O GSI, Gabinete de Segurança Institucional da Presidência da República (GSI/PR), publicou hoje uma Instrução Normativa que regulamenta o tratamento de informações básicas em ambientes de computação em nuvem no âmbito da Administração Pública Federal. Esta instrução representa um marco na modernização das normas de segurança da informação, porque permite, em condições rigorosas de segurança, controle e auditoria, o uso de soluções tecnológicas avançadas compatíveis com as parâmetros internacionais mais exigentes – como é o caso da computação em nuvem.
Leia também
Guardião Cibernético se torna o maior dos exercícios de ciberdefesa
Microsoft corrige falha em aplicativo secreto do Azure
UM publicação da norma ocorre em um contexto de crescente transformação digital do setor público, em que a escalabilidade, interoperabilidade e redução de custos operacionais resultam na computação em nuvem um pilar estratégico. Uma nova norma foi elaborada pelo Departamento de Segurança da Informação da Secretaria de Segurança da Informação e Cibernética do GSI/PR, com ampla participação de órgãos estratégicos de segurança do Estado e da sociedade, notadamente do Sistema Brasileiro de Inteligência.
Uma nova norma estabelece critérios técnicos e organizacionais para que o tratamento de informações em grau reservado e secreto possa ser realizado em ambientes de nuvem privada ou comunitária, exclusivamente em ambientes de nuvem privada ou comunitária centros de dados Localizado no território nacional e operado por provedores previamente habilitados e auditados. O uso de nuvem pública e híbrida permanece vedado e a norma mantém a restrição ao tratamento de informações específicas no grau ultrassecreto em ambientes de nuvem. Ainda, a norma revoga a disposição da Instrução Normativa GSI/PR nº 5/2021, que vedava o uso de computação em nuvem para o tratamento de informação existente.
Entre os requisitos exigidos para a utilização da nuvem para tratamento de informações normalmente, destacam-se: isolamento de ambientes, criptografia baseada em algoritmo de Estado, gestão de chaves exclusiva por parte do órgão contratante, autenticação multifator, monitoramento contínuo, controles de acesso rigorosos e disposições de acesso ao provedor ao conteúdo das informações específicas. Os provedores interessados devem atender a especificação de certificação, estrutura dedicada, e habilitação de segurança como órgão de registro ou posto de controle, nos termos do Decreto nº 7.845/2012, que regulamenta a proteção da informação atualizada prevista na Lei de Acesso à Informação.
A norma também detalha as responsabilidades dos órgãos contratantes e dos prestadores de serviços, prevendo mecanismos de fiscalização, auditorias anuais, capacitação de pessoal credenciado, comunicação de incidentes e preservação de evidências em caso de quebra de evidências segurança.
“Trata-se de um marco na soberania digital do Brasil e um passo estratégico que equilibra inovação tecnológica com segurança da informação, garantindo que o Estado brasileiro possa exercer suas funções estratégicas de forma segura, eficaz e compatível com os desafios do mundo digital”, conforme destaca Danielle Ayres, Diretora de Segurança da Informação.
A nova Instrução Normativa entrará em vigor nos dados de sua publicação no Diário Oficial da União e fará parte do conjunto de medidas previstas pela Política Nacional de Segurança da Informação (PNSI), reforçando o compromisso do Governo Federal com a soberania digital, a proteção da Informação informação de Estado e a resiliência cibernética do país.
( Com informações da assessoria de imprensa da Presidência da República )
