Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação

955 views
823 views

Published on

Palestra sobre a Lei de Acesso à Informação e a Segurança da Informação, apresentada durante o 40º Seminário Nacional de TIC para a Gestão Pública, realizado em Gramado/RS em Set/2012.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
955
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
11
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação

  1. 1. Lei de Acesso à Informação x Segurança da Informação: Conflito ou Acordo de Interesses? Marcelo Veloso40º Seminário Nacional de TIC para a Gestão Pública 19, 20 e 21/09/2012 – Gramado/RS
  2. 2. AgendaIntroduçãoSegurança da InformaçãoLei de Acesso à InformaçãoQuestões CríticasDesafios/OportunidadesConsiderações Finais
  3. 3. AgendaIntroduçãoSegurança da InformaçãoLei de Acesso à InformaçãoQuestões CríticasDesafios/OportunidadesConsiderações Finais
  4. 4. IntroduçãoO objetivo desta palestra é apresentar algumasquestões críticas que demonstram que aexistência da Lei de Acesso à Informação nãoelimina a necessidade de lidar com a Segurançada Informação no âmbito da administraçãopública, e que é necessário o desenvolvimentode ações que busquem manter a harmoniaentre a transparência pública e a proteção dasinformações
  5. 5. AgendaIntroduçãoSegurança da InformaçãoLei de Acesso à InformaçãoQuestões CríticasDesafios/OportunidadesConsiderações Finais
  6. 6. Segurança da InformaçãoDefinição:Preservação da confidencialidade, da integridade eda disponibilidade da informação; adicionalmente,outras propriedades, tais como autenticidade,responsabilidade, não repúdio e confiabilidade,podem também estar envolvidasFonte: ISO/IEC 27002: Tecnologia da informação – Técnicas de segurança –Código de prática para a gestão da segurança da informação, 2005
  7. 7. Segurança da Informação Segurança da Informação Confidencialidade Integridade Disponibilidade• propriedade de • propriedade de • propriedade de que a informação salvaguarda da estar acessível e não esteja exatidão e utilizável sob disponível ou completeza de demanda por revelada a ativos uma entidade indivíduos, autorizada entidades ou processos não autorizadosFonte: ISO/IEC 13335-1: Conceitos e modelos para a Segurança em TI, 2004
  8. 8. Segurança da InformaçãoFonte: Módulo Security Solutions, 2008
  9. 9. AgendaIntroduçãoSegurança da InformaçãoLei de Acesso à InformaçãoQuestões CríticasDesafios/OportunidadesConsiderações Finais
  10. 10. Lei de Acesso – Lei Nº 12.527/2011 Administração direta e indireta de todos os poderes e todos os entes ABRANGÊNCIA federativos Entidades privadas sem fins lucrativos que recebam recursos públicos Art. 1º e Art. 2º
  11. 11. Lei de Acesso – Lei Nº 12.527/2011 PUBLICIDADE Regra SIGILO Exceção Art. 3º Inciso I
  12. 12. Lei de Acesso – Lei Nº 12.527/2011Art. 4º Para os efeitos desta Lei, considera-se:III - informação sigilosa: aquela submetida temporariamente àrestrição de acesso público em razão de sua imprescindibilidadepara a segurança da sociedade e do EstadoIV - informação pessoal: aquela relacionada à pessoa naturalidentificada ou identificávelVI - disponibilidade: qualidade da informação que pode serconhecida e utilizada por indivíduos, equipamentos ou sistemasautorizados
  13. 13. Lei de Acesso – Lei Nº 12.527/2011Art. 4º Continuação:VII - autenticidade: qualidade da informação que tenha sidoproduzida, expedida, recebida ou modificada por determinadoindivíduo, equipamento ou sistemaVIII - integridade: qualidade da informação não modificada,inclusive quanto à origem, trânsito e destino
  14. 14. Lei de Acesso – Lei Nº 12.527/2011 Acesso a Informação Transparência Transparência Passiva Ativa Art. 8º e Art. 10
  15. 15. AgendaIntroduçãoSegurança da InformaçãoLei de Acesso à InformaçãoQuestões CríticasDesafios/OportunidadesConsiderações Finais
  16. 16. Questões CríticasArt. 6º Cabe aos órgãos e entidades do poder público,observadas as normas e procedimentos específicos aplicáveis,assegurar a:II - proteção da informação, garantindo-se sua disponibilidade,autenticidade e integridadeIII - proteção da informação sigilosa e da informação pessoal,observada a sua disponibilidade, autenticidade, integridade eeventual restrição de acesso
  17. 17. Questões CríticasArt. 23. São consideradas imprescindíveis à segurança dasociedade ou do Estado e, portanto, passíveis de classificação asinformações cuja divulgação ou acesso irrestrito possam:I - pôr em risco a defesa e a soberania nacionais ou a integridadedo território nacionalII - prejudicar ou pôr em risco a condução de negociações ou asrelações internacionais do País, ou as que tenham sidofornecidas em caráter sigiloso por outros Estados e organismosinternacionais
  18. 18. Questões CríticasArt. 23. Continuação:III - pôr em risco a vida, a segurança ou a saúde da populaçãoIV - oferecer elevado risco à estabilidade financeira, econômicaou monetária do PaísV - prejudicar ou causar risco a planos ou operações estratégicosdas Forças Armadas
  19. 19. Questões CríticasArt. 23. Continuação:VI - prejudicar ou causar risco a projetos de pesquisa e desen-volvimento científico ou tecnológico, assim como a sistemas,bens, instalações ou áreas de interesse estratégico nacionalVII - pôr em risco a segurança de instituições ou de altasautoridades nacionais ou estrangeiras e seus familiares; ouVIII - comprometer atividades de inteligência, bem como deinvestigação ou fiscalização em andamento, relacionadas com aprevenção ou repressão de infrações
  20. 20. Questões CríticasArt. 24. A informação em poder dos órgãos e entidades públicas,observado o seu teor e em razão de sua imprescindibilidade àsegurança da sociedade ou do Estado, poderá serclassificada como ultrassecreta, secreta ou reservada§ 1o Os prazos máximos de restrição de acesso à informação,conforme a classificação prevista no caput, vigoram a partir dadata de sua produção e são os seguintes:I - ultrassecreta: 25 (vinte e cinco) anosII - secreta: 15 (quinze) anos; eIII - reservada: 5 (cinco) anos
  21. 21. Questões Críticas
  22. 22. Questões CríticasArt. 25. É dever do Estado controlar o acesso e a divulgação deinformações sigilosas produzidas por seus órgãos e entidades,assegurando a sua proteção§ 3o Regulamento disporá sobre procedimentos e medidas aserem adotados para o tratamento de informação sigilosa, demodo a protegê-la contra perda, alteração indevida,acesso, transmissão e divulgação não autorizados
  23. 23. Questões Críticas CASA CIVIL ANEXO 1 INSTITUTO NACIONAL DE TECNOLOGIA Documentos Secretos DA INFORMAÇÃO Papéis de Trabalho/Auditoria; Relatórios/Auditoria; Conceitos de Risco/Auditoria; Pareceres/Auditoria; Relação das pessoas que serão PORTARIA N 25, DE 15 DE MAIO DE 2012 detentores partições de recursos criptográficos da AC, com O DIRETOR PRESIDENTE DO INSTITUTO NACIO- respectivos termos de designação para a função; Relação dasNAL DE TECNOLOGIA DA INFORMAÇÃO, AUTARQUIA necessidades de acesso físico e lógico para cada cargo; Relação deVINCULADA À CASA CIVIL DA PRESIDÊNCIA DA REPÚ- pessoas que possuem acesso às chaves ou componentes de chavesBLICA, no uso de suas atribuições, tendo em vista o disposto no art. criptográficas da AC com sua respectiva designação formal e24 da Lei nº 12.527, de 18 novembro de 2011, atribuição de responsabilidades; Relação do pessoal contratado para a AC/cargo desempenhado e a respectiva documentação; Termos de Considerando que é dever dos órgãos e entidades do poder Designação de Gestor ou Responsável pelos Ativos da AC (ativos depúblico assegurar a gestão transparente da informação, propiciando informação e de processamento); Termos de Responsabilidade sobreamplo acesso a ela e sua divulgação; a segurança física da AC... Considerando que o direito fundamental de acesso à infor- ...Livro de Registro de Manutenção de Hardware; Sistemas (Logs);mação deve ser executado em conformidade com os princípios bá- Servidores (Logs); Imagens de Vídeo (CFTV); Registro desicos da administração; Incidentes de Segurança; Registros Telefônicos; Base de dados de ferramentas de monitoramento (redes, sistemas, servidores); Considerando que é dever do Estado controlar o acesso e a Documentação da topologia/arquitetura da rede; Arquivos dedivulgação de informações sigilosas produzidas por seus órgãos e configuração de Firewall; Arquivos de configuração de Servidores;entidades, assegurando a sua proteção; Arquivos de configuração de Switches; Diagramas da Rede Dados; Resolve classificar as informações contidas nesta Portaria, Diagrama de CFTV; Diagramas da Rede elétrica; Dados de Fitas deobservado o seu teor e em razão de sua imprescindibilidade à se- Backup; E-mails Institucionais (Serviço de Correio Eletrônico);gurança da sociedade ou do Estado, nos seguintes termos: Arquivos do serviço de armazenamento de dados corporativos (Sistema de Aquivos Dados-ITI); Senha de Operação/Administração Art. 1º Classificar como secretos os documentos elencados no de Equipamentos (Hardware); Senha de Operação/Administração deAnexo 1 desta Portaria. Sistemas e Servidores (Software); Senha de Operação/Administração Art. 2º Esta Portaria entra em vigor na data de sua publicação. do Circuito Fechado de TV. RENATO DA SILVEIRA MARTINI
  24. 24. Questões CríticasArt. 31. O tratamento das informações pessoais deve ser feito deforma transparente e com respeito à intimidade, vida privada,honra e imagem das pessoas, bem como às liberdades egarantias individuais§ 5o Regulamento disporá sobre os procedimentos paratratamento de informação pessoal
  25. 25. Questões Críticas
  26. 26. Questões CríticasArt. 32. Constituem condutas ilícitas que ensejamresponsabilidade do agente público ou militar:II - utilizar indevidamente, bem como subtrair, destruir, inutilizar,desfigurar, alterar ou ocultar, total ou parcialmente, informaçãoque se encontre sob sua guarda ou a que tenha acesso ouconhecimento em razão do exercício das atribuições de cargo,emprego ou função públicaIV - divulgar ou permitir a divulgação ou acessar ou permitiracesso indevido à informação sigilosa ou informação pessoal
  27. 27. AgendaIntroduçãoSegurança da InformaçãoLei de Acesso à InformaçãoQuestões CríticasDesafios/OportunidadesConsiderações Finais
  28. 28. Desafios/Oportunidades Gestão da Informação Classificação de Informações Treinamento dos agentes públicos Estabelecimento de SGSI
  29. 29. AgendaIntroduçãoSegurança da InformaçãoLei de Acesso à InformaçãoQuestões CríticasDesafios/OportunidadesConsiderações Finais
  30. 30. Considerações FinaisA Lei 12.527 representa, sem dúvida nenhuma, um grandeavanço para a sociedade brasileira, com a consolidação doprocesso democrático no Brasil e da transparência das ações dogoverno, operando como mecanismo de combate à corrupção emelhoria dos serviços públicos prestados à populaçãoA Lei de Acesso à Informação não representa a supressão depráticas de Segurança da Informação, uma vez que não existeconflito entre uma e outra, mas sim objetivos em comum bemdefinidos a serem alcançadosO mais importante: desenvolver e implementar ações quebusquem manter a harmonia entre a transparência pública e aproteção adequada às informações
  31. 31. OBRIGADO! Marcelo Veloso marcelo.veloso@planejamento.mg.gov.br9.2 CUSTEIO DE TIC

×