Ig 20 19
Ig 20 19
Ig 20 19
EXÉRCITO BRASILEIRO
DEPARTAMENTO DE CIÊNCIA E TECNOLOGIA
3º CENTRO DE TELEMÁTICA DE ÁREA
SEGURANÇA DA INFORMAÇÃO
Instruções Gerais de Segurança da
Informação para o Exército
Brasileiro
(IG 20-19)
2
O COMANDANTE DO EXÉRCITO, no uso da competência que lhe é conferida pelo art. 30, inciso VI,
da Estrutura Regimental do Ministério da Defesa, aprovada pelo Decreto nº 3.466, de 17 de maio de
2000, e de acordo com o que propõe o Estado-Maior do Exército, resolve:
Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19).
Art. 2º Estabelecer que esta Portaria entre em vigor na data de sua publicação.
Art
TÍTULO I - DAS GENERALIDADES 1º/3º
DAS GENERALIDADES
Art. 1º Estas Instruções Gerais têm por finalidade orientar o planejamento e a execução das ações
relacionadas à Segurança da Informação no âmbito do Exército Brasileiro.
Art. 2º Referências:
I - Decreto nº 3.505, de 13 de junho de 2000 – institui a Política de Segurança da Informação nos órgãos e
entidades da Administração Pública Federal;
II - Lei nº 8.159, de 08 de janeiro de 1991 – dispõe sobre a política nacional de arquivos públicos e
privados e dá outras providências;
VII - Instruções Gerais para a Salvaguarda de Assuntos Sigilosos no Exército Brasileiro (Portaria do
Comandante do Exército nº 11, de 10 de janeiro de 2001);
VIII - Portaria Normativa nº 0215/MD, de 27 de março de 2001 – dispõe sobre a Política para o Sistema
Militar de Comando e Controle;
II - dotar o Exército de uma referência básica para a elaboração de documentos normativos sobre
Segurança da Informação e complementares a estas Instruções;
III - fomentar, ao longo de toda a cadeia hierárquica, a obtenção de atitude favorável no tocante à
Segurança da Informação, bem como incrementar a conscientização a respeito da importância do assunto;
TÍTULO II
CAPÍTULO I
Art. 4º O termo Informação é adotado nestas IG em sua acepção genérica, englobando dados, informações
e conhecimentos, hierarquizados de acordo com o valor agregado, resultante das suas possibilidades de
emprego e dos processos utilizados para a sua obtenção.
Art. 5º As atividades e processos ligados à Segurança da Informação se baseiam nos seguintes princípios:
I - integridade: é a garantia de que o conteúdo original da informação não foi modificado indevidamente
por elemento humano ou qualquer outro processo;
II - disponibilidade: é a garantia de que o conteúdo da informação estará disponível para quem tiver
autorização para emprego, sempre que houver necessidade de acesso;
IV - autenticidade: é a garantia de que o conteúdo da informação seja verdadeiro, como também a fonte
geradora da informação e o seu destinatário sejam realmente quem alegam ser;
VI - atualidade: é a garantia de que um documento utilizado seja realmente o que estiver em vigor.
Art. 9º Medidas de contingência são ações que visam prover meios alternativos para tornar efetivo(s)
processo(s) que tenha(m) perdido a sua eficácia.
CAPÍTULO II
Art. 10. As ameaças e vulnerabilidades, relativas ao emprego e ao acesso às informações, devem ser
adequadamente consideradas no contexto de uma crescente informatização de atividades e processos.
Art. 11. A eficiência no emprego dos recursos de Tecnologia da Informação constitui fator primordial
para a eficácia do Exército Brasileiro.
Art. 12. O sucesso das ações nos assuntos de Segurança da Informação está diretamente associado à
capacitação científico-tecnológica dos recursos humanos envolvidos, à conscientização do público
interno, à qualidade das soluções adotadas e à proteção das informações contra ameaças internas e
externas.
TÍTULO III
Art. 13. A informação é um recurso vital para o adequado funcionamento de toda e qualquer organização,
devendo ser tratada como patrimônio a ser protegido e preservado.
Art. 14. Toda informação produzida e/ou manipulada no Sistema de Informação do Exército (SINFOEx)
deve ser submetida a procedimentos de segurança que minimizem o risco de a mesma ser violada ou
perdida.
Art. 15. Toda a documentação normativa sobre Segurança da Informação deve considerar estas IG como
referência básica para a sua confecção.
Art. 16. Os projetos de sistemas de segurança devem levar em consideração a execução de análises de
risco para determinar o que deve ser protegido e sob quais critérios.
Art. 17. Para todo tipo de serviço corporativo de rede de comunicações, seja no contexto local ou remoto,
devem existir:
IV - procedimentos para aferir a efetividade das proteções adotadas, tanto periódicos quanto inopinados; e
Art. 19. A informação, independentemente do meio de armazenamento, deve, após cumprir o seu ciclo de
vida, ser eliminada de acordo com o que prescreve a legislação em vigor.
Art. 20. Em todas as áreas do Exército, nas quais forem manipuladas informações cujo teor seja relevante
para a Instituição, devem ser estabelecidas medidas de contingência pelas quais, em caso de violação ou
perda de informação, sejam minimizados os possíveis danos advindos de tais ocorrências.
Art. 21. O tema Segurança da Informação deve ser abordado nas escolas e cursos de formação e
aperfeiçoamento militar do Exército Brasileiro, de forma a possibilitar a crescente conscientização e o
desenvolvimento de atitudes favoráveis à proteção das informações julgadas relevantes para a Instituição.
Art. 22. Em todas as Organizações Militares (OM) devem ser promovidas, periodicamente, campanhas de
esclarecimento do público interno, baseadas no teor destas IG e dos demais documentos decorrentes sobre
Segurança da Informação que estiverem em vigor.
Art. 23. A adoção de qualquer solução tecnológica, nacional ou estrangeira, para atendimento a requisitos
relativos à Segurança da Informação, no âmbito do Exército Brasileiro, deve ser precedida de estudos
sobre a sua pertinência, abrangência, confiabilidade, permanência, manutenção e suporte.
Art. 24. O uso de sistemas criptográficos de origem estrangeira deve ser evitado ao máximo, devendo ser
buscado o desenvolvimento e a adoção de padrões criptográficos de tecnologia do Exército Brasileiro,
respeitada a necessidade de interoperabilidade com os sistemas criptográficos adotados pelo Ministério da
Defesa e no âmbito da Administração Pública Federal, quando pertinente.
Art. 25. Atendendo ao disposto no art. 40 do Decreto nº 2.910, de 29 de dezembro de 1998, o uso pelos
órgãos do Governo Federal de produtos voltados para a Segurança das Comunicações e dos Sistemas de
Informação, que se utilizem de recursos criptográficos, está condicionado à certificação de conformidade
da Secretaria-Geral do Conselho de Defesa Nacional.
Art. 26. Toda informação com classificação sigilosa, que seja armazenada, processada ou trafegue por
ambientes de rede, deve ser submetida a processos que assegurem a sua confidencialidade, considerando
não só o grau de sigilo da informação mas também a classificação, com base na importância da
informação circulante, daqueles ambientes.
Art. 27. O cumprimento das regras previstas nos documentos normativos de Segurança da Informação
vigentes é de responsabilidade de cada integrante do Exército, dentro de seu nível de acesso e de sua
esfera de atribuições, seja militar ou civil.
Art. 28. Os usuários do SINFOEx, investidos de função de Comando, Chefia ou Direção, devem
providenciar para que seus subordinados conheçam e cumpram as regras contidas nos documentos
normativos de Segurança da Informação nos seus níveis de atribuições.
7
TÍTULO IV
DAS RESPONSABILIDADES
CAPÍTULO I
DO ESTADO-MAIOR DO EXÉRCITO
II - desenvolver gestões junto às outras Forças e Órgãos da Administração Pública Federal, visando
estabelecer medidas, normas e procedimentos conjuntos e integrados de Segurança da Informação;
III - acompanhar, em âmbito nacional e internacional, a evolução doutrinária das atividades inerentes à
Segurança da Informação;
CAPÍTULO II
II - desenvolver pesquisas básica e aplicada sobre Segurança da Informação, que possibilitem ao Exército
assegurar a inviolabilidade das soluções adotadas e a eliminação da dependência externa.
CAPÍTULO III
I - planejar, orientar, coordenar e controlar, em nível setorial, medidas, normas e procedimentos relativos
à Segurança da Informação;
V - propor e coordenar, após aprovada pelo EME, a implantação de um sistema de auditoria de segurança
de Sistemas de Informação no âmbito do Exército;
VI - propor metodologia básica, para avaliação de riscos, na área de Tecnologia da Informação, a ser
aplicada em todas as OM;
VIII - realizar a certificação das soluções tecnológicas a serem adotadas no âmbito do Exército, com base
nas orientações do Ministério da Defesa e da Secretaria-Geral do Conselho de Defesa Nacional;
XI - quando solicitada, participar com pessoal qualificado, junto a órgãos públicos e privados, da
elaboração dos acordos multilaterais, convenções, normas, recomendações e outros atos sobre Segurança
da Informação propostos por organismos nacionais e internacionais;
XII - promover a interoperabilidade dos sistemas de informação utilizados internamente pelo Exército,
bem como promover a adequada integração dos mesmos com os adotados pelas demais Forças, no tocante
aos aspectos ligados à Segurança, em especial com relação ao Sistema Militar de Comando e Controle e
no âmbito da Administração Pública Federal, quando pertinente;
XIII - acompanhar, em âmbito nacional e internacional, a evolução tecnológica das atividades inerentes à
Segurança da Informação; e
XIV - para todo serviço corporativo de rede de comunicações, normatizar a classificação dos diferentes
ambientes de rede no tocante à segurança, bem como a execução de:
b) mecanismos de defesa contra ataques relativos ao funcionamento dos sistemas que implementem os
referidos serviços;
CAPÍTULO IV
Art. 32. Compete ao DEP orientar os Estabelecimentos de Ensino subordinados na inserção de assuntos
relacionados à Segurança da Informação nos cursos de formação e de aperfeiçoamento militar, de modo a
9
contribuir para o desenvolvimento e o aprimoramento de uma mentalidade adequada ao tratamento do
tema no âmbito do Exército.
CAPÍTULO V
III - realizar a monitoração permanente da execução das medidas de Segurança Orgânica preconizadas
pela doutrina de Contra-Inteligência, no âmbito de todo o Exército.
CAPÍTULO VI
II - orientar os subordinados quanto à importância do assunto tratado nestas IG, contribuindo para o
aprimoramento da mentalidade de Segurança da Informação.
TÍTULO V
Art. 35. As propostas de alterações destas IG devem, observada a cadeia de comando, ser encaminhadas
pelos Comandantes, Chefes e Diretores de OM ao EME, cabendo a este propor ao Comandante do
Exército as alterações julgadas cabíveis.