SlideShare uma empresa Scribd logo

Brasscom defende padrões globais de segurança da informação

Brasscom
Brasscom

Contribuição Brasscom para o Ministério do Planejamento, Orçamento e Gestão.

Tecnologia
1 de 11
Baixar para ler offline
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 1/11 MINISTÉRIO DO PLANEJAMENTO, ORÇAMENTO E GESTÃO CONSULTA PÚBLICA – REQUISITOS DE SEGURANÇA E CONFORMIDADE PARA SERVIÇO DE CORREIO ELETRÔNICO | EPING CONTRIBUIÇÕES DA BRASSCOM, ASSOCIAÇÃO BRASILEIRA DAS EMPRESAS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO São Paulo, 26 de fevereiro de 2016 INTRODUÇÃO A Brasscom, Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação, entidade que congrega seleto grupo de empresas fornecedoras de software, hardware, soluções e serviços de tecnologia da informação e comunicação (TIC), tem como missão trabalhar em prol do desenvolvimento do setor, disseminando seu alcance e potencializando seus efeitos sobre a economia e o bem-estar social. Em estreita sintonia com as tendências de mercado e com as principais preocupações no âmbito governamental, a Brasscom sente-se honrada pela oportunidade de contribuir na Consulta Pública, ora em andamento, sobre os requisitos de segurança e conformidade para serviço de Correio Eletrônico da Administração Pública Federal (APF), em linha com o espírito de aperfeiçoar a gestão da segurança da informação e comunicação no âmbito do Governo Federal. Neste ínterim, a Brasscom parabeniza o Ministério do Planejamento, Orçamento e Gestão (MPOG) e demais órgãos que compõem o Sistema de Administração dos Recursos de Tecnologia da Informação (SISP), pela iniciativa de dialogar com o setor produtivo na busca do melhor entendimento para a implementação das diretrizes traçadas pelo Decreto Presidencial nº 8135/2013. IMPORTÂNCIA DE PADRÕES GLOBAIS NA SEGURANÇA DA INFORMAÇÃO Cientes que a informação é atualmente considerada como ativo estratégico tanto para organizações privadas quanto para os Governos ao redor do mundo, entendemos que a gestão da segurança da informação e comunicação e a proteção destas, ante as tentativas de violação por parte de atores não autorizados, tornou-se um desafio global. Neste sentido, para se alcançar o sucesso na implementação de meios para garantir a segurança da informação e comunicação no âmbito do Governo Federal, torna-se essencial a adoção de medidas alinhadas com as práticas empregadas mundialmente, ou, do contrário, o Brasil corre o risco de isolamento, aumentando os desafios para o desenvolvimento e manutenção da higidez e da inviolabilidade da informação pública, bem como inibindo o crescimento do setor de TIC no País.
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 2/11 Sabemos que os sistemas de TIC são compostos por hardwares e softwares desenvolvidos e produzidos com base em padrões internacionais de tecnologia com apenas algumas mínimas variações de acordo com o país ou região. No tocante às comunicações de dados, é a aderência aos padrões internacionais que garante a interoperabilidade no âmbito da infraestrutura digital global. Por esta razão, empresas de todo o mundo têm acesso aos mercados globais para seus produtos de TIC. Assim sendo, é recomendável que os processos para avaliação de segurança de produtos de TIC a serem adotados pelo Governo Federal harmonizem-se com os padrões de avaliação empregados internacionalmente, promovendo eficiência, gerando maior desenvolvimento da indústria nacional, bem como crescimento dos investimentos em pesquisa e inovação no setor de TIC no Brasil. Em relação à gestão da segurança da informação e comunicação no âmbito da APF, desde a publicação do Decreto Presidencial nº 8.135/2013 e da subsequente Portaria Interministerial nº 141, de 2 de maio de 2014, a Brasscom tem se manifestado no sentido de alertar para a sua complexidade e oferecer sugestões de abordagem. Neste contexto, reiteramos que o Common Criteria (CC), padrão de certificação global internacionalmente reconhecido, é o processo de certificação que melhor atende às questões centrais de segurança da informação no âmbito da APF, tanto em função da sua generalidade e abertura para acomodar especificidades, quanto em razão do caráter essencialmente descentralizado do ecossistema de suas entidades certificadoras e da sua aceitação por diversos países. O Common Criteria Recognition Arrangement (CCRA) é o acordo multilateral que prevê o reconhecimento mútuo de produtos avaliados pelos Governos signatários. Os produtos são avaliados por laboratórios competentes e licenciados de forma independente. Os certificados para produtos avaliados podem ser emitidos por uma série de Entidades Certificadoras, as quais garantem que as avaliações executadas, para determinado produto, em um cenário de uso específico, sejam realizadas de acordo com a metodologia de testes do CC. O CC está baseado na Norma ISO/IEC 15.408, definida por órgão internacional1 ao qual o Brasil é signatário, e configura-se como uma linguagem comum que permite a avaliação de características de segurança e parâmetros de garantia de produtos de TIC, incluindo hardware, firmware e software. O processo de avaliação testa a funcionalidade de um determinado produto de segurança de TIC e se as medidas de garantia aplicáveis a esses produtos atendem às exigências específicas. Esta certificação é utilizada em países como Alemanha, França e Índia, 1 International Organization for Standardization (ISO) - A lista de países membros está disponível em http://www.iso.org/iso/home/about/iso_members.htm. Ressaltamos que o Brasil está representado na ISO (Organização Internacional de Normatização) desde 1940, por intermédio da ABNT (Associação Brasileira de Normas Técnicas), que é membro fundadora da ISO, a qual por sua vez é membro da IEC (International Electrotechnical Commission).
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 3/11 dentre outros, como uma alternativa isenta e aceitável de certificação de soluções de tecnologia da informação e comunicação a serem contratadas pelos Governos. A adoção da já citada Norma ISO/IEC é funcional e valiosa, dado que fornece requisitos, especificações, diretrizes e características que podem ser usados de forma consistente para assegurar que os materiais, produtos, processos e serviços são adequados para os fins a que se destinam. A utilização de Normas Internacionais garante que os produtos e serviços são seguros, confiáveis e de boa qualidade. Para o setor de TIC, tratam-se de ferramentas estratégicas que otimizam recursos, assim como ampliam a competitividade nacional. Assim, ressaltamos a eficiência e economicidade que a adoção por parte da APF ao CC trará ao país, sobretudo em matéria financeira, uma vez que a criação de uma certificação local gerará mais custos e dificultará a oferta de produtos de TIC por um maior número de empresas ao Governo Federal. Observamos que os documentos elaborados pelo MPOG disponibilizados nesta Consulta Pública reproduzem os denominados “Protection Profiles”, trasladados do referido padrão internacional para o português. Este documento, objeto da presente consulta pública, é elaborado por órgão competente da APF, para tratar de aspectos técnicos das soluções de TIC a serem adquiridas por qualquer órgão da APF, incluindo os requisitos de segurança e conformidade de equipamentos, softwares e soluções, bem como cenários de uso e questões organizacionais dos órgãos contratantes, visando a inexistência de qualquer vínculo com agências governamentais de outras jurisdições, o que seria, em tese, plenamente aderente às necessidades específicas da APF. Entretanto, há que se ponderar que a replicação de um sistema de certificação internacional em âmbito pátrio, que já conta com uma expressiva lista de entidades certificadoras, públicas e privadas, de diversos países, é um esforço desproporcional em relação ao benefício almejado. Outros países, em situação similar à do Brasil, já aderiram ao padrão Common Criteria, especificando Protection Profiles específicos para suas necessidades de segurança nacional. Pela escala do seu mercado doméstico, o Brasil, caso aderisse a este ecossistema global, teria condições e legitimidade técnica e econômica de aspirar, inclusive, a receber investimentos para o estabelecimento de um centro global de certificação. A orientação adotada pelo Governo Federal nesta matéria não aproveita tal oportunidade, e, em consequência, deverá enfrentar o risco da inviabilização econômico-financeira da estratégia em curso. Outrossim, verificamos que o texto da Consulta Pública ora em discussão reitera, em seu bojo, a imposição de abertura do código fonte do software relativo ao serviço de correio eletrônico. Em oportunidades anteriores a Brasscom posicionou-se sobre esta questão, ressaltando que tal medida gera insegurança jurídica em relação à proteção da propriedade intelectual e aos direitos autorais dos fornecedores de software, hardware e firmware. Tais provedores, que investem expressivos montantes em pesquisa, desenvolvimento e inovação tecnológica e têm seus negócios lastreados na proteção da propriedade intelectual, podem se ver desestimulados a fornecer para o poder público brasileiro. Tal situação seria altamente desvantajosa para o Brasil, principalmente ante a constatação que as tecnologias de invasão e violação da segurança da informação evoluem em velocidade e sofisticação frenéticas. O possível
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 4/11 alijamento quanto ao acesso ao estado da arte em termos de tecnologia da informação, comunicação e gestão de segurança, por conta de debilidade na proteção da propriedade intelectual consubstanciada em software e firmware, é altamente prejudicial aos melhores interesses públicos do País. Destarte, não faz sentido a insistência na obrigatoriedade da abertura de código fonte e o detalhamento de possíveis procedimentos de auditoria, enquanto não for equacionado e superado o obstáculo da insegurança jurídica quanto à proteção da propriedade intelectual dos provedores de software, hardware e firmware que venham a fornecer para a APF. Destacamos também o excessivo foco na abordagem brasileira sobre o processo de auditoria de programas e equipamentos, em detrimento dos riscos de segurança digital advindos de pessoas, processos e forma de utilização de determinado item tecnológico. De modo a assegurar os objetivos aprimorados de segurança em dados e sistemas de informação e comunicação, torna-se imperativo a atenção em relação à gestão de risco de segurança. Conforme posicionamento anterior, a construção de efetiva segurança da informação passa por uma visão holística assentada em três importantes pilares: (i) emprego massivo de encriptação, para garantir a segurança tanto na comunicação quanto no armazenamento de dados; (ii) segurança dos sistemas e da Infraestrutura; e (iii) governança e operação da segurança. NOTAÇÃO DAS ALTERAÇÕES PROPOSTAS E RESPECTIVAS JUSTIFICATIVAS Este documento apresenta propostas de alteração do texto submetido à consulta pública que são acompanhadas de sucintas justificativas e comentários sobre aspectos restritivos nos itens relacionados ao ADA (Alvo de Avaliação), ao fazer uma comparação dos documentos do ePING/MPOG aos Protection Profiles/CC. Algumas circunstâncias aludidas neste documento, referentes à dinâmica dos negócios no mundo digital, demandariam textos substantivamente mais extensos, para se tornarem compreensíveis. No intuito de melhor fundamentar as proposições manifestadas neste documento, a Brasscom se coloca à disposição para esclarecimentos adicionais ou mais detalhados. Na dicção dos dispositivos transcritos da minuta dos Requisitos de Segurança e Conformidade para Serviço de Correio Eletrônico, objeto desta Consulta Pública, adota-se a seguinte notação: Fragmento de texto taxado Propõe-se a eliminação do fragmento de texto da minuta do documento; Fragmento de texto sublinhado Propõe-se que o fragmento de texto seja acrescentado à minuta do documento. [...] Refere-se à manutenção do fragmento de texto original da minuta do documento.
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 5/11 PARTE 1 – INTRODUÇÃO A1.2 Descrição Organizacional do Serviço O ADA (Alvo de Avaliação) é um serviço de correio eletrônico, com as seguintes funcionalidades: [...] Para a prestação deste serviço estarão disponíveis uma caixa postal por usuário e catálogo(s) com endereços eletrônicos de contatos e usuários do serviço. Os usuários e/ou as mensagens deverão ser classificados em, no mínimo, três níveis de confidencialidade ou restrição ao compartilhamento, desde não-confidencial até confidencialidade-máxima, em função do cargo ocupado pelo servidor público, ou outro critério a ser adotado posteriormente. Os requisitos de hospedagem, processamento, armazenamento e segurança podem ser modulados para cada classe de confidencialidade estabelecida. Para os graus de confidencialidade mais restritivos, O o serviço estará será hospedado em uma infraestrutura, física ou virtual, administrada por entidades de governo e será utilizado por funcionários da administração pública federal. Para os graus de confidencialidade menos restritivos, o serviço poderá ser hospedado em infraestrutura de terceiros, física ou virtual, por intermédio de contratos de prestação de serviços tecnológicos lastreados em acordo de níveis de serviço (ANS) compatíveis com os requisitos de confidencialidade e restritividade, podendo ser administrados pelos provedores dos serviços contratados ou por entidades de governo, sendo, em qualquer caso, utilizado por funcionários da administração pública federal. Outras funcionalidades que complementam ou estendem o Serviço poderão estar presentes, mas não estarão no escopo do ADA. Serviços de AntiSpam, Antivírus e DDOS poderão ser objeto de contratos de prestação de serviços tecnológicos especializados, lastreados em acordo de níveis de serviço (ANS) compatíveis com os requisitos de confidencialidade e restritividade. Justificativas (1) Conceito de classificação de dados - É importante atrelar o trabalho de classificação de dados do Governo Federal com serviços de Correio Eletrônico, para que mensagens sejam classificadas com a mesma tipologia. Em dados classificados como “não sensíveis”, sugerimos não excluir a possibilidade de armazenar em provedores externos. Uma opção de critério para classificação de dados nesta situação poderá
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 6/11 ser o próprio cargo ocupado pelo servidor público, uma vez que nem todos os funcionários públicos necessitam dos mesmos níveis de segurança. Sua função determina sua propensão a manipular mensagens atreladas a contextos de segurança nacional. (2) Hospedagem do serviço - Também no mesmo parágrafo sugerimos incluir que a hospedagem do serviço seja feita em infraestrutura física ou virtual, de modo a não restringir as possibilidades que os avanços das tecnologias empregadas em datacenters oferecem, em termos de utilização mais eficiente das plataformas de hardware, em especial de processamento. (3) Subcontratação de hospedagem - É igualmente importante facultar a utilização de diferentes modelos de contratação, com acordos de níveis de serviços adequados aos requisitos, como forma de aproveitar o avanço do estado da arte e reduzir custos operacionais. (4) Componentes de AntiSpam, Antivírus e DDOS – Recomenda-se que a APF coteje a possibilidade de utilizar serviços em nuvem para esses componentes, de forma independente ao trabalho de classificação de dados para o servidor de caixas postais, visto que esses componentes possuem características técnicas que viabilizam seu uso sem comprometer a privacidade das mensagens, desde que os acordos de níveis de serviço sejam satisfatórios para a APF. A1.3 Descrição Técnica do Serviço O ADA será um serviço de correio eletrônico acessível pela Internet através de navegador e/ou aplicativo-cliente específico desenvolvido para os sistemas operacionais de interesse, desde que os recursos de segurança presentes no aplicativo-cliente sejam compatíveis ou superiores aos recursos de segurança disponíveis nos navegadores Web. O usuário terá acesso a todas as funcionalidades apenas após autenticação. As mensagens do correio eletrônico poderão ser assinadas digitalmente e criptografadas no envio das mensagens, permitindo a descriptografia desencriptação na recepção e a verificação da assinatura digital. [...] O ADA, deverá empregar, tanto na sua implementação quanto na interoperabilidade com os serviços de acesso e na integração dos seus componentes, protocolos baseados em padrões
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 7/11 internacionais abertos, em especial, que estejam em conformidade com RFCs2 emitidas pela IETF3 , tais como: (1) RPC para acesso via aplicativos; (2) SMTP; (3) HTTP4 /HTTPS5 ; (4) RPC com túnel sobre HTTP; (5) Web Services Application Programming Interface, API, para estender funcionalidades do ADA para outros serviços e sistemas; (6) SIP6 /RTP7 ; (7) outros protocolos aplicáveis; (8) novos protocolos padronizados aplicáveis que vierem a ser publicados no futuro. Justificativas (1) Aplicativos-clientes: Com a proliferação dos dispositivos móveis de acesso à Internet, tais como smartphones, tablets e wearables, e a proliferação dos respectivos sistemas e plataformas operacionais, é importante que a APF não se veja impedida de adotar as inovações trazidas no âmbito da Transformação Digital. (2) Protocolos de acesso: É vital garantir a perfeita interoperabilidade entre o ADA e a infraestrutura de comunicação global na qual estará inserido, sob pena de isolamento da plataforma e dos serviços de correio eletrônico. Adicionalmente, o uso de protocolos baseados em padrões abertos garante a independência da APF com relação a um fornecedor específico, garantindo melhores preços e continuidade tecnológica a longo prazo, além de facilitar a integração com outros componentes de tecnologia. 2 Sigla em inglês para “Request for Comments”, documento que integra o IETF e traz especificações de um protocolo ou tecnologia. As RFCs são publicadas toda vez que um comitê do IETF chega a um resultado consolidado entre as partes interessadas. 3 Sigla em inglês para “Internet Engineering Task Force” e se refere a uma instituição que desenvolve e promove as normas da Internet. Em seu site www.ietf.org encontramos as especificações de diversos protocolos associados à implementação e operação da Internet. 4 Sigla em inglês para “Hyper Text Transfer Protocol”, ou seja, “Protocolo de Transferência de Hipertexto” que é definido como um protocolo de comunicação entre sistemas da informação que permite a transferência de dados entre redes de computadores, principalmente na Internet. 5 Sigla em inglês para “Hyper Text Transfer Protocol Secure”, ou seja, “Protocolo de Transferência de Hipertexto Seguro” que é uma implementação do protocolo HTTP sobre uma camada adicional de segurança que utiliza o protocolo SSL/TLS. Essa camada adicional permite que os dados sejam transmitidos por meio de uma conexão criptografada e que se verifique a autenticidade do servidor e do cliente por meio de certificados digitais. 6 Sigla em inglês para “Session Initiation Protocol”, ou seja, “Protocolo de Iniciação e Sessão” que é um protocolo para sinalização de sessões multimídia, largamente utilizado nas telecomunicações atualmente, o qual é apto a estabelecer, modificar e terminar estes tipos de sessões. 7 Sigla em inglês para “Real Time Transport Protocol”, ou seja, “Protocolo de Transporte em Tempo Real”, e determina um formato de pacote padrão para o envio de áudio e vídeo pela Internet.
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 8/11 A1.3.1 – Ativos de Informação A arquitetura descrita para o serviço é genérica para abranger diversos sistemas de correio. [...] Servidor de Envio e Recepção de Mensagens é o responsável pelo roteamento das mensagens internas e para serviços de e-mail externos. Ele se comunica com o Servidor de Armazenamento de Mensagens, com o Servidor de Diretório para autenticação, resolução de endereços de recipientes e expansão de listas de recipientes e com o Servidor AntiSpam e AntiVirus para verificação das mensagens e com o Servidor de Aplicação. Justificativa Resolução de endereços de recipientes e expansão de listas de recipientes são funcionalidades básicas do servidor de correio eletrônico que não foram incorporadas na definição original. PARTE 2 - PROBLEMAS DE SEGURANÇA A2.1. Pressupostos Neste item são citadas as condições de segurança que se supõe que existam no ambiente de TI do ADA mas que não se limitam ao escopo do ADA. Desta forma, ameaças não direcionadas diretamente ao ADA serão tratadas por outros ativos, fora do escopo da avaliação. [...] 7 - Assume-se que o ADA esteja hospedado em uma zona desmilitarizada de rede (ZDM), e que possua ativos que tornem o ambiente de rede em que o ADA está hospedado seguro contra ataques comuns advindos de outras redes. Entre os ativos de rede que podem ser usados para este fim se destacam sistemas de filtro de conteúdo, sistemas de prevenção de perda de dados (DLP), Firewall, e sistemas de prevenção de intrusão (IPS). 7-A O servidor de armazenamento de caixas postais de correio eletrônico deverá ser hospedado ou em um provedor externo de serviços com os níveis adequados de segurança ou na rede interna da APF. [...]
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 9/11 Além dos pressupostos específicos identificados nos itens anteriores, cabe destacar outras características ou ações de segurança que estão fora do escopo de avaliação do ADA, mas contribuem de forma indireta, porém significativa, para a segurança na utilização do ADA. São exemplos dessas características ou ações: Definição de políticas de segurança; Estabelecimento de uma estrutura de gerenciamento da segurança da informação; [...] e Promover a conformidade com requisitos legais e contratuais [ABNT NBR ISO/IEC 27002, 2013]. Em adição aos pressupostos dispostos e exemplificados, os seguintes pressupostos relacionados ao ADA devem ser também considerados: (a) Inclusão em contrato de suporte 24x7; (b) Possibilidade de efetivar atualizações de versões de todos os fornecedores que entregam seus componentes, garantindo a segurança da operação, atualizações de software e o SLA14 de prestação de serviços de suporte técnico; (c) Possuir serviços de backup e recuperação de dados que possibilitam o retorno de mensagens individuais. Justificativas (1) Armazenamento de Caixas Postais de Correio Eletrônico: É necessário que o servidor de armazenamento de caixas postais de correio eletrônico seja hospedado ou em um provedor externo de serviços com os níveis adequados de segurança ou na rede interna da APF. Armazená-lo em uma rede desmilitarizada pode acarretar em exploração de falhas de serviços permitidos que comprometa a segurança das mensagens. Para os demais componentes da arquitetura, não há problemas em hospedá-los em uma rede ZDM15 . (2) Pressupostos adicionais: Recomendamos a inclusão no documento dos pressupostos adicionais supracitados relacionados ao ADA, uma vez que são importantes medidas para garantir a segurança das informações e comunicação do serviço de correio eletrônico da APF. 14 Um Acordo de Nível de Serviço (ANS ou SLA, do inglês “Service Level Agreement”) é um acordo firmado entre a área de TI e seu cliente interno, que descreve o serviço de TI, suas metas de nível de serviço, além dos papéis e responsabilidades das partes envolvidas no acordo. 15 ZDM ou DMZ (sigla em inglês para “DeMilitarized Zone” ou “Zona Desmilitarizada”), é uma sub-rede que, dependendo da ocasião, pode ser uma sub-rede física ou lógica que contém e expõe serviços externos de uma organização para acesso a uma rede maior não confiável, por exemplo, a Internet. Recomendamos o uso do termo em inglês, como é conhecido internacionalmente e pelo setor.
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 10/11 PARTE 3 - OBJETIVOS DE SEGURANÇA A3 - Objetivos de segurança [...] Devem ser descritos todos os objetivos de segurança do perfil de proteção para um tipo de ADA e eventuais objetivos de segurança adicionais para uma implementação específica de ADA. São objetivos de segurança do ADA: (1) Prevenir acesso não-autorizado para objetos armazenados no seu servidor de caixas postais, baseados na identidade dos usuários. Assim sendo, o ADA deverá prover mecanismos de controle de acesso para caixas de correio privadas e diretórios públicos para que apenas pessoas autorizadas possam ler, modificar ou deletar mensagens e documentos; (2) Prover a capacidade de rejeitar conexões SMTP17 baseado no endereço IP ou hostname do servidor remoto, usando listas brancas e negras configuradas pelo administrador, com o objetivo de reduzir o nível de SPAM. O ADA deverá ainda ser capaz de estabelecer o nível de reputação dos servidores SMTP remotos, utilizando estes níveis em configurações de bloqueio de entrada de SPAMs, se desejado; (3) Ser capaz de restringir a entrega e roteamento de correio eletrônico para grupos de distribuição, permitindo a entrega de mensagens para grupos de distribuição apenas oriundas de usuários autenticados e autorizados. Adicionalmente, o administrador deverá ser capaz de configurar quais usuários podem enviar mensagens a determinados grupos de distribuição; (4) Permitir a restrição de fluxo de mensagens baseados nos seguintes atributos: emissores, destinatários (incluindo CCs), assunto, classificação, cabeçalho, nome do anexo, tamanho do anexo e também por palavras-chave contidas no assunto ou corpo da mensagem. Adicionalmente, o ADA deverá restringir, de acordo com as 17 Sigla em inglês para “Simple Mail Transfer Protocol”, ou seja, “Protocolo de transferência de correio simples”, que é o protocolo padrão para envio de e-mails através da Internet.
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 11/11 premissas do administrador, determinados tipos de anexos baseado em seu MIME- TYPE18 ; (5) Ser capaz de enviar comandos de limpeza total (wipe) para dispositivos móveis compatíveis, visando garantir a remoção de mensagens em dispositivos perdidos e/ou de pessoas afastadas; (6) Garantir o controle e gestão dos dispositivos, através de soluções de MDM19 , como parte das premissas essenciais de garantia de segurança do ADA. Justificativa Os objetivos supracitados são fundamentais para o pleno funcionamento e garantia da segurança das informações e comunicação do serviço de correio eletrônico da APF. CONSIDERAÇÕES FINAIS Reiteramos nosso interesse e disposição, no melhor espírito público, para oferecer contribuições relevantes sobre a regulamentação do Decreto Presidencial nº 8.135/2013, registrando protestos pela estima e consideração. 18 Sigla em inglês para “Multipurpose Internet Mail Extensions”, que se refere à um padrão da Internet para o formato das mensagens de correio eletrônico. Este padrão estende o formato de protocolo de transferência do correio simples (SMTP) dos e-mails para inserir diferentes tipos de conteúdo, sendo eles em texto ou não. 19 Sigla em inglês para “Mobile Device Management” que é o termo utilizado pelo mercado para administração de dispositivos móveis, como smartphones, tablets, laptops e computadores desktops.

Recomendados

KONG Hie Ming_Recommendation letter
KONG Hie Ming_Recommendation letterKONG Hie Ming_Recommendation letter
KONG Hie Ming_Recommendation letterHie Ming KONG
 
Smart Performance, Communication Skills Yield Better Results for CFOs
Smart Performance, Communication Skills Yield Better Results for CFOsSmart Performance, Communication Skills Yield Better Results for CFOs
Smart Performance, Communication Skills Yield Better Results for CFOsMyCFO Services
 
Introducción al android
Introducción al androidIntroducción al android
Introducción al androidJuan Carlos
 
Escocia (canal rotativo)
Escocia (canal rotativo)Escocia (canal rotativo)
Escocia (canal rotativo)Jorge Llosa
 
Mi Lugar
Mi LugarMi Lugar
Mi Lugarnati15
 
Presentacion para ninos y padres: Seguridad en internet y evangelismo por int...
Presentacion para ninos y padres: Seguridad en internet y evangelismo por int...Presentacion para ninos y padres: Seguridad en internet y evangelismo por int...
Presentacion para ninos y padres: Seguridad en internet y evangelismo por int...Ministerio de Web Evangelismo
 
Evangelizar Para Jovenes[2]
Evangelizar Para Jovenes[2]Evangelizar Para Jovenes[2]
Evangelizar Para Jovenes[2]Ministerio de Web Evangelismo
 
Awards accolades 2011-12
Awards accolades 2011-12Awards accolades 2011-12
Awards accolades 2011-12MrityunjayChauhan
 

Recomendados

KONG Hie Ming_Recommendation letter
KONG Hie Ming_Recommendation letterKONG Hie Ming_Recommendation letter
KONG Hie Ming_Recommendation letterHie Ming KONG
 
Smart Performance, Communication Skills Yield Better Results for CFOs
Smart Performance, Communication Skills Yield Better Results for CFOsSmart Performance, Communication Skills Yield Better Results for CFOs
Smart Performance, Communication Skills Yield Better Results for CFOsMyCFO Services
 
Introducción al android
Introducción al androidIntroducción al android
Introducción al androidJuan Carlos
 
Escocia (canal rotativo)
Escocia (canal rotativo)Escocia (canal rotativo)
Escocia (canal rotativo)Jorge Llosa
 
Mi Lugar
Mi LugarMi Lugar
Mi Lugarnati15
 
Presentacion para ninos y padres: Seguridad en internet y evangelismo por int...
Presentacion para ninos y padres: Seguridad en internet y evangelismo por int...Presentacion para ninos y padres: Seguridad en internet y evangelismo por int...
Presentacion para ninos y padres: Seguridad en internet y evangelismo por int...Ministerio de Web Evangelismo
 
Evangelizar Para Jovenes[2]
Evangelizar Para Jovenes[2]Evangelizar Para Jovenes[2]
Evangelizar Para Jovenes[2]Ministerio de Web Evangelismo
 
Awards accolades 2011-12
Awards accolades 2011-12Awards accolades 2011-12
Awards accolades 2011-12MrityunjayChauhan
 
Consulta Pública - Padrões de interoperabilidade de governo eletrônico - ePIN...
Consulta Pública - Padrões de interoperabilidade de governo eletrônico - ePIN...Consulta Pública - Padrões de interoperabilidade de governo eletrônico - ePIN...
Consulta Pública - Padrões de interoperabilidade de governo eletrônico - ePIN...Brasscom
 
Sobre o Decreto 8135 e sua regulamentação – Sugestões.
Sobre o Decreto 8135 e sua regulamentação – Sugestões.Sobre o Decreto 8135 e sua regulamentação – Sugestões.
Sobre o Decreto 8135 e sua regulamentação – Sugestões.Brasscom
 
Considerações Brasscom aos padrões de auditoria – GT Auditoria
Considerações Brasscom aos padrões de auditoria – GT Auditoria Considerações Brasscom aos padrões de auditoria – GT Auditoria
Considerações Brasscom aos padrões de auditoria – GT AuditoriaBrasscom
 
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...TI Safe
 
Sugestão da Brasscom de consulta pública prévia à regulamentação do Decreto 8...
Sugestão da Brasscom de consulta pública prévia à regulamentação do Decreto 8...Sugestão da Brasscom de consulta pública prévia à regulamentação do Decreto 8...
Sugestão da Brasscom de consulta pública prévia à regulamentação do Decreto 8...Brasscom
 
Posicionamento Brasscom - Segurança de Informação
Posicionamento Brasscom - Segurança de InformaçãoPosicionamento Brasscom - Segurança de Informação
Posicionamento Brasscom - Segurança de InformaçãoBrasscom
 
Brasscom doc-2017-006 (consulta pública io t) v43
Brasscom doc-2017-006 (consulta pública io t) v43Brasscom doc-2017-006 (consulta pública io t) v43
Brasscom doc-2017-006 (consulta pública io t) v43Brasscom
 
Consulta Pública - Estratégia nacional de Ciência, Tecnologia e Inovação
Consulta Pública - Estratégia nacional de Ciência, Tecnologia e InovaçãoConsulta Pública - Estratégia nacional de Ciência, Tecnologia e Inovação
Consulta Pública - Estratégia nacional de Ciência, Tecnologia e InovaçãoBrasscom
 
Artigo leis-de-seguranca (1)
Artigo leis-de-seguranca (1)Artigo leis-de-seguranca (1)
Artigo leis-de-seguranca (1)Fabiano Ferreira
 
Política de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisPolítica de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisAdriano Lima
 
Tib brasil sem chamas
Tib brasil sem chamasTib brasil sem chamas
Tib brasil sem chamasSextante_Consultoria
 
Posicionamento Brasscom - Políticas Públicas para um Brasil Digital
Posicionamento Brasscom - Políticas Públicas para um Brasil DigitalPosicionamento Brasscom - Políticas Públicas para um Brasil Digital
Posicionamento Brasscom - Políticas Públicas para um Brasil DigitalBrasscom
 
Posicionamento Brasscom - Compras Públicas
Posicionamento Brasscom - Compras PúblicasPosicionamento Brasscom - Compras Públicas
Posicionamento Brasscom - Compras PúblicasBrasscom
 
Estudo de Caso: Utilização de PHP no Serviço Federal de Processamento de Dados
Estudo de Caso: Utilização de PHP no Serviço Federal de Processamento de DadosEstudo de Caso: Utilização de PHP no Serviço Federal de Processamento de Dados
Estudo de Caso: Utilização de PHP no Serviço Federal de Processamento de DadosFlávio Lisboa
 
MQ4F consultoria 2014
MQ4F consultoria 2014MQ4F consultoria 2014
MQ4F consultoria 2014MQ4F
 
Gestãorisco
GestãoriscoGestãorisco
GestãoriscoCelia Mascarenhas
 
Artigo impacto de implementação de normas de segurança de informação - nbr ...
Artigo impacto de implementação de normas de segurança de informação - nbr ...Artigo impacto de implementação de normas de segurança de informação - nbr ...
Artigo impacto de implementação de normas de segurança de informação - nbr ...Ismar Garbazza
 
jms.consult - Institutional Presentation (full-port)
jms.consult - Institutional Presentation (full-port) jms.consult - Institutional Presentation (full-port)
jms.consult - Institutional Presentation (full-port) Jose Mario Serra
 
Gesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abiptiGesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abiptiUniversity of North Carolina at Chapel Hill
 
Gesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abiptiGesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abiptiUniversity of North Carolina at Chapel Hill Balloni
 
Doc 2017-027 (manifesto veto 52-2016 iss) v16 logo v17
Doc 2017-027 (manifesto veto 52-2016 iss) v16 logo v17Doc 2017-027 (manifesto veto 52-2016 iss) v16 logo v17
Doc 2017-027 (manifesto veto 52-2016 iss) v16 logo v17Brasscom
 
EM DEFESA DA APROVAÇÃO DA REFORMA TRABALHISTA PARA A INCLUSÃO DO TRABALHADOR ...
EM DEFESA DA APROVAÇÃO DA REFORMA TRABALHISTA PARA A INCLUSÃO DO TRABALHADOR ...EM DEFESA DA APROVAÇÃO DA REFORMA TRABALHISTA PARA A INCLUSÃO DO TRABALHADOR ...
EM DEFESA DA APROVAÇÃO DA REFORMA TRABALHISTA PARA A INCLUSÃO DO TRABALHADOR ...Brasscom
 

Mais conteúdo relacionado

Semelhante a Brasscom defende padrões globais de segurança da informação

Consulta Pública - Padrões de interoperabilidade de governo eletrônico - ePIN...
Consulta Pública - Padrões de interoperabilidade de governo eletrônico - ePIN...Consulta Pública - Padrões de interoperabilidade de governo eletrônico - ePIN...
Consulta Pública - Padrões de interoperabilidade de governo eletrônico - ePIN...Brasscom
 
Sobre o Decreto 8135 e sua regulamentação – Sugestões.
Sobre o Decreto 8135 e sua regulamentação – Sugestões.Sobre o Decreto 8135 e sua regulamentação – Sugestões.
Sobre o Decreto 8135 e sua regulamentação – Sugestões.Brasscom
 
Considerações Brasscom aos padrões de auditoria – GT Auditoria
Considerações Brasscom aos padrões de auditoria – GT Auditoria Considerações Brasscom aos padrões de auditoria – GT Auditoria
Considerações Brasscom aos padrões de auditoria – GT AuditoriaBrasscom
 
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...TI Safe
 
Sugestão da Brasscom de consulta pública prévia à regulamentação do Decreto 8...
Sugestão da Brasscom de consulta pública prévia à regulamentação do Decreto 8...Sugestão da Brasscom de consulta pública prévia à regulamentação do Decreto 8...
Sugestão da Brasscom de consulta pública prévia à regulamentação do Decreto 8...Brasscom
 
Posicionamento Brasscom - Segurança de Informação
Posicionamento Brasscom - Segurança de InformaçãoPosicionamento Brasscom - Segurança de Informação
Posicionamento Brasscom - Segurança de InformaçãoBrasscom
 
Brasscom doc-2017-006 (consulta pública io t) v43
Brasscom doc-2017-006 (consulta pública io t) v43Brasscom doc-2017-006 (consulta pública io t) v43
Brasscom doc-2017-006 (consulta pública io t) v43Brasscom
 
Consulta Pública - Estratégia nacional de Ciência, Tecnologia e Inovação
Consulta Pública - Estratégia nacional de Ciência, Tecnologia e InovaçãoConsulta Pública - Estratégia nacional de Ciência, Tecnologia e Inovação
Consulta Pública - Estratégia nacional de Ciência, Tecnologia e InovaçãoBrasscom
 
Artigo leis-de-seguranca (1)
Artigo leis-de-seguranca (1)Artigo leis-de-seguranca (1)
Artigo leis-de-seguranca (1)Fabiano Ferreira
 
Política de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisPolítica de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisAdriano Lima
 
Posicionamento Brasscom - Políticas Públicas para um Brasil Digital
Posicionamento Brasscom - Políticas Públicas para um Brasil DigitalPosicionamento Brasscom - Políticas Públicas para um Brasil Digital
Posicionamento Brasscom - Políticas Públicas para um Brasil DigitalBrasscom
 
Posicionamento Brasscom - Compras Públicas
Posicionamento Brasscom - Compras PúblicasPosicionamento Brasscom - Compras Públicas
Posicionamento Brasscom - Compras PúblicasBrasscom
 
Estudo de Caso: Utilização de PHP no Serviço Federal de Processamento de Dados
Estudo de Caso: Utilização de PHP no Serviço Federal de Processamento de DadosEstudo de Caso: Utilização de PHP no Serviço Federal de Processamento de Dados
Estudo de Caso: Utilização de PHP no Serviço Federal de Processamento de DadosFlávio Lisboa
 
MQ4F consultoria 2014
MQ4F consultoria 2014MQ4F consultoria 2014
MQ4F consultoria 2014MQ4F
 
Artigo impacto de implementação de normas de segurança de informação - nbr ...
Artigo impacto de implementação de normas de segurança de informação - nbr ...Artigo impacto de implementação de normas de segurança de informação - nbr ...
Artigo impacto de implementação de normas de segurança de informação - nbr ...Ismar Garbazza
 
jms.consult - Institutional Presentation (full-port)
jms.consult - Institutional Presentation (full-port) jms.consult - Institutional Presentation (full-port)
jms.consult - Institutional Presentation (full-port) Jose Mario Serra
 

Semelhante a Brasscom defende padrões globais de segurança da informação (20)

Consulta Pública - Padrões de interoperabilidade de governo eletrônico - ePIN...
Consulta Pública - Padrões de interoperabilidade de governo eletrônico - ePIN...Consulta Pública - Padrões de interoperabilidade de governo eletrônico - ePIN...
Consulta Pública - Padrões de interoperabilidade de governo eletrônico - ePIN...
 
Sobre o Decreto 8135 e sua regulamentação – Sugestões.
Sobre o Decreto 8135 e sua regulamentação – Sugestões.Sobre o Decreto 8135 e sua regulamentação – Sugestões.
Sobre o Decreto 8135 e sua regulamentação – Sugestões.
 
Considerações Brasscom aos padrões de auditoria – GT Auditoria
Considerações Brasscom aos padrões de auditoria – GT Auditoria Considerações Brasscom aos padrões de auditoria – GT Auditoria
Considerações Brasscom aos padrões de auditoria – GT Auditoria
 
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
 
Sugestão da Brasscom de consulta pública prévia à regulamentação do Decreto 8...
Sugestão da Brasscom de consulta pública prévia à regulamentação do Decreto 8...Sugestão da Brasscom de consulta pública prévia à regulamentação do Decreto 8...
Sugestão da Brasscom de consulta pública prévia à regulamentação do Decreto 8...
 
Posicionamento Brasscom - Segurança de Informação
Posicionamento Brasscom - Segurança de InformaçãoPosicionamento Brasscom - Segurança de Informação
Posicionamento Brasscom - Segurança de Informação
 
Brasscom doc-2017-006 (consulta pública io t) v43
Brasscom doc-2017-006 (consulta pública io t) v43Brasscom doc-2017-006 (consulta pública io t) v43
Brasscom doc-2017-006 (consulta pública io t) v43
 
Consulta Pública - Estratégia nacional de Ciência, Tecnologia e Inovação
Consulta Pública - Estratégia nacional de Ciência, Tecnologia e InovaçãoConsulta Pública - Estratégia nacional de Ciência, Tecnologia e Inovação
Consulta Pública - Estratégia nacional de Ciência, Tecnologia e Inovação
 
Artigo leis-de-seguranca (1)
Artigo leis-de-seguranca (1)Artigo leis-de-seguranca (1)
Artigo leis-de-seguranca (1)
 
Política de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisPolítica de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes gerais
 
Tib brasil sem chamas
Tib brasil sem chamasTib brasil sem chamas
Tib brasil sem chamas
 
Posicionamento Brasscom - Políticas Públicas para um Brasil Digital
Posicionamento Brasscom - Políticas Públicas para um Brasil DigitalPosicionamento Brasscom - Políticas Públicas para um Brasil Digital
Posicionamento Brasscom - Políticas Públicas para um Brasil Digital
 
Posicionamento Brasscom - Compras Públicas
Posicionamento Brasscom - Compras PúblicasPosicionamento Brasscom - Compras Públicas
Posicionamento Brasscom - Compras Públicas
 
Estudo de Caso: Utilização de PHP no Serviço Federal de Processamento de Dados
Estudo de Caso: Utilização de PHP no Serviço Federal de Processamento de DadosEstudo de Caso: Utilização de PHP no Serviço Federal de Processamento de Dados
Estudo de Caso: Utilização de PHP no Serviço Federal de Processamento de Dados
 
MQ4F consultoria 2014
MQ4F consultoria 2014MQ4F consultoria 2014
MQ4F consultoria 2014
 
Gestãorisco
GestãoriscoGestãorisco
Gestãorisco
 
Artigo impacto de implementação de normas de segurança de informação - nbr ...
Artigo impacto de implementação de normas de segurança de informação - nbr ...Artigo impacto de implementação de normas de segurança de informação - nbr ...
Artigo impacto de implementação de normas de segurança de informação - nbr ...
 
jms.consult - Institutional Presentation (full-port)
jms.consult - Institutional Presentation (full-port) jms.consult - Institutional Presentation (full-port)
jms.consult - Institutional Presentation (full-port)
 
Gesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abiptiGesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abipti
 
Gesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abiptiGesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abipti
 

Mais de Brasscom

Doc 2017-027 (manifesto veto 52-2016 iss) v16 logo v17
Doc 2017-027 (manifesto veto 52-2016 iss) v16 logo v17Doc 2017-027 (manifesto veto 52-2016 iss) v16 logo v17
Doc 2017-027 (manifesto veto 52-2016 iss) v16 logo v17Brasscom
 
EM DEFESA DA APROVAÇÃO DA REFORMA TRABALHISTA PARA A INCLUSÃO DO TRABALHADOR ...
EM DEFESA DA APROVAÇÃO DA REFORMA TRABALHISTA PARA A INCLUSÃO DO TRABALHADOR ...EM DEFESA DA APROVAÇÃO DA REFORMA TRABALHISTA PARA A INCLUSÃO DO TRABALHADOR ...
EM DEFESA DA APROVAÇÃO DA REFORMA TRABALHISTA PARA A INCLUSÃO DO TRABALHADOR ...Brasscom
 
Brasscom doc-2017-025 (consulta pública anatel) v14
Brasscom doc-2017-025 (consulta pública anatel) v14Brasscom doc-2017-025 (consulta pública anatel) v14
Brasscom doc-2017-025 (consulta pública anatel) v14Brasscom
 
Manifestação ao Projeto de Lei nº 5.587/16
Manifestação ao Projeto de Lei nº 5.587/16Manifestação ao Projeto de Lei nº 5.587/16
Manifestação ao Projeto de Lei nº 5.587/16Brasscom
 
Brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20
Brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20Brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20
Brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20Brasscom
 
Doc 2017-018 v12
Doc 2017-018 v12Doc 2017-018 v12
Doc 2017-018 v12Brasscom
 
Brasscom doc-2017-018 v11
Brasscom doc-2017-018 v11Brasscom doc-2017-018 v11
Brasscom doc-2017-018 v11Brasscom
 
Manifestação setorial pela sanção pl4302 v13
Manifestação setorial pela sanção pl4302 v13Manifestação setorial pela sanção pl4302 v13
Manifestação setorial pela sanção pl4302 v13Brasscom
 
Consulta Pública Ancine – Comunicação Audiovisual Sob Demanda
Consulta Pública Ancine – Comunicação Audiovisual Sob DemandaConsulta Pública Ancine – Comunicação Audiovisual Sob Demanda
Consulta Pública Ancine – Comunicação Audiovisual Sob DemandaBrasscom
 
Brasscom doc-2017-012 (pp&n p. pub. br. dig.) v16
Brasscom doc-2017-012 (pp&n p. pub. br. dig.) v16Brasscom doc-2017-012 (pp&n p. pub. br. dig.) v16
Brasscom doc-2017-012 (pp&n p. pub. br. dig.) v16Brasscom
 
Termo de fomento 01 2016 - 2
Termo de fomento 01 2016 - 2Termo de fomento 01 2016 - 2
Termo de fomento 01 2016 - 2Brasscom
 
Termo de fomento 01 2016 - 1
Termo de fomento 01 2016 - 1Termo de fomento 01 2016 - 1
Termo de fomento 01 2016 - 1Brasscom
 
P 2017-02-08 - mack dissertação v30
P 2017-02-08 - mack dissertação v30P 2017-02-08 - mack dissertação v30
P 2017-02-08 - mack dissertação v30Brasscom
 
Brasscom doc-2017-005 (mp 766 - regularização tributária) v13
Brasscom doc-2017-005 (mp 766 - regularização tributária) v13Brasscom doc-2017-005 (mp 766 - regularização tributária) v13
Brasscom doc-2017-005 (mp 766 - regularização tributária) v13Brasscom
 
Manifestação ao Projeto de Lei da Câmara nº 30/2015
Manifestação ao Projeto de Lei da Câmara nº 30/2015Manifestação ao Projeto de Lei da Câmara nº 30/2015
Manifestação ao Projeto de Lei da Câmara nº 30/2015Brasscom
 
MANIFESTAÇÃO SOBRE REFORMA DO DECRETO Nº 8.771/2016 QUE REGULAMENTA A LEI 12...
MANIFESTAÇÃO SOBRE REFORMA DO DECRETO Nº 8.771/2016 QUE REGULAMENTA A LEI 12...MANIFESTAÇÃO SOBRE REFORMA DO DECRETO Nº 8.771/2016 QUE REGULAMENTA A LEI 12...
MANIFESTAÇÃO SOBRE REFORMA DO DECRETO Nº 8.771/2016 QUE REGULAMENTA A LEI 12...Brasscom
 
MANIFESTAÇÃO AO SUBSTITUTIVO DO SENADO FEDERAL AO PROJETO DE LEI DA CÂMARA Nº...
MANIFESTAÇÃO AO SUBSTITUTIVO DO SENADO FEDERAL AO PROJETO DE LEI DA CÂMARA Nº...MANIFESTAÇÃO AO SUBSTITUTIVO DO SENADO FEDERAL AO PROJETO DE LEI DA CÂMARA Nº...
MANIFESTAÇÃO AO SUBSTITUTIVO DO SENADO FEDERAL AO PROJETO DE LEI DA CÂMARA Nº...Brasscom
 
Manifestação pelo Veto Parcial do Projeto de Lei de Reforma da Lei Complement...
Manifestação pelo Veto Parcial do Projeto de Lei de Reforma da Lei Complement...Manifestação pelo Veto Parcial do Projeto de Lei de Reforma da Lei Complement...
Manifestação pelo Veto Parcial do Projeto de Lei de Reforma da Lei Complement...Brasscom
 
Contribuições ao PL 5276/2016 que dispõe sobre o tratamento de dados pessoais.
Contribuições ao PL 5276/2016 que dispõe sobre o tratamento de dados pessoais.Contribuições ao PL 5276/2016 que dispõe sobre o tratamento de dados pessoais.
Contribuições ao PL 5276/2016 que dispõe sobre o tratamento de dados pessoais.Brasscom
 
Contribuições ao novo Marco Legal da Ciência, Tecnologia e Inovação
Contribuições ao novo Marco Legal da Ciência, Tecnologia e InovaçãoContribuições ao novo Marco Legal da Ciência, Tecnologia e Inovação
Contribuições ao novo Marco Legal da Ciência, Tecnologia e InovaçãoBrasscom
 

Mais de Brasscom (20)

Doc 2017-027 (manifesto veto 52-2016 iss) v16 logo v17
Doc 2017-027 (manifesto veto 52-2016 iss) v16 logo v17Doc 2017-027 (manifesto veto 52-2016 iss) v16 logo v17
Doc 2017-027 (manifesto veto 52-2016 iss) v16 logo v17
 
EM DEFESA DA APROVAÇÃO DA REFORMA TRABALHISTA PARA A INCLUSÃO DO TRABALHADOR ...
EM DEFESA DA APROVAÇÃO DA REFORMA TRABALHISTA PARA A INCLUSÃO DO TRABALHADOR ...EM DEFESA DA APROVAÇÃO DA REFORMA TRABALHISTA PARA A INCLUSÃO DO TRABALHADOR ...
EM DEFESA DA APROVAÇÃO DA REFORMA TRABALHISTA PARA A INCLUSÃO DO TRABALHADOR ...
 
Brasscom doc-2017-025 (consulta pública anatel) v14
Brasscom doc-2017-025 (consulta pública anatel) v14Brasscom doc-2017-025 (consulta pública anatel) v14
Brasscom doc-2017-025 (consulta pública anatel) v14
 
Manifestação ao Projeto de Lei nº 5.587/16
Manifestação ao Projeto de Lei nº 5.587/16Manifestação ao Projeto de Lei nº 5.587/16
Manifestação ao Projeto de Lei nº 5.587/16
 
Brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20
Brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20Brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20
Brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20
 
Doc 2017-018 v12
Doc 2017-018 v12Doc 2017-018 v12
Doc 2017-018 v12
 
Brasscom doc-2017-018 v11
Brasscom doc-2017-018 v11Brasscom doc-2017-018 v11
Brasscom doc-2017-018 v11
 
Manifestação setorial pela sanção pl4302 v13
Manifestação setorial pela sanção pl4302 v13Manifestação setorial pela sanção pl4302 v13
Manifestação setorial pela sanção pl4302 v13
 
Consulta Pública Ancine – Comunicação Audiovisual Sob Demanda
Consulta Pública Ancine – Comunicação Audiovisual Sob DemandaConsulta Pública Ancine – Comunicação Audiovisual Sob Demanda
Consulta Pública Ancine – Comunicação Audiovisual Sob Demanda
 
Brasscom doc-2017-012 (pp&n p. pub. br. dig.) v16
Brasscom doc-2017-012 (pp&n p. pub. br. dig.) v16Brasscom doc-2017-012 (pp&n p. pub. br. dig.) v16
Brasscom doc-2017-012 (pp&n p. pub. br. dig.) v16
 
Termo de fomento 01 2016 - 2
Termo de fomento 01 2016 - 2Termo de fomento 01 2016 - 2
Termo de fomento 01 2016 - 2
 
Termo de fomento 01 2016 - 1
Termo de fomento 01 2016 - 1Termo de fomento 01 2016 - 1
Termo de fomento 01 2016 - 1
 
P 2017-02-08 - mack dissertação v30
P 2017-02-08 - mack dissertação v30P 2017-02-08 - mack dissertação v30
P 2017-02-08 - mack dissertação v30
 
Brasscom doc-2017-005 (mp 766 - regularização tributária) v13
Brasscom doc-2017-005 (mp 766 - regularização tributária) v13Brasscom doc-2017-005 (mp 766 - regularização tributária) v13
Brasscom doc-2017-005 (mp 766 - regularização tributária) v13
 
Manifestação ao Projeto de Lei da Câmara nº 30/2015
Manifestação ao Projeto de Lei da Câmara nº 30/2015Manifestação ao Projeto de Lei da Câmara nº 30/2015
Manifestação ao Projeto de Lei da Câmara nº 30/2015
 
MANIFESTAÇÃO SOBRE REFORMA DO DECRETO Nº 8.771/2016 QUE REGULAMENTA A LEI 12...
MANIFESTAÇÃO SOBRE REFORMA DO DECRETO Nº 8.771/2016 QUE REGULAMENTA A LEI 12...MANIFESTAÇÃO SOBRE REFORMA DO DECRETO Nº 8.771/2016 QUE REGULAMENTA A LEI 12...
MANIFESTAÇÃO SOBRE REFORMA DO DECRETO Nº 8.771/2016 QUE REGULAMENTA A LEI 12...
 
MANIFESTAÇÃO AO SUBSTITUTIVO DO SENADO FEDERAL AO PROJETO DE LEI DA CÂMARA Nº...
MANIFESTAÇÃO AO SUBSTITUTIVO DO SENADO FEDERAL AO PROJETO DE LEI DA CÂMARA Nº...MANIFESTAÇÃO AO SUBSTITUTIVO DO SENADO FEDERAL AO PROJETO DE LEI DA CÂMARA Nº...
MANIFESTAÇÃO AO SUBSTITUTIVO DO SENADO FEDERAL AO PROJETO DE LEI DA CÂMARA Nº...
 
Manifestação pelo Veto Parcial do Projeto de Lei de Reforma da Lei Complement...
Manifestação pelo Veto Parcial do Projeto de Lei de Reforma da Lei Complement...Manifestação pelo Veto Parcial do Projeto de Lei de Reforma da Lei Complement...
Manifestação pelo Veto Parcial do Projeto de Lei de Reforma da Lei Complement...
 
Contribuições ao PL 5276/2016 que dispõe sobre o tratamento de dados pessoais.
Contribuições ao PL 5276/2016 que dispõe sobre o tratamento de dados pessoais.Contribuições ao PL 5276/2016 que dispõe sobre o tratamento de dados pessoais.
Contribuições ao PL 5276/2016 que dispõe sobre o tratamento de dados pessoais.
 
Contribuições ao novo Marco Legal da Ciência, Tecnologia e Inovação
Contribuições ao novo Marco Legal da Ciência, Tecnologia e InovaçãoContribuições ao novo Marco Legal da Ciência, Tecnologia e Inovação
Contribuições ao novo Marco Legal da Ciência, Tecnologia e Inovação
 

Brasscom defende padrões globais de segurança da informação

  • 1. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 1/11 MINISTÉRIO DO PLANEJAMENTO, ORÇAMENTO E GESTÃO CONSULTA PÚBLICA – REQUISITOS DE SEGURANÇA E CONFORMIDADE PARA SERVIÇO DE CORREIO ELETRÔNICO | EPING CONTRIBUIÇÕES DA BRASSCOM, ASSOCIAÇÃO BRASILEIRA DAS EMPRESAS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO São Paulo, 26 de fevereiro de 2016 INTRODUÇÃO A Brasscom, Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação, entidade que congrega seleto grupo de empresas fornecedoras de software, hardware, soluções e serviços de tecnologia da informação e comunicação (TIC), tem como missão trabalhar em prol do desenvolvimento do setor, disseminando seu alcance e potencializando seus efeitos sobre a economia e o bem-estar social. Em estreita sintonia com as tendências de mercado e com as principais preocupações no âmbito governamental, a Brasscom sente-se honrada pela oportunidade de contribuir na Consulta Pública, ora em andamento, sobre os requisitos de segurança e conformidade para serviço de Correio Eletrônico da Administração Pública Federal (APF), em linha com o espírito de aperfeiçoar a gestão da segurança da informação e comunicação no âmbito do Governo Federal. Neste ínterim, a Brasscom parabeniza o Ministério do Planejamento, Orçamento e Gestão (MPOG) e demais órgãos que compõem o Sistema de Administração dos Recursos de Tecnologia da Informação (SISP), pela iniciativa de dialogar com o setor produtivo na busca do melhor entendimento para a implementação das diretrizes traçadas pelo Decreto Presidencial nº 8135/2013. IMPORTÂNCIA DE PADRÕES GLOBAIS NA SEGURANÇA DA INFORMAÇÃO Cientes que a informação é atualmente considerada como ativo estratégico tanto para organizações privadas quanto para os Governos ao redor do mundo, entendemos que a gestão da segurança da informação e comunicação e a proteção destas, ante as tentativas de violação por parte de atores não autorizados, tornou-se um desafio global. Neste sentido, para se alcançar o sucesso na implementação de meios para garantir a segurança da informação e comunicação no âmbito do Governo Federal, torna-se essencial a adoção de medidas alinhadas com as práticas empregadas mundialmente, ou, do contrário, o Brasil corre o risco de isolamento, aumentando os desafios para o desenvolvimento e manutenção da higidez e da inviolabilidade da informação pública, bem como inibindo o crescimento do setor de TIC no País.
  • 2. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 2/11 Sabemos que os sistemas de TIC são compostos por hardwares e softwares desenvolvidos e produzidos com base em padrões internacionais de tecnologia com apenas algumas mínimas variações de acordo com o país ou região. No tocante às comunicações de dados, é a aderência aos padrões internacionais que garante a interoperabilidade no âmbito da infraestrutura digital global. Por esta razão, empresas de todo o mundo têm acesso aos mercados globais para seus produtos de TIC. Assim sendo, é recomendável que os processos para avaliação de segurança de produtos de TIC a serem adotados pelo Governo Federal harmonizem-se com os padrões de avaliação empregados internacionalmente, promovendo eficiência, gerando maior desenvolvimento da indústria nacional, bem como crescimento dos investimentos em pesquisa e inovação no setor de TIC no Brasil. Em relação à gestão da segurança da informação e comunicação no âmbito da APF, desde a publicação do Decreto Presidencial nº 8.135/2013 e da subsequente Portaria Interministerial nº 141, de 2 de maio de 2014, a Brasscom tem se manifestado no sentido de alertar para a sua complexidade e oferecer sugestões de abordagem. Neste contexto, reiteramos que o Common Criteria (CC), padrão de certificação global internacionalmente reconhecido, é o processo de certificação que melhor atende às questões centrais de segurança da informação no âmbito da APF, tanto em função da sua generalidade e abertura para acomodar especificidades, quanto em razão do caráter essencialmente descentralizado do ecossistema de suas entidades certificadoras e da sua aceitação por diversos países. O Common Criteria Recognition Arrangement (CCRA) é o acordo multilateral que prevê o reconhecimento mútuo de produtos avaliados pelos Governos signatários. Os produtos são avaliados por laboratórios competentes e licenciados de forma independente. Os certificados para produtos avaliados podem ser emitidos por uma série de Entidades Certificadoras, as quais garantem que as avaliações executadas, para determinado produto, em um cenário de uso específico, sejam realizadas de acordo com a metodologia de testes do CC. O CC está baseado na Norma ISO/IEC 15.408, definida por órgão internacional1 ao qual o Brasil é signatário, e configura-se como uma linguagem comum que permite a avaliação de características de segurança e parâmetros de garantia de produtos de TIC, incluindo hardware, firmware e software. O processo de avaliação testa a funcionalidade de um determinado produto de segurança de TIC e se as medidas de garantia aplicáveis a esses produtos atendem às exigências específicas. Esta certificação é utilizada em países como Alemanha, França e Índia, 1 International Organization for Standardization (ISO) - A lista de países membros está disponível em http://www.iso.org/iso/home/about/iso_members.htm. Ressaltamos que o Brasil está representado na ISO (Organização Internacional de Normatização) desde 1940, por intermédio da ABNT (Associação Brasileira de Normas Técnicas), que é membro fundadora da ISO, a qual por sua vez é membro da IEC (International Electrotechnical Commission).
  • 3. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 3/11 dentre outros, como uma alternativa isenta e aceitável de certificação de soluções de tecnologia da informação e comunicação a serem contratadas pelos Governos. A adoção da já citada Norma ISO/IEC é funcional e valiosa, dado que fornece requisitos, especificações, diretrizes e características que podem ser usados de forma consistente para assegurar que os materiais, produtos, processos e serviços são adequados para os fins a que se destinam. A utilização de Normas Internacionais garante que os produtos e serviços são seguros, confiáveis e de boa qualidade. Para o setor de TIC, tratam-se de ferramentas estratégicas que otimizam recursos, assim como ampliam a competitividade nacional. Assim, ressaltamos a eficiência e economicidade que a adoção por parte da APF ao CC trará ao país, sobretudo em matéria financeira, uma vez que a criação de uma certificação local gerará mais custos e dificultará a oferta de produtos de TIC por um maior número de empresas ao Governo Federal. Observamos que os documentos elaborados pelo MPOG disponibilizados nesta Consulta Pública reproduzem os denominados “Protection Profiles”, trasladados do referido padrão internacional para o português. Este documento, objeto da presente consulta pública, é elaborado por órgão competente da APF, para tratar de aspectos técnicos das soluções de TIC a serem adquiridas por qualquer órgão da APF, incluindo os requisitos de segurança e conformidade de equipamentos, softwares e soluções, bem como cenários de uso e questões organizacionais dos órgãos contratantes, visando a inexistência de qualquer vínculo com agências governamentais de outras jurisdições, o que seria, em tese, plenamente aderente às necessidades específicas da APF. Entretanto, há que se ponderar que a replicação de um sistema de certificação internacional em âmbito pátrio, que já conta com uma expressiva lista de entidades certificadoras, públicas e privadas, de diversos países, é um esforço desproporcional em relação ao benefício almejado. Outros países, em situação similar à do Brasil, já aderiram ao padrão Common Criteria, especificando Protection Profiles específicos para suas necessidades de segurança nacional. Pela escala do seu mercado doméstico, o Brasil, caso aderisse a este ecossistema global, teria condições e legitimidade técnica e econômica de aspirar, inclusive, a receber investimentos para o estabelecimento de um centro global de certificação. A orientação adotada pelo Governo Federal nesta matéria não aproveita tal oportunidade, e, em consequência, deverá enfrentar o risco da inviabilização econômico-financeira da estratégia em curso. Outrossim, verificamos que o texto da Consulta Pública ora em discussão reitera, em seu bojo, a imposição de abertura do código fonte do software relativo ao serviço de correio eletrônico. Em oportunidades anteriores a Brasscom posicionou-se sobre esta questão, ressaltando que tal medida gera insegurança jurídica em relação à proteção da propriedade intelectual e aos direitos autorais dos fornecedores de software, hardware e firmware. Tais provedores, que investem expressivos montantes em pesquisa, desenvolvimento e inovação tecnológica e têm seus negócios lastreados na proteção da propriedade intelectual, podem se ver desestimulados a fornecer para o poder público brasileiro. Tal situação seria altamente desvantajosa para o Brasil, principalmente ante a constatação que as tecnologias de invasão e violação da segurança da informação evoluem em velocidade e sofisticação frenéticas. O possível
  • 4. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 4/11 alijamento quanto ao acesso ao estado da arte em termos de tecnologia da informação, comunicação e gestão de segurança, por conta de debilidade na proteção da propriedade intelectual consubstanciada em software e firmware, é altamente prejudicial aos melhores interesses públicos do País. Destarte, não faz sentido a insistência na obrigatoriedade da abertura de código fonte e o detalhamento de possíveis procedimentos de auditoria, enquanto não for equacionado e superado o obstáculo da insegurança jurídica quanto à proteção da propriedade intelectual dos provedores de software, hardware e firmware que venham a fornecer para a APF. Destacamos também o excessivo foco na abordagem brasileira sobre o processo de auditoria de programas e equipamentos, em detrimento dos riscos de segurança digital advindos de pessoas, processos e forma de utilização de determinado item tecnológico. De modo a assegurar os objetivos aprimorados de segurança em dados e sistemas de informação e comunicação, torna-se imperativo a atenção em relação à gestão de risco de segurança. Conforme posicionamento anterior, a construção de efetiva segurança da informação passa por uma visão holística assentada em três importantes pilares: (i) emprego massivo de encriptação, para garantir a segurança tanto na comunicação quanto no armazenamento de dados; (ii) segurança dos sistemas e da Infraestrutura; e (iii) governança e operação da segurança. NOTAÇÃO DAS ALTERAÇÕES PROPOSTAS E RESPECTIVAS JUSTIFICATIVAS Este documento apresenta propostas de alteração do texto submetido à consulta pública que são acompanhadas de sucintas justificativas e comentários sobre aspectos restritivos nos itens relacionados ao ADA (Alvo de Avaliação), ao fazer uma comparação dos documentos do ePING/MPOG aos Protection Profiles/CC. Algumas circunstâncias aludidas neste documento, referentes à dinâmica dos negócios no mundo digital, demandariam textos substantivamente mais extensos, para se tornarem compreensíveis. No intuito de melhor fundamentar as proposições manifestadas neste documento, a Brasscom se coloca à disposição para esclarecimentos adicionais ou mais detalhados. Na dicção dos dispositivos transcritos da minuta dos Requisitos de Segurança e Conformidade para Serviço de Correio Eletrônico, objeto desta Consulta Pública, adota-se a seguinte notação: Fragmento de texto taxado Propõe-se a eliminação do fragmento de texto da minuta do documento; Fragmento de texto sublinhado Propõe-se que o fragmento de texto seja acrescentado à minuta do documento. [...] Refere-se à manutenção do fragmento de texto original da minuta do documento.
  • 5. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 5/11 PARTE 1 – INTRODUÇÃO A1.2 Descrição Organizacional do Serviço O ADA (Alvo de Avaliação) é um serviço de correio eletrônico, com as seguintes funcionalidades: [...] Para a prestação deste serviço estarão disponíveis uma caixa postal por usuário e catálogo(s) com endereços eletrônicos de contatos e usuários do serviço. Os usuários e/ou as mensagens deverão ser classificados em, no mínimo, três níveis de confidencialidade ou restrição ao compartilhamento, desde não-confidencial até confidencialidade-máxima, em função do cargo ocupado pelo servidor público, ou outro critério a ser adotado posteriormente. Os requisitos de hospedagem, processamento, armazenamento e segurança podem ser modulados para cada classe de confidencialidade estabelecida. Para os graus de confidencialidade mais restritivos, O o serviço estará será hospedado em uma infraestrutura, física ou virtual, administrada por entidades de governo e será utilizado por funcionários da administração pública federal. Para os graus de confidencialidade menos restritivos, o serviço poderá ser hospedado em infraestrutura de terceiros, física ou virtual, por intermédio de contratos de prestação de serviços tecnológicos lastreados em acordo de níveis de serviço (ANS) compatíveis com os requisitos de confidencialidade e restritividade, podendo ser administrados pelos provedores dos serviços contratados ou por entidades de governo, sendo, em qualquer caso, utilizado por funcionários da administração pública federal. Outras funcionalidades que complementam ou estendem o Serviço poderão estar presentes, mas não estarão no escopo do ADA. Serviços de AntiSpam, Antivírus e DDOS poderão ser objeto de contratos de prestação de serviços tecnológicos especializados, lastreados em acordo de níveis de serviço (ANS) compatíveis com os requisitos de confidencialidade e restritividade. Justificativas (1) Conceito de classificação de dados - É importante atrelar o trabalho de classificação de dados do Governo Federal com serviços de Correio Eletrônico, para que mensagens sejam classificadas com a mesma tipologia. Em dados classificados como “não sensíveis”, sugerimos não excluir a possibilidade de armazenar em provedores externos. Uma opção de critério para classificação de dados nesta situação poderá
  • 6. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 6/11 ser o próprio cargo ocupado pelo servidor público, uma vez que nem todos os funcionários públicos necessitam dos mesmos níveis de segurança. Sua função determina sua propensão a manipular mensagens atreladas a contextos de segurança nacional. (2) Hospedagem do serviço - Também no mesmo parágrafo sugerimos incluir que a hospedagem do serviço seja feita em infraestrutura física ou virtual, de modo a não restringir as possibilidades que os avanços das tecnologias empregadas em datacenters oferecem, em termos de utilização mais eficiente das plataformas de hardware, em especial de processamento. (3) Subcontratação de hospedagem - É igualmente importante facultar a utilização de diferentes modelos de contratação, com acordos de níveis de serviços adequados aos requisitos, como forma de aproveitar o avanço do estado da arte e reduzir custos operacionais. (4) Componentes de AntiSpam, Antivírus e DDOS – Recomenda-se que a APF coteje a possibilidade de utilizar serviços em nuvem para esses componentes, de forma independente ao trabalho de classificação de dados para o servidor de caixas postais, visto que esses componentes possuem características técnicas que viabilizam seu uso sem comprometer a privacidade das mensagens, desde que os acordos de níveis de serviço sejam satisfatórios para a APF. A1.3 Descrição Técnica do Serviço O ADA será um serviço de correio eletrônico acessível pela Internet através de navegador e/ou aplicativo-cliente específico desenvolvido para os sistemas operacionais de interesse, desde que os recursos de segurança presentes no aplicativo-cliente sejam compatíveis ou superiores aos recursos de segurança disponíveis nos navegadores Web. O usuário terá acesso a todas as funcionalidades apenas após autenticação. As mensagens do correio eletrônico poderão ser assinadas digitalmente e criptografadas no envio das mensagens, permitindo a descriptografia desencriptação na recepção e a verificação da assinatura digital. [...] O ADA, deverá empregar, tanto na sua implementação quanto na interoperabilidade com os serviços de acesso e na integração dos seus componentes, protocolos baseados em padrões
  • 7. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 7/11 internacionais abertos, em especial, que estejam em conformidade com RFCs2 emitidas pela IETF3 , tais como: (1) RPC para acesso via aplicativos; (2) SMTP; (3) HTTP4 /HTTPS5 ; (4) RPC com túnel sobre HTTP; (5) Web Services Application Programming Interface, API, para estender funcionalidades do ADA para outros serviços e sistemas; (6) SIP6 /RTP7 ; (7) outros protocolos aplicáveis; (8) novos protocolos padronizados aplicáveis que vierem a ser publicados no futuro. Justificativas (1) Aplicativos-clientes: Com a proliferação dos dispositivos móveis de acesso à Internet, tais como smartphones, tablets e wearables, e a proliferação dos respectivos sistemas e plataformas operacionais, é importante que a APF não se veja impedida de adotar as inovações trazidas no âmbito da Transformação Digital. (2) Protocolos de acesso: É vital garantir a perfeita interoperabilidade entre o ADA e a infraestrutura de comunicação global na qual estará inserido, sob pena de isolamento da plataforma e dos serviços de correio eletrônico. Adicionalmente, o uso de protocolos baseados em padrões abertos garante a independência da APF com relação a um fornecedor específico, garantindo melhores preços e continuidade tecnológica a longo prazo, além de facilitar a integração com outros componentes de tecnologia. 2 Sigla em inglês para “Request for Comments”, documento que integra o IETF e traz especificações de um protocolo ou tecnologia. As RFCs são publicadas toda vez que um comitê do IETF chega a um resultado consolidado entre as partes interessadas. 3 Sigla em inglês para “Internet Engineering Task Force” e se refere a uma instituição que desenvolve e promove as normas da Internet. Em seu site www.ietf.org encontramos as especificações de diversos protocolos associados à implementação e operação da Internet. 4 Sigla em inglês para “Hyper Text Transfer Protocol”, ou seja, “Protocolo de Transferência de Hipertexto” que é definido como um protocolo de comunicação entre sistemas da informação que permite a transferência de dados entre redes de computadores, principalmente na Internet. 5 Sigla em inglês para “Hyper Text Transfer Protocol Secure”, ou seja, “Protocolo de Transferência de Hipertexto Seguro” que é uma implementação do protocolo HTTP sobre uma camada adicional de segurança que utiliza o protocolo SSL/TLS. Essa camada adicional permite que os dados sejam transmitidos por meio de uma conexão criptografada e que se verifique a autenticidade do servidor e do cliente por meio de certificados digitais. 6 Sigla em inglês para “Session Initiation Protocol”, ou seja, “Protocolo de Iniciação e Sessão” que é um protocolo para sinalização de sessões multimídia, largamente utilizado nas telecomunicações atualmente, o qual é apto a estabelecer, modificar e terminar estes tipos de sessões. 7 Sigla em inglês para “Real Time Transport Protocol”, ou seja, “Protocolo de Transporte em Tempo Real”, e determina um formato de pacote padrão para o envio de áudio e vídeo pela Internet.
  • 8. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 8/11 A1.3.1 – Ativos de Informação A arquitetura descrita para o serviço é genérica para abranger diversos sistemas de correio. [...] Servidor de Envio e Recepção de Mensagens é o responsável pelo roteamento das mensagens internas e para serviços de e-mail externos. Ele se comunica com o Servidor de Armazenamento de Mensagens, com o Servidor de Diretório para autenticação, resolução de endereços de recipientes e expansão de listas de recipientes e com o Servidor AntiSpam e AntiVirus para verificação das mensagens e com o Servidor de Aplicação. Justificativa Resolução de endereços de recipientes e expansão de listas de recipientes são funcionalidades básicas do servidor de correio eletrônico que não foram incorporadas na definição original. PARTE 2 - PROBLEMAS DE SEGURANÇA A2.1. Pressupostos Neste item são citadas as condições de segurança que se supõe que existam no ambiente de TI do ADA mas que não se limitam ao escopo do ADA. Desta forma, ameaças não direcionadas diretamente ao ADA serão tratadas por outros ativos, fora do escopo da avaliação. [...] 7 - Assume-se que o ADA esteja hospedado em uma zona desmilitarizada de rede (ZDM), e que possua ativos que tornem o ambiente de rede em que o ADA está hospedado seguro contra ataques comuns advindos de outras redes. Entre os ativos de rede que podem ser usados para este fim se destacam sistemas de filtro de conteúdo, sistemas de prevenção de perda de dados (DLP), Firewall, e sistemas de prevenção de intrusão (IPS). 7-A O servidor de armazenamento de caixas postais de correio eletrônico deverá ser hospedado ou em um provedor externo de serviços com os níveis adequados de segurança ou na rede interna da APF. [...]
  • 9. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 9/11 Além dos pressupostos específicos identificados nos itens anteriores, cabe destacar outras características ou ações de segurança que estão fora do escopo de avaliação do ADA, mas contribuem de forma indireta, porém significativa, para a segurança na utilização do ADA. São exemplos dessas características ou ações: Definição de políticas de segurança; Estabelecimento de uma estrutura de gerenciamento da segurança da informação; [...] e Promover a conformidade com requisitos legais e contratuais [ABNT NBR ISO/IEC 27002, 2013]. Em adição aos pressupostos dispostos e exemplificados, os seguintes pressupostos relacionados ao ADA devem ser também considerados: (a) Inclusão em contrato de suporte 24x7; (b) Possibilidade de efetivar atualizações de versões de todos os fornecedores que entregam seus componentes, garantindo a segurança da operação, atualizações de software e o SLA14 de prestação de serviços de suporte técnico; (c) Possuir serviços de backup e recuperação de dados que possibilitam o retorno de mensagens individuais. Justificativas (1) Armazenamento de Caixas Postais de Correio Eletrônico: É necessário que o servidor de armazenamento de caixas postais de correio eletrônico seja hospedado ou em um provedor externo de serviços com os níveis adequados de segurança ou na rede interna da APF. Armazená-lo em uma rede desmilitarizada pode acarretar em exploração de falhas de serviços permitidos que comprometa a segurança das mensagens. Para os demais componentes da arquitetura, não há problemas em hospedá-los em uma rede ZDM15 . (2) Pressupostos adicionais: Recomendamos a inclusão no documento dos pressupostos adicionais supracitados relacionados ao ADA, uma vez que são importantes medidas para garantir a segurança das informações e comunicação do serviço de correio eletrônico da APF. 14 Um Acordo de Nível de Serviço (ANS ou SLA, do inglês “Service Level Agreement”) é um acordo firmado entre a área de TI e seu cliente interno, que descreve o serviço de TI, suas metas de nível de serviço, além dos papéis e responsabilidades das partes envolvidas no acordo. 15 ZDM ou DMZ (sigla em inglês para “DeMilitarized Zone” ou “Zona Desmilitarizada”), é uma sub-rede que, dependendo da ocasião, pode ser uma sub-rede física ou lógica que contém e expõe serviços externos de uma organização para acesso a uma rede maior não confiável, por exemplo, a Internet. Recomendamos o uso do termo em inglês, como é conhecido internacionalmente e pelo setor.
  • 10. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 10/11 PARTE 3 - OBJETIVOS DE SEGURANÇA A3 - Objetivos de segurança [...] Devem ser descritos todos os objetivos de segurança do perfil de proteção para um tipo de ADA e eventuais objetivos de segurança adicionais para uma implementação específica de ADA. São objetivos de segurança do ADA: (1) Prevenir acesso não-autorizado para objetos armazenados no seu servidor de caixas postais, baseados na identidade dos usuários. Assim sendo, o ADA deverá prover mecanismos de controle de acesso para caixas de correio privadas e diretórios públicos para que apenas pessoas autorizadas possam ler, modificar ou deletar mensagens e documentos; (2) Prover a capacidade de rejeitar conexões SMTP17 baseado no endereço IP ou hostname do servidor remoto, usando listas brancas e negras configuradas pelo administrador, com o objetivo de reduzir o nível de SPAM. O ADA deverá ainda ser capaz de estabelecer o nível de reputação dos servidores SMTP remotos, utilizando estes níveis em configurações de bloqueio de entrada de SPAMs, se desejado; (3) Ser capaz de restringir a entrega e roteamento de correio eletrônico para grupos de distribuição, permitindo a entrega de mensagens para grupos de distribuição apenas oriundas de usuários autenticados e autorizados. Adicionalmente, o administrador deverá ser capaz de configurar quais usuários podem enviar mensagens a determinados grupos de distribuição; (4) Permitir a restrição de fluxo de mensagens baseados nos seguintes atributos: emissores, destinatários (incluindo CCs), assunto, classificação, cabeçalho, nome do anexo, tamanho do anexo e também por palavras-chave contidas no assunto ou corpo da mensagem. Adicionalmente, o ADA deverá restringir, de acordo com as 17 Sigla em inglês para “Simple Mail Transfer Protocol”, ou seja, “Protocolo de transferência de correio simples”, que é o protocolo padrão para envio de e-mails através da Internet.
  • 11. Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060 Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 11/11 premissas do administrador, determinados tipos de anexos baseado em seu MIME- TYPE18 ; (5) Ser capaz de enviar comandos de limpeza total (wipe) para dispositivos móveis compatíveis, visando garantir a remoção de mensagens em dispositivos perdidos e/ou de pessoas afastadas; (6) Garantir o controle e gestão dos dispositivos, através de soluções de MDM19 , como parte das premissas essenciais de garantia de segurança do ADA. Justificativa Os objetivos supracitados são fundamentais para o pleno funcionamento e garantia da segurança das informações e comunicação do serviço de correio eletrônico da APF. CONSIDERAÇÕES FINAIS Reiteramos nosso interesse e disposição, no melhor espírito público, para oferecer contribuições relevantes sobre a regulamentação do Decreto Presidencial nº 8.135/2013, registrando protestos pela estima e consideração. 18 Sigla em inglês para “Multipurpose Internet Mail Extensions”, que se refere à um padrão da Internet para o formato das mensagens de correio eletrônico. Este padrão estende o formato de protocolo de transferência do correio simples (SMTP) dos e-mails para inserir diferentes tipos de conteúdo, sendo eles em texto ou não. 19 Sigla em inglês para “Mobile Device Management” que é o termo utilizado pelo mercado para administração de dispositivos móveis, como smartphones, tablets, laptops e computadores desktops.