Segundo o ITGI (2008), assim como para Johnston e Hale (2009), a conformidade regulatória é considerada o principal motivador do estabelecimento da GovSI em uma organização. Também de acordo para o NIST (2006), estabelecer aderência às normas e
regulamentações definidas pelo governo é um papel relevante da GovSI nas organizações públicas. Estas devem ser internalizadas por meio de políticas, programas e controles para mitigar o risco corporativo e estabelecer as necessidades de proteção exigidas pelo negócio.
Entre as normas e regulamentações de SI aplicadas a APF, destaca-se: o decreto nº 3.505/2000 (BRASIL, 2000), o decreto 4.553/2002 (BRASIL, 2002) e as Normas do Gabinete de Segurança Institucional (GSI), composta pela Instrução Normativa 01 (BRASIL, 2008b) e suas respectivas Normas Complementares (NCs), como: a NC nº 02/IN01/DSIC/GSIPR (BRASIL, 2008c), a NC nº 03/IN01/DSIC/GSIPR (BRASIL, 2009a) e a NC nº 06/IN01/DSIC/GSIPR (BRASIL, 2009d). As principais considerações sobre cada um destes estão dispostas a seguir:
Decreto Nº 3.505/2000 (BRASIL, 2000): este decreto institui uma política de SI
nos órgãos e entidades da Administração Pública Federal (APF). Para isso, define os seguintes pressupostos básicos para a segurança desses órgãos: 1) assegurar o sigilo da correspondência e das comunicações, nos termos previstos na Constituição; 2) proteger os assuntos que mereçam tratamento especial; 3) prover mecanismos de Segurança de Informação, a partir de tecnologias e processos; 4) criar, desenvolver e manter uma cultura de SI; 5) prover capacitação científico-tecnológica para uso de criptografia na segurança e defesa do Estado;
Decreto 4.553/2002 (BRASIL, 2002): este decreto disciplina a salvaguarda de
dados, informações, documentos e materiais sigilosos, bem como as áreas e instalações físicas dos órgãos ou entidades no âmbito da APF. Este decreto estabelece diversos conceitos e definições para normatizar a implantação da SI, como: autenticidade, integridade, legitimidade, disponibilidade, bem como as seguintes considerações relevantes: 1) prover o sigilo da classificação dos dados ou informações, cuja divulgação possa acarretar risco à segurança da sociedade e do Estado; 2) assegurar o resguardo da inviolabilidade da intimidade, da honra e da imagem dos seus funcionários; 3) disponibilizar medidas especiais de segurança para restringir o acesso a dados ou informações sigilosos, somente para pessoal autorizado, nas fases de produção, manuseio, consulta, transmissão, manutenção, guarda e eliminação destes dados; 4) envolver uma autoridade responsável pelo trato de dados ou informações sigilosas, a fim de estabelecer medidas de segurança efetivas;
Norma Complementar nº 02/2008 (BRASIL, 2008c): esta norma do Gabinete
de Segurança Institucional estabelece que a metodologia para as ações de segurança de informação e comunicações devem se basear num processo de melhoria contínua do tipo “PDCA” (Plan-Do-Chek-Act). Este ciclo define as seguintes etapas: 1) as ações devem ser planejadas, de acordo com a definição de um escopo e objetivo das atividades envolvidas, além da identificação, análise e tratamento dos riscos; 2) as ações devem ser implementadas a partir de um plano ou meta aprovada para cada objetivo, acompanhadas de um programa de treinamento e conscientização; 3) as ações devem ser avaliadas com o objetivo de determinar se estão sendo executadas conforme planejado, para isso devem ser realizadas análises regulares dos requisitos, diretrizes e riscos definidos; 4) as ações devem ser aperfeiçoadas, de acordo com a avaliação realizada na fase anterior;
Norma Complementar nº 03/2009 (BRASIL, 2009a): esta norma estabelece
critérios e diretrizes para elaboração, institucionalização e atualização da Política de Segurança da Informação e Comunicações (POSIC) nos órgãos e entidades da Administração Pública Federal, direta e indireta (GovSI, 2009). Segundo esta norma, a POSIC deve descrever o comprometimento da alta direção organizacional em promover diretrizes estratégicas, responsabilidades, e competências para a implantação da SI nos órgãos ou entidades da Administração Pública Federal, direta e indireta. As diretrizes constantes na POSIC, no âmbito do órgão ou entidade, devem viabilizar e assegurar a disponibilidade, integridade, confidencialidade e autenticidade da informação. Além disso, declara a necessidade de um gestor responsável pela SI, bem como uma equipe para tratamento e resposta a incidentes no órgão ou entidade;
Norma Complementar nº 04/2009 (BRASIL, 2009b): esta norma estabelece
diretrizes para o processo de gestão de riscos de Segurança da Informação. Para isso, descreve que a gestão de riscos deve estar alinhada ao modelo PDCA (Norma Complementar 02/2008) e ser estabelecida de acordo com as políticas de Segurança da Informação definidas (Norma Complementar 03/2009). A norma 04 define que os processos de gestão de risco devem considerar prioritariamente os objetivos estratégicos, os requisitos legais e a estrutura do órgão, e realizar as seguintes ações: analisar as ameaças e vulnerabilidades associadas aos ativos de informação; estimar a probabilidade para a ocorrência dos riscos; determinar as
formas de tratamento do risco, como reduzir, evitar ou transferi-lo; e monitorar possíveis falhas nas análises dos riscos.
Norma Complementar nº 05/2009 (BRASIL, 2009c) e Norma
Complementar nº 08/2009 (BRASIL, 2010b): estas NCs orientam a criação de
uma Equipe de Tratamento e resposta a Incidentes em Redes computacionais (ETIR), bem como o gerenciamento de Incidentes de SI. A norma define que este grupo deve ser responsável por receber, analisar e responder às notificações e atividades de Segurança da Informação. Descrevem ainda que o os órgãos devem ser responsáveis por gerenciar e proteger adequadamente os serviços críticos e na existência de algum incidente de SI, este deve ser reportado para o CTIR Gov (Centro de Tratamento de Incidentes de Segurança em Redes de Computadores da Administração Pública Federal).
Norma Complementar nº 06/2009 (BRASIL, 2009d): esta norma orienta a
Gestão da Continuidade dos Negócios em SI, que busca minimizar os impactos decorrentes das falhas e indisponibilidades, por meio de ações de prevenção e recuperação. A norma ressalta a importância de uma análise de impacto no negócio (AIN), com técnicas adequadas para sua quantificação e qualificação, a fim de estimar os impactos de indisponibilidade. A NC 06 apresenta os principais conceitos e definições para a continuidade dos negócios, bem como os procedimentos e responsabilidades necessárias para sua implantação nos órgãos da APF e ADF.
Norma Complementar nº 07/2009 (BRASIL, 2010a): esta norma apresenta as
diretrizes necessárias para os controles de acesso referentes a SI. Esta NC busca sistematizar o acesso as informações críticas, por meio do mapeamento prévio da identificação, autorização e necessidade de acesso para a concessão de acesso de um ativo de informação nos órgãos. Para isso, apresenta as diretrizes de controle de acesso lógico, como o acesso via rede de computadores, e físico, como o acesso com crachá e selos.
Vale ressaltar que a última Norma Complementar emitidas pelo GSI, NC 09, não foi incluída nesta seção, pois foca no tratamento de orientações específicas para o uso de recursos criptográficos. Apesar de ter sua importância como uma ferramenta para sigilo dos dados a NC 09, não está voltada para o alinhamento da Segurança da Informação ao Negócio nas entidades públicas.