Conteúdo

Segurança da Informação em Nuvem Computacional

Sobre a Lei 12.527/2011 – Lei de Acesso a Informação

O que deve ser classificado

Publicidade da Classificação

Das Responsabilidades

Procedimentos de Classificação da Informação

Categorizando Informação e Sistemas de Informação

Impacto Potencial nas Organizações e Indivíduos

Tipos predefinidos de informações sigilosas

Verificador de Autenticação
Informações Financeiras Cobertas
Informações eletrônicas de saúde protegidas (“EPHI”)
Exportar materiais controlados
Informações Fiscais Federais (“FTI”)
Informação do cartão de pagamento
Registros Educacionais Pessoais Identificáveis
Informações Pessoais Identificáveis
Informações de saúde protegidas (“PHI”)
Informações Técnicas Controladas (“CTI”)
Apenas para uso oficial (“FOUO”)
Dados Pessoais da União Europeia (UE)

Análise de Conformidade com a GSI-NC 14, 19/03/2018

Sobre o tratamento da informação

Sobre as Responsabilidades

Segurança da Informação em Nuvem Computacional

Sobre a Lei 12.527/2011 – Lei de Acesso a Informação

Inicialmente importa analisar o que seriam informações sensíveis sob aspecto de segurança à luz da Lei de Acesso à Informação – Lei 12.527/2011.

A Lei 12.527/2011 assegura o direito fundamental de acesso à informação ressaltando, no Art. 3º “a publicidade como preceito geral e o sigilo como exceção”.

A Lei conceitua:

Informação sigilosa – aquela submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado;
Informação pessoal – aquela relacionada à pessoa natural identificada ou identificável.

O que deve ser classificado

O Art. 23 explicita que são passíveis de classificação as informações consideradas imprescindíveis à segurança da sociedade ou do Estado cuja divulgação ou acesso irrestrito possam:

I – pôr em risco a defesa e a soberania nacionais ou a integridade do território nacional;

II – prejudicar ou pôr em risco a condução de negociações ou as relações internacionais do País, ou as que tenham sido fornecidas em caráter sigiloso por outros Estados e organismos internacionais;

III – pôr em risco a vida, a segurança ou a saúde da população;

IV – oferecer elevado risco à estabilidade financeira, econômica ou monetária do País;

V – prejudicar ou causar risco a planos ou operações estratégicos das Forças Armadas;

VI – prejudicar ou causar risco a projetos de pesquisa e desenvolvimento científico ou tecnológico, assim como a sistemas, bens, instalações ou áreas de interesse estratégico nacional;

VII – pôr em risco a segurança de instituições ou de altas autoridades nacionais ou estrangeiras e seus familiares; ou

VIII – comprometer atividades de inteligência, bem como de investigação ou fiscalização em andamento, relacionadas com a prevenção ou repressão de infrações.

No Art. 24, a Lei define que a informação em poder dos órgãos e entidades públicas poderão ser classificadas como ultrassecreta, secreta ou reservada.

Publicidade da Classificação

Art. 28. A classificação de informação em qualquer grau de sigilo deverá ser formalizada em decisão que conterá, no mínimo, os seguintes elementos:

I – assunto sobre o qual versa a informação;

II – fundamento da classificação, observados os critérios estabelecidos no art. 24;

III – indicação do prazo de sigilo, contado em anos, meses ou dias, ou do evento que defina o seu termo final, conforme limites previstos no art. 24; e

IV – identificação da autoridade que a classificou.

Art. 30. A autoridade máxima de cada órgão ou entidade publicará, anualmente, em sítio à disposição na internet e destinado à veiculação de dados e informações administrativas, nos termos de regulamento:

I – rol das informações que tenham sido desclassificadas nos últimos 12 (doze) meses;

II – rol de documentos classificados em cada grau de sigilo, com identificação para referência futura;

III – relatório estatístico contendo a quantidade de pedidos de informação recebidos, atendidos e indeferidos, bem como informações genéricas sobre os solicitantes.

Das Responsabilidades

O Art. 32 registra que “Constituem condutas ilícitas que ensejam responsabilidade do agente público ou militar que:

[…] V – divulgar ou permitir a divulgação ou acessar ou permitir acesso indevido à informação sigilosa ou informação pessoal;

Procedimentos de Classificação da Informação

Exemplo do Ministério da Fazenda – http://www.fazenda.gov.br/sei/publicacoes/procedimentos-para-classificacao-de-informacao-em-grau-de-sigilo

Exemplo do Senado Federal – http://www.senado.leg.br/transparencia/SECRH/BASF/Anexo/A_01_2017_1259221.PDF

No âmbito da Lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais, depreende-se que devem ser protegidos os “dados pessoais” e os “dados pessoais sensíveis”, cujo significado é explicitado no Art. 5º da Lei:

I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Já no Art. 13 são definidos os cuidados com o tratamento de “Dados Pessoais Sensíveis”:

Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.

[…]

§ 2º O órgão de pesquisa será o responsável pela segurança da informação prevista no caput deste artigo, não permitida, em circunstância alguma, a transferência dos dados a terceiro.

§ 3º O acesso aos dados de que trata este artigo será objeto de regulamentação por parte da autoridade nacional e das autoridades da área de saúde e sanitárias, no âmbito de suas competências.

Ser tratado “dentro do órgão” significa em bases locais? Transferir para a base de dados em Nuvem significa “Transferência dos dados a terceiro”?

Esses são pontos controversos que merecem interpretação para não crescerem mitos em torno da migração de serviços para Nuvem Computacional.

Categorizando Informação e Sistemas de Informação

O NIST por meio do documento “Standards for Security Categorization of Federal Information and Information Systems”, estabelece categorias de segurança para sistemas de informação e informação. As categorias de segurança são baseadas no impacto potencial em uma organização, caso ocorram certos eventos que comprometam os sistemas de informações e informações necessários para que a organização cumpra sua missão, proteja seus ativos, cumpra suas responsabilidades legais, mantenha suas funções cotidianas. e proteger os indivíduos. As categorias de segurança devem ser usadas em conjunto com informações de vulnerabilidade e ameaças ao avaliar o risco para uma organização.

Impacto Potencial nas Organizações e Indivíduos

A Publicação FIPS 199 define três níveis de impacto potencial em organizações ou indivíduos, caso haja uma quebra de segurança (isto é, uma perda de confidencialidade, integridade ou disponibilidade). A aplicação dessas definições deve ocorrer dentro do contexto de cada organização e do interesse nacional geral.

	IMPACTO POTENCIAL
Objetivo de Segurança	Baixo	Moderado	Alto
Confidencialidade Preservar restrições autorizadas no acesso e divulgação de informações, incluindo meios para proteger a privacidade pessoal e informações proprietárias.	Pode-se esperar que a divulgação não autorizada de informações tenha um efeito adverso limitado sobre operações organizacionais, ativos organizacionais ou indivíduos.	Pode-se esperar que a divulgação não autorizada de informações tenha um sério efeito adverso sobre operações organizacionais, ativos organizacionais ou indivíduos.	Pode-se esperar que a divulgação não autorizada de informações tenha um efeito adverso severo ou catastrófico sobre operações organizacionais, ativos organizacionais ou indivíduos.
Integridade Protege contra modificação ou destruição indevida de informações e inclui garantia de não-repúdio e autenticidade da informação.	Pode-se esperar que a modificação ou destruição não autorizada de informações tenha um efeito adverso limitado sobre operações organizacionais, ativos organizacionais ou indivíduos.	Pode-se esperar que a modificação ou destruição não autorizada de informações tenha um efeito adverso sério sobre as operações organizacionais, ativos organizacionais ou indivíduos.	Pode-se esperar que a modificação ou destruição não autorizada de informações tenha um efeito adverso grave ou catastrófico em operações organizacionais, ativos organizacionais ou indivíduos.
Disponibilidade Garantir acesso e uso oportuno e confiável de informações.	Pode-se esperar que a interrupção do acesso ou uso de informações ou de um sistema de informações tenha um efeito adverso limitado sobre as operações organizacionais, ativos organizacionais ou indivíduos.	Pode-se esperar que a interrupção do acesso ou uso de informações ou de um sistema de informações tenha um efeito adverso sério sobre as operações organizacionais, ativos organizacionais ou indivíduos.	Pode-se esperar que a interrupção do acesso ou do uso de informações ou de um sistema de informações tenha um efeito adverso severo ou catastrófico sobre as operações organizacionais, ativos organizacionais ou indivíduos.

Tipos predefinidos de informações sigilosas

A Carnegie Mellon University no documento “Guidelines for Data Classification”, https://www.cmu.edu/iso/governance/guidelines/data-classification.html define vários tipos de dados restritos com base em requisitos regulamentares estatais e federais. Eles são definidos da seguinte maneira:

1. Verificador de Autenticação

Um Verificador de Autenticação é uma informação que é mantida em sigilo por um indivíduo e usada para provar que a pessoa é quem ela diz ser. Em alguns casos, um Verificador de Autenticação pode ser compartilhado entre um pequeno grupo de indivíduos. Um Verificador de Autenticação também pode ser usado para provar a identidade de um sistema ou serviço. Exemplos incluem, mas não estão limitados a:

Senhas
Segredos compartilhados
Chaves Privadas Criptográficas

2. Informações Financeiras Cobertas

Veja o Programa de Segurança da Informação Gramm-Leach-Bliley da Universidad em https://www.cmu.edu/policies/information-technology/gramm-leach-bliley-act.html

3. Informações eletrônicas de saúde protegidas (“EPHI”)

EPHI é definida como qualquer informação de saúde protegida (“PHI”) que é armazenada ou transmitida por mídia eletrônica. Para efeitos desta definição, os meios eletrônicos incluem:

A mídia de armazenamento eletrônico inclui discos rígidos de computador e qualquer meio de memória digital removível e / ou transportável, como fita magnética ou disco, disco ótico ou cartão de memória digital;
Mídia de transmissão usada para trocar informações já em mídia de armazenamento eletrônico. A mídia de transmissão inclui, por exemplo, a Internet, uma extranet (usando a tecnologia da Internet para vincular uma empresa a informações acessíveis apenas às partes colaboradoras), linhas alugadas, linhas discadas, redes privadas e o movimento físico de dispositivos eletrônicos removíveis e / ou transportáveis. mídia de armazenamento. Certas transmissões, inclusive de papel, via fac-símile, e de voz, via telefone, não são consideradas transmissões via mídia eletrônica porque a informação que está sendo trocada não existe em forma eletrônica antes da transmissão.

4. Exportar materiais controlados

Materiais Controlados para Exportação é definido como qualquer informação ou material que esteja sujeito aos regulamentos de controle de exportação dos Estados Unidos, incluindo, mas não limitado a Regulamentos de Administração de Exportação (EAR) publicados pelo Departamento de Comércio dos EUA e ITAR (International Traffic of Arms Regulations) publicado pelo Departamento de Estado dos EUA. Consulte a FAQ do Escritório de Integridade e Conformidade da Pesquisa no Controle de Exportação para obter mais informações. https://www.cmu.edu/research-compliance/export-controls/index.html

5. Informações Fiscais Federais (“FTI”)

O FTI é definido como qualquer retorno, informação de retorno ou informação de retorno do contribuinte que é confiada à Universidade pela Receita Federal. Veja a Publicação 1075 do Serviço da Receita Federal para mais informações. http://www.irs.gov/pub/irs-pdf/p1075.pdf

6. Informação do cartão de pagamento

As informações do cartão de pagamento são definidas como um número de cartão de crédito (também chamado de número de conta principal ou PAN) em combinação com um ou mais dos seguintes elementos de dados:

Nome do Titular
Código de serviço
Data de validade
Valor CVC2, CVV2 ou CID
PIN ou bloco de PIN
Conteúdo da tarja magnética do cartão de crédito

7. Registros Educacionais Pessoais Identificáveis

Registros Educacionais Identificáveis Pessoalmente são definidos como quaisquer Registros Educacionais que contenham um ou mais dos seguintes identificadores pessoais:

Nome do aluno
Nome do (s) pai (s) do (s) aluno (s) ou outro (s) membro (s) da família
Número da Segurança Social
Número de estudante
Uma lista de características pessoais que tornariam a identidade do aluno facilmente rastreável
Qualquer outra informação ou identificador que torne a identidade do aluno facilmente rastreável

8. Informações Pessoais Identificáveis

Para atender aos requisitos de notificação de violação de segurança, PII é definido como o primeiro nome de uma pessoa ou primeiro nome e sobrenome em combinação com um ou mais dos seguintes elementos de dados:

Número da Segurança Social
Número da carteira de motorista emitida pelo Estado
Número do cartão de identificação emitido pelo Estado
Número da conta financeira em combinação com um código de segurança, código de acesso ou senha que permitiria o acesso à conta
Informações médicas e / ou de seguro de saúde

9. Informações de saúde protegidas (“PHI”)

PHI é definido como “informações de saúde individualmente identificáveis” transmitidas por meios eletrônicos, mantidas em mídia eletrônica ou transmitidas ou mantidas em qualquer outra forma ou meio por um Componente Coberto, conforme definido na Política HIPAA da Carnegie Mellon. A PHI é considerada individualmente identificável se contiver um ou mais dos seguintes identificadores:

Nome
Endereço (todas as subdivisões geográficas menores do que o estado, incluindo o endereço da rua, cidade, município, região ou código postal)
Todos os elementos de datas (exceto ano) relacionados a um indivíduo, incluindo data de nascimento, data de admissão, data de alta, data de morte e idade exata, se acima de 89 anos)
Números de telefone
Números de fax
Endereços de correio eletrônico
Números de segurança social
Números de registro médico
Números beneficiários do plano de saúde
Números de conta
Números de certificado / licença
Identificadores de veículo e números de série, incluindo o número da placa
Identificadores de dispositivo e números de série
Localizadores de recursos universais (URLs)
Endereços de protocolo de Internet (IP)
Identificadores biométricos, incluindo impressões digitais e por voz
Imagens fotográficas de rosto inteiro e quaisquer imagens comparáveis
Qualquer outro número, característica ou código de identificação exclusivo que possa identificar um indivíduo

10. Informações Técnicas Controladas (“CTI”)

Informações Técnicas Controladas significa “informações técnicas com aplicação militar ou espacial que estão sujeitas a controles sobre acesso, uso, reprodução, modificação, desempenho, exibição, divulgação, divulgação ou disseminação”, de acordo com DFARS 252.204-7012.

11. Apenas para uso oficial (“FOUO”)

Documentos e dados marcados ou marcados “Apenas para uso oficial” são um pré-cursor de Informações não classificadas controladas (CUI), conforme definido pelo National Archives (NARA) https://www.archives.gov/cui/registry/category-list

12. Dados Pessoais da União Europeia (UE)

O Regulamento Geral de Proteção de Dados da UE (GDPR) define dados pessoais como qualquer informação que possa identificar uma pessoa física, direta ou indiretamente, por referência a um identificador, incluindo:

Nome
Um número de identificação
Dados de localização
Um identificador on-line
Um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa singular

Quaisquer dados pessoais recolhidos de indivíduos em países da Área Econômica Europeia (EEA) estão sujeitos ao GDPR.

Análise de Conformidade com a GSI-NC 14, 19/03/2018.

Princípios e Diretrizes	Ações de Conformidade
5.1.1 A prevalência dos direitos e garantias fundamentais no tratamento das informações pessoais;	– Inclusão de Termos no Contrato com Broker e Provedor de Nuvem Pública. – Consulta às áreas de negócios para identificação de Sistemas que tratem “informações pessoais” (PI no padrão do Governo americano) e “informações de identificação pessoal” (PII no padrão do Governo Americano) e pedido de classificação.
5.1.2 As diretrizes estabelecidas em sua Política de Segurança da Informação e Comunicações (POSIC) e normas complementares;	– revisão da POSIC para inclusão de Serviços em Nuvem Pública.
5.1.3 As diretrizes relativas à sua Gestão de Riscos de Segurança da Informação e Comunicações (GRSIC);	– sem alteração, deve-se seguir essas diretrizes independentemente seja data center local ou em nuvem pública.
5.1.4 As informações tratadas em ambiente de computação em nuvem devem passar por um processo de GRSIC;	– em sistemas novos será idêntico ao processo de tratamento de acesso aos sistemas implantados em data centers locais. – em caso da análise de viabilidade de migração para nuvem, deve-se avaliar o nível de sigilo das informações.
5.1.5 As diretrizes relativas à sua Gestão de Continuidade, nos aspectos relacionados à Segurança da Informação e Comunicações (SIC);	– sem alteração, deve-se seguir essas diretrizes independentemente seja data center local ou em nuvem pública. – adotar padrões Portabilidade existentes para serviços em nuvem pública
5.1.6 As legislações vigentes para contratação de Solução de Tecnologia da Informação;	– sem alteração, deve-se seguir essas diretrizes independentemente seja data center local ou em nuvem pública.
5.1.7 As legislações vigentes relativas à Gestão de Segurança da Informação e Comunicações;	– sem alteração, deve-se seguir essas diretrizes independentemente seja data center local ou em nuvem pública.
5.1.8 As diretrizes para implementação de controles de acesso relativos à SIC;	– sem alteração, deve-se seguir essas diretrizes independentemente seja data center local ou em nuvem pública.
5.1.9 A prevalência da legislação brasileira sobre qualquer outra.	– Inclusão de Termos no Contrato com Broker e Provedor de Nuvem Pública.

Sobre o tratamento da informação:

Tratamento da informação	Ações de Conformidade
5.2.1 Informação sem restrição de acesso: pode ser tratada, a critério do órgão ou entidade da APF, em ambiente de computação em nuvem, considerando a legislação vigente e os riscos de SIC;	– revisão da POSIC para inclusão de Serviços em Nuvem Pública detalhando as situações possíveis e as providências durante o ciclo de vida da solução tecnológica.
5.2.2 Informação sigilosa: como regra geral, deve ser evitado o tratamento em ambiente de computação em nuvem, conforme disposições a seguir: · 5.2.2.1. Informação classificada: é vedado o tratamento em ambiente de computação em nuvem; · 5.2.2.2. Conhecimento e informação contida em material de acesso restrito: é vedado o tratamento em ambiente de computação em nuvem; · 5.2.2.3. Informação com restrição de acesso prevista em legislação vigente: a critério do órgão ou entidade da APF, pode ser tratado em ambiente de computação em nuvem, considerando a legislação vigente e os riscos de SIC. O órgão ou entidade da APF deve adotar medidas que assegurem a disponibilidade, integridade, confidencialidade e autenticidade (DICA); · 5.2.2.4. Documento Preparatório: a critério do órgão ou entidade da APF, pode ser tratado em ambiente de computação em nuvem, considerando a legislação vigente e os riscos de SIC. O órgão ou entidade da APF deve adotar medidas que assegurem a DICA; · 5.2.2.5. Documento preparatório que possa originar informação classificada deve ser tratado conforme o item 5.2.2.1; e · 5.2.2.6. Informação pessoal relativa à intimidade, vida privada e imagem: a critério do órgão ou entidade da APF, pode ser tratado em ambiente de computação em nuvem, considerando a legislação vigente e os riscos de SIC. O órgão ou entidade da APF deve adotar medidas que assegurem a DICA.	– revisão da POSIC para inclusão de Serviços em Nuvem Pública detalhando as situações possíveis e as providências durante o ciclo de vida da solução tecnológica.
5.3 Deve ser assegurado que dados, metadados, informações e conhecimento, produzidos ou custodiados por órgão ou entidade da APF, bem como suas cópias de segurança, residam em território brasileiro;	– Inclusão de Termos no Contrato com Broker e Provedor de Nuvem Pública.
5.4 Os dados, metadados, informações e conhecimento, produzidos ou custodiados por órgão ou entidade da APF, referentes aos itens 5.2.2.3, 5.2.2.4 e 5.2.2.6, devem residir exclusivamente em território brasileiro;	– Inclusão de Termos no Contrato com Broker e Provedor de Nuvem Pública.
5.5 Na adoção de serviços de computação em nuvem, o órgão ou entidade da APF deve assegurar que sejam definidos, em instrumento contratual ou similar: · 5.5.1 Requisitos que garantam a DICA das informações tratadas em ambiente de computação em nuvem; · 5.5.2 Processo de comunicação e tratamento de incidentes de segurança em redes computacionais, considerando as exigências da legislação vigente; · 5.5.3 Requisitos necessários para a realização de auditorias; · 5.5.4 Que os dados, metadados, informações e conhecimento, tratados pelo provedor, não poderão ser fornecidos a terceiros e/ou usados por este provedor para fins diversos do previsto no referido instrumento contratual ou similar, sob nenhuma hipótese, sem autorização formal do órgão ou entidade da APF; · 5.5.5 Requisitos necessários para a continuidade de negócio; · 5.5.6 Requisitos necessários, para os casos de cancelamento, descontinuidade, portabilidade e renovação do referido instrumento contratual ou similar, bem como substituição de ambiente, que visem à eliminação e/ou à destruição definitiva dos dados, metadados, informações e conhecimento;	– Inclusão de Termos no Contrato com Broker e Provedor de Nuvem Pública. – revisão da POSIC para inclusão de Serviços em Nuvem Pública detalhando as situações possíveis, os detalhes dessa NC e as providências durante o ciclo de vida da solução tecnológica.
5.6 É vedado o tratamento de informação em ambientes de computação em nuvem não autorizados pela Alta Administração do respectivo órgão ou entidade da APF.	– Não há necessidade da alta Adm autorizar cada Dado dos Sistemas. A POSIC expressará a posição da Alta Adm do órgão em conformidade com a GSI/IN14 e legislação vigente.

Sobre as Responsabilidades

Responsabilidades	Ações de Conformidade
6.1 A Alta Administração de cada órgão ou entidade da APF, no âmbito de suas competências, é responsável pela segurança das informações tratadas em ambiente de computação em nuvem, em conformidade com as orientações contidas nesta norma e legislação vigente; e	– sem alteração, essa responsabilidade é inerente a Alta Administração independentemente se a informação está em data center local ou em nuvem pública.
6.2 O Gestor de Segurança da Informação e Comunicação do órgão, no âmbito de suas atribuições, é responsável pelas ações de implementação da gestão de risco de segurança das informações tratadas em ambiente de computação em nuvem.	– sem alteração, essa responsabilidade é inerente ao Gestão de SIC ou Dirigente de TI independentemente se a informação está em data center local ou em nuvem pública.