Professional Documents
Culture Documents
Dilma Rousseff
Vice-Presidente da Repblica
Michel Temer
Ministro de Estado Chefe do Gabinete de Segurana Institucional
Jos Elito Carvalho Siqueira
Secretrio Executivo do Conselho de Defesa Nacional
Jos Elito Carvalho Siqueira
Secretrio Executivo do Gabinete de Segurana Institucional
Geraldo Antonio Miotto
Diretor do Departamento de Segurana da Informao e Comunicaes
Marconi dos Reis Bezerra
Presidncia da Repblica
Gabinete de Segurana Institucional
Secretaria-Executiva
Departamento de Segurana da Informao e Comunicaes
ESTRATGIA DE SEGURANA DA
INFORMAO E COMUNICAES E DE
SEGURANA CIBERNTICA DA
ADMINISTRAO PBLICA FEDERAL
2015-2018
Verso 1.0
Braslia DF
2015
Copyright 2015 Presidncia da Repblica. Permitida a reproduo sem fins lucrativos, parcial ou total,
por qualquer meio, desde que citada a fonte.
Ficha Catalogrfica
Dados Internacionais de Catalogao na Publicao (CIP)
B823e Brasil. Presidncia da Repblica. Gabinete de Segurana Institucional.
Estratgia de segurana da informao e comunicaes e de segurana ciberntica da administrao
pblica federal 2015-2018 : verso 1.0 / Gabinete de Segurana Institucional, Secretaria-Executiva,
Departamento de Segurana da Informao e Comunicaes. Braslia : Presidncia da Repblica, 2015.
82 p. : il.
ISBN
[A Portaria SE/CDN No. 14, de 11 de maio de 2015, publicada no DOU No. 88 de 12/05/2015, homologa esta Estratgia]
O planejamento uma das maiores conquistas libertrias que o homem pode almejar. Porque o plano
a tentativa do homem para criar seu futuro; lutar contra as tendncias e correntes que nos arrastam;
ganhar espao para escolher; mandar sobre os fatos e as coisas para impor a vontade humana;
recusar-se a aceitar o resultado social que a realidade atomizada de infinitas aes contrapostas
oferece-nos anarquicamente; rejeitar o imediatismo; somar a inteligncia individual para multiplicla como inteligncia coletiva e criadora.
Carlos Matus
"Gesto Pblica um campo de conhecimento peculiar. Trata-se de uma rea por definio
interdisciplinar e que depende de conhecimento advindo da cincia poltica, da economia, da
administrao, da sociologia, do direito, da histria e da ciberntica. Acrescente-se a o forte
componente aplicado do aprendizado."
Fernando Abrcio & Francisco Gaetani
"Uma agenda de longo prazo para reformar a gesto pblica brasileira depende, como em qualquer
outro campo de polticas pblicas, no s de ideias e anlises. Acima de tudo, preciso constituir
coalizes. Atores estratgicos precisam ser convencidos da centralidade dessa questo, como j o foram
em outros tpicos."
Fernando Abrcio
SUMRIO
Lista de Siglas ............................................................................................................. 07
Apresentao ............................................................................................................. 11
Contextualizao ....................................................................................................... 13
Marcos do Governo Brasileiro em SIC e SegCiber ..................................................... 20
Finalidade e Aplicao ............................................................................................... 34
Metodologia .............................................................................................................. 35
Referencial Estratgico .............................................................................................. 37
Princpios Norteadores da Estratgia ........................................................................ 39
Mapa Estratgico ....................................................................................................... 40
Objetivos Estratgicos ............................................................................................... 42
Metas da Estratgia .................................................................................................. 55
Disposies Finais ...................................................................................................... 61
Referncias ................................................................................................................ 62
Anexo I Modelo de Governana Sistmica de SIC e de SegCiber da APF ............... 74
Anexo II Glossrio da Estratgia ............................................................................. 77
LISTA DE SIGLAS
ABIN: Agncia Brasileira de Inteligncia
ABNT: Associao Brasileira de Normas Tcnicas
AGU: Advocacia-Geral da Unio
ANATEL: Agncia Nacional de Telecomunicaes
APF: Administrao Pblica Federal
BB: Banco do Brasil
BCB: Banco Central do Brasil
BSC: Balanced Scorecard
CEPESC: Centro de Pesquisas e Desenvolvimento para a Segurana das Comunicaes
CC/PR: Casa Civil da Presidncia da Repblica
CDCiber/MD: Centro de Defesa Ciberntica / Ministrio da Defesa
CDN: Conselho de Defesa Nacional
CEF: Caixa Econmica Federal
CEGSIC: Curso de Especializao em Gesto de SIC
CGI.br: Comit Gestor da Internet no Brasil
CGSI: Comit Gestor da Segurana da Informao
CGU: Controladoria-Geral da Unio
COMAER/MD: Comando da Aeronutica / Ministrio da Defesa
ComDCiber: Comando de Defesa Ciberntica
CPI: Comisso Parlamentar de Inqurito
CREDEN: Cmara de Relaes Exteriores e Defesa Nacional
CTIR Gov: Centro de Tratamento de Incidentes de Redes da Administrao Pblica
Federal
DAS: Cargo do Grupo-Direo e Assessoramento Superiores
DATAPREV: Empresa de Tecnologia e Informaes da Previdncia Social
DSIC: Departamento de Segurana da Informao e Comunicaes
10
APRESENTAO
com grande satisfao que apresento a Estratgia de Segurana da
Informao e Comunicaes e de Segurana Ciberntica da Administrao Pblica
Federal 2015 2018, verso 1.0, dado que tais reas so consideradas como questes
nacionais, horizontais e estratgicas, que afetam todos os nveis da sociedade, e
representa importante instrumento de apoio ao planejamento dos rgos e entidades
do Governo, objetivando melhorar sobremaneira a segurana e a resilincia das
infraestruturas crticas e dos servios pblicos nacionais.
Este instrumento de apoio ao planejamento estratgico governamental
complementa a Instruo Normativa GSI/PR 01/2008, rene um conjunto de objetivos
estratgicos e metas para os prximos quatro anos, e visa a busca da excelncia da
Segurana da Informao e Comunicaes (SIC) e da Segurana Ciberntica (SegCiber)
no mbito da Administrao Pblica Federal (APF) do Pas, contemplando relevantes
aspectos, dada a complexidade e a dinmica de tais temas no cenrio atual, nacional e
mundial.
Assim, a elaborao desta Estratgia motivada pela misso do GSI/PR de
coordenar as atividades de segurana da informao do governo e considera tanto a
necessidade mpar de assegurar aes efetivas nestas reas, quanto a possibilidade
real e crescente de uso das Tecnologias de Informao e Comunicao (TIC) para aes
ofensivas e exploratrias, entre outras, acesso indevido s redes de computadores de
setores e de infraestruturas crticas.
Destaco ainda a ameaa relativa elevada interconectividade mundial entre os
maiores desafios da atualidade, confirmadas pelo World Economic Forum em suas
anlises sobre os riscos globais, tanto em 2014 quanto em 2015, em que so
evidenciados, entre os grandes riscos tecnolgicos, os ataques a redes e
infraestruturas crticas da informao; o aumento dos ataques cibernticos; e os
incidentes de fraudes e roubos de dados.
Diante da criticidade desse cenrio e da recomendao do Tribunal de Contas
da Unio (TCU), no Acrdo 3.051/2014-TCU-Plenrio, de que este GSI/PR lanasse
Estratgia no mbito da sua jurisdio, pautada nos pilares consagrados da segurana
da informao disponibilidade, integridade, confidencialidade e autenticidade -, com
o objetivo de fortalecer as aes de SIC e de SegCiber na APF, foi institudo Grupo de
Trabalho interno, no final do ano de 2014, no mbito do Departamento de Segurana
da Informao e Comunicaes (SIC) deste GSI/PR para elaborar esta Estratgia.
Cabe ressaltar que o Comit Gestor de Segurana da Informao (CGSI), rgo
de assessoramento da Secretaria Executiva do Conselho de Defesa Nacional, a qual
exercida por este GSI/PR, em temas relativos segurana da informao e correlatos,
conforme disposto no Decreto n 3.505/2000, vem colaborando efetivamente nos
ltimos anos com o arcabouo normativo das reas de SIC e de SegCiber, e foi
11
12
CONTEXTUALIZAO
Este item apresenta, de forma geral e sem a pretenso de ser exaustivo, viso
sobre avanos, mudanas, tendncias e desafios da Segurana da Informao e
Comunicaes e da Segurana Ciberntica, de 2000 at os dias de hoje, principalmente
na trilha que vem sendo desenvolvida no pas.
No Brasil, em 2000, o nmero de usurios da Internet girava em torno de 8,6
milhes e o governo brasileiro alertava que tal nmero era bastante limitado e
precisaria crescer significativamente. Naquele ano, estimava-se que apenas 1% dos
usurios da Internet no Brasil compraria em lojas virtuais, com mdia de gasto de
apenas 18 dlares mensais (MCT, 2000).
No final de 2008, passou-se a contar com cerca de 55,9 milhes de usurios no
Brasil segundo a Pesquisa Nacional por Amostra de Domiclios (PNAD) e,
aproximadamente, 83 milhes de pessoas de 10 anos ou mais acessaram a Internet
nos trs meses anteriores realizao da PNAD em 2012, apontando para um
crescimento rpido de uso da Internet no pas1. Com relao evoluo da economia
digital no pas, os usurios brasileiros da Internet contriburam com o comrcio
eletrnico, com faturamento da ordem de 8,2 bilhes de reais em 2008 com
crescimento para cerca de 22,5 bilhes de reais em 2012, confirmando as prospeces
de avanos preponderantes desta economia2.
Em 2014, o cenrio de uso da Internet e, consequentemente, de uso das
Tecnologias de Informao e Comunicao (TIC) permanece crescente e sem dvida
alm de qualquer expectativa e prospeco, operando-se em cifras bastante
expressivas no mundo e no Pas, especialmente frente aos avanos do uso de
dispositivos mveis, da computao em nuvem e da evoluo da chamada internet
das coisas. O Brasil considerado o quarto maior mercado mundial no setor de TIC,
movimentando cerca de US$ 170 bilhes, e somente o comrcio eletrnico faturou
cerca de 35,8 bilhes de reais, e no mundo o movimento foi de cerca de 1,5 trilhes de
dlares, demonstrando quo aquecida e intensiva vem sendo a economia digital e com
tendncia ascendente forte.3 Para 2020, estima-se um mercado global de TI na ordem
de US$ 3 trilhes, e um mercado nacional da ordem de US$ 200 bilhes.
Destaca-se que j foi abordado no Livro Verde Segurana Ciberntica no
Brasil (GSI/PR, 2010, p.14) os seguintes fenmenos da Sociedade da Informao: a)
Elevada convergncia tecnolgica; b) Aumento significativo de sistemas e redes de
informao, bem como da interconexo e interdependncia dos mesmos; c) Aumento
1
http://www.brasil.gov.br/infraestrutura/2013/09/percentual-de-internautas-cresce-nas-regioes-norte-e-nordeste-em2012/
2
http://www.e-commerce.org.br/stats.php
3
Idem.
13
14
http://www.un.org/en/ga/search/view_doc.asp?symbol=A/RES/68/167
15
16
17
18
19
Em 2000:
Em 2001:
Em 2002:
Em 2003:
20
Em 2004:
Em 2005:
21
Em 2006:
Em 2007:
22
Em 2008:
23
Portaria GSI/PR n 31, de 06 de outubro de 2008, institui a Rede Nacional de
Excelncia em Segurana da Informao e Criptografia RENASIC.
Em 2009:
24
Em 2010:
25
Foi ativado o Ncleo do Centro de Defesa Ciberntica, tendo como principal
atribuio coordenar as atividades do setor ciberntico no Exrcito.
Em 2011:
Em 2012:
26
27
Em 2013:
28
MRE; MEC; MDIC; MP; MCTI; MC; GSI/PR; CGI.br; ANATEL; SERPRO; DATAPREV; e
TELEBRS.
Em 2014:
29
30
Foi publicado o Acrdo 3.117/2014-TCU-Plenrio de 12 de novembro de 2014,
referente ao processo do TCU n 003.732/2014-2. Trata-se de relatrio de
levantamento realizado com o objetivo de acompanhar a situao da Governana de
Tecnologia da Informao na Administrao Pblica Federal, realizado a cada dois anos
pelo TCU. Pontos de interesses da segurana da informao:
A segurana da informao tem sido objeto de preocupao em todos
os levantamentos anteriores por causa da baixa conformidade das organizaes em
relao aos normativos e s boas prticas aplicveis.
Como referncia para elaborao das questes da auditoria, foram
utilizadas principalmente a norma tcnica ABNT NBR ISO/IEC 27002:2005 e as normas
complementares do Departamento de Segurana da Informao e Comunicaes do
Gabinete de Segurana Institucional da Presidncia da Repblica (DSIC/GSI/PR).
Apesar de ser o principal instrumento direcionador da gesto da
segurana da informao, preocupa que apenas 66% (15% parcialmente e 51%
integralmente) das organizaes participantes declarem dispor de uma poltica de
segurana da informao formalmente instituda, como norma de cumprimento
obrigatrio.
Apesar de ser o principal instrumento direcionador da gesto da
segurana da informao, preocupa que apenas 66% das organizaes participantes
declarem dispor de uma poltica de segurana da informao formalmente instituda,
como norma de cumprimento obrigatrio;
O comit de segurana da informao formalmente institudo,
composto por representes das reas relevantes da organizao e responsvel por
formular e conduzir diretrizes para a segurana da informao corporativa,
encontrado em 62% das organizaes, segundo declarado.
Observa-se que apenas 50% das organizaes declararam possuir gestor
da segurana da informao formalmente designado, responsvel pelas aes
corporativas de segurana da informao.
Quanto poltica que normatiza o acesso s informaes e aos recursos
e servios de TI, somente 52% (declararam dispor desse normativo formalmente
institudo, com cumprimento obrigatrio).
Quanto poltica de cpias de segurana (backup), que so necessrias
para garantir a disponibilidade das informaes em casos de falhas de sistemas ou
pessoas, somente 54% declararam dispor desse normativo formalmente institudo,
com cumprimento obrigatrio.
31
32
coordenao com os demais rgos atuantes nos mais diversos temas que englobam a
segurana ciberntica.
At o 1. Trimestre de 2015
33
FINALIDADE E APLICAO
A SIC e a SegCiber, base da Defesa Ciberntica, visam assegurar o uso do
espao ciberntico, impedindo ou dificultando, em seu mbito, aes contra os
interesses do Pas e da sociedade (Figura 1).
Assim, a presente Estratgia de Segurana da Informao e Comunicaes e
de Segurana Ciberntica da Administrao Pblica Federal 2015/2018, verso 1.0,
desdobramento da Instruo Normativa GSI/PR n 01/2008, coordenada e integrada
pelo Gabinete de Segurana Institucional da Presidncia da Repblica GSI/PR, tem a
finalidade de apresentar as diretrizes estratgicas para o planejamento de segurana
da informao e comunicaes e de segurana ciberntica no mbito da APF,
objetivando a articulao e a coordenao de esforos dos diversos atores envolvidos,
de forma a atingir o aprimoramento da rea no Governo e a mitigao dos riscos aos
quais encontram-se expostas as organizaes e a sociedade.
As diretrizes dessa Estratgia aplicam-se a todos os rgos e entidades que
integram a APF.
34
METODOLOGIA
A elaborao dessa Estratgia de Segurana da Informao e Comunicaes e
de Segurana Ciberntica da Administrao Pblica Federal utilizou, com adaptaes,
a consagrada metodologia de planejamento e gesto estratgica denominada
Balanced Scorecard (BSC), proposta por Robert Kaplan e David Norton.
O valor dessa metodologia reside na capacidade de traduzir a viso e a
estratgia em aes que de fato contribuam para o alcance dos objetivos estratgicos,
alm de prover um sistema de retroalimentao que permite o ajuste e o
aprimoramento contnuo por meio do acompanhamento de indicadores e metas,
englobando inclusive os princpios do PDCA.
A partir de adaptaes da metodologia BSC ao ambiente governamental, no
contexto da SIC e da SegCiber, foram consideradas quatro perspectivas basilares sobre
as quais foram construdos os objetivos estratgicos e as metas: (i) Oramentria; (ii)
Aprendizagem, Crescimento e Inovao; (iii) Governo; e (iv) Resultados para a
Sociedade.
A perspectiva Oramentria tem natureza estruturante e diz respeito ao aporte
contnuo e adequado de recursos do oramento federal para que se viabilize as aes
necessrias ao alcance dos objetivos propostos nessa Estratgia.
A perspectiva Aprendizagem, Conhecimento e Inovao, que tambm tem
natureza estruturante, envolve o investimento em capital humano, abrangendo aes
de sensibilizao, conscientizao, treinamento, capacitao e especializao nas reas
de SIC e de SegCiber, como forma de preparar os agentes pblicos para promover
mudanas e viabilizar a consecuo dos objetivos propostos na Estratgia.
Por sua vez, a perspectiva Governo engloba os processos internos, a legislao,
as articulaes, as competncias institucionais, as estruturas governamentais e tudo o
mais que envolva as intra e inter-relaes da APF com os demais atores, no alcance
dos objetivos.
Por fim, a perspectiva Resultados para a Sociedade representa a finalidade
precpua da ao Estatal a de direcionar sua conduta sempre visando os interesses e
demandas sociais, e engloba as aes em SIC e SegCiber que resultem em benefcios
para a sociedade, tais como proteo da privacidade, transparncia, democratizao
do acesso a informao e salvaguarda dos ativos de informao sigilosos.
Tendo em vista a natureza transversal dos Objetivos Estratgicos de SIC e de
SegCiber, as metas foram construdas a partir de uma viso holstica, ou seja,
considerando a Estratgia como um todo, no se vinculando necessariamente cada
meta a um nico objetivo estratgico.
35
36
REFERENCIAL ESTRATGICO
MISSO DA ESTRATGIA
Fortalecer a poltica e o planejamento de segurana da informao e
comunicaes e de segurana ciberntica na Administrao Pblica Federal, visando
assegurar e defender os interesses do Estado e da sociedade para a preservao da
soberania nacional.
VALORES DA ESTRATGIA
tica:
Ter como padro de conduta aes que busquem a verdade dos fatos,
amparadas em honestidade, moralidade, respeito, coerncia e probidade na
administrao pblica.
Efetividade:
Promover o
comprometimento da sociedade com os valores, vises, boas prticas, smbolos,
hbitos, comportamentos e polticas, relativas segurana da informao e
comunicaes e segurana ciberntica.
Inovao:
Liderana:
37
38
39
MAPA ESTRATGICO
O Mapa Estratgico segue uma abordagem em perspectivas, criando uma
relao de causa e efeito e explicitando um caminho para se chegar aos resultados
almejados. Ou seja, no caso presente, preciso assegurar recursos suficientes no
oramento motivo pelo qual a perspectiva oramentria encontra-se na base do
processo de forma que se invista em aprendizagem, capacitao e inovao, dando
condies para que os atores de Governo envolvidos promovam as melhorias
necessrias nas instituies, nas estruturas e nos processos da gesto governamental e
das polticas pblicas, derivando na entrega de resultados efetivos para a sociedade e
na melhoria do prprio Estado.
40
41
MAPA ESTRATGICO
OBJETIVOS ESTRATGICOS
Os objetivos estratgicos desta Estratgia de Segurana da Informao e
Comunicaes e de Segurana Ciberntica da Administrao Pblica Federal
representam foras motrizes para o cumprimento da misso e o alcance da viso de
futuro da mesma, e foram alinhados, tambm, aos princpios norteadores e valores,
ora propostos.
Espera-se que tais objetivos estratgicos, alm de alcanar os resultados da
Estratgia, fomentem, no mbito da APF e em futuro breve, o estabelecimento da
Governana Sistmica de SIC e de SegCiber, com vistas institucionalizao e ao
fortalecimento da gesto pblica de tais reas na esfera do Poder Executivo federal e
oportunamente em nvel nacional. Tal viso sistmica deve basear-se num modelo
que rena tanto a sociedade civil quanto os entes federativos da Repblica Unio,
estados, municpios e Distrito Federal com seus respectivos Sistemas de SIC e de
SegCiber, organizados de forma autnoma e em regime de colaborao.
semelhana de outros, esses sistemas de SIC e de SegCiber estabelecero
efetiva articulao entre Estado e sociedade, fortalecendo a organicidade, a
racionalidade, a efetividade, os investimentos, a inovao e a estabilidade das polticas
pblicas de SIC e de SegCiber, definidas como de Estado.
A SIC e a SegCiber so estratgicas para a Nao, cabendo APF direcionar
esforos para a consecuo dos objetivos propostos nesta Estratgia, conforme
apresentados a seguir.
42
43
OE-II
44
OE-III
Face aos desafios atuais em nvel global, bem como diante das ameaas e
oportunidades j contextualizados anteriormente, o fortalecimento e a priorizao das
reas de SIC e de SegCiber, na cincia; na pesquisa bsica e aplicada; no
desenvolvimento de tecnologias e de metodologias; e na inovao devem ser
permanentemente articulados com atores chave de fomento do Governo Federal, em
especial com o Ministrio da Cincia, Tecnologia e Inovao (MCTI), visando gerao
de conhecimentos e agregao de valor em produtos, servios e tecnologias de tais
reas, e respectivos setores produtivos.
Outro fator que demanda esforos de P,D&I em SIC e SegCiber no mbito da
APF diz respeito ao imposto pelo Decreto n 8.135/2013, regulamentado pela Portaria
Interministerial n 141/2014, referente s solues de comunicaes de dados. Para
tanto, a adequao dos rgos e entidades da APF legislao requer investimentos
adequados e recorrentes em P,D&I.
A pesquisa, desenvolvimento e inovao nas reas de SIC e SegCiber so pontos
basilares para que o Estado brasileiro seja reconhecido mundialmente, como ator de
destaque no cenrio internacional, sendo respeitado por resultados tecnolgicos
relevantes, de forma a atender a necessidade de assegurar a soberania da Nao e,
associado a isso, a privacidade de seus cidados no espao ciberntico.
Nesse sentido, so fundamentais a pesquisa e o desenvolvimento de solues
voltadas para a SIC e a SegCiber, baseadas em hardware e algoritmos criptogrficos
proprietrios de Estado, com o objetivo de garantir a confidencialidade, integridade e
autenticidade das comunicaes estratgicas entre rgos que integrem a APF, a
exemplo da atuao da ABIN, por meio do Centro de Pesquisas e Desenvolvimento
para Segurana das Comunicaes (CEPESC).
A exitosa iniciativa da Rede Nacional de Segurana da Informao e Criptografia
RENASIC no pode deixar de ser exemplificada. Criada em 2008 no GSI/PR e desde
2011 parte integrante do CDCiber/EB/MD, apresenta entre seus objetivos integrar
pesquisadores de todo o pas, fomentando o intercmbio de conhecimentos e o
desenvolvimento de novos projetos em segurana da informao e criptografia.
essencial avanar na articulao para o fortalecimento e acelerao da
implantao do ecossistema digital (SIC+SegCiber+Empresas+ICT) com a finalidade de
apoiar o desenvolvimento de tecnologias de SIC e de SegCiber, a exemplo de solues
de reconhecimento de artefatos maliciosos e outras ferramentas cibernticas,
alavancando a criao do mesmo e promovendo maior sinergia com o ecossistema da
defesa ciberntica. Para tanto, faz-se necessrio aprimorar os mecanismos de fomento
e de financiamento que favoream parcerias entre o setor privado e as universidades e
45
46
47
48
49
50
51
52
OE-IX
53
54
METAS DA ESTRATGIA
Tendo em vista a natureza transversal dos Objetivos Estratgicos de SIC e de
SegCiber apresentados anteriormente, as metas foram construdas a partir de uma
viso holstica, ou seja, considerando a Estratgia como um todo, no se vinculando
necessariamente cada meta a um nico objetivo estratgico.
Assim sendo, as metas so apresentadas a seguir de forma distribuda em
espaos temporais, no quadrinio 2015-2018.
Em 2015
M-II: Atingir no mnimo 25% da APF direta com autodiagnstico de SIC e de SegCiber
acompanhados e avaliados pelo rgo central (GSI/PR).
Responsvel: rgo central (GSI/PR), com assessoramento do CGSI.
M-III:
M-IV:
M-V:
55
Em 2016
M-X:
M-XI: Atingir no mnimo 50% da APF direta com autodiagnstico de SIC e de SegCiber
acompanhados e avaliados pelo rgo central (GSI/PR).
Responsvel: rgo central (GSI/PR), com assessoramento do CGSI.
M-XII:
M-XIII:
56
Em 2017
57
M-XXI:
M-XXIII:
M-XXV:
Em 2018
M-XXVII:
58
M-XXXIII:
M-XXXIV:
M-XXXV:
59
60
DISPOSIES FINAIS
Esta Estratgia aplica-se a todos os rgos e entidades da APF, entrar em vigor
na data de sua publicao no Dirio Oficial da Unio e ter validade no quadrinio
2015-2018, sendo revisada, periodicamente, em consonncia com as contribuies das
instncias de assessoramento e apoio deciso do Modelo de Governana Sistmica
de SIC e de SegCiber da APF, buscando atender as demandas dos rgos e entidades
que integram o Sistema, em prol do alcance da viso de futuro desta Estratgia.
61
REFERNCIAS
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. ABNT NBR ISO/IEC 38500:
Governana Corporativa de Tecnologia da Informao. Rio de Janeiro, 2006.
AUSTRALIAN GOVERNMENT. Australian Government Information Security Manual
Principles - Australian, 2014. Disponvel em:
<http://www.asd.gov.au/publications/Information_Security_Manual_2014_Principles.
pdf>. Acesso em Fevereiro de 2015.
AUSTRALIAN GOVERNMENT. Cyber Security Strategy 2011, Austrlia, 2011. Disponvel
em:
<http://www.ag.gov.au/RightsAndProtections/CyberSecurity/Documents/AG%20Cybe
r%20Security%20Strategy%20-%20for%20website.pdf>. Acesso em Fevereiro de 2015.
BLUE COAT SYSTEMS. The Inception Framework: Cloud-Hosted APT by Snorre
Fagerland and Waylon Grange Blue Coat Systems, Inc., 2014. Disponvel em: <
https://www.bluecoat.com/documents/download/638d602b-70f4-4644-aaadb80e1426aad4/d5c87163-e068-440f-b89e-e40b2f8d2088>. Acesso em Fevereiro de
2015.
BRASIL. Congresso. Senado Federal. Comisso Parlamentar de Inqurito. CPI da
Espionagem - Relatrio Final. Braslia, DF, 2014.
BRASIL. Conselho Nacional de Justia. Resoluo N 99, de 24 de novembro de 2009.
Anexo I: A Estratgia de TIC do Poder Judicirio, Braslia, DF, 2009. Disponvel em:
<http://www.cnj.jus.br/images/stories/docs_cnj/resolucao/anexorescnj_99.pdf>.
Acesso em Fevereiro de 2015.
BRASIL. Constituio (1988). Constituio da Repblica Federativa do Brasil. Braslia,
DF: Senado, 1988.
BRASIL. Decreto n 3.505 de 13 de junho de 2000. Institui a Poltica de Segurana da
Informao nos rgos e entidades da Administrao Pblica Federal. Casa Civil,
Subchefia para Assuntos Jurdicos, 2000.
BRASIL. Decreto n 3.996 de 31 de outubro de 2001. Dispe sobre a prestao de
servios de certificao digital no mbito da Administrao Pblica Federal. Casa Civil,
Subchefia para Assuntos Jurdicos, 2001.
BRASIL. Decreto n 4.801, de 6 de agosto de 2003. Cria a Cmara de Relaes
Exteriores e Defesa Nacional, do Conselho de Governo. Casa Civil, Subchefia para
Assuntos Jurdicos, 2003.
BRASIL. Decreto n 4.829, de 3 de setembro de 2003. Dispe sobre a criao do
Comit Gestor da Internet no Brasil - CGIbr, sobre o modelo de governana da Internet
no Brasil, e d outras providncias. Casa Civil, Subchefia para Assuntos Jurdicos, 2003.
62
63
64
65
66
67
68
69
70
71
72
UNITED STATES. Seal of the President Of the United States. International Estrategy for
Cyberspace, Prosperity, Security, and Openness in a Networked World, 2011.
Disponvel
em:
<http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_fo
r_cyberspace.pdf>. Acesso em Fevereiro de 2015.
UNITED STATES. Seal of the President of the United States. National Security Strategy,
2015. Disponvel em:
<http://www.whitehouse.gov/sites/default/files/docs/2015_national_security_strateg
y.pdf>. Acesso em Fevereiro de 2015.
UNITED STATES. USA - Cyber Space Policy Review - Assuring a Trusted and Resilient
Information and Communications Infrastructure, Review Final, 2009. Disponvel em:
<https://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pd
f>. Acesso em Fevereiro de 2015.
WAMALA, Frederick. The ITU National Cybersecurity Strategy Guide, International
Telecommunications Union (ITU), 2011. Disponvel em: <http://www.itu.int/ITUD/cyb/cybersecurity/docs/ITUNationalCybersecurityStrategyGuide.pdf>. Acesso em
Fevereiro de 2015.
WORLD CONFERENCE ON INTERNATIONAL TELECOMMUNICATIONS, WCIT-12, 2012,
Dubai. Final Acts of the World Conference on International Telecommunications
(WCIT-12). Switzerland, International Telecommunication Union (ITU), 2012.
WORLD ECONOMIC FORUM Report of WEF/2014. 2014. Disponvel em:
<http://www.weforum.org/reports/global-risks-2014-report
WORLD ECONOMIC FORUM Report of WEF/2015, 2015. Disponvel em:
<http://reports.weforum.org/global-risks-2015/
ZIMMERMAN, Carson. Ten Strategies of a World-Class Cybersecurity Operations
Center, The MITRE Corporation, 2014. Disponvel em:
<http://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10strategies-cyber-ops-center.pdf>. Acesso em Fevereiro de 2015.
73
ANEXO I
MODELO DE GOVERNANA SISTMICA DE SIC
E DE SEGCIBER DA APF - NVEL POLTICO
ESTRATGICO
De acordo com o Decreto-Lei n 200, de 25 de fevereiro de 1967, as atividades
administrativas no mbito da administrao pblica federal direta, autrquica e
fundacional esto organizadas sob a forma de sistemas, com a finalidade de
uniformizar a interpretao e aplicao da legislao, bem como de padronizar os
procedimentos a serem realizados, visando a sua eficincia.
Dessa forma, o Modelo de Governana Sistmica de SIC e de SegCiber da APF
(Figura 3), de nvel poltico estratgico, apoiar o estabelecimento de competncias e
respectivas responsabilidades entre os rgos e entidades da APF de forma a: (i) somar
e otimizar esforos; (ii) pactuar aes em prol dos avanos das reas e efetividade nos
resultados; (iii) buscar a excelncia da gesto e da maturidade; (iv) estabelecer
mecanismos e critrios de acompanhamento e avaliao contnuos; e (v) promover a
articulao multissetorial e a inovao.
Integram o Modelo de Governana Sistmica de SIC e de SegCiber da APF:
a) rgo Central (GSI/PR) : rgo gestor superior das reas de SIC e de
SegCiber, exercer a coordenao executiva e a integrao das aes na
definio das respectivas diretrizes poltico estratgicas daquelas reas no
mbito da APF.
b) rgos Gestores Setoriais Nvel A: so representados pelos Ministrios e
equivalentes, no mbito da APF, participantes da cadeia de valor e dos
pactos para implantao das diretrizes estratgicas.
c) rgos Gestores Setoriais Nvel B: so representados pelos rgos e
entidades vinculados diretamente aos rgos Gestores Setoriais Nvel A, no
mbito da APF, participantes da cadeia de valor e dos pactos alavancados
pelos respectivos rgos Gestores Setoriais Nvel A, para implantao das
diretrizes estratgicas.
d) rgos Gestores Seccionais: so representados pelos rgos e entidades
vinculados diretamente aos rgos Gestores Setoriais Nvel B, no mbito da
APF, participantes da cadeia de valor e dos pactos alavancados pelos
respectivos rgos Gestores Setoriais Nvel B, para implantao das
diretrizes estratgicas.
74
75
76
ANEXO II
GLOSSRIO DA ESTRATGIA
Alta Administrao: o termo se aplica s seguintes autoridades pblicas: (i) Ministros e
Secretrios de Estado; (ii) titulares de cargos de natureza especial, secretriosexecutivos, secretrios ou autoridades equivalentes ocupantes de cargo do GrupoDireo e Assessoramento Superiores - DAS, nvel seis; e (iii) presidentes e diretores de
agncias nacionais, autarquias, inclusive as especiais, fundaes mantidas pelo Poder
Pblico, empresas pblicas e sociedades de economia mista (Cdigo de Conduta da
Alta Administrao Federal, 2000).
Ameaa: Conjunto de fatores externos ou causa potencial de um incidente indesejado,
que pode resultar em dano para um sistema ou organizao (NC 04/IN01/DSIC/GSI/PR
Rev. 01, 2013).
Artefato malicioso: Qualquer programa de computador, ou parte de um programa,
construdo com a inteno de provocar danos, obter informaes no autorizadas ou
interromper o funcionamento de sistemas e/ou redes de computadores (NC
05/IN01/DSIC/GSI/PR, 2009).
Ativo de Informao: Meios de armazenamento, transmisso e processamento, os
sistemas de informao, bem como os locais onde se encontram esses meios e as
pessoas que a eles tm acesso (Portaria 45 SE-CDN, 2009; NC 10/IN01/DSIC/GSI/PR,
2012).
Autenticidade: Propriedade de que a informao foi produzida, expedida, modificada
ou destruda por uma determinada pessoa fsica, ou por um determinado sistema,
rgo ou entidade (IN 01 GSI/PR, 2008).
Balanced Scorecard (BSC): uma metodologia de gesto de desempenho e de
planejamento estratgico (Kaplan e Norton, 1996).
Confidencialidade: Propriedade de que a informao no esteja disponvel ou revelada
a pessoa fsica, sistema, rgo ou entidade no autorizado e credenciado (IN 01
GSI/PR, 2008).
Continuidade de Negcios: Capacidade estratgica e ttica de um rgo ou entidade
de se planejar e responder a incidentes e interrupes de negcios, minimizando seus
impactos e recuperando perdas de ativos da informao das atividades crticas, de
forma a manter suas operaes em um nvel aceitvel, previamente definido (NC
06/IN01/DSIC/GSI/PR, 2009).
Defesa: O ato ou conjunto de atos realizados para obter, resguardar ou recompor a
condio reconhecida como de segurana, ou ainda, reao contra qualquer ataque ou
agresso real ou iminente (Glossrio MD35-G-01, 2007).
77
78
79
80