Consulta Pública - Requisitos de Segurança e Conformidade

137 visualizações

Publicada em

Contribuição Brasscom para o Ministério do Planejamento, Orçamento e Gestão.

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
137
No SlideShare
0
A partir de incorporações
0
Número de incorporações
49
Ações
Compartilhamentos
0
Downloads
1
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Consulta Pública - Requisitos de Segurança e Conformidade

  1. 1. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 1/11 MINISTÉRIO DO PLANEJAMENTO, ORÇAMENTO E GESTÃO CONSULTA PÚBLICA – REQUISITOS DE SEGURANÇA E CONFORMIDADE PARA SERVIÇO DE CORREIO ELETRÔNICO | EPING CONTRIBUIÇÕES DA BRASSCOM, ASSOCIAÇÃO BRASILEIRA DAS EMPRESAS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO São Paulo, 26 de fevereiro de 2016 INTRODUÇÃO A Brasscom, Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação, entidade que congrega seleto grupo de empresas fornecedoras de software, hardware, soluções e serviços de tecnologia da informação e comunicação (TIC), tem como missão trabalhar em prol do desenvolvimento do setor, disseminando seu alcance e potencializando seus efeitos sobre a economia e o bem-estar social. Em estreita sintonia com as tendências de mercado e com as principais preocupações no âmbito governamental, a Brasscom sente-se honrada pela oportunidade de contribuir na Consulta Pública, ora em andamento, sobre os requisitos de segurança e conformidade para serviço de Correio Eletrônico da Administração Pública Federal (APF), em linha com o espírito de aperfeiçoar a gestão da segurança da informação e comunicação no âmbito do Governo Federal. Neste ínterim, a Brasscom parabeniza o Ministério do Planejamento, Orçamento e Gestão (MPOG) e demais órgãos que compõem o Sistema de Administração dos Recursos de Tecnologia da Informação (SISP), pela iniciativa de dialogar com o setor produtivo na busca do melhor entendimento para a implementação das diretrizes traçadas pelo Decreto Presidencial nº 8135/2013. IMPORTÂNCIA DE PADRÕES GLOBAIS NA SEGURANÇA DA INFORMAÇÃO Cientes que a informação é atualmente considerada como ativo estratégico tanto para organizações privadas quanto para os Governos ao redor do mundo, entendemos que a gestão da segurança da informação e comunicação e a proteção destas, ante as tentativas de violação por parte de atores não autorizados, tornou-se um desafio global. Neste sentido, para se alcançar o sucesso na implementação de meios para garantir a segurança da informação e comunicação no âmbito do Governo Federal, torna-se essencial a adoção de medidas alinhadas com as práticas empregadas mundialmente, ou, do contrário, o Brasil corre o risco de isolamento, aumentando os desafios para o desenvolvimento e manutenção da higidez e da inviolabilidade da informação pública, bem como inibindo o crescimento do setor de TIC no País.
  2. 2. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 2/11 Sabemos que os sistemas de TIC são compostos por hardwares e softwares desenvolvidos e produzidos com base em padrões internacionais de tecnologia com apenas algumas mínimas variações de acordo com o país ou região. No tocante às comunicações de dados, é a aderência aos padrões internacionais que garante a interoperabilidade no âmbito da infraestrutura digital global. Por esta razão, empresas de todo o mundo têm acesso aos mercados globais para seus produtos de TIC. Assim sendo, é recomendável que os processos para avaliação de segurança de produtos de TIC a serem adotados pelo Governo Federal harmonizem-se com os padrões de avaliação empregados internacionalmente, promovendo eficiência, gerando maior desenvolvimento da indústria nacional, bem como crescimento dos investimentos em pesquisa e inovação no setor de TIC no Brasil. Em relação à gestão da segurança da informação e comunicação no âmbito da APF, desde a publicação do Decreto Presidencial nº 8.135/2013 e da subsequente Portaria Interministerial nº 141, de 2 de maio de 2014, a Brasscom tem se manifestado no sentido de alertar para a sua complexidade e oferecer sugestões de abordagem. Neste contexto, reiteramos que o Common Criteria (CC), padrão de certificação global internacionalmente reconhecido, é o processo de certificação que melhor atende às questões centrais de segurança da informação no âmbito da APF, tanto em função da sua generalidade e abertura para acomodar especificidades, quanto em razão do caráter essencialmente descentralizado do ecossistema de suas entidades certificadoras e da sua aceitação por diversos países. O Common Criteria Recognition Arrangement (CCRA) é o acordo multilateral que prevê o reconhecimento mútuo de produtos avaliados pelos Governos signatários. Os produtos são avaliados por laboratórios competentes e licenciados de forma independente. Os certificados para produtos avaliados podem ser emitidos por uma série de Entidades Certificadoras, as quais garantem que as avaliações executadas, para determinado produto, em um cenário de uso específico, sejam realizadas de acordo com a metodologia de testes do CC. O CC está baseado na Norma ISO/IEC 15.408, definida por órgão internacional1 ao qual o Brasil é signatário, e configura-se como uma linguagem comum que permite a avaliação de características de segurança e parâmetros de garantia de produtos de TIC, incluindo hardware, firmware e software. O processo de avaliação testa a funcionalidade de um determinado produto de segurança de TIC e se as medidas de garantia aplicáveis a esses produtos atendem às exigências específicas. Esta certificação é utilizada em países como Alemanha, França e Índia, 1 International Organization for Standardization (ISO) - A lista de países membros está disponível em http://www.iso.org/iso/home/about/iso_members.htm. Ressaltamos que o Brasil está representado na ISO (Organização Internacional de Normatização) desde 1940, por intermédio da ABNT (Associação Brasileira de Normas Técnicas), que é membro fundadora da ISO, a qual por sua vez é membro da IEC (International Electrotechnical Commission).
  3. 3. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 3/11 dentre outros, como uma alternativa isenta e aceitável de certificação de soluções de tecnologia da informação e comunicação a serem contratadas pelos Governos. A adoção da já citada Norma ISO/IEC é funcional e valiosa, dado que fornece requisitos, especificações, diretrizes e características que podem ser usados de forma consistente para assegurar que os materiais, produtos, processos e serviços são adequados para os fins a que se destinam. A utilização de Normas Internacionais garante que os produtos e serviços são seguros, confiáveis e de boa qualidade. Para o setor de TIC, tratam-se de ferramentas estratégicas que otimizam recursos, assim como ampliam a competitividade nacional. Assim, ressaltamos a eficiência e economicidade que a adoção por parte da APF ao CC trará ao país, sobretudo em matéria financeira, uma vez que a criação de uma certificação local gerará mais custos e dificultará a oferta de produtos de TIC por um maior número de empresas ao Governo Federal. Observamos que os documentos elaborados pelo MPOG disponibilizados nesta Consulta Pública reproduzem os denominados “Protection Profiles”, trasladados do referido padrão internacional para o português. Este documento, objeto da presente consulta pública, é elaborado por órgão competente da APF, para tratar de aspectos técnicos das soluções de TIC a serem adquiridas por qualquer órgão da APF, incluindo os requisitos de segurança e conformidade de equipamentos, softwares e soluções, bem como cenários de uso e questões organizacionais dos órgãos contratantes, visando a inexistência de qualquer vínculo com agências governamentais de outras jurisdições, o que seria, em tese, plenamente aderente às necessidades específicas da APF. Entretanto, há que se ponderar que a replicação de um sistema de certificação internacional em âmbito pátrio, que já conta com uma expressiva lista de entidades certificadoras, públicas e privadas, de diversos países, é um esforço desproporcional em relação ao benefício almejado. Outros países, em situação similar à do Brasil, já aderiram ao padrão Common Criteria, especificando Protection Profiles específicos para suas necessidades de segurança nacional. Pela escala do seu mercado doméstico, o Brasil, caso aderisse a este ecossistema global, teria condições e legitimidade técnica e econômica de aspirar, inclusive, a receber investimentos para o estabelecimento de um centro global de certificação. A orientação adotada pelo Governo Federal nesta matéria não aproveita tal oportunidade, e, em consequência, deverá enfrentar o risco da inviabilização econômico-financeira da estratégia em curso. Outrossim, verificamos que o texto da Consulta Pública ora em discussão reitera, em seu bojo, a imposição de abertura do código fonte do software relativo ao serviço de correio eletrônico. Em oportunidades anteriores a Brasscom posicionou-se sobre esta questão, ressaltando que tal medida gera insegurança jurídica em relação à proteção da propriedade intelectual e aos direitos autorais dos fornecedores de software, hardware e firmware. Tais provedores, que investem expressivos montantes em pesquisa, desenvolvimento e inovação tecnológica e têm seus negócios lastreados na proteção da propriedade intelectual, podem se ver desestimulados a fornecer para o poder público brasileiro. Tal situação seria altamente desvantajosa para o Brasil, principalmente ante a constatação que as tecnologias de invasão e violação da segurança da informação evoluem em velocidade e sofisticação frenéticas. O possível
  4. 4. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 4/11 alijamento quanto ao acesso ao estado da arte em termos de tecnologia da informação, comunicação e gestão de segurança, por conta de debilidade na proteção da propriedade intelectual consubstanciada em software e firmware, é altamente prejudicial aos melhores interesses públicos do País. Destarte, não faz sentido a insistência na obrigatoriedade da abertura de código fonte e o detalhamento de possíveis procedimentos de auditoria, enquanto não for equacionado e superado o obstáculo da insegurança jurídica quanto à proteção da propriedade intelectual dos provedores de software, hardware e firmware que venham a fornecer para a APF. Destacamos também o excessivo foco na abordagem brasileira sobre o processo de auditoria de programas e equipamentos, em detrimento dos riscos de segurança digital advindos de pessoas, processos e forma de utilização de determinado item tecnológico. De modo a assegurar os objetivos aprimorados de segurança em dados e sistemas de informação e comunicação, torna-se imperativo a atenção em relação à gestão de risco de segurança. Conforme posicionamento anterior, a construção de efetiva segurança da informação passa por uma visão holística assentada em três importantes pilares: (i) emprego massivo de encriptação, para garantir a segurança tanto na comunicação quanto no armazenamento de dados; (ii) segurança dos sistemas e da Infraestrutura; e (iii) governança e operação da segurança. NOTAÇÃO DAS ALTERAÇÕES PROPOSTAS E RESPECTIVAS JUSTIFICATIVAS Este documento apresenta propostas de alteração do texto submetido à consulta pública que são acompanhadas de sucintas justificativas e comentários sobre aspectos restritivos nos itens relacionados ao ADA (Alvo de Avaliação), ao fazer uma comparação dos documentos do ePING/MPOG aos Protection Profiles/CC. Algumas circunstâncias aludidas neste documento, referentes à dinâmica dos negócios no mundo digital, demandariam textos substantivamente mais extensos, para se tornarem compreensíveis. No intuito de melhor fundamentar as proposições manifestadas neste documento, a Brasscom se coloca à disposição para esclarecimentos adicionais ou mais detalhados. Na dicção dos dispositivos transcritos da minuta dos Requisitos de Segurança e Conformidade para Serviço de Correio Eletrônico, objeto desta Consulta Pública, adota-se a seguinte notação: Fragmento de texto taxado Propõe-se a eliminação do fragmento de texto da minuta do documento; Fragmento de texto sublinhado Propõe-se que o fragmento de texto seja acrescentado à minuta do documento. [...] Refere-se à manutenção do fragmento de texto original da minuta do documento.
  5. 5. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 5/11 PARTE 1 – INTRODUÇÃO A1.2 Descrição Organizacional do Serviço O ADA (Alvo de Avaliação) é um serviço de correio eletrônico, com as seguintes funcionalidades: [...] Para a prestação deste serviço estarão disponíveis uma caixa postal por usuário e catálogo(s) com endereços eletrônicos de contatos e usuários do serviço. Os usuários e/ou as mensagens deverão ser classificados em, no mínimo, três níveis de confidencialidade ou restrição ao compartilhamento, desde não-confidencial até confidencialidade-máxima, em função do cargo ocupado pelo servidor público, ou outro critério a ser adotado posteriormente. Os requisitos de hospedagem, processamento, armazenamento e segurança podem ser modulados para cada classe de confidencialidade estabelecida. Para os graus de confidencialidade mais restritivos, O o serviço estará será hospedado em uma infraestrutura, física ou virtual, administrada por entidades de governo e será utilizado por funcionários da administração pública federal. Para os graus de confidencialidade menos restritivos, o serviço poderá ser hospedado em infraestrutura de terceiros, física ou virtual, por intermédio de contratos de prestação de serviços tecnológicos lastreados em acordo de níveis de serviço (ANS) compatíveis com os requisitos de confidencialidade e restritividade, podendo ser administrados pelos provedores dos serviços contratados ou por entidades de governo, sendo, em qualquer caso, utilizado por funcionários da administração pública federal. Outras funcionalidades que complementam ou estendem o Serviço poderão estar presentes, mas não estarão no escopo do ADA. Serviços de AntiSpam, Antivírus e DDOS poderão ser objeto de contratos de prestação de serviços tecnológicos especializados, lastreados em acordo de níveis de serviço (ANS) compatíveis com os requisitos de confidencialidade e restritividade. Justificativas (1) Conceito de classificação de dados - É importante atrelar o trabalho de classificação de dados do Governo Federal com serviços de Correio Eletrônico, para que mensagens sejam classificadas com a mesma tipologia. Em dados classificados como “não sensíveis”, sugerimos não excluir a possibilidade de armazenar em provedores externos. Uma opção de critério para classificação de dados nesta situação poderá
  6. 6. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 6/11 ser o próprio cargo ocupado pelo servidor público, uma vez que nem todos os funcionários públicos necessitam dos mesmos níveis de segurança. Sua função determina sua propensão a manipular mensagens atreladas a contextos de segurança nacional. (2) Hospedagem do serviço - Também no mesmo parágrafo sugerimos incluir que a hospedagem do serviço seja feita em infraestrutura física ou virtual, de modo a não restringir as possibilidades que os avanços das tecnologias empregadas em datacenters oferecem, em termos de utilização mais eficiente das plataformas de hardware, em especial de processamento. (3) Subcontratação de hospedagem - É igualmente importante facultar a utilização de diferentes modelos de contratação, com acordos de níveis de serviços adequados aos requisitos, como forma de aproveitar o avanço do estado da arte e reduzir custos operacionais. (4) Componentes de AntiSpam, Antivírus e DDOS – Recomenda-se que a APF coteje a possibilidade de utilizar serviços em nuvem para esses componentes, de forma independente ao trabalho de classificação de dados para o servidor de caixas postais, visto que esses componentes possuem características técnicas que viabilizam seu uso sem comprometer a privacidade das mensagens, desde que os acordos de níveis de serviço sejam satisfatórios para a APF. A1.3 Descrição Técnica do Serviço O ADA será um serviço de correio eletrônico acessível pela Internet através de navegador e/ou aplicativo-cliente específico desenvolvido para os sistemas operacionais de interesse, desde que os recursos de segurança presentes no aplicativo-cliente sejam compatíveis ou superiores aos recursos de segurança disponíveis nos navegadores Web. O usuário terá acesso a todas as funcionalidades apenas após autenticação. As mensagens do correio eletrônico poderão ser assinadas digitalmente e criptografadas no envio das mensagens, permitindo a descriptografia desencriptação na recepção e a verificação da assinatura digital. [...] O ADA, deverá empregar, tanto na sua implementação quanto na interoperabilidade com os serviços de acesso e na integração dos seus componentes, protocolos baseados em padrões
  7. 7. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 7/11 internacionais abertos, em especial, que estejam em conformidade com RFCs2 emitidas pela IETF3 , tais como: (1) RPC para acesso via aplicativos; (2) SMTP; (3) HTTP4 /HTTPS5 ; (4) RPC com túnel sobre HTTP; (5) Web Services Application Programming Interface, API, para estender funcionalidades do ADA para outros serviços e sistemas; (6) SIP6 /RTP7 ; (7) outros protocolos aplicáveis; (8) novos protocolos padronizados aplicáveis que vierem a ser publicados no futuro. Justificativas (1) Aplicativos-clientes: Com a proliferação dos dispositivos móveis de acesso à Internet, tais como smartphones, tablets e wearables, e a proliferação dos respectivos sistemas e plataformas operacionais, é importante que a APF não se veja impedida de adotar as inovações trazidas no âmbito da Transformação Digital. (2) Protocolos de acesso: É vital garantir a perfeita interoperabilidade entre o ADA e a infraestrutura de comunicação global na qual estará inserido, sob pena de isolamento da plataforma e dos serviços de correio eletrônico. Adicionalmente, o uso de protocolos baseados em padrões abertos garante a independência da APF com relação a um fornecedor específico, garantindo melhores preços e continuidade tecnológica a longo prazo, além de facilitar a integração com outros componentes de tecnologia. 2 Sigla em inglês para “Request for Comments”, documento que integra o IETF e traz especificações de um protocolo ou tecnologia. As RFCs são publicadas toda vez que um comitê do IETF chega a um resultado consolidado entre as partes interessadas. 3 Sigla em inglês para “Internet Engineering Task Force” e se refere a uma instituição que desenvolve e promove as normas da Internet. Em seu site www.ietf.org encontramos as especificações de diversos protocolos associados à implementação e operação da Internet. 4 Sigla em inglês para “Hyper Text Transfer Protocol”, ou seja, “Protocolo de Transferência de Hipertexto” que é definido como um protocolo de comunicação entre sistemas da informação que permite a transferência de dados entre redes de computadores, principalmente na Internet. 5 Sigla em inglês para “Hyper Text Transfer Protocol Secure”, ou seja, “Protocolo de Transferência de Hipertexto Seguro” que é uma implementação do protocolo HTTP sobre uma camada adicional de segurança que utiliza o protocolo SSL/TLS. Essa camada adicional permite que os dados sejam transmitidos por meio de uma conexão criptografada e que se verifique a autenticidade do servidor e do cliente por meio de certificados digitais. 6 Sigla em inglês para “Session Initiation Protocol”, ou seja, “Protocolo de Iniciação e Sessão” que é um protocolo para sinalização de sessões multimídia, largamente utilizado nas telecomunicações atualmente, o qual é apto a estabelecer, modificar e terminar estes tipos de sessões. 7 Sigla em inglês para “Real Time Transport Protocol”, ou seja, “Protocolo de Transporte em Tempo Real”, e determina um formato de pacote padrão para o envio de áudio e vídeo pela Internet.
  8. 8. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 8/11 A1.3.1 – Ativos de Informação A arquitetura descrita para o serviço é genérica para abranger diversos sistemas de correio. [...] Servidor de Envio e Recepção de Mensagens é o responsável pelo roteamento das mensagens internas e para serviços de e-mail externos. Ele se comunica com o Servidor de Armazenamento de Mensagens, com o Servidor de Diretório para autenticação, resolução de endereços de recipientes e expansão de listas de recipientes e com o Servidor AntiSpam e AntiVirus para verificação das mensagens e com o Servidor de Aplicação. Justificativa Resolução de endereços de recipientes e expansão de listas de recipientes são funcionalidades básicas do servidor de correio eletrônico que não foram incorporadas na definição original. PARTE 2 - PROBLEMAS DE SEGURANÇA A2.1. Pressupostos Neste item são citadas as condições de segurança que se supõe que existam no ambiente de TI do ADA mas que não se limitam ao escopo do ADA. Desta forma, ameaças não direcionadas diretamente ao ADA serão tratadas por outros ativos, fora do escopo da avaliação. [...] 7 - Assume-se que o ADA esteja hospedado em uma zona desmilitarizada de rede (ZDM), e que possua ativos que tornem o ambiente de rede em que o ADA está hospedado seguro contra ataques comuns advindos de outras redes. Entre os ativos de rede que podem ser usados para este fim se destacam sistemas de filtro de conteúdo, sistemas de prevenção de perda de dados (DLP), Firewall, e sistemas de prevenção de intrusão (IPS). 7-A O servidor de armazenamento de caixas postais de correio eletrônico deverá ser hospedado ou em um provedor externo de serviços com os níveis adequados de segurança ou na rede interna da APF. [...]
  9. 9. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 9/11 Além dos pressupostos específicos identificados nos itens anteriores, cabe destacar outras características ou ações de segurança que estão fora do escopo de avaliação do ADA, mas contribuem de forma indireta, porém significativa, para a segurança na utilização do ADA. São exemplos dessas características ou ações: Definição de políticas de segurança; Estabelecimento de uma estrutura de gerenciamento da segurança da informação; [...] e Promover a conformidade com requisitos legais e contratuais [ABNT NBR ISO/IEC 27002, 2013]. Em adição aos pressupostos dispostos e exemplificados, os seguintes pressupostos relacionados ao ADA devem ser também considerados: (a) Inclusão em contrato de suporte 24x7; (b) Possibilidade de efetivar atualizações de versões de todos os fornecedores que entregam seus componentes, garantindo a segurança da operação, atualizações de software e o SLA14 de prestação de serviços de suporte técnico; (c) Possuir serviços de backup e recuperação de dados que possibilitam o retorno de mensagens individuais. Justificativas (1) Armazenamento de Caixas Postais de Correio Eletrônico: É necessário que o servidor de armazenamento de caixas postais de correio eletrônico seja hospedado ou em um provedor externo de serviços com os níveis adequados de segurança ou na rede interna da APF. Armazená-lo em uma rede desmilitarizada pode acarretar em exploração de falhas de serviços permitidos que comprometa a segurança das mensagens. Para os demais componentes da arquitetura, não há problemas em hospedá-los em uma rede ZDM15 . (2) Pressupostos adicionais: Recomendamos a inclusão no documento dos pressupostos adicionais supracitados relacionados ao ADA, uma vez que são importantes medidas para garantir a segurança das informações e comunicação do serviço de correio eletrônico da APF. 14 Um Acordo de Nível de Serviço (ANS ou SLA, do inglês “Service Level Agreement”) é um acordo firmado entre a área de TI e seu cliente interno, que descreve o serviço de TI, suas metas de nível de serviço, além dos papéis e responsabilidades das partes envolvidas no acordo. 15 ZDM ou DMZ (sigla em inglês para “DeMilitarized Zone” ou “Zona Desmilitarizada”), é uma sub-rede que, dependendo da ocasião, pode ser uma sub-rede física ou lógica que contém e expõe serviços externos de uma organização para acesso a uma rede maior não confiável, por exemplo, a Internet. Recomendamos o uso do termo em inglês, como é conhecido internacionalmente e pelo setor.
  10. 10. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 10/11 PARTE 3 - OBJETIVOS DE SEGURANÇA A3 - Objetivos de segurança [...] Devem ser descritos todos os objetivos de segurança do perfil de proteção para um tipo de ADA e eventuais objetivos de segurança adicionais para uma implementação específica de ADA. São objetivos de segurança do ADA: (1) Prevenir acesso não-autorizado para objetos armazenados no seu servidor de caixas postais, baseados na identidade dos usuários. Assim sendo, o ADA deverá prover mecanismos de controle de acesso para caixas de correio privadas e diretórios públicos para que apenas pessoas autorizadas possam ler, modificar ou deletar mensagens e documentos; (2) Prover a capacidade de rejeitar conexões SMTP17 baseado no endereço IP ou hostname do servidor remoto, usando listas brancas e negras configuradas pelo administrador, com o objetivo de reduzir o nível de SPAM. O ADA deverá ainda ser capaz de estabelecer o nível de reputação dos servidores SMTP remotos, utilizando estes níveis em configurações de bloqueio de entrada de SPAMs, se desejado; (3) Ser capaz de restringir a entrega e roteamento de correio eletrônico para grupos de distribuição, permitindo a entrega de mensagens para grupos de distribuição apenas oriundas de usuários autenticados e autorizados. Adicionalmente, o administrador deverá ser capaz de configurar quais usuários podem enviar mensagens a determinados grupos de distribuição; (4) Permitir a restrição de fluxo de mensagens baseados nos seguintes atributos: emissores, destinatários (incluindo CCs), assunto, classificação, cabeçalho, nome do anexo, tamanho do anexo e também por palavras-chave contidas no assunto ou corpo da mensagem. Adicionalmente, o ADA deverá restringir, de acordo com as 17 Sigla em inglês para “Simple Mail Transfer Protocol”, ou seja, “Protocolo de transferência de correio simples”, que é o protocolo padrão para envio de e-mails através da Internet.
  11. 11. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 11/11 premissas do administrador, determinados tipos de anexos baseado em seu MIME- TYPE18 ; (5) Ser capaz de enviar comandos de limpeza total (wipe) para dispositivos móveis compatíveis, visando garantir a remoção de mensagens em dispositivos perdidos e/ou de pessoas afastadas; (6) Garantir o controle e gestão dos dispositivos, através de soluções de MDM19 , como parte das premissas essenciais de garantia de segurança do ADA. Justificativa Os objetivos supracitados são fundamentais para o pleno funcionamento e garantia da segurança das informações e comunicação do serviço de correio eletrônico da APF. CONSIDERAÇÕES FINAIS Reiteramos nosso interesse e disposição, no melhor espírito público, para oferecer contribuições relevantes sobre a regulamentação do Decreto Presidencial nº 8.135/2013, registrando protestos pela estima e consideração. 18 Sigla em inglês para “Multipurpose Internet Mail Extensions”, que se refere à um padrão da Internet para o formato das mensagens de correio eletrônico. Este padrão estende o formato de protocolo de transferência do correio simples (SMTP) dos e-mails para inserir diferentes tipos de conteúdo, sendo eles em texto ou não. 19 Sigla em inglês para “Mobile Device Management” que é o termo utilizado pelo mercado para administração de dispositivos móveis, como smartphones, tablets, laptops e computadores desktops.

×