março 26, 2018

[Segurança] Segurança para Cloud Computing no governo Federal

O Departamento de Segurança da Informação e Comunicações (DSIC), o órgão de segurança do governo Brasileiro subordinado ao Gabinete de Segurança Institucional (GSI) da Presidência da República, publicou recentemente uma revisão da norma complementar sobre os requisitos de segurança para a contratação de serviços de Cloud Computing.

A Norma Complementar nº 14/IN01/DSIC/GSIPR1, divulgada pelo GSI em 19/03/2018, foi publicada originalmente em 30 de janeiro de 2012. Ela estabelece quais são os princípios, diretrizes e responsabilidades de Segurança da Informação que os órgãos e entidades do governo federal devem considerar na contratação e no tratamento da informação em ambientes de Computação em Nuvem. A norma vale para todos os órgãos da Administração Pública Federal (APF), direta e indireta.

Esta norma tem como objetivo orientar a Alta Administração de cada órgão ou entidade da APF sobre como considerar os riscos dos ambientes de Cloud Computing na Gestão de Riscos de Segurança da Informação e Comunicações (GRSIC) existente, de modo a salvaguardar dados, informações e serviços sob sua responsabilidade, de acordo com os interesses de entidade, da sociedade e do Estado.

É interessante notar que a norma estabelece a obrigatoriedade de armazenamento dos dados em território nacional (item 5.3), limitando assim a contratação de Cloud Computing a empresas que tenham infraestrutura baseada no Brasil, e também estabelece que é vedado o armazenamento de dados sigilosos em ambiente na Nuvem (item 5.2.2).

Na minha opinião, dentre as diversas diretrizes listadas nessa norma, os pontos mais importantes são os seguintes:
5 PRINCÍPIOS E DIRETRIZES

5.1 O órgão ou entidade da APF deve observar, no mínimo, ao adotar o tratamento da informação em ambiente de Computação em Nuvem:
5.1.4 As informações tratadas em ambiente de computação em nuvem devem passar por um processo de GRSIC;
5.1.9 A prevalência da legislação brasileira sobre qualquer outra.
5.2 Sobre o tratamento da informação:
5.2.1 Informação sem restrição de acesso: pode ser tratada, a critério do órgão ou entidade da APF, em ambiente de computação em nuvem, considerando a legislação vigente e os riscos de SIC;
5.2.2 Informação sigilosa: como regra geral, deve ser evitado o tratamento em ambiente de computação em nuvem, conforme disposições a seguir:
5.2.2.1. Informação classificada: é vedado o tratamento em ambiente de computação em nuvem;
5.2.2.2. Conhecimento e informação contida em material de acesso restrito: é vedado o tratamento em ambiente de computação em nuvem;
5.2.2.3. Informação com restrição de acesso prevista em legislação vigente: a critério do órgão ou entidade da APF, pode ser tratado em ambiente de computação em nuvem, considerando a legislação vigente e os riscos de SIC. O órgão ou entidade da APF deve adotar medidas que assegurem a disponibilidade, integridade, confidencialidade e autenticidade (DICA);
5.2.2.4. Documento Preparatório: a critério do órgão ou entidade da APF, pode ser tratado em ambiente de computação em nuvem, considerando a legislação vigente e os riscos de SIC. O órgão ou entidade da APF deve adotar medidas que assegurem a DICA;
5.2.2.5. Documento preparatório que possa originar informação classificada deve ser tratado conforme o item 5.2.2.1; e
5.2.2.6. Informação pessoal relativa à intimidade, vida privada e imagem: a critério do órgão ou entidade da APF, pode ser tratado em ambiente de computação em nuvem, considerando a legislação vigente e os riscos de SIC. O órgão ou entidade da APF deve adotar medidas que assegurem a DICA.
5.3 Deve ser assegurado que dados, metadados, informações e conhecimento, produzidos ou custodiados por órgão ou entidade da APF, bem como suas cópias de segurança, residam em território brasileiro;
Esta norma tem um objetivo claro de alinhar a contratação de serviços em nuvem com as normas, políticas e procedimentos existentes (incluindo gestão de risco e tratamento de incdentes), além de explicitar a proibição de armazenamento de informações fora do território brasileiro e a preocupação com o sigilo dos dados.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.