3.505, De 13.6.2000
Presidência da
República
Casa CivilSubchefia para Assuntos
Jurídicos
DECRETO No 3.505, DE 13 DE JUNHO DE
2000.
Institui a Política de
Segurança da Informação nos órgãos e entidades da Administração
Pública Federal.
O PRESIDENTE DA
REPÚBLICA, no uso da atribuição que lhe confere o art. 84,
inciso IV, da Constituição, e tendo em vista o disposto na Lei
no 8.159, de 8 de janeiro de 1991, e no Decreto
no 2.910, de 29 de dezembro de 1998,
D E C R E T A
:
Art. 1o Fica instituída a Política de Segurança
da Informação nos órgãos e nas entidades da Administração Pública
Federal, que tem como pressupostos básicos:
I - assegurar a garantia
ao direito individual e coletivo das pessoas, à inviolabilidade da
sua intimidade e ao sigilo da correspondência e das comunicações,
nos termos previstos na Constituição;
II - proteção de
assuntos que mereçam tratamento especial;
III - capacitação dos
segmentos das tecnologias sensíveis;
IV - uso soberano de
mecanismos de segurança da informação, com o domínio de tecnologias
sensíveis e duais;
V - criação,
desenvolvimento e manutenção de mentalidade de segurança da
informação;
VI - capacitação
científico-tecnológica do País para uso da criptografia na
segurança e defesa do Estado; e
VII - conscientização
dos órgãos e das entidades da Administração Pública Federal sobre a
importância das informações processadas e sobre o risco da sua
vulnerabilidade.
Art. 2o Para efeitos da Política de Segurança da
Informação, ficam estabelecidas as seguintes
conceituações:
I - Certificado de
Conformidade: garantia formal de que um produto ou serviço,
devidamente identificado, está em conformidade com uma norma
legal;
II - Segurança da
Informação: proteção dos sistemas de informação contra a negação de
serviço a usuários autorizados, assim como contra a intrusão, e a
modificação desautorizada de dados ou informações, armazenados, em
processamento ou em trânsito, abrangendo, inclusive, a segurança
dos recursos humanos, da documentação e do material, das áreas e
instalações das comunicações e computacional, assim como as
destinadas a prevenir, detectar, deter e documentar eventuais
ameaças a seu desenvolvimento.
Art. 3o São objetivos da Política da
Informação:
I - dotar os órgãos e as
entidades da Administração Pública Federal de instrumentos
jurídicos, normativos e organizacionais que os capacitem
científica, tecnológica e administrativamente a assegurar a
confidencialidade, a integridade, a autenticidade, o não-repúdio e
a disponibilidade dos dados e das informações tratadas,
classificadas e sensíveis;
II - eliminar a
dependência externa em relação a sistemas, equipamentos,
dispositivos e atividades vinculadas à segurança dos sistemas de
informação;
III - promover a
capacitação de recursos humanos para o desenvolvimento de
competência científico-tecnológica em segurança da
informação;
IV - estabelecer normas
jurídicas necessárias à efetiva implementação da segurança da
informação;
V - promover as ações
necessárias à implementação e manutenção da segurança da
informação;
VI - promover o
intercâmbio científico-tecnológico entre os órgãos e as entidades
da Administração Pública Federal e as instituições públicas e
privadas, sobre as atividades de segurança da
informação;
VII - promover a
capacitação industrial do País com vistas à sua autonomia no
desenvolvimento e na fabricação de produtos que incorporem recursos
criptográficos, assim como estimular o setor produtivo a participar
competitivamente do mercado de bens e de serviços relacionados com
a segurança da informação; e
VIII - assegurar a
interoperabilidade entre os sistemas de segurança da
informação.
Art. 4o Para os fins deste Decreto, cabe à
Secretaria-Executiva do Conselho de Defesa Nacional, assessorada
pelo Comitê Gestor da Segurança da Informação de que trata o art.
6o, adotar as seguintes diretrizes:
I - elaborar e
implementar programas destinados à conscientização e à capacitação
dos recursos humanos que serão utilizados na consecução dos
objetivos de que trata o artigo anterior, visando garantir a
adequada articulação entre os órgãos e as entidades da
Administração Pública Federal;
II - estabelecer
programas destinados à formação e ao aprimoramento dos recursos
humanos, com vistas à definição e à implementação de mecanismos
capazes de fixar e fortalecer as equipes de pesquisa e
desenvolvimento, especializadas em todos os campos da segurança da
informação;
III - propor
regulamentação sobre matérias afetas à segurança da informação nos
órgãos e nas entidades da Administração Pública
Federal;
IV - estabelecer normas
relativas à implementação da Política Nacional de Telecomunicações,
inclusive sobre os serviços prestados em telecomunicações, para
assegurar, de modo alternativo, a permanente disponibilização dos
dados e das informações de interesse para a defesa
nacional;
V - acompanhar, em
âmbito nacional e internacional, a evolução doutrinária e
tecnológica das atividades inerentes à segurança da
informação;
VI - orientar a condução
da Política de Segurança da Informação já existente ou a ser
implementada;
VII - realizar auditoria
nos órgãos e nas entidades da Administração Pública Federal,
envolvidas com a política de segurança da informação, no intuito de
aferir o nível de segurança dos respectivos sistemas de
informação;
VIII - estabelecer
normas, padrões, níveis, tipos e demais aspectos relacionados ao
emprego dos produtos que incorporem recursos critptográficos, de
modo a assegurar a confidencialidade, a autenticidade, a
integridade e o não-repúdio, assim como a interoperabilidade entre
os Sistemas de Segurança da Informação;
IX - estabelecer as
normas gerais para o uso e a comercialização dos recursos
criptográficos pelos órgãos e pelas entidades da Administração
Pública Federal, dando-se preferência, em princípio, no emprego de
tais recursos, a produtos de origem nacional;
X - estabelecer normas,
padrões e demais aspectos necessários para assegurar a
confidencialidade dos dados e das informações, em vista da
possibilidade de detecção de emanações eletromagnéticas, inclusive
as provenientes de recursos computacionais;
XI - estabelecer as
normas inerentes à implantação dos instrumentos e mecanismos
necessários à emissão de certificados de conformidade no tocante
aos produtos que incorporem recursos criptográficos;
XII - desenvolver
sistema de classificação de dados e informações, com vistas à
garantia dos níveis de segurança desejados, assim como à
normatização do acesso às informações;
XIII - estabelecer as
normas relativas à implementação dos Sistemas de Segurança da
Informação, com vistas a garantir a sua interoperabilidade e a
obtenção dos níveis de segurança desejados, assim como assegurar a
permanente disponibilização dos dados e das informações de
interesse para a defesa nacional; e
XIV - conceber,
especificar e coordenar a implementação da infra-estrutura de
chaves públicas a serem utilizadas pelos órgãos e pelas entidades
da Administração Pública Federal.
Art. 5o À Agência Brasileira de Inteligência -
ABIN, por intermédio do Centro de Pesquisa e Desenvolvimento para a
Segurança das Comunicações - CEPESC, competirá:
I - apoiar a
Secretaria-Executiva do Conselho de Defesa Nacional no tocante a
atividades de caráter científico e tecnológico relacionadas à
segurança da informação; e
II - integrar comitês,
câmaras técnicas, permanentes ou não, assim como equipes e grupos
de estudo relacionados ao desenvolvimento das suas atribuições de
assessoramento.
Art. 6o Fica instituído o Comitê Gestor da
Segurança da Informação, com atribuição de assessorar a
Secretaria-Executiva do Conselho de Defesa Nacional na consecução
das diretrizes da Política de Segurança da Informação nos órgãos e
nas entidades da Administração Pública Federal, bem como na
avaliação e análise de assuntos relativos aos objetivos
estabelecidos neste Decreto.
Art. 7o O Comitê será
integrado por um representante de cada Ministério e órgãos a seguir
indicados:
I - Ministério da
Justiça;
II - Ministério da
Defesa;
III - Ministério das
Relações Exteriores;
IV - Ministério da
Fazenda;
V - Ministério da
Previdência e Assistência Social;
VI - Ministério da
Saúde;
VII - Ministério do
Desenvolvimento, Indústria e Comércio Exterior;
VIII - Ministério do
Planejamento, Orçamento e Gestão;
IX - Ministério das
Comunicações;
X - Ministério da
Ciência e Tecnologia;
XI - Casa Civil da
Presidência da República; e
XII - Gabinete de
Segurança Institucional da Presidência da República, que o
coordenará.
XIII - Secretaria de Comunicação de Governo e Gestão
Estratégica da Presidência da República. (Incluído pelo
Decreto nº 5.110, de 2004)
XIV - Ministério de Minas e Energia; (Incluído pelo
Decreto nº 5.495, de 2005)
XV - Controladoria-Geral da União; e (Incluído pelo
Decreto nº 5.495, de 2005)
XVI - Advocacia-Geral da União. (Incluído pelo
Decreto nº 5.495, de 2005)
§ 1o Os membros do Comitê Gestor serão
designados pelo Chefe do Gabinete de Segurança Institucional da
Presidência da República, mediante indicação dos titulares dos
Ministérios e órgãos representados.
§ 2o Os membros do Comitê Gestor não poderão
participar de processos similares de iniciativa do setor privado,
exceto nos casos por ele julgados imprescindíveis para atender aos
interesses da defesa nacional e após aprovação pelo Gabinete de
Segurança Institucional da Presidência da República.
§ 3o A participação no Comitê não enseja
remuneração de qualquer espécie, sendo considerada serviço público
relevante.
§ 4o A organização e o funcionamento do Comitê
serão dispostos em regimento interno por ele aprovado.
§ 5o Caso necessário, o Comitê Gestor poderá
propor a alteração de sua composição.
Art. 8o Este Decreto entra em vigor na data de
sua publicação.
Brasília, 13 de junho de
2000; 179o da Independência e
112o da República.
FERNANDO HENRIQUE
CARDOSO
José Gregori
Geraldo Magela da Cruz Quintão
Luiz Felipe Lampreia
Pedro Malan
Waldeck Ornélas
José Serra
Alcides Lopes Tápias
Martus Tavares
Pimenta da Veiga
Ronaldo Mota Sardenberg
Pedro Parente
Alberto Mendes Cardoso
Este texto não substitui o publicado
no DOU de 14.6.2000
