Ig 20 19

Fazer download em pdf ou txt
Fazer download em pdf ou txt
Você está na página 1de 9

MINISTÉRIO DA DEFESA

EXÉRCITO BRASILEIRO
DEPARTAMENTO DE CIÊNCIA E TECNOLOGIA
3º CENTRO DE TELEMÁTICA DE ÁREA

SEGURANÇA DA INFORMAÇÃO
Instruções Gerais de Segurança da
Informação para o Exército
Brasileiro
(IG 20-19)
2

PORTARIA Nº 483, DE 20 DE SETEMBRO DE 2001

Aprova as Instruções Gerais de Segurança da Informação para o Exército Brasileiro


(IG 20-19)

O COMANDANTE DO EXÉRCITO, no uso da competência que lhe é conferida pelo art. 30, inciso VI,
da Estrutura Regimental do Ministério da Defesa, aprovada pelo Decreto nº 3.466, de 17 de maio de
2000, e de acordo com o que propõe o Estado-Maior do Exército, resolve:

Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19).

Art. 2º Estabelecer que esta Portaria entre em vigor na data de sua publicação.

INSTRUÇÕES GERAIS DE SEGURANÇA DA INFORMAÇÃO PARA O EXÉRCITO BRASILEIRO


(IG 20-19)

ÍNDICE DOS ASSUNTOS

Art
TÍTULO I - DAS GENERALIDADES 1º/3º

TÍTULO II - DOS CONCEITOS E PRESSUPOSTOS BÁSICOS

CAPÍTULO I - DOS CONCEITOS BÁSICOS 4º/9º

CAPÍTULO II - DOS PRESSUPOSTOS BÁSICOS 10/12

TÍTULO III - DAS REGRAS GERAIS DE SEGURANÇA 13/28

TÍTULO IV - DAS RESPONSABILIDADES

CAPÍTULO I - DO ESTADO-MAIOR DO EXÉRCITO 29

CAPÍTULO II - DA SECRETARIA DE CIÊNCIA E TECNOLOGIA 30

CAPÍTULO III - DA SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO 31

CAPÍTULO IV - DO DEPARTAMENTO DE ENSINO E PESQUISA 32

CAPÍTULO V - DO CENTRO DE INTELIGÊNCIA DO EXÉRCITO 33

CAPÍTULO VI - DAS DEMAIS ORGANIZAÇÕES MILITARES 34

TÍTULO V - DAS PRESCRIÇÕES DIVERSAS 35


3
TÍTULO I

DAS GENERALIDADES

Art. 1º Estas Instruções Gerais têm por finalidade orientar o planejamento e a execução das ações
relacionadas à Segurança da Informação no âmbito do Exército Brasileiro.

Art. 2º Referências:

I - Decreto nº 3.505, de 13 de junho de 2000 – institui a Política de Segurança da Informação nos órgãos e
entidades da Administração Pública Federal;

II - Lei nº 8.159, de 08 de janeiro de 1991 – dispõe sobre a política nacional de arquivos públicos e
privados e dá outras providências;

III - Decreto nº 2.134, de 24 de janeiro de 1997 – regulamenta o art. 23 da Lei nº 8.159/91;

IV - Decreto nº 3.587, de 05 de setembro de 2000 – estabelece normas para Infra-estrutura de Chaves


Públicas do Poder Executivo Federal – ICP–Gov;

V - Instruções Provisórias IP 30-3 – Ramo Contra-Inteligência;

VI - Decreto nº 2.910, de 29 de dezembro de 1998 – estabelece as normas para a salvaguarda de


documentos, materiais, áreas, comunicações e sistemas de informação de natureza sigilosa;

VII - Instruções Gerais para a Salvaguarda de Assuntos Sigilosos no Exército Brasileiro (Portaria do
Comandante do Exército nº 11, de 10 de janeiro de 2001);

VIII - Portaria Normativa nº 0215/MD, de 27 de março de 2001 – dispõe sobre a Política para o Sistema
Militar de Comando e Controle;

IX - Medida Provisória nº 2.200-2, de 24 de agosto de 2001 – institui a Infra-Estrutura de Chaves


Públicas Brasileira – ICP-Brasil, e dá outras providências; e

X - Decreto nº 3.865, de 13 de julho de 2001 – estabelece requisito para contratação de serviços de


certificação digital pelos Órgãos Públicos Federais e dá outras providências.

Art. 3º São objetivos destas IG:

I - definir responsabilidades para o planejamento, execução, manutenção e controle das atividades


relativas à Segurança da Informação, bem como para a atualização da documentação pertinente;

II - dotar o Exército de uma referência básica para a elaboração de documentos normativos sobre
Segurança da Informação e complementares a estas Instruções;

III - fomentar, ao longo de toda a cadeia hierárquica, a obtenção de atitude favorável no tocante à
Segurança da Informação, bem como incrementar a conscientização a respeito da importância do assunto;

IV - estimular a eliminação da dependência externa em relação a sistemas, equipamentos, dispositivos e


atividades vinculadas à segurança dos sistemas de informação e de comunicações;

V - promover o intercâmbio científico-tecnológico, junto a outros órgãos da Administração Pública


Federal e instituições públicas e privadas, sobre as atividades de Segurança da Informação;
4

VI - promover a capacitação de recursos humanos para o desenvolvimento de competência científico-


tecnológica em Segurança da Informação; e

VII - promover a interoperabilidade e a integração dos sistemas de informação, não só no âmbito do


Exército mas, também, junto às demais Forças Armadas e aos demais órgãos da Administração Pública
Federal, quando julgado pertinente e respeitadas as regras e normas de segurança em vigor.

TÍTULO II

DOS CONCEITOS E PRESSUPOSTOS BÁSICOS

CAPÍTULO I

DOS CONCEITOS BÁSICOS

Art. 4º O termo Informação é adotado nestas IG em sua acepção genérica, englobando dados, informações
e conhecimentos, hierarquizados de acordo com o valor agregado, resultante das suas possibilidades de
emprego e dos processos utilizados para a sua obtenção.

Art. 5º As atividades e processos ligados à Segurança da Informação se baseiam nos seguintes princípios:

I - integridade: é a garantia de que o conteúdo original da informação não foi modificado indevidamente
por elemento humano ou qualquer outro processo;

II - disponibilidade: é a garantia de que o conteúdo da informação estará disponível para quem tiver
autorização para emprego, sempre que houver necessidade de acesso;

III - confidencialidade: é a garantia de que o conteúdo da informação só é acessível e interpretável por


quem possui autorização para tal;

IV - autenticidade: é a garantia de que o conteúdo da informação seja verdadeiro, como também a fonte
geradora da informação e o seu destinatário sejam realmente quem alegam ser;

V - irretratabilidade: é a garantia de que, num processo de envio e recebimento de informações, qualquer


participante originador ou destinatário de informação não possa, em um momento posterior, negar a
respectiva atuação; e

VI - atualidade: é a garantia de que um documento utilizado seja realmente o que estiver em vigor.

Art. 6º A Segurança da Informação compreende um conjunto de medidas, normas e procedimentos


destinados a garantir a integridade, a disponibilidade, a confidencialidade, a autenticidade, a
irretratabilidade e a atualidade da informação em todo o seu ciclo de vida.

Art. 7º A arquitetura de Segurança da Informação é um conjunto composto pelos elementos fundamentais


de um sistema de segurança, concebido para proteger informações e definido com base em criteriosa
análise de riscos de uma organização. Dentre tais elementos, destacam-se: a documentação normativa; os
serviços e mecanismos de segurança; as infra-estruturas de gerência, auditoria e validação; as medidas de
contingência e um programa de conscientização.

Art. 8º A Segurança Orgânica do Exército é um conjunto de medidas passivas destinadas a prevenir e


obstruir ações adversas, de elemento ou grupo de qualquer natureza, e engloba as atividades de segurança
ligadas a pessoal, comunicações, informática, documentação e material, áreas e instalações.
5

Art. 9º Medidas de contingência são ações que visam prover meios alternativos para tornar efetivo(s)
processo(s) que tenha(m) perdido a sua eficácia.

CAPÍTULO II

DOS PRESSUPOSTOS BÁSICOS

Art. 10. As ameaças e vulnerabilidades, relativas ao emprego e ao acesso às informações, devem ser
adequadamente consideradas no contexto de uma crescente informatização de atividades e processos.

Art. 11. A eficiência no emprego dos recursos de Tecnologia da Informação constitui fator primordial
para a eficácia do Exército Brasileiro.

Art. 12. O sucesso das ações nos assuntos de Segurança da Informação está diretamente associado à
capacitação científico-tecnológica dos recursos humanos envolvidos, à conscientização do público
interno, à qualidade das soluções adotadas e à proteção das informações contra ameaças internas e
externas.

TÍTULO III

DAS REGRAS GERAIS DE SEGURANÇA

Art. 13. A informação é um recurso vital para o adequado funcionamento de toda e qualquer organização,
devendo ser tratada como patrimônio a ser protegido e preservado.

Art. 14. Toda informação produzida e/ou manipulada no Sistema de Informação do Exército (SINFOEx)
deve ser submetida a procedimentos de segurança que minimizem o risco de a mesma ser violada ou
perdida.

Art. 15. Toda a documentação normativa sobre Segurança da Informação deve considerar estas IG como
referência básica para a sua confecção.

Art. 16. Os projetos de sistemas de segurança devem levar em consideração a execução de análises de
risco para determinar o que deve ser protegido e sob quais critérios.

Art. 17. Para todo tipo de serviço corporativo de rede de comunicações, seja no contexto local ou remoto,
devem existir:

I - processos de gerência capazes de monitorar e registrar os eventos relativos ao funcionamento dos


referidos serviços, de forma a permitir que o fiel cumprimento das regras de Segurança da Informação
seja verificado, a partir de autorização pelo escalão superior ou por órgão competente, quando for o caso;

II - procedimentos de manutenção dos referidos serviços;

III - mecanismos de defesa contra ataques aos referidos sistemas;

IV - procedimentos para aferir a efetividade das proteções adotadas, tanto periódicos quanto inopinados; e

V - medidas de contingência em condições de ativação imediata.


6
Art. 18. A exploração pelo Exército Brasileiro de tecnologias consagradas pelo uso, tais como a Internet,
o correio eletrônico e a infra-estrutura de chaves públicas, deve ser disciplinada em documentos
normativos específicos.

Art. 19. A informação, independentemente do meio de armazenamento, deve, após cumprir o seu ciclo de
vida, ser eliminada de acordo com o que prescreve a legislação em vigor.

Art. 20. Em todas as áreas do Exército, nas quais forem manipuladas informações cujo teor seja relevante
para a Instituição, devem ser estabelecidas medidas de contingência pelas quais, em caso de violação ou
perda de informação, sejam minimizados os possíveis danos advindos de tais ocorrências.

Art. 21. O tema Segurança da Informação deve ser abordado nas escolas e cursos de formação e
aperfeiçoamento militar do Exército Brasileiro, de forma a possibilitar a crescente conscientização e o
desenvolvimento de atitudes favoráveis à proteção das informações julgadas relevantes para a Instituição.

Art. 22. Em todas as Organizações Militares (OM) devem ser promovidas, periodicamente, campanhas de
esclarecimento do público interno, baseadas no teor destas IG e dos demais documentos decorrentes sobre
Segurança da Informação que estiverem em vigor.

Art. 23. A adoção de qualquer solução tecnológica, nacional ou estrangeira, para atendimento a requisitos
relativos à Segurança da Informação, no âmbito do Exército Brasileiro, deve ser precedida de estudos
sobre a sua pertinência, abrangência, confiabilidade, permanência, manutenção e suporte.

Art. 24. O uso de sistemas criptográficos de origem estrangeira deve ser evitado ao máximo, devendo ser
buscado o desenvolvimento e a adoção de padrões criptográficos de tecnologia do Exército Brasileiro,
respeitada a necessidade de interoperabilidade com os sistemas criptográficos adotados pelo Ministério da
Defesa e no âmbito da Administração Pública Federal, quando pertinente.

Art. 25. Atendendo ao disposto no art. 40 do Decreto nº 2.910, de 29 de dezembro de 1998, o uso pelos
órgãos do Governo Federal de produtos voltados para a Segurança das Comunicações e dos Sistemas de
Informação, que se utilizem de recursos criptográficos, está condicionado à certificação de conformidade
da Secretaria-Geral do Conselho de Defesa Nacional.

Art. 26. Toda informação com classificação sigilosa, que seja armazenada, processada ou trafegue por
ambientes de rede, deve ser submetida a processos que assegurem a sua confidencialidade, considerando
não só o grau de sigilo da informação mas também a classificação, com base na importância da
informação circulante, daqueles ambientes.

Art. 27. O cumprimento das regras previstas nos documentos normativos de Segurança da Informação
vigentes é de responsabilidade de cada integrante do Exército, dentro de seu nível de acesso e de sua
esfera de atribuições, seja militar ou civil.

Art. 28. Os usuários do SINFOEx, investidos de função de Comando, Chefia ou Direção, devem
providenciar para que seus subordinados conheçam e cumpram as regras contidas nos documentos
normativos de Segurança da Informação nos seus níveis de atribuições.
7

TÍTULO IV

DAS RESPONSABILIDADES

CAPÍTULO I

DO ESTADO-MAIOR DO EXÉRCITO

Art. 29. Compete ao Estado-Maior do Exército:

I - planejar, coordenar, controlar e orientar a elaboração e a execução de medidas, normas e


procedimentos relativos à Segurança da Informação;

II - desenvolver gestões junto às outras Forças e Órgãos da Administração Pública Federal, visando
estabelecer medidas, normas e procedimentos conjuntos e integrados de Segurança da Informação;

III - acompanhar, em âmbito nacional e internacional, a evolução doutrinária das atividades inerentes à
Segurança da Informação;

IV - realizar atividades de prospecção visando a melhoria da capacitação do Exército em ações inseridas


no contexto de Guerra da Informação; e

V - manter atualizadas as presentes Instruções Gerais.

CAPÍTULO II

DA SECRETARIA DE CIÊNCIA E TECNOLOGIA

Art. 30. Compete à Secretaria de Ciência e Tecnologia:

I - promover a capacitação de pessoal especializado, nos níveis de extensão, graduação e pós-graduação,


nas áreas do conhecimento relativas à Segurança da Informação, dentro e fora do Exército, no país e no
exterior; e

II - desenvolver pesquisas básica e aplicada sobre Segurança da Informação, que possibilitem ao Exército
assegurar a inviolabilidade das soluções adotadas e a eliminação da dependência externa.

CAPÍTULO III

DA SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO

Art. 31. Compete à Secretaria de Tecnologia da Informação:

I - planejar, orientar, coordenar e controlar, em nível setorial, medidas, normas e procedimentos relativos
à Segurança da Informação;

II - atuar como Órgão Técnico-Normativo, propondo ao EME uma arquitetura de Segurança da


Informação orientação do EME;

III - implementar e adotar soluções de segurança corporativa relativas à plataforma de Tecnologia da


Informação sob sua responsabilidade, com base em estudos sobre a pertinência, abrangência,
confiabilidade, permanência, manutenção e suporte das mesmas;
8

IV - realizar a monitoração permanente e a avaliação da plataforma de Tecnologia da Informação sob sua


responsabilidade;

V - propor e coordenar, após aprovada pelo EME, a implantação de um sistema de auditoria de segurança
de Sistemas de Informação no âmbito do Exército;

VI - propor metodologia básica, para avaliação de riscos, na área de Tecnologia da Informação, a ser
aplicada em todas as OM;

VII - prestar assessoramento técnico às OM do Exército, relativo à segurança de sistemas de informação;

VIII - realizar a certificação das soluções tecnológicas a serem adotadas no âmbito do Exército, com base
nas orientações do Ministério da Defesa e da Secretaria-Geral do Conselho de Defesa Nacional;

IX - realizar, juntamente com a SCT e o DEP, a capacitação de recursos humanos necessários ao


planejamento e à execução das medidas, normas e procedimentos relativos à segurança, na área de
Tecnologia da Informação;

X - propor ao EME programas de sensibilização do público interno a respeito da necessidade e da


importância de Segurança da Informação;

XI - quando solicitada, participar com pessoal qualificado, junto a órgãos públicos e privados, da
elaboração dos acordos multilaterais, convenções, normas, recomendações e outros atos sobre Segurança
da Informação propostos por organismos nacionais e internacionais;

XII - promover a interoperabilidade dos sistemas de informação utilizados internamente pelo Exército,
bem como promover a adequada integração dos mesmos com os adotados pelas demais Forças, no tocante
aos aspectos ligados à Segurança, em especial com relação ao Sistema Militar de Comando e Controle e
no âmbito da Administração Pública Federal, quando pertinente;

XIII - acompanhar, em âmbito nacional e internacional, a evolução tecnológica das atividades inerentes à
Segurança da Informação; e

XIV - para todo serviço corporativo de rede de comunicações, normatizar a classificação dos diferentes
ambientes de rede no tocante à segurança, bem como a execução de:

a) processos de gerência voltados para a tais serviços;

b) mecanismos de defesa contra ataques relativos ao funcionamento dos sistemas que implementem os
referidos serviços;

c) procedimentos para aferir a efetividade das proteções adotadas; e

d) medidas de contingência em condições de

CAPÍTULO IV

DO DEPARTAMENTO DE ENSINO E PESQUISA

Art. 32. Compete ao DEP orientar os Estabelecimentos de Ensino subordinados na inserção de assuntos
relacionados à Segurança da Informação nos cursos de formação e de aperfeiçoamento militar, de modo a
9
contribuir para o desenvolvimento e o aprimoramento de uma mentalidade adequada ao tratamento do
tema no âmbito do Exército.

CAPÍTULO V

DO CENTRO DE INTELIGÊNCIA DO EXÉRCITO

Art. 33. Compete ao Centro de Inteligência do Exército:

I - propor ao EME as atualizações necessárias da doutrina de Contra-Inteligência;

II - orientar as OM do Exército sobre as medidas de Contra-Inteligência relativas à Segurança da


Informação; e

III - realizar a monitoração permanente da execução das medidas de Segurança Orgânica preconizadas
pela doutrina de Contra-Inteligência, no âmbito de todo o Exército.

CAPÍTULO VI

DAS DEMAIS ORGANIZAÇÕES MILITARES

Art. 34. Os Comandantes, Chefes e Diretores de OM devem:

I - assegurar o cumprimento das medidas, normas e procedimentos preconizados nestas IG e nos


documentos que lhe são complementares; e

II - orientar os subordinados quanto à importância do assunto tratado nestas IG, contribuindo para o
aprimoramento da mentalidade de Segurança da Informação.

TÍTULO V

DAS PRESCRIÇÕES DIVERSAS

Art. 35. As propostas de alterações destas IG devem, observada a cadeia de comando, ser encaminhadas
pelos Comandantes, Chefes e Diretores de OM ao EME, cabendo a este propor ao Comandante do
Exército as alterações julgadas cabíveis.

Você também pode gostar