOS/ENTIDADES DA ADMINISTRAÇÃO PÚBLICA FEDERAL

•   I - elaborar e implementar programas destinados à conscientização e à capacitação
    dos recursos humanos que serão utilizados na consecução dos objetivos de que trata
    o artigo anterior, visando garantir a adequada articulação entre os órgãos e as
    entidades da Administração Pública Federal;

•   II - estabelecer programas destinados à formação e ao aprimoramento dos recursos
    humanos, com vistas à definição e à implementação de mecanismos capazes de fixar e
    fortalecer as equipes de pesquisa e desenvolvimento, especializadas em todos os
    campos da segurança da informação;

•   III - propor regulamentação sobre matérias afetas à segurança da informação nos
    órgãos e nas entidades da Administração Pública Federal;


                                          24                                     CON – A3
Legislação Brasileira


                               Decreto 3.505/00

 INSTITUI P.S.I. EM ÓRGÃOS/ENTIDADES DA ADMINISTRAÇÃO PÚBLICA FEDERAL

•   IV - estabelecer normas relativas à implementação da Política Nacional de
    Telecomunicações, inclusive sobre os serviços prestados em telecomunicações, para
    assegurar, de modo alternativo, a permanente disponibilização dos dados e das
    informações de interesse para a defesa nacional;

•   V - acompanhar, em âmbito nacional e internacional, a evolução doutrinária e
    tecnológica das atividades inerentes à segurança da informação;

•   VI - orientar a condução da Política de Segurança da Informação já existente ou a
    ser implementada;




                                           25                                      CON – A3
Legislação Brasileira


                                Decreto 3.505/00

 INSTITUI P.S.I. EM ÓRGÃOS/ENTIDADES DA ADMINISTRAÇÃO PÚBLICA FEDERAL

•   VII - realizar auditoria nos órgãos e nas entidades da Administração Pública
    Federal, envolvidas com a política de segurança da informação, no intuito de aferir o
    nível de segurança dos respectivos sistemas de informação;

•   VIII - estabelecer normas, padrões, níveis, tipos e demais aspectos relacionados ao
    emprego dos produtos que incorporem recursos criptográficos, de modo a assegurar
    a confidencialidade, a autenticidade, a integridade e o não-repúdio, assim como a
    interoperabilidade entre os Sistemas de Segurança da Informação;

•   IX - estabelecer as normas gerais para o uso e a comercialização dos recursos
    criptográficos pelos órgãos e pelas entidades da Administração Pública Federal,
    dando-se preferência, em princípio, no emprego de tais recursos, a produtos nacionais;


                                             26                                       CON – A3
Legislação Brasileira


                              Decreto 3.505/00

 INSTITUI P.S.I. EM ÓRGÃOS/ENTIDADES DA ADMINISTRAÇÃO PÚBLICA FEDERAL

•   X - estabelecer normas, padrões e demais aspectos necessários para assegurar a
    confidencialidade dos dados e das informações, em vista da possibilidade de
    detecção de emanações eletromagnéticas, inclusive as provenientes de recursos
    computacionais;

•   XI - estabelecer as normas inerentes à implantação dos instrumentos e mecanismos
    necessários à emissão de certificados de conformidade no tocante aos produtos que
    incorporem recursos criptográficos;

•   XII - desenvolver sistema de classificação de dados e informações, com vistas à
    garantia dos níveis de segurança desejados, assim como à normatização do acesso às
    informações;

•   XIII, XIV...

                                          27                                     CON – A3
Legislação Brasileira


                                 Decreto 4.553/02

 SALVAGUARDA DADOS/INFORMAÇÕES VISANDO SEGURANÇA DA SOCIEDADE/ESTADO
              (ÂMBITO DA ADMINISTRAÇÃO PÚBLICA/FEDERAL)

•   Seção I     Da classificação segundo o grau de sigilo / Procedimentos classificação documentos
•   Seção II    Da reclassificação e da desclassificação (documentação controlada)
•   Seção III   Da marcação (indicação do grau de sigilo)
•   Seção IV    Da expedição e da comunicação de documentos sigilosos
•   Seção V     Do registro, da tramitação e da guarda
•   Seção VI    Da reprodução
•   Seção VII   Da avaliação, da preservação e da eliminação

•   CAPÍTULO IV      Do acesso
•   CAPÍTULO V       Dos sistemas de informação
•   CAPÍTULO VI      Das áreas e instalações sigilosas
•   CAPÍTULO VII     Do material sigiloso
•   CAPÍTULO VIII    Dos contratos
                                               28                                        CON – A3
Legislação Brasileira


                                      Lei 9.983/00

 INSERÇÃO DE DADOS FALSOS OU MODIFICAÇÃO NÃO AUTORIZADA EM SISTEMAS

•   Art. 313-A - Inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos, alterar
    ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados
    da Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou
    para causar dano.
    Pena: reclusão, de 2 (dois) a 12 (doze) anos, e multa.

•   Art. 313-B - Modificar ou alterar, o funcionário, sistema de informações ou programa de
    informática sem autorização ou solicitação de autoridade competente:
    Pena: detenção, de 3 (três) meses a 2 (dois) anos, e multa.

        Parágrafo único: As penas são aumentadas de um terço até a metade se amodificação
        ou alteração resultar dano para a Administração Pública ou para o administrado.



                                               29                                          CON – A3
Legislação Brasileira


                                   Lei 9.296/96

 INTERCEPTAÇÃO DE COMUNICAÇÕES TELEFÔNICAS

•   Art. 1º
    A interceptação de comunicações telefônicas, de qualquer natureza, para prova em
    investigação criminal e em instrução processual penal, observará o disposto nesta Lei
    e dependerá de ordem do juiz competente da ação principal, sob segredo de justiça.

        Parágrafo único: O disposto nesta Lei aplica-se à interceptação do fluxo de
        comunicações em sistemas de informática e telemática.

•   Art. 10º
    Constitui crime realizar interceptação de comunicações telefônicas, de informática ou
    telemática, ou quebrar segredo da Justiça, sem autorização judicial ou objetivos não
    autorizados em lei.


                                            30                                        CON – A3
Legislação Brasileira


                                    Lei 11.419/06
 INFORMATIZAÇÃO DO PROCESSO JUDICIAL

  Capítulo I         da informatização do processo judicial
  § 1º - Aplica-se o disposto nesta Lei, aos processos civil, penal e trabalhista, bem como aos
  juizados especiais, em qualquer grau de jurisdição.

  Capítulo II         da comunicação eletrônica dos atos processuais
  § 1º - O sítio e o conteúdo das publicações de que trata este artigo deverão ser assinados
  digitalmente com base em certificado emitido por Autoridade Certificadora credenciada.

  Capítulo III      do processo eletrônico
  Art. 9º - No processo eletrônico, todas as citações, intimações e notificações, inclusive da
  Fazenda Pública, serão feitas por meio eletrônico, na forma desta Lei.

  Capítulo IV        disposições gerais e finais
  Art. 14º - Os sistemas a serem desenvolvidos pelos órgãos do Poder Judiciário deverão usar,
  preferencialmente, programas com código aberto, priorizando-se a sua padronização.

                                               31                                           CON – A3
Legislação Brasileira


                            Lei 9.609/98
 PROTEÇÃO DE PROPRIEDADE INTELECTUAL DE SOFTWARE E COMERCIALIZAÇÃO




   CAPÍTULO I     Disposições Prelimiares

   CAPÍTULO II    Da proteção aos direitos de autor e do registro

   CAPÍTULO III   Das garantias aos usuários de programa de computador

   CAPÍTULO IV    Dos contratos de licença de uso, comercialização e transferência

   CAPÍTULO V     Das infrações e das penalidades

   CAPÍTULO VI    Disposições finais



                                       32                                 CON – A3
Legislação Brasileira


Cases




 33                   CON – A3
Legislação Brasileira


Cases

             “Diz-se impropriamente
             porque hackers seriam
             pessoas interessadas nas
             partes mais
             desconhecidas e
             profundas de qualquer
             sistema operativo e em
             linguagens de
             computador. Hackers são
             pessoas que procuram
             respostas, buscam
             incansavelmente
             conhecimento e,
             principalmente, nunca
             pretendem causar danos
             a alguém
             intencionalmente”, justifica
             Borlido.

 34                              CON – A3
Legislação Brasileira


Cases




 35                   CON – A3
Legislação Brasileira


Cases




 36                   CON – A3
Legislação Brasileira


Cases




 37                   CON – A3
Legislação Brasileira


Panorama Atual - Impróprios




                     Fonte: www.truzzi.com.br

            38                                  CON – A3
Legislação Brasileira


                          Panorama Atual


• Esquizofrenia Legislativa;
   Projetos de Lei, Medidas Provisórias, Resoluções, diversas edições...

• Acordos “não oficiais”;
   Entidades deveriam ter “obrigações” oficiais e serem responsabilizadas

• Desnecessária criação de novos tipos penais;
   Velhos crimes, roupagens novas

• Aplicação Legislação vigente, com adaptações;
   Perfeitamente aplicável para impróprios, pequenas adaptações em próprios

                                     39                                     CON – A3
Conclusão


       Pornografia Infantil, Julgamento STF


“...o meio técnico empregado para realizá-la pode até ser
         de invenção posterior à edição da lei penal: a
       invenção da pólvora não reclamou redefinição do
          homicídio para tornar explícito que nela se
      compreendia a morte dada a outrem mediante arma
                           de fogo”

              Sepúlveda Pertence, Ministro Supremo Tribunal Federal


                              40                             CON – A3
Conclusão


Abusos “Liberdade de expressão”, Lei de Imprensa

  “Durante promulgação da Lei nº5.250/67, não se cogitava do advento
    da Internet, que pudesse ser utilizada para a produção e transmissão
       mundial de todo tipo de informações. A falta de previsão legal não
      impede, porém, que sites, dirigidos à atividade jornalística em geral
    que publiquem notícias, informações, comentários, críticas etc., sejam
        equiparados a serviço noticioso e considerados como meios de
    informação e de divulgação, para efeito de configuração de eventuais
     abusos no exercício da liberdade de manifestação do pensamento e
       informação, alcançados pelo art. 12 da Lei nº 5.250/67, mediante
                            interpretação extensiva.”

                           Alexandre Jean Daoun e Gisele Truzzi de Lima
                          Advogados,especialistas em crimes eletrônicos.
                                    41                               CON – A3
Conclusão


          Jurisprudência, Leis vigentes & Afins

 “Portanto, conclui-se que para o mencionado rol de condutas não há que
          se falar na criação de novos tipos penais em razão do fator
    tecnológico. Crimes que a tecnologia funciona, repita-se, apenas como
                                      veículo
       ou meio para cometimento de condutas claramente definidas na
           legislação penal vigente ou seja, hipóteses em que o bem
             jurídico aviltado já está devidamente tutelado pela lei.

“O Direito Penal deve ser considerado como último recurso a ser utilizado!”
          Sua excessiva aplicação, gera descrédito e ineficiência.

                            Alexandre Jean Daoun e Gisele Truzzi de Lima
                           Advogados,especialistas em crimes eletrônicos.
                                    42                               CON – A3
Conclusão


        Jurisprudência, Leis vigentes & Afins

“Como pudemos observar, boa parte das notícias que envolvem ‘crime’
   e ‘tecnologia’ já estão tuteladas pela legislação pátria, afastando
  definitivamente, a idéia de que a Internet é território livre e isento de
                            responsabilidades.

      Ao contrário, temos claro que, para o chamado ambiente virtual,
          aplica-se toda a legislação em vigor que for pertinente.”

                           Alexandre Jean Daoun e Gisele Truzzi de Lima
                          Advogados,especialistas em crimes eletrônicos.


                                    43                                 CON – A3
Cartoon




44      CON – A3
Exercício


        Redação - Crimes Eletrônicos, PLS-89

 Art. 154-A - Acessar indevidamente, rede de computadores, dispositivo de comunicação ou
       sistema informatizado. Pena: reclusão, de 2 (dois) a 4 (quatro) anos, e multa.

 § 1º Nas mesmas penas incorre quem, indevidamente, permite, facilita ou fornece a terceiro
       meio não autorizado de acesso a rede de computadores, dispositivo de comunicação
       ou sistema informatizado.
 ...
 § 4º Nas mesmas penas incorre, o responsável pelo provedor de acesso à rede de
       computadores, dispositivo de comunicação ou sistema informatizado, que permite o
       acesso a usuário sem a devida identificação e autenticação ou que deixa de exigir,
       como condição de acesso, a necessária, identificação e cadastramento do usuário.


Objetivo: Explicar se concordam com a redação, justificando a
       resposta ou propondo nova redação caso contrário.

                                           45                                         CON – A3
Homework


Pesquisar MP 2.200-2/01




   !
                Em função da data da produção do
          documento (2008 e não mais atualizado), é
        altamente recomendado que seja consultado
          as novas publicações e decisões a respeito
           do tema, principalmente as relacionadas a
                                crimes eletrônicos.




           46                                    CON – A3
Agradecimentos


      Aos amigos que suportaram dúvidas...



 CORNAZZANI SALES ADVOGADOS ASSOCIADOS
        Gisele Truzzi & Alexandre Daoun



 OPICE BLUM – ADVOGADOS ASSOCIADOS
        Rony Vainzof



            OBS: Peço desculpas por “enxugar” alguns trechos das redações & leis.
                Avisei os envolvidos sobre minha mutilação, de caráter visual/didático!


                                      47                                         CON – A3
Fim




48   CON – A1

Mais conteúdo relacionado

Semelhante a Brazilian Legislation - OverView

2 icp brasil sistema nacional de certificação digital acsp - manuel matos
2 icp brasil sistema nacional de certificação digital acsp - manuel matos2 icp brasil sistema nacional de certificação digital acsp - manuel matos
2 icp brasil sistema nacional de certificação digital acsp - manuel matosAssociação Comercial de São Paulo
 
Auditoria no contexto de sistemas de informação computadorizados
Auditoria no contexto de sistemas de informação computadorizadosAuditoria no contexto de sistemas de informação computadorizados
Auditoria no contexto de sistemas de informação computadorizadosUniversidade Pedagogica
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade(dos negócios)na segurança da informaçãoRequisitos da continuidade(dos negócios)na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoSilvino Neto
 
280/9/2011 - 09h30 às 13h - TI & Petróleo - Alberto Bastos
280/9/2011 -  09h30 às 13h - TI & Petróleo - Alberto Bastos280/9/2011 -  09h30 às 13h - TI & Petróleo - Alberto Bastos
280/9/2011 - 09h30 às 13h - TI & Petróleo - Alberto BastosRio Info
 
Curso PCI DSS - Overview
Curso PCI DSS - OverviewCurso PCI DSS - Overview
Curso PCI DSS - OverviewData Security
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016João Rufino de Sales
 
eSocial: Você sabia? - Inter System
eSocial: Você sabia? - Inter SystemeSocial: Você sabia? - Inter System
eSocial: Você sabia? - Inter SystemInter System
 
TomeByte
TomeByteTomeByte
TomeBytetavaum
 
Treinamento ps rev 03_20190719
Treinamento ps rev 03_20190719Treinamento ps rev 03_20190719
Treinamento ps rev 03_20190719mmuylaert
 
Simulado cobit em português
Simulado cobit em portuguêsSimulado cobit em português
Simulado cobit em portuguêsFernando Palma
 

Semelhante a Brazilian Legislation - OverView (20)

Sistema Nacional de Certificação Digital
Sistema Nacional de Certificação Digital Sistema Nacional de Certificação Digital
Sistema Nacional de Certificação Digital
 
2 icp brasil sistema nacional de certificação digital acsp - manuel matos
2 icp brasil sistema nacional de certificação digital acsp - manuel matos2 icp brasil sistema nacional de certificação digital acsp - manuel matos
2 icp brasil sistema nacional de certificação digital acsp - manuel matos
 
Icp brasil sistema nacional de certificação digital trt9
Icp brasil sistema nacional de certificação digital trt9Icp brasil sistema nacional de certificação digital trt9
Icp brasil sistema nacional de certificação digital trt9
 
Auditoria no contexto de sistemas de informação computadorizados
Auditoria no contexto de sistemas de informação computadorizadosAuditoria no contexto de sistemas de informação computadorizados
Auditoria no contexto de sistemas de informação computadorizados
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade(dos negócios)na segurança da informaçãoRequisitos da continuidade(dos negócios)na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Documentos
DocumentosDocumentos
Documentos
 
280/9/2011 - 09h30 às 13h - TI & Petróleo - Alberto Bastos
280/9/2011 -  09h30 às 13h - TI & Petróleo - Alberto Bastos280/9/2011 -  09h30 às 13h - TI & Petróleo - Alberto Bastos
280/9/2011 - 09h30 às 13h - TI & Petróleo - Alberto Bastos
 
GestãO
GestãOGestãO
GestãO
 
Curso PCI DSS - Overview
Curso PCI DSS - OverviewCurso PCI DSS - Overview
Curso PCI DSS - Overview
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016
 
eSocial: Você sabia? - Inter System
eSocial: Você sabia? - Inter SystemeSocial: Você sabia? - Inter System
eSocial: Você sabia? - Inter System
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
TomeByte
TomeByteTomeByte
TomeByte
 
Treinamento ps rev 03_20190719
Treinamento ps rev 03_20190719Treinamento ps rev 03_20190719
Treinamento ps rev 03_20190719
 
Simulado cobit em português
Simulado cobit em portuguêsSimulado cobit em português
Simulado cobit em português
 
Anvisa
AnvisaAnvisa
Anvisa
 

Mais de Jairo Willian Pereira

Mais de Jairo Willian Pereira (8)

Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001
 
Hardening Unix
Hardening UnixHardening Unix
Hardening Unix
 
Enterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewEnterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverView
 
CObIT Module - OverView
CObIT Module - OverViewCObIT Module - OverView
CObIT Module - OverView
 
ISO15408, Common Criteria 2.x - Overview
ISO15408, Common Criteria 2.x - OverviewISO15408, Common Criteria 2.x - Overview
ISO15408, Common Criteria 2.x - Overview
 
The History of Security Standards and Norms - OverView
The History of Security Standards and Norms - OverViewThe History of Security Standards and Norms - OverView
The History of Security Standards and Norms - OverView
 
SOX, Sarbanes Oxley - Overview
SOX, Sarbanes Oxley - OverviewSOX, Sarbanes Oxley - Overview
SOX, Sarbanes Oxley - Overview
 
ITIL Module - OverView
ITIL Module - OverViewITIL Module - OverView
ITIL Module - OverView
 

Brazilian Legislation - OverView

  • 1. Pós-Graduação 2008 Legislação (digital) Brasileira Jairo Willian Pereira Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified jairo.pereira@gmail.com
  • 2. Cronograma Semana Teoria Prática Conceituação Básica SI 1 E01 Conceitos de Gestão de Risco Histórico do Surgimento das Normas de Segurança E02 2 Sarbanes Oxley Legislação Brasileira 3 E03 ISO/EIC 15408 (CC) Família 2700x (BS-7799) E04 4 COBIT Planejamento Corporativo de Segurança da Informação 5 P01 Primeira Avaliação - Dissertativa Apresentação Trabalhos: BS 25999 – Gestão de Contiuidade de Negócios T01 6 RFC 2196 – Gestão de Resposta à Incidentes de Seguranca ITIL – Infomation Technology Infrastructure Library T02 COSO - Committee of Sponsoring Organizations of the Treadway Commission 2 CON – A3
  • 3. Índice Histórico 1. Tipificação 2. Regulamentação Bancária 3. Legislação Brasileira 4. Conclusão 5. Cartoon 6. Exercício 7. HomeWork 3 CON – A3
  • 4. Tipificação Crime “Qualquer violação grave da lei moral, civil ou religiosa; ato ilícito; contravenção ou ação anti-jurídica culpável.” “Nullum crimen, nulla poena sine praevia lege” “Não há crime, sem lei anterior que o defina. Não há pena sem prévia cominação legal” 4 CON – A3
  • 5. Tipificação Crime Informático? “Qualquer conduta ilegal não ética, ou não autorizada, que envolva processamento automático de dados e/ou transmissão de dados” Organização para Cooperação Econômica e Desenvolvimento, ONU “Recente fenômeno histórico-sócio-cultural caracterizado pela elevada incidência de ilícitos penais que têm por objeto material ou meio de execução o ambiente tecnológico informático” Guilherme Guimarães Feliciano, Escritor e Juiz 5 CON – A3
  • 6. Tipificação Tipos de Crimes Informático :: Impróprios Informática é utilizada como meio para prática do crime. A tecnologia é instrumento de execução do delito. (violação direitos autorais, pornografia, difamação...) :: Próprios Informática é o objeto do crime. Tecnologia, dado ou informação são finalidades almejadas pelo agente. (DoS, acesso não autorizado, fraude eletrônica...) 6 CON – A3
  • 7. Regulamentação Bancária CMN – BACEN Resolução 2554/98  IMPLANTAÇÃO E IMPLEMENTAÇÃO DE SISTEMA DE CONTROLES INTERNOS  Art. 2º - Os controles internos, que devem ser acessíveis a todos os funcioná- rios da instituição, de forma a assegurar seu conhecimento função, e as respec- tivas responsa-bilidades atribuídas aos níveis da organização, devem prever: I - A definição de responsabilidades corporativas; III - Meios de identificar e avaliar possíveis ameaças internas e externas; V - Continua avaliação dos diversos riscos e respectivas atividades associadas; VII - Testes periódicos de segurança para os sistemas de informações; 7 CON – A3
  • 8. Regulamentação Bancária CMN – BACEN Resolução 2554/98  IMPLANTAÇÃO E IMPLEMENTAÇÃO DE SISTEMA DE CONTROLES INTERNOS  Art. 3º - O acompanhamento sistemático das atividades relacionadas com o sistema de controles internos deve ser objeto de relatórios, no mínimo semestrais, contendo: I - Conclusões dos exames/análises efetuadas; II - Recomendações sobre eventuais deficiências e cronograma saneamento; III - Manifestação dos responsáveis pelas respectivas áreas deficientes e contra-medidas adotadas; 8 CON – A3
  • 9. Regulamentação Bancária CMN – BACEN Resolução 2554/98  IMPLANTAÇÃO E IMPLEMENTAÇÃO DE SISTEMA DE CONTROLES INTERNOS  Art. 3º Parágrafo único: As conclusões, recomendações e manifestação referidas nos incisos I, II e III deste artigo: I - devem ser submetidas ao conselho de administração ou a diretoria, bem como a auditoria externa da instituição; II - devem permanecer a disposição do Banco Central do Brasil por 5 (cinco) anos. 9 CON – A3
  • 10. Regulamentação Bancária CMN – BACEN Resolução 2554/98  IMPLANTAÇÃO E IMPLEMENTAÇÃO DE SISTEMA DE CONTROLES INTERNOS  Art. 4º Incumbe a diretoria da instituição, alem das responsabilidades enumeradas no art. 1., parágrafo 2., a promoção de elevados padrões éticos e de integridade e de uma cultura organizacional que demonstre e enfatize, a todos os funcionários, a importância dos controles internos e o papel de cada um no processo. 10 CON – A3
  • 11. Regulamentação Bancária CMN – BACEN Resolução 2817/01  ABERTURA E MOVIMENTAÇÃO DE CONTA DEPÓSITO POR MEIO ELETRÔNICO (APENAS)  RESPECTIVO MEIO ELETRÔNICO DE COMUNICAÇÃO • Parágrafo 1: consideram-se meios eletrônicos a Internet, terminais de auto-atendimento, o telefone e outros meios de comunicação a distancia disponíbilizados pela instituição.  Art. 2º III – Cabe a diretoria, responsabilidade pelos sistemas de controles que garantam o sigilo e a segurança dos meios eletrônicos disponíveis, bem como o adequado monitoramento das informações sobre movimentação das contas de depósitos de que trata esta Resolução; 11 CON – A3
  • 12. Regulamentação Bancária Arquitetura & Requisitos - SPB :: Atuação Segurança Composição do GT de Segurança • Política de Segurança • ABBC Associação Brasil. de Bancos • Certificação Digital • ABBI Assoc. Brasil. de Bancos Internacionais • Especificações Segurança (M/A) • ASBACE Assoc. Brasil. Bancos Estad. Regionais • Informações para Testes de Segurança • FEBRABAN Federação Brasil. de Bancos :: Das Câmaras (Clearings) • CETIP Central de Liquidação de Títulos Privados • SELIC Sistema Especial de Liquidação e de Custódia • CBLC Câmara Brasileira de Liquidação e Custódia • BM&F Bolsa de Mercadoria & Futuros • CIP Câmara Interbancária de Pagamentos • BC Banco Central 12 CON – A3
  • 13. Regulamentação Bancária Arquitetura & Requisitos - SPB 13 CON – A3
  • 14. Regulamentação Bancária Premissas - SPB :: Premissas 3.5.1 – Todos serviços do SPB, devem estar disponíveis pelo período estabelecido no regulamento do BACEN – Banco Central do Brasil; 3.5.2 - Mensagens transmitidas entre participantes-BACEN são irrevogáveis, incondicionais e finais; 3.5.3 - Todas mensagens enviadas são obrigatoriamente assinadas digitalmente pelo Emissor; (exceção, se julgado necessário, das relativas a testes de conectividade); 3.5.4 – Todas mensagens enviadas serão obrigatoriamente criptografadas (exceção a testes de conectividade, comunicação de erros, e sem destinatário específico); 14 CON – A3
  • 15. Regulamentação Bancária Premissas - SPB :: Premissas 3.5.5 – Todas mensagens devem possuir identificação única garantindo rastreabilidade e unicidade; 3.5.6 – Todas aplicações devem ser testadas e homologadas em ambiente de certificação; 3.5.7 - Todas as Instituições devem aderir às especificações de segurança do SPB; (inclusive ao Protocolo de Segurança para troca das mensagens); 3.5.8 - Toda e qualquer mensagem gerada/enviada ao SPB pelo participantes é de exclusiva responsabilidade de quem a originou; 3.5.9 - As premissas anteriores também se aplicam aos arquivos disponibilizados via FTP; 15 CON – A3
  • 16. Regulamentação Bancária Diretrizes - SPB :: Diretrizes 3.6.1 – Todas conexões da RSFN deverão estar configuradas de acordo com as normas de segurança da concessionária fornecedora da infra-estrutura; 3.6.5 - As Câmaras, Aglomerados e Conglomerados devem possuir ambiente redundante, incluindo elementos de rede e de processamento, para garantia de disponibilidade; 3.6.6 - As Instituições serão responsáveis pela “segurança” e acesso a sua chave privada; 3.6.9 - As Instituições deverão possuir sistemática de Segurança da Informação visando assegurar a confidencialidade, a integridade, a autenticidade, o não repúdio e disponibilidade dos dados e informações tratadas, classificadas e sensíveis; 16 CON – A3
  • 17. Regulamentação Bancária Diretrizes - SPB :: Diretrizes 3.6.12 - As Câmaras, Aglomerados e Conglomerados deverão possuir procedimentos de backup que garantam a recuperação do ambiente e dados trafegados; 3.6.14 - As Instituições deverão possuir registros que capacitem a rastreabilidade e/ou a recomposição das transações geradas no SPB, garantindo assim sua auditabilidade; 3.6.15 - Os Certificados Digitais deverão ser emitidos por uma entidade certificadora que atenda aos requisitos da legislação vigente e que seja devidamente credenciado pelo Comitê Gestor da Infra-estrutura de Chaves Públicas Brasileira - ICP-Brasil. + Info: Manual Técnico RSFN – Comunicação de dados BACEN, Instituições e Clearings. 17 CON – A3
  • 18. Regulamentação Bancária CVM – Instrução 358/02  DIVULGAÇÃO/USO DE FATOS/INFORMAÇÕES RELEVANTES DE CIAS CAPITAL ABERTO • Art. 8º Cumpre aos responsáveis, subordinados, terceiros e quaisquer órgãos com funções técnicas ou consultivas, guardar sigilo das informações relativas a ato ou fato relevante às quais tenham acesso privilegiado em razão do cargo ou posição que ocupam, até sua divulgação ao mercado, respondendo solidariamente com estes na hipótese de descumprimento. • Art. 13º Antes da divulgação ao mercado de ato ou fato relevante, é vedada a negociação com valores mobiliários de sua emissão, ou a eles referenciados, pela própria companhia aberta, pelos acionistas controladores, demais membros ou funcionários diretos ou indiretos, ou por quem quer que, em virtude de sua “posição”, tenha conhecimento da informação relativa ao ato ou fato relevante.  Parágrafo único: A CVM deverá comunicar ao Ministério Público a ocorrência dos eventos previstos nesta Instrução que constituam crime. 18 CON – A3
  • 19. Legislação Brasileira Novo Código Cívil, Lei 10.406/02  RESPONSABILIDADE DO ADMINISTRADOR • Art. 1.011 O administrador da sociedade deverá ter, no exercício de suas funções, o cuidado e a diligência que todo homem ativo e probo costuma empregar na administração de seus próprios negócios. • Art. 1.016 Os administradores respondem solidariamente perante a sociedade e os terceiros prejudicados, por culpa no desempenho de suas funções. 19 CON – A3
  • 20. Legislação Brasileira Novo Código Cívil, Lei 10.406/02  RESPONSABILIDADE DO ADMINISTRADOR “... sócios têm o dever legal de exigir de diretores, gerentes ou CSOs que "fechem" as vulnerabilidades nos sistemas, evitando, assim, repercutir qualquer tipo de dano a terceiros.” “...deverão os sócios ter o total empenho e diligência em identificar e processar os responsáveis por ilícitos digitais, sob pena de incorrerem em má gestão, e responderem com seu patrimônio pessoal perante aqueles terceiros lesados com tais eventos, que não foram devidamente apurados e que não tiveram seus responsáveis sujeitados ao devido processo judicial.” Renato Opice Blum, Opice Blum Advogados 20 CON – A3
  • 21. Legislação Brasileira Projeto de Lei 89/03  CRIMES DA ÁREA DE INFORMÁTICA, SUAS PENALIDADES E PROVIDÊNCIAS • Artigo 3º Para fins desta lei, entende-se por informações privadas aquelas relativas à pessoa física ou jurídica identificada ou identificável. Parágrafo Único: É identificável a pessoa cuja individualização não envolva custos ou prazos desproporcionados. • Artigo 5º A coleta, o processamento e a distribuição, com finalidades comerciais, de informações privadas ficam sujeitas à prévia aquiescência da pessoa a que se referem, que poderá ser tornada sem efeito a qualquer momento, ressalvando-se o pagamento de indenizações a terceiros, quando couberem. 21 CON – A3
  • 22. Legislação Brasileira Projeto de Lei 89/03  CRIMES DA ÁREA DE INFORMÁTICA, SUAS PENALIDADES E PROVIDÊNCIAS • Artigo 8º Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou parcialmente, dado ou programa de computador, de forma indevida ou não autorizada. PENA: detenção, de um a três anos e multa. • Artigo 10º Apagar, destruir, alterar, ou de qualquer forma inutilizar, senha ou qualquer outro mecanismo de acesso a computador, programa de computador ou dados, de forma indevida ou não autorizada. PENA: detenção, de um a dois anos e multa. 22 CON – A3
  • 23. Legislação Brasileira Projeto de Lei 89/03  CRIMES DA ÁREA DE INFORMÁTICA, SUAS PENALIDADES E PROVIDÊNCIAS • Artigo 12º Obter segredos, de industria, ou comércio, ou informações pessoais armazenadas em computador, redes, meio eletrônico de natureza magnética, óptica ou similar, de forma indevida ou não autorizada. PENA: detenção, de um a três anos e multa. • Artigo 13º Criar, desenvolver ou inserir, dado ou programa em computador ou redes, de forma indevida ou não autorizada, com a finalidade de apagar, destruir, inutilizar ou modificar dados, programas, redes de computadores, dificultar ou impossibilitar, total ou parcialmente, a utilização de computador ou rede de computadores. PENA: reclusão, de um a três anos e multa. 23 CON – A3
  • 24. Legislação Brasileira Decreto 3.505/00  INSTITUI P.S.I. EM ÓRGÃOS/ENTIDADES DA ADMINISTRAÇÃO PÚBLICA FEDERAL • I - elaborar e implementar programas destinados à conscientização e à capacitação dos recursos humanos que serão utilizados na consecução dos objetivos de que trata o artigo anterior, visando garantir a adequada articulação entre os órgãos e as entidades da Administração Pública Federal; • II - estabelecer programas destinados à formação e ao aprimoramento dos recursos humanos, com vistas à definição e à implementação de mecanismos capazes de fixar e fortalecer as equipes de pesquisa e desenvolvimento, especializadas em todos os campos da segurança da informação; • III - propor regulamentação sobre matérias afetas à segurança da informação nos órgãos e nas entidades da Administração Pública Federal; 24 CON – A3
  • 25. Legislação Brasileira Decreto 3.505/00  INSTITUI P.S.I. EM ÓRGÃOS/ENTIDADES DA ADMINISTRAÇÃO PÚBLICA FEDERAL • IV - estabelecer normas relativas à implementação da Política Nacional de Telecomunicações, inclusive sobre os serviços prestados em telecomunicações, para assegurar, de modo alternativo, a permanente disponibilização dos dados e das informações de interesse para a defesa nacional; • V - acompanhar, em âmbito nacional e internacional, a evolução doutrinária e tecnológica das atividades inerentes à segurança da informação; • VI - orientar a condução da Política de Segurança da Informação já existente ou a ser implementada; 25 CON – A3
  • 26. Legislação Brasileira Decreto 3.505/00  INSTITUI P.S.I. EM ÓRGÃOS/ENTIDADES DA ADMINISTRAÇÃO PÚBLICA FEDERAL • VII - realizar auditoria nos órgãos e nas entidades da Administração Pública Federal, envolvidas com a política de segurança da informação, no intuito de aferir o nível de segurança dos respectivos sistemas de informação; • VIII - estabelecer normas, padrões, níveis, tipos e demais aspectos relacionados ao emprego dos produtos que incorporem recursos criptográficos, de modo a assegurar a confidencialidade, a autenticidade, a integridade e o não-repúdio, assim como a interoperabilidade entre os Sistemas de Segurança da Informação; • IX - estabelecer as normas gerais para o uso e a comercialização dos recursos criptográficos pelos órgãos e pelas entidades da Administração Pública Federal, dando-se preferência, em princípio, no emprego de tais recursos, a produtos nacionais; 26 CON – A3
  • 27. Legislação Brasileira Decreto 3.505/00  INSTITUI P.S.I. EM ÓRGÃOS/ENTIDADES DA ADMINISTRAÇÃO PÚBLICA FEDERAL • X - estabelecer normas, padrões e demais aspectos necessários para assegurar a confidencialidade dos dados e das informações, em vista da possibilidade de detecção de emanações eletromagnéticas, inclusive as provenientes de recursos computacionais; • XI - estabelecer as normas inerentes à implantação dos instrumentos e mecanismos necessários à emissão de certificados de conformidade no tocante aos produtos que incorporem recursos criptográficos; • XII - desenvolver sistema de classificação de dados e informações, com vistas à garantia dos níveis de segurança desejados, assim como à normatização do acesso às informações; • XIII, XIV... 27 CON – A3
  • 28. Legislação Brasileira Decreto 4.553/02  SALVAGUARDA DADOS/INFORMAÇÕES VISANDO SEGURANÇA DA SOCIEDADE/ESTADO (ÂMBITO DA ADMINISTRAÇÃO PÚBLICA/FEDERAL) • Seção I Da classificação segundo o grau de sigilo / Procedimentos classificação documentos • Seção II Da reclassificação e da desclassificação (documentação controlada) • Seção III Da marcação (indicação do grau de sigilo) • Seção IV Da expedição e da comunicação de documentos sigilosos • Seção V Do registro, da tramitação e da guarda • Seção VI Da reprodução • Seção VII Da avaliação, da preservação e da eliminação • CAPÍTULO IV Do acesso • CAPÍTULO V Dos sistemas de informação • CAPÍTULO VI Das áreas e instalações sigilosas • CAPÍTULO VII Do material sigiloso • CAPÍTULO VIII Dos contratos 28 CON – A3
  • 29. Legislação Brasileira Lei 9.983/00  INSERÇÃO DE DADOS FALSOS OU MODIFICAÇÃO NÃO AUTORIZADA EM SISTEMAS • Art. 313-A - Inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou para causar dano. Pena: reclusão, de 2 (dois) a 12 (doze) anos, e multa. • Art. 313-B - Modificar ou alterar, o funcionário, sistema de informações ou programa de informática sem autorização ou solicitação de autoridade competente: Pena: detenção, de 3 (três) meses a 2 (dois) anos, e multa. Parágrafo único: As penas são aumentadas de um terço até a metade se amodificação ou alteração resultar dano para a Administração Pública ou para o administrado. 29 CON – A3
  • 30. Legislação Brasileira Lei 9.296/96  INTERCEPTAÇÃO DE COMUNICAÇÕES TELEFÔNICAS • Art. 1º A interceptação de comunicações telefônicas, de qualquer natureza, para prova em investigação criminal e em instrução processual penal, observará o disposto nesta Lei e dependerá de ordem do juiz competente da ação principal, sob segredo de justiça. Parágrafo único: O disposto nesta Lei aplica-se à interceptação do fluxo de comunicações em sistemas de informática e telemática. • Art. 10º Constitui crime realizar interceptação de comunicações telefônicas, de informática ou telemática, ou quebrar segredo da Justiça, sem autorização judicial ou objetivos não autorizados em lei. 30 CON – A3
  • 31. Legislação Brasileira Lei 11.419/06  INFORMATIZAÇÃO DO PROCESSO JUDICIAL Capítulo I da informatização do processo judicial § 1º - Aplica-se o disposto nesta Lei, aos processos civil, penal e trabalhista, bem como aos juizados especiais, em qualquer grau de jurisdição. Capítulo II da comunicação eletrônica dos atos processuais § 1º - O sítio e o conteúdo das publicações de que trata este artigo deverão ser assinados digitalmente com base em certificado emitido por Autoridade Certificadora credenciada. Capítulo III do processo eletrônico Art. 9º - No processo eletrônico, todas as citações, intimações e notificações, inclusive da Fazenda Pública, serão feitas por meio eletrônico, na forma desta Lei. Capítulo IV disposições gerais e finais Art. 14º - Os sistemas a serem desenvolvidos pelos órgãos do Poder Judiciário deverão usar, preferencialmente, programas com código aberto, priorizando-se a sua padronização. 31 CON – A3
  • 32. Legislação Brasileira Lei 9.609/98  PROTEÇÃO DE PROPRIEDADE INTELECTUAL DE SOFTWARE E COMERCIALIZAÇÃO CAPÍTULO I Disposições Prelimiares CAPÍTULO II Da proteção aos direitos de autor e do registro CAPÍTULO III Das garantias aos usuários de programa de computador CAPÍTULO IV Dos contratos de licença de uso, comercialização e transferência CAPÍTULO V Das infrações e das penalidades CAPÍTULO VI Disposições finais 32 CON – A3
  • 34. Legislação Brasileira Cases “Diz-se impropriamente porque hackers seriam pessoas interessadas nas partes mais desconhecidas e profundas de qualquer sistema operativo e em linguagens de computador. Hackers são pessoas que procuram respostas, buscam incansavelmente conhecimento e, principalmente, nunca pretendem causar danos a alguém intencionalmente”, justifica Borlido. 34 CON – A3
  • 38. Legislação Brasileira Panorama Atual - Impróprios Fonte: www.truzzi.com.br 38 CON – A3
  • 39. Legislação Brasileira Panorama Atual • Esquizofrenia Legislativa; Projetos de Lei, Medidas Provisórias, Resoluções, diversas edições... • Acordos “não oficiais”; Entidades deveriam ter “obrigações” oficiais e serem responsabilizadas • Desnecessária criação de novos tipos penais; Velhos crimes, roupagens novas • Aplicação Legislação vigente, com adaptações; Perfeitamente aplicável para impróprios, pequenas adaptações em próprios 39 CON – A3
  • 40. Conclusão Pornografia Infantil, Julgamento STF “...o meio técnico empregado para realizá-la pode até ser de invenção posterior à edição da lei penal: a invenção da pólvora não reclamou redefinição do homicídio para tornar explícito que nela se compreendia a morte dada a outrem mediante arma de fogo” Sepúlveda Pertence, Ministro Supremo Tribunal Federal 40 CON – A3
  • 41. Conclusão Abusos “Liberdade de expressão”, Lei de Imprensa “Durante promulgação da Lei nº5.250/67, não se cogitava do advento da Internet, que pudesse ser utilizada para a produção e transmissão mundial de todo tipo de informações. A falta de previsão legal não impede, porém, que sites, dirigidos à atividade jornalística em geral que publiquem notícias, informações, comentários, críticas etc., sejam equiparados a serviço noticioso e considerados como meios de informação e de divulgação, para efeito de configuração de eventuais abusos no exercício da liberdade de manifestação do pensamento e informação, alcançados pelo art. 12 da Lei nº 5.250/67, mediante interpretação extensiva.” Alexandre Jean Daoun e Gisele Truzzi de Lima Advogados,especialistas em crimes eletrônicos. 41 CON – A3
  • 42. Conclusão Jurisprudência, Leis vigentes & Afins “Portanto, conclui-se que para o mencionado rol de condutas não há que se falar na criação de novos tipos penais em razão do fator tecnológico. Crimes que a tecnologia funciona, repita-se, apenas como veículo ou meio para cometimento de condutas claramente definidas na legislação penal vigente ou seja, hipóteses em que o bem jurídico aviltado já está devidamente tutelado pela lei. “O Direito Penal deve ser considerado como último recurso a ser utilizado!” Sua excessiva aplicação, gera descrédito e ineficiência. Alexandre Jean Daoun e Gisele Truzzi de Lima Advogados,especialistas em crimes eletrônicos. 42 CON – A3
  • 43. Conclusão Jurisprudência, Leis vigentes & Afins “Como pudemos observar, boa parte das notícias que envolvem ‘crime’ e ‘tecnologia’ já estão tuteladas pela legislação pátria, afastando definitivamente, a idéia de que a Internet é território livre e isento de responsabilidades. Ao contrário, temos claro que, para o chamado ambiente virtual, aplica-se toda a legislação em vigor que for pertinente.” Alexandre Jean Daoun e Gisele Truzzi de Lima Advogados,especialistas em crimes eletrônicos. 43 CON – A3
  • 44. Cartoon 44 CON – A3
  • 45. Exercício Redação - Crimes Eletrônicos, PLS-89 Art. 154-A - Acessar indevidamente, rede de computadores, dispositivo de comunicação ou sistema informatizado. Pena: reclusão, de 2 (dois) a 4 (quatro) anos, e multa. § 1º Nas mesmas penas incorre quem, indevidamente, permite, facilita ou fornece a terceiro meio não autorizado de acesso a rede de computadores, dispositivo de comunicação ou sistema informatizado. ... § 4º Nas mesmas penas incorre, o responsável pelo provedor de acesso à rede de computadores, dispositivo de comunicação ou sistema informatizado, que permite o acesso a usuário sem a devida identificação e autenticação ou que deixa de exigir, como condição de acesso, a necessária, identificação e cadastramento do usuário. Objetivo: Explicar se concordam com a redação, justificando a resposta ou propondo nova redação caso contrário. 45 CON – A3
  • 46. Homework Pesquisar MP 2.200-2/01 !  Em função da data da produção do documento (2008 e não mais atualizado), é altamente recomendado que seja consultado as novas publicações e decisões a respeito do tema, principalmente as relacionadas a crimes eletrônicos. 46 CON – A3
  • 47. Agradecimentos Aos amigos que suportaram dúvidas...  CORNAZZANI SALES ADVOGADOS ASSOCIADOS Gisele Truzzi & Alexandre Daoun  OPICE BLUM – ADVOGADOS ASSOCIADOS Rony Vainzof OBS: Peço desculpas por “enxugar” alguns trechos das redações & leis. Avisei os envolvidos sobre minha mutilação, de caráter visual/didático! 47 CON – A3
  • 48. Fim 48 CON – A1