Helena C. De S.

Sacerdote Costa
helenacs@tba.com.br

Helena C. S. Sacerdote. Segurana da Informao

Sumrio

1.

Introduo ........................................................................................................................................................... 3

2.

Conceitos.............................................................................................................................................................. 5

3.

Ameaas a Segurana de Informao .................................................................................................................. 8

4.

Definio de Poltica de Segurana...................................................................................................................... 9

5.

Princpios de Segurana da Informao ............................................................................................................ 10

6.

Poltica de Segurana da Informao no Brasil ................................................................................................. 11

7.

Lei da Assinatura Digital nos EUA e-Sign Bill................................................................................................ 12

8.

Concluso .......................................................................................................................................................... 13

9.

Anexos ............................................................................................................................................................... 14

10.

Fontes de Referncias .................................................................................................................................... 19

Helena C. S. Sacerdote. Segurana da Informao

1. Introduo

Axioma da segurana:
"Uma corrente no mais forte do que o seu elo mais fraco".

Durante as primeiras dcadas de sua existncia, as redes de computadores

foram principalmente usadas por pesquisadores universitrios, para enviar mensagens
de correio eletrnico e por funcionrios de empresas, para compartilhar impressoras.
Sob essas condies, a segurana nunca precisou de maiores cuidados. Mas
atualmente, como milhes de cidados comuns esto usando as redes para executar
operaes bancrias, fazer compras e declarar seus impostos, a segurana das redes
est despontando no horizonte como um problema em potencial.
A segurana um assunto abrangente e inclui inmeros tipos de pecados. Em
sua forma mais simples, a segurana se preocupa em garantir que pessoas malintencionadas no leiam ou modifiquem mensagens enviadas a outros destinatrios.
Outra preocupao da segurana se volta para as pessoas que tentam ter acesso a
servios remotos, os quais elas no esto autorizadas a usar. Ela tambm permite que
se faa a distino entre uma mensagem supostamente verdadeira e um trote. A
segurana trata de situaes em que mensagens legtimas so capturadas e
reproduzidas, alm de lidar com pessoas que negam terem enviado determinadas
mensagens.
A maior parte dos problemas de segurana so intencionalmente causadas por
pessoas que tentam obter algum benefcio ou prejudicar algum.
So medidas para garantir a segurana adequada em uma organizao:

avaliar os riscos;
Deve-se perguntar:

Proteger O QUE?

Proteger DE QUEM?

Proteger A QUE CUSTOS?

Proteger COM QUE RISCOS?

Helena C. S. Sacerdote. Segurana da Informao

rever a poltica de segurana para atender a quaisquer mudanas nos nveis de

risco;
implementar os controles de segurana que atendam aos requisitos da poltica;
monitorar e manter a eficcia dos controles de segurana.

No mbito do Governo Federal, a questo da segurana da informao est

recebendo um tratamento destacado e permanente, com a "Poltica de Segurana da
Informao nos rgos do Poder Executivo Federal PSIPE", conforme o Decreto n.
3.505, de 13 de junho de 2000.
As autoridades governamentais esto trabalhando no sentido de aprovar leis sobre
crimes na Internet; leis para crimes contra a Previdncia Social (o que tipifica o crime
eletrnico); leis que prevem a obrigatoriedade da assinatura digital e a existncia de
uma fatura eletrnica nas operaes financeiras on-line, para garantir a segurana e a
privacidade das transaes de negcios pela Internet.
Embora medidas sejam tomadas no intuito de promover segurana da informao,
a questo ser sempre muito mais complexa do que parece. Quase todas as pessoas
acham que o uso de um sistema simples qualquer, bastar para garantir a sua
segurana. At empresas renomadas no tm sido eficazes no que diz respeito a
segurana que oferecem aos usurios dos seus produtos.
Um bom exemplo disso o sistema de criptografia de um editor de texto famoso
de uma companhia que domina o mercado. O sistema to fraco que h programas
livremente circulando na Internet que o quebram em segundos. Isto significa que os
planejadores e programadores do sistema de criptografia deste editor de textos no se
informaram adequadamente sobre esta cincia. Alm disto pode-se dizer que falhas
como esta so muito graves, pois pem em risco a integridade do usurio que
inocentemente levado a crer que o sistema seguro.

Helena C. S. Sacerdote. Segurana da Informao

2. Conceitos

Assinatura Digital: mtodo baseado na criptografia assimtrica visando

garantir que determinada mensagem no seja alterada durante seu trajeto.
Quando se utiliza um aplicativo para assinar digitalmente uma mensagem,
basicamente anexado a parte pblica do Certificado Digital mensagem,
juntamente com outras informaes que garantem a integridade do e-mail.
Antes da mensagem de e-mail e o Certificado Digital serem enviados, a
mensagem passa por um processo de codificao chamado algoritmo hash,
atravs do qual a mensagem que est sendo enviada utilizada para gerar
matematicamente um conjunto de caracteres (letras e nmeros), que s
poderiam ser criados especificamente pela mensagem. Esse conjunto leva o
nome de message digest (resumo da mensagem). Se assinar um documento, no
se pode renegar a assinatura, alegando que foi falsificada. (no-repdio)

Algoritmo Hash: equao matemtica que utiliza texto (tal como uma
mensagem de e-mail) para criar um cdigo chamado message digest (resumo de
mensagem).

Autenticao: Quando uma entidade precisa provar para outra a sua

identidade.

Autoridade Certificadora (CA): Quando sua companhia emite um Certificado

Digital, ela est lhe fornecendo um meio se identificar s outras pessoas e aos
scios da companhia ou aos computadores da rede.

Certificado Digital: utilizam a tecnologia conhecida como criptografia de

chave pblica. Na fase inicial de inscrio para o Certificado Digital, o
computador cria duas chaves: a pblica, que vem com seu certificado e est
afixada no repositrio da Autoridade Certificadora (CA), e a privativa, que fica
no computador. A CA no tem acesso a sua chave privativa. Geralmente fica
no computador e nunca transmitida para a CA. A integridade do certificado
("identidade digital") depende da chave privativa ser controlada exclusivamente
pelo usurio.

Chave Privativa: Chave matemtica (mantida em segredo pelo usurio) usada

para criar assinaturas digitais e, dependendo do algoritmo, para decriptografar
mensagens ou arquivos criptografados com a chave pblica correspondente.

Helena C. S. Sacerdote. Segurana da Informao

Chave Pblica: Chave matemtica que pode ser compartilhada com

segurana, de modo que outros possam lhe enviar informaes criptografadas, e
que somente sua chave privativa pode decodificar. A chave pblica pode
tambm confirmar a veracidade de assinaturas criadas com suas chaves
privativas correspondentes. Dependendo do algoritmo, as chaves pblicas
tambm podem ser utilizadas para criptografar arquivos ou mensagens que so
decriptografados com as chaves privativas correspondentes.

Criptografia: to antiga quanto a prpria escrita, consiste na cincia e na arte

de se comunicar secretamente. Tem por objetivo bsico tornar uma mensagem
ininteligvel para um adversrio, que possa vir a intercept-la. Historicamente,
quatro grupos de pessoas utilizaram e contriburam para a arte da criptografia:
os militares, os diplomatas, as pessoas que gostam de guardar memrias e os
amantes. Dentre eles, os militares tiveram o papel mais importante e definiram
as bases para a tecnologia. Dentro das organizaes militares, tradicionalmente
as mensagens a serem cifradas eram entregues a auxiliares que se encarregam
de criptograf-las e transmiti-las. O grande volume de mensagens impedia que
esse trabalho fosse feito por poucos especialistas. At o advento dos
computadores, uma das principais restries da criptografia era a habilidade do
auxiliar de criptografia fazer as transformaes necessrias, em geral com
poucos equipamentos e no campo de batalha. Uma outra restrio era a
dificuldade de alternar os mtodos criptogrficos rapidamente, pois isso exigia
a repetio do treinamento de um grande nmero de pessoas. No entanto, o
perigo de um auxiliar de criptografia ser capturado pelo inimigo tornou
indispensvel a possibilidade de alterar o mtodo criptogrfico
instantaneamente, se necessrio. A arte de criar mensagens cifradas
(criptografia) e solucion-las (criptoanlise) coletivamente chamada de
criptologia (criptology).

Criptografia assimtrica: as mensagens a serem criptografadas, conhecidas

como texto simples, so transformadas por uma funo que parametrizada por
um par de chaves: uma chave privativa e uma pblica. A chave privativa
nica e fica na mquina do usurio, protegida por senha. A chave pblica
distribuda pelo usurio a todos que ele desejar. Com ela, as outras pessoas
podem criptografar as mensagens enviadas para aquele usurio. Em seguida, a
sada do processo de criptografia, conhecida como texto cifrado.

Inimigo: adversrio ou oponente do remetente ou do destinatrio da

informao, no sendo necessariamente algum com motivos torpes. um

Helena C. S. Sacerdote. Segurana da Informao

Inimigo passivo: aquele que intercepta a mensagem e tenta ganhar

conhecimentos atravs dela, mas no interfere no processo de comunicao.
Normalmente age como espio que tenta roubar informaes.

Message Digest: representa uma mensagem ou documento de maior extenso.

como a "impresso digital" de um documento maior. usado para criar uma
assinatura digital que ser exclusiva de um determinado documento. Um
message digest no revela o contedo de um documento. Isto , mesmo que se
consiga visualiz-lo, no ser possvel imaginar o que a mensagem original
contm. MD2, MD4 e MD5 (MD significa Message Digest) so funes hash
amplamente utilizadas, destinadas especificamente ao uso criptogrfico. Elas
geram digests de 128 bits e no se tem conhecimento de nenhum ataque mais
rpido do que a busca exaustiva.

Norepdio: Previne tanto o emissor contra o receptor, quanto previne contra

a negao de uma mensagem transmitida.

Par de chaves: consiste na chave privativa e na chave pblica correspondente.

A chave privativa geralmente protegida por uma senha e armazenada no
computador. S conhecida pelo portador e no enviada a ningum. A chave
pblica compartilhada com outras pessoas, outros computadores e outros sites
da Web.

exemplo disso pode ser a polcia querendo fazer a anlise criptogrfica dos
dados criptografados armazenados no computador de um criminoso.
Inimigo ativo: aquele que intercepta a mensagem e tenta interferir no
processo de comunicao. Mesmo que no esteja interessado em decriptar a
mensagem interceptada, pode adulter-la ou utiliz-la para obter algo.

Segurana da informao1: proteo dos sistemas de informao contra a

negao de servio a usurios autorizados, assim como contra a intruso, e a
modificao desautorizada de dados ou informaes, armazenados, em
processamento ou em trnsito, abrangendo, inclusive, a segurana dos recursos
humanos, da documentao e do material, das reas e instalaes das
comunicaes e computacional, assim como as destinadas a prevenir, detectar,
deter e documentar eventuais ameaa a seu desenvolvimento.

Conceituao segundo o DOU de 14/06/2000 - Decreto 3.505 de 13/06/2000.

Helena C. S. Sacerdote. Segurana da Informao

3. Ameaas a Segurana de Informao

Ameaas de inimigo ativo:

Interrupo: a mensagem enviada no chega ao destinatrio e o inimigo pode

ou no interceptar a mensagem;
Modificao: o inimigo intercepta a mensagem e a substitui por outra elaborada
por ele;
Fabricao: o inimigo gera mensagens falsas para o destinatrio e as insere no
canal.

Objetivos do inimigo ativo:

Personificao (disfarce): o inimigo quer se fazer passar por uma outra pessoa,
falsificando mensagens ou tentando conseguir acesso a um sistema;
Repetio: o inimigo possui uma mensagem previamente interceptada e tenta
us-la novamente;
Modificao: o inimigo intercepta a mensagem e a substitui por outra elaborada
por ele;
Negao de servio: o inimigo atrapalha o funcionamento do sistema.
Casos clssicos de invaso eletrnica:

Verme (worm) na Internet Um aluno de graduao da Universidade de

Cornell, Robert Morris Jr., paralisou cerca de 3.000 computadores conectados
Internet em 02 de novembro de 1988 (cerca de 50% da Internet na poca). Embora o
verme no tivesse efeitos destrutivos, a rede s conseguiu voltar ao normal alguns
dias depois. O estudante foi sentenciado, em 1990, a 3 anos de priso, mais multa de
U$ 10.000,00, mais 400 horas de servio comunitrio.
Conexo KGB Em 1988, um espio da Alemanha Oriental tentou violar 450
computadores na rea acadmica e militar; vendia as informaes para a KGB.
Caso Kevin Mitnick Causou danos DEC, com o roubo de um sistema de
segurana secreto; roubou cerca de 20.000 nmeros de carto de crdito; atacou o
computador de um especialista de segurana em informtica; perseguido pelo FBI, foi
preso em 1995, e pode pegar at 20 anos de priso, alm de multa de U$ 500.000,00.

Helena C. S. Sacerdote. Segurana da Informao

4. Definio de Poltica de Segurana

Poltica de segurana da informao uma declarao ampla dos objetivos e
intenes da organizao com relao conexo e ao uso. Normalmente, ela deve
especificar o seguinte:

os servios que podem ser usados;

quem autoriza as conexes;
quem responsvel pela segurana;
as normas, diretrizes e prticas a serem obedecidas;
as responsabilidades dos usurios.

Uma questo fundamental decidir quem ser responsvel pela segurana na

organizao. Todos os usurios tero um papel a desempenhar, mas, em ltima
anlise, os gerentes de alto escalo so os responsveis por assegurar a
implementao e manuteno dos controles de segurana adequados.
Isto necessrio para assegurar que as informaes e os ativos da organizao
estaro protegidos contra um ataque atravs do servio oferecido na Internet.

Helena C. S. Sacerdote. Segurana da Informao

10

5. Princpios de Segurana da Informao

Disponibilidade: Considera-se este princpio quando um sistema, ou ativo de

informao precisa estar disponvel para satisfazer os seus requisitos ou evitar
perdas financeiras.

Integridade: Considera-se este princpio quando um sistema, ou ativo de

informao, contm informao que deve ser protegida contra modificaes
no autorizadas, imprevistas ou at mesmo no intencionais, incluindo ainda
mecanismos que permitam a deteco de tais tipos de alterao.

Confidencialidade: Considera-se este princpio quando um sistema, ou ativo de

informao, necessita de proteo contra a divulgao no autorizada dos seus
bens de informao.

Autenticidade: Considera-se este princpio para atestar, com exatido, o

originador do dado ou informao, e permitir o no-repdio quanto a
transmisso ou recepo do mesmo.

Princpios extrados de recomendaes da OCDE - organizao para Cooperao e Desenvolvimento Econmico

Helena C. S. Sacerdote. Segurana da Informao

11

6. Poltica de Segurana da Informao no Brasil

Existe uma grande preocupao do Governo Federal em assegurar a proteo da
informao do governo e dos cidados. fundamental garantir o direito dos cidados
privacidade, alm do direito consulta sobre os dados coletados nos sistemas
governamentais, previsto na Constituio. Os websites pblicos devem comprometerse a garantir a confidencialidade das informaes de carter pessoal que so
armazenadas em suas bases de dados, sejam elas relativas aos usurios ou pessoas que
compem a administrao pblica.
Conforme abordado na Introduo, a questo da segurana da informao est
recebendo ateno do Governo Federal, que sancionou o Decreto que institui a
"Poltica de Segurana da Informao nos rgos do Poder Executivo Federal
PSIPE", conforme o Decreto n. 3.505, de 13 de junho de 2000.
Caber Secretaria-Executiva do Conselho de Defesa Nacional - SECDN, rgo
vinculado ao Gabinete de Segurana Institucional da Presidncia da Repblica,
assessorada pelo Comit Gestor da Segurana da Informao - CGSI propor as
diretrizes para implementao da Poltica no mbito do Poder Executivo Federal.
O Governo Federal desenvolver a PSIPE de acordo com as diretrizes do Comit e
contar com o apoio tcnico/operacional da Cmara Tcnica de Segurana da
Tecnologia da Informao CT-STI/SISP. Por sua vez, a Secretaria de Logstica e
Tecnologia da Informao - SLTI do Ministrio do Planejamento, Oramento e
Gesto exercer um papel preponderante na implementao da PSIPE, pois tem entre
suas atribuies a competncia de coordenar as atividades do Sistema de
Administrao de Recursos de Informao e Informtica - SISP, propondo polticas,
diretrizes e normas de Informao e Informtica, no mbito da Administrao Pblica
Federal direta, autrquica e fundacional.

Helena C. S. Sacerdote. Segurana da Informao

12

7. Lei da Assinatura Digital nos EUA e-Sign Bill

No ms de julho deste ano, o presidente dos Estados Unidos Bill Clinton,
sancionou a lei oficialmente conhecida como Lei da Assinatura Digital, ou Eletronic
Signatures in Global and National Commerce Act- simplificada para e-Sign Bill. A lei
dar s assinaturas eletrnicas o mesmo poder legal conferido s elaboradas com
tintas sobre o papel. Ela elimina as barreiras legais no uso de tecnologia eletrnica
para elaborar e assinar contratos, reunir e armazenar documentos. A legislao
permitir que consumidores e comerciantes assinem cheques, preencham solicitaes
de emprstimo ou de servios, sem a necessidade de uma assinatura em papel.
A legislao sobre a assinatura digital, aprovada na Cmara e no Senado por
ampla margem no incio de junho, considerada como o incio de uma era de
comrcio eletrnico na qual as empresas podero realizar transaes completas online, em vez de comparecer pessoalmente.
A medida estipula que os consumidores devem concordar em realizar negcios
on-line tero as protees de consumidor equivalentes quelas existentes no mundo
do papel. Segundo a legislao, nenhum contrato, assinatura ou registro poder ter seu
efeito legal negado por estar somente em formato eletrnico.
A e-Sign Bill no se compromete com nenhuma soluo tecnolgica j
disponvel. Pessoas e empresas podero escolher livremente o provedor do servio
responsvel pela veracidade das assinaturas digitais. Ferramentas de autenticao
eletrnica j existentes ganharo mercado a partir da legalizao dos certificados
digitais.

Helena C. S. Sacerdote. Segurana da Informao

13

8. Concluso

A criptografia tenta garantir a segurana eletrnica, mas a maior parte das

falhas de sistemas criptogrficos no so devido a erros ou falhas nos algoritmos, mas
sim a erros ou falhas humanas. Uma empresa especializada em Segurana (Mdulo)
fez uma pesquisa em 350 companhias brasileiras e constatou que 19% dos ataques so
provocados por funcionrios.
Uma organizao que busca a segurana de suas informaes deve implantar
um plano baseado em trs pilares: difuso da cultura de segurana, ferramentas para
garantir a execuo do projeto e mecanismo de monitorao.
H de se descobrir os pontos vulnerveis, avaliar os riscos, tomar as
providncias adequadas e investir o necessrio para se ter uma segurana homognea
e suficiente.
Sempre existiro riscos. O que no se pode admitir o descaso com a
segurana.

" fcil ter-se um sistema de computao seguro.

Voc meramente tem que desconectar o seu
sistema de qualquer rede externa, e permitir
somente terminais ligados diretamente a ele. Pr
a mquina e seus terminais em uma sala fechada,
e um guarda na porta."
F.T. Grampp e R.H. Morris

Helena C. S. Sacerdote. Segurana da Informao

14

9. Anexos
9.1. Criptografia

Chave secreta
de quem envia

Mensagem

Chave pblica
de quem recebe

Chave pblica
de quem envia

9.2. SSL: Encriptao de informaes em rede

PGP: http://www.ifi.uio.no/pgp

Chave secreta
de quem recebe

Helena C. S. Sacerdote. Segurana da Informao

15

9.3. Poltica de Segurana da Informao

DECRETO No 3.505, DE 13 DE JUNHO DE 2000.

Institui a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal.
O PRESIDENTE DA REPBLICA, no uso da atribuio que lhe confere o art. 84, inciso IV, da Constituio,
e tendo em vista o disposto na Lei no 8.159, de 8 de janeiro de 1991, e no Decreto no 2.910, de 29 de dezembro
de 1998,
DECRETA:
Art. 1o Fica instituda a Poltica de Segurana da Informao nos rgos e nas entidades da Administrao
Pblica Federal, que tem como pressupostos bsicos:
I - assegurar a garantia ao direito individual e coletivo das pessoas, inviolabilidade da sua intimidade e ao
sigilo da correspondncia e das comunicaes, nos termos previstos na Constituio;
II - proteo de assuntos que meream tratamento especial;
III - capacitao dos segmentos das tecnologias sensveis;
IV - uso soberano de mecanismos de segurana da informao, com o domnio de tecnologias
sensveis e duais;
V - criao, desenvolvimento e manuteno de mentalidade de segurana da informao;
VI - capacitao cientfico-tecnolgica do Pas para uso da criptografia na segurana e defesa do Estado; e
VII - conscientizao dos rgos e das entidades da Administrao Pblica Federal sobre a importncia das
informaes processadas e sobre o risco da sua vulnerabilidade.
Art. 2o Para efeitos da Poltica de Segurana da Informao, ficam estabelecidas as seguintes conceituaes:
I - Certificado de Conformidade: garantia formal de que um produto ou servio, devidamente
identificado, est em conformidade com uma norma legal;
II - Segurana da Informao: proteo dos sistemas de informao contra a negao de servio a usurios
autorizados, assim como contra a intruso, e a modificao desautorizada de dados ou informaes,
armazenados, em processamento ou em trnsito, abrangendo, inclusive, a segurana dos recursos humanos, da
documentao e do material, das reas e instalaes das comunicaes e computacional, assim como as
destinadas a prevenir, detectar, deter e documentar eventuais ameaa a seu desenvolvimento.
Art. 3o So objetivos da Poltica da Informao:
I - dotar os rgos e as entidades da Administrao Pblica Federal de instrumentos jurdicos, normativos e
organizacionais que os capacitem cientfica, tecnolgica e administrativamente a assegurar a confidencialidade,
a integridade, a autenticidade, o no-repdio e a disponibilidade dos dados e das informaes tratadas,
classificadas e sensveis;
II - eliminar a dependncia externa em relao a sistemas, equipamentos, dispositivos e atividades vinculadas

Helena C. S. Sacerdote. Segurana da Informao

16

segurana dos sistemas de informao;

III - promover a capacitao de recursos humanos para o desenvolvimento de competncia cientficotecnolgica em segurana da informao;
IV - estabelecer normas jurdicas necessrias efetiva implementao da segurana da informao;
V - promover as aes necessrias implementao e manuteno da segurana da informao;
VI - promover o intercmbio cientfico-tecnolgico entre os rgos e as entidades da
Administrao Pblica Federal e as instituies pblicas e privadas, sobre as atividades de segurana da
informao;
VII - promover a capacitao industrial do Pas com vistas sua autonomia no desenvolvimento e na fabricao
de produtos que incorporem recursos criptogrficos, assim como estimular o setor produtivo a participar
competitivamente do mercado de bens e de servios relacionados com a segurana da informao; e
VIII - assegurar a interoperabilidade entre os sistemas de segurana da informao.
Art. 4o Para os fins deste Decreto, cabe Secretaria-Executiva do Conselho de Defesa Nacional, assessorada
pelo Comit Gestor da Segurana da Informao de que trata o art. 6o, adotar as seguintes diretrizes:
I - elaborar e implementar programas destinados conscientizao e capacitao dos recursos humanos que
sero utilizados na consecuo dos objetivos de que trata o artigo anterior, visando garantir a adequada
articulao entre os rgos e as entidades da Administrao Pblica Federal;
II - estabelecer programas destinados formao e ao aprimoramento dos recursos humanos, com vistas
definio e implementao de mecanismos capazes de fixar e fortalecer as equipes de pesquisa e
desenvolvimento, especializadas em todos os campos da segurana da informao;
III - propor regulamentao sobre matrias afetas segurana da informao nos rgos e nas entidades da
Administrao Pblica Federal;
IV - estabelecer normas relativas implementao da Poltica Nacional de Telecomunicaes, inclusive sobre
os servios prestados em telecomunicaes, para assegurar, de modo alternativo, a permanente disponibilizao
dos dados e das informaes de interesse para a defesa nacional;
V - acompanhar, em mbito nacional e internacional, a evoluo doutrinria e tecnolgica das atividades
inerentes segurana da informao;
VI - orientar a conduo da Poltica de Segurana da Informao j existente ou a ser implementada;
VII - realizar auditoria nos rgos e nas entidades da Administrao Pblica Federal, envolvidas com a poltica
de segurana da informao, no intuito de aferir o nvel de segurana dos respectivos sistemas de informao;
VIII - estabelecer normas, padres, nveis, tipos e demais aspectos relacionados ao emprego dos produtos que
incorporem recursos criptogrficos, de modo a assegurar a confidencialidade, a autenticidade, a integridade e o
no-repdio, assim como a interoperabilidade entre os Sistemas de Segurana da Informao;
IX - estabelecer as normas gerais para o uso e a comercializao dos recursos criptogrficos pelos rgos e
pelas entidades da Administrao Pblica Federal, dando-se preferncia, em princpio, no emprego de tais
recursos, a produtos de origem nacional;
X - estabelecer normas, padres e demais aspectos necessrios para assegurar a confidencialidade dos dados e
das informaes, em vista da possibilidade de deteco de emanaes eletromagnticas, inclusive as
provenientes de recursos computacionais;

Helena C. S. Sacerdote. Segurana da Informao

17

XI - estabelecer as normas inerentes implantao dos instrumentos e mecanismos necessrios emisso de

certificados de conformidade no tocante aos produtos que incorporem recursos criptogrficos;
XII - desenvolver sistema de classificao de dados e informaes, com vistas garantia dos nveis de
segurana desejados, assim como normatizao do acesso s informaes;
XIII - estabelecer as normas relativas implementao dos Sistemas de Segurana da Informao, com vistas a
garantir a sua interoperabilidade e a obteno dos nveis de segurana desejados, assim como assegurar a
permanente disponibilizao dos dados e das informaes de interesse para a defesa nacional; e
XIV - conceber, especificar e coordenar a implementao da infra-estrutura de chaves pblicas a serem
utilizadas pelos rgos e pelas entidades da Administrao Pblica Federal.
Art. 5o Agncia Brasileira de Inteligncia - ABIN, por intermdio do Centro de Pesquisa e Desenvolvimento
para a Segurana das Comunicaes - CEPESC, competir:
I - apoiar a Secretaria-Executiva do Conselho de Defesa Nacional no tocante a atividades de carter cientfico e
tecnolgico relacionadas segurana da informao; e
II - integrar comits, cmaras tcnicas, permanentes ou no, assim como equipes e grupos de estudo
relacionados ao desenvolvimento das suas atribuies de assessoramento.
Art. 6o Fica institudo o Comit Gestor da Segurana da Informao, com atribuio de assessorar a SecretariaExecutiva do Conselho de Defesa Nacional na consecuo das diretrizes da Poltica de Segurana da
Informao nos rgos e nas entidades da Administrao Pblica Federal, bem como na avaliao e anlise de
assuntos relativos
aos objetivos estabelecidos neste Decreto.
Art. 7o O Comit ser integrado por um representante de cada Ministrio e rgos a seguir indicados:
I - Ministrio da Justia;
II - Ministrio da Defesa;
III - Ministrio das Relaes Exteriores;
IV - Ministrio da Fazenda;
V - Ministrio da Previdncia e Assistncia Social;
VI - Ministrio da Sade;
VII - Ministrio do Desenvolvimento, Indstria e Comrcio Exterior;
VIII - Ministrio do Planejamento, Oramento e Gesto;
IX - Ministrio das Comunicaes;
X - Ministrio da Cincia e Tecnologia;
XI - Casa Civil da Presidncia da Repblica; e
XII - Gabinete de Segurana Institucional da Presidncia da Repblica, que o coordenar.
1o Os membros do Comit Gestor sero designados pelo Chefe do Gabinete de Segurana Institucional da
Presidncia da Repblica, mediante indicao dos titulares dos Ministrios e rgos representados.
2o Os membros do Comit Gestor no podero participar de processos similares de iniciativa do setor
privado, exceto nos casos por ele julgados imprescindveis para atender aos interesses da defesa nacional e aps
aprovao pelo Gabinete de Segurana Institucional da Presidncia da Repblica.
3o A participao no Comit no enseja remunerao de qualquer espcie, sendo considerada servio pblico
relevante.
4o A organizao e o funcionamento do Comit sero dispostos em regimento interno por ele aprovado.
5o Caso necessrio, o Comit Gestor poder propor a alterao de sua composio.

Helena C. S. Sacerdote. Segurana da Informao

Art. 8o Este Decreto entra em vigor na data de sua publicao.

Braslia, 13 de junho de 2000; 179o da Independncia e 112o da Repblica.

FERNANDO HENRIQUE CARDOSO

Jos Gregori
Geraldo Magela da Cruz Quinto
Luiz Felipe Lampreia
Pedro Malan
Waldeck Ornlas
Jos Serra
Alcides Lopes Tpias
Martus Tavares
Pimenta da Veiga
Ronaldo Mota Sardenberg
Pedro Parente
Alberto Mendes Cardoso

Publicado no D.O. de 14.6.2000

18

Helena C. S. Sacerdote. Segurana da Informao

10. Fontes de Referncias

10.1.

Referncias Bibliogrficas

CARVALHO, Daniel B. Segurana de Dados com Criptografia. Rio de Janeiro: Book Express, 2000.
Dirio Oficial da Unio de 14.06.2000 - Decreto No 3.505, de 13.06.2000.
Jornal O Estado de So Paulo de 28/06/2000
Revista Valor Econmico de 03/07/2000
Cartilha do Ministrio do Planejamento A Segurana das Informaes e a Internet
Cartilha do Ministrio do Planejamento Fundamentos do Modelo de Segurana da Informao

10.2.

Referncias WWW

http://www.certisign.com.br
http://www.ifi.uio.no/pgp
http://www.redegoverno.gov.br
http://www.trueaccess.com.br/

19