Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação

Lei de Acesso à Informação
x
Segurança da Informação:
Conflito ou Acordo de Interesses?
Marcelo Veloso

40º Seminário Nacional de TIC para a Gestão Pública
19, 20 e 21/09/2012 – Gramado/RS

Agenda

Introdução
Segurança da Informação
Lei de Acesso à Informação
Questões Críticas
Desafios/Oportunidades
Considerações Finais

Introdução
O objetivo desta palestra é apresentar algumas
questões críticas que demonstram que a
existência da Lei de Acesso à Informação não
elimina a necessidade de lidar com a Segurança
da Informação no âmbito da administração
pública, e que é necessário o desenvolvimento
de ações que busquem manter a harmonia
entre a transparência pública e a proteção das
informações


Definição:

Preservação da confidencialidade, da integridade e
da disponibilidade da informação; adicionalmente,
outras propriedades, tais como autenticidade,
responsabilidade, não repúdio e confiabilidade,
podem também estar envolvidas

Fonte: ISO/IEC 27002: Tecnologia da informação – Técnicas de segurança –
Código de prática para a gestão da segurança da informação, 2005


Confidencialidade Integridade Disponibilidade
• propriedade de • propriedade de • propriedade de
que a informação salvaguarda da estar acessível e
não esteja exatidão e utilizável sob
disponível ou completeza de demanda por
revelada a ativos uma entidade
indivíduos, autorizada
entidades ou
processos não
autorizados

Fonte: ISO/IEC 13335-1: Conceitos e modelos para a Segurança em TI, 2004


Fonte: Módulo Security Solutions, 2008

Lei de Acesso – Lei Nº 12.527/2011

Administração
direta e indireta de
todos os poderes e
todos os entes
ABRANGÊNCIA federativos

Entidades privadas
sem fins lucrativos
que recebam recursos
públicos

Art. 1º e Art. 2º


PUBLICIDADE Regra

SIGILO Exceção

Art. 3º Inciso I

Art. 4º Para os efeitos desta Lei, considera-se:

III - informação sigilosa: aquela submetida temporariamente à
restrição de acesso público em razão de sua imprescindibilidade
para a segurança da sociedade e do Estado

IV - informação pessoal: aquela relacionada à pessoa natural
identificada ou identificável

VI - disponibilidade: qualidade da informação que pode ser
conhecida e utilizada por indivíduos, equipamentos ou sistemas
autorizados

Art. 4º Continuação:

VII - autenticidade: qualidade da informação que tenha sido
produzida, expedida, recebida ou modificada por determinado
indivíduo, equipamento ou sistema

VIII - integridade: qualidade da informação não modificada,
inclusive quanto à origem, trânsito e destino


Acesso a
Informação

Transparência Transparência
Passiva Ativa
Art. 8º e Art. 10

Questões Críticas
Art. 6º Cabe aos órgãos e entidades do poder público,
observadas as normas e procedimentos específicos aplicáveis,
assegurar a:

II - proteção da informação, garantindo-se sua disponibilidade,
autenticidade e integridade

III - proteção da informação sigilosa e da informação pessoal,
observada a sua disponibilidade, autenticidade, integridade e
eventual restrição de acesso

Questões Críticas
Art. 23. São consideradas imprescindíveis à segurança da
sociedade ou do Estado e, portanto, passíveis de classificação as
informações cuja divulgação ou acesso irrestrito possam:

I - pôr em risco a defesa e a soberania nacionais ou a integridade
do território nacional

II - prejudicar ou pôr em risco a condução de negociações ou as
relações internacionais do País, ou as que tenham sido
fornecidas em caráter sigiloso por outros Estados e organismos
internacionais

Questões Críticas
Art. 23. Continuação:

III - pôr em risco a vida, a segurança ou a saúde da população

IV - oferecer elevado risco à estabilidade financeira, econômica
ou monetária do País

V - prejudicar ou causar risco a planos ou operações estratégicos
das Forças Armadas

Questões Críticas
Art. 23. Continuação:

VI - prejudicar ou causar risco a projetos de pesquisa e desen-
volvimento científico ou tecnológico, assim como a sistemas,
bens, instalações ou áreas de interesse estratégico nacional

VII - pôr em risco a segurança de instituições ou de altas
autoridades nacionais ou estrangeiras e seus familiares; ou

VIII - comprometer atividades de inteligência, bem como de
investigação ou fiscalização em andamento, relacionadas com a
prevenção ou repressão de infrações

Questões Críticas
Art. 24. A informação em poder dos órgãos e entidades públicas,
observado o seu teor e em razão de sua imprescindibilidade à
segurança da sociedade ou do Estado, poderá ser
classificada como ultrassecreta, secreta ou reservada

§ 1o Os prazos máximos de restrição de acesso à informação,
conforme a classificação prevista no caput, vigoram a partir da
data de sua produção e são os seguintes:

I - ultrassecreta: 25 (vinte e cinco) anos
II - secreta: 15 (quinze) anos; e
III - reservada: 5 (cinco) anos

Questões Críticas
Art. 25. É dever do Estado controlar o acesso e a divulgação de
informações sigilosas produzidas por seus órgãos e entidades,
assegurando a sua proteção

§ 3o Regulamento disporá sobre procedimentos e medidas a
serem adotados para o tratamento de informação sigilosa, de
modo a protegê-la contra perda, alteração indevida,
acesso, transmissão e divulgação não autorizados

Questões Críticas
CASA CIVIL ANEXO 1
INSTITUTO NACIONAL DE TECNOLOGIA Documentos Secretos

DA INFORMAÇÃO Papéis de Trabalho/Auditoria; Relatórios/Auditoria; Conceitos de
Risco/Auditoria; Pareceres/Auditoria; Relação das pessoas que serão
PORTARIA N 25, DE 15 DE MAIO DE 2012 detentores partições de recursos criptográficos da AC, com
O DIRETOR PRESIDENTE DO INSTITUTO NACIO- respectivos termos de designação para a função; Relação das
NAL DE TECNOLOGIA DA INFORMAÇÃO, AUTARQUIA necessidades de acesso físico e lógico para cada cargo; Relação de
VINCULADA À CASA CIVIL DA PRESIDÊNCIA DA REPÚ- pessoas que possuem acesso às chaves ou componentes de chaves
BLICA, no uso de suas atribuições, tendo em vista o disposto no art. criptográficas da AC com sua respectiva designação formal e
24 da Lei nº 12.527, de 18 novembro de 2011, atribuição de responsabilidades; Relação do pessoal contratado para a
AC/cargo desempenhado e a respectiva documentação; Termos de
Considerando que é dever dos órgãos e entidades do poder Designação de Gestor ou Responsável pelos Ativos da AC (ativos de
público assegurar a gestão transparente da informação, propiciando informação e de processamento); Termos de Responsabilidade sobre
amplo acesso a ela e sua divulgação; a segurança física da AC...
Considerando que o direito fundamental de acesso à infor- ...Livro de Registro de Manutenção de Hardware; Sistemas (Logs);
mação deve ser executado em conformidade com os princípios bá- Servidores (Logs); Imagens de Vídeo (CFTV); Registro de
sicos da administração; Incidentes de Segurança; Registros Telefônicos; Base de dados de
ferramentas de monitoramento (redes, sistemas, servidores);
Considerando que é dever do Estado controlar o acesso e a Documentação da topologia/arquitetura da rede; Arquivos de
divulgação de informações sigilosas produzidas por seus órgãos e configuração de Firewall; Arquivos de configuração de Servidores;
entidades, assegurando a sua proteção; Arquivos de configuração de Switches; Diagramas da Rede Dados;
Resolve classificar as informações contidas nesta Portaria, Diagrama de CFTV; Diagramas da Rede elétrica; Dados de Fitas de
observado o seu teor e em razão de sua imprescindibilidade à se- Backup; E-mails Institucionais (Serviço de Correio Eletrônico);
gurança da sociedade ou do Estado, nos seguintes termos: Arquivos do serviço de armazenamento de dados corporativos
(Sistema de Aquivos Dados-ITI); Senha de Operação/Administração
Art. 1º Classificar como secretos os documentos elencados no de Equipamentos (Hardware); Senha de Operação/Administração de
Anexo 1 desta Portaria. Sistemas e Servidores (Software); Senha de Operação/Administração
Art. 2º Esta Portaria entra em vigor na data de sua publicação. do Circuito Fechado de TV.
RENATO DA SILVEIRA MARTINI

Questões Críticas
Art. 31. O tratamento das informações pessoais deve ser feito de
forma transparente e com respeito à intimidade, vida privada,
honra e imagem das pessoas, bem como às liberdades e
garantias individuais

§ 5o Regulamento disporá sobre os procedimentos para
tratamento de informação pessoal

Questões Críticas
Art. 32. Constituem condutas ilícitas que ensejam
responsabilidade do agente público ou militar:

II - utilizar indevidamente, bem como subtrair, destruir, inutilizar,
desfigurar, alterar ou ocultar, total ou parcialmente, informação
que se encontre sob sua guarda ou a que tenha acesso ou
conhecimento em razão do exercício das atribuições de cargo,
emprego ou função pública

IV - divulgar ou permitir a divulgação ou acessar ou permitir
acesso indevido à informação sigilosa ou informação pessoal

Desafios/Oportunidades

Gestão da Informação

Classificação de Informações

Treinamento dos agentes públicos

Estabelecimento de SGSI

Considerações Finais
A Lei 12.527 representa, sem dúvida nenhuma, um grande
avanço para a sociedade brasileira, com a consolidação do
processo democrático no Brasil e da transparência das ações do
governo, operando como mecanismo de combate à corrupção e
melhoria dos serviços públicos prestados à população
A Lei de Acesso à Informação não representa a supressão de
práticas de Segurança da Informação, uma vez que não existe
conflito entre uma e outra, mas sim objetivos em comum bem
definidos a serem alcançados
O mais importante: desenvolver e implementar ações que
busquem manter a harmonia entre a transparência pública e a
proteção adequada às informações

OBRIGADO!
Marcelo Veloso
marcelo.veloso@planejamento.mg.gov.br

9.2 CUSTEIO DE TIC

Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação

Mais conteúdo relacionado

Mais procurados

Semelhante a Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação

Mais de Marcelo Veloso

Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação