Decreto nº 9.637/2018 – Política Nacional de Segurança da Informação

Decreto nº 9.637/2018 – Política Nacional de Segurança da Informação. Foi publicado, no Diário Oficial da União, em 27 de dezembro de 2018, o Decreto nº 9.637/2018, o qual institui a Política Nacional de Segurança da Informação – PNSI.

Assim, o referido ato normativo determina o gerenciamento da segurança da informação no âmbito da Administração Pública federal, com o objetivo de promover a defesa cibernética e a proteção dos dados organizacionais no âmbito da administração pública.

Registra-se que a PNSI foi estabelecida com a finalidade de assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação a nível nacional.

Em um dos últimos atos de seu mandato, o presidente Michel Temer assinou o Decreto em comento, que além de instituir a PNSI, revogou integralmente o Decreto nº 8.135/2013, bem como o Decreto nº 3.505/2000. Além disso, foi alterado o Decreto nº 2.295/1997, que regulamenta o disposto no artigo 24, caput e inciso IX, da Lei nº 8.666/1993.

Por fim, registre-se que o referido ato entrou em vigor na data de sua publicação.

I. ASPECTOS GERAIS

Primeiramente, é preciso salientar que a segurança da informação compreende – nos termos dos incisos do artigo 2º deste ato – a segurança cibernética, a defesa cibernética, a segurança física, a proteção de dados organizacionais e as ações destinadas a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação.

A Política Nacional de Segurança da Informação tem como ferramenta para a sua efetivação a Estratégia Nacional de Segurança da Informação e os planos nacionais.

A primeira conterá as ações estratégicas, além de objetivos relacionados à segurança da informação, em consonância com as políticas públicas e os programas do Governo federal. Vale mencionar que será dividida nos seguintes módulos:

  • (i) segurança cibernética;
  • (ii) defesa cibernética;
  • (iii) segurança das infraestruturas críticas;
  • (iv) segurança da informação sigilosa;
  • (v) proteção contra vazamento de dados.

O Decreto ainda fez a ressalva de que a mesma terá ampla participação da sociedade e dos órgãos e entidades do Poder Público.

Os planos nacionais, por sua vez, serão determinados pela Estratégia Nacional de Segurança da Informação. Além disso, os planos nacionais deverão conter :

  • (i) o detalhamento da execução das ações estratégicas e dos objetivos da Estratégia Nacional de Segurança da Informação;
  • (ii) o planejamento, a organização, a coordenação das atividades e do uso de recursos para a execução das ações estratégicas e o alcance dos objetivos da Estratégia Nacional de Segurança da Informação;
  • (iii) a atribuição de responsabilidades, a definição de cronogramas e a apresentação da análise de riscos e das ações de contingência que garantam o atingimento dos resultados esperados.

II. PRINCÍPIOS E OBJETIVOS

No Decreto 9.637/2018 também são consagrados os princípios, bem como objetos que regem a atual Política Nacional de Segurança da Informação, servindo de diretrizes para a mesma.

No que tange aos princípios elencados no ato normativo, foram consagrados, entre diversos outros, a soberania nacional, o respeito e a promoção dos direitos humanos e das garantias fundamentais – ganhando destaque a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação, prevenção e tratamento de incidentes de segurança da informação, bem como a cooperação internacional, no campo da segurança da informação.

Além disso, são previstos outros objetivos, sendo possível mencionar os seguintes:

  • contribuir para a segurança do indivíduo, da sociedade e do Estado, por meio da orientação das ações de segurança da informação, observados os direitos e as garantias fundamentais;
  • o desenvolvimento do arcabouço legal e normativo relacionado à segurança da informação;
  • e fortalecimento da cultura da segurança da informação na sociedade.

A lista supramencionada não exaure a previsão de princípios no Decreto em comento, de modo que são elencadas outras normas de otimização.

III. COMITÊ GESTOR DA SEGURANÇA DA INFORMAÇÃO E GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA

Foi instituído, ainda, pelo mesmo ato normativo, o Comitê Gestor da Segurança da Informação.

Trata-se de órgão responsável pela execução da política nacional. Nesse sentido, tal instituição tem a atribuição de assessorar o Gabinete de Segurança Institucional da Presidência da República no que tange às atividades relacionadas à segurança da informação.

No tocante à sua composição, o Comitê será composto – por um representante titular e respectivo suplente – que deverão ser indicados em até 10 (dez) dias pelos titulares de cada Ministério, bem como pela Advocacia Geral da União e Banco Central do Brasil, além do Gabinete de Segurança Institucional da Presidência da República.

O Comitê se reunirá semestralmente para debater ações sobre segurança da informação.

Os membros do Comitê serão indicados pelos titulares dos órgãos mencionados, no prazo de 10 (dez) dias, contado da data de publicação do Decreto, e serão designados em ato do Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República, no prazo de 20 (vinte) dias, contado da data de publicação do Decreto. Ainda, no prazo de 90 (noventa) dias, será aprovado regimento interno para dispor sobre a organização e o funcionamento do Comitê.

Já quanto ao Gabinete de Segurança, este deve prestar apoio técnico e administrativo ao Comitê. Ademais, é responsável pelo planejamento, coordenação e supervisão da atividade de segurança da informação – segurança cibernética, a gestão de incidentes computacionais, a proteção de dados, o credenciamento de segurança e o tratamento de informações sigilosas – no âmbito da Administração Pública federal.

Entre as diversas competências estabelecidas no art. 12 do Decreto nº 9.637/2018, o Gabinete de Segurança Institucional – de competência anterior e genérica de coordenação das atividades de segurança da informação e comunicações – é responsável por aprovar diretrizes, estratégias, normas e recomendações, apoiar a elaboração dos planos nacionais vinculados à Estratégia Nacional de Segurança da Informação e propor a edição dos atos normativos necessários à execução da política nacional.

O Decreto ainda determina que o Ministério da Defesa deverá:

  • (i) apoiar o Gabinete de Segurança Institucional da Presidência da República nas atividades relacionadas à segurança cibernética;
  • (ii) elaborar as diretrizes, os dispositivos e os procedimentos de defesa que atuem nos sistemas relacionados à defesa nacional contra ataques cibernéticos.

No que diz respeito ao Ministério da Transparência e Controladoria-Geral da União, compete auditar a execução das ações da Política Nacional de Segurança da Informação de responsabilidade dos órgãos e das entidades da administração pública federal.

Não obstante, cabe aos órgãos da Administração Pública a implementação da Política Nacional de Segurança da Informação. Sendo assim, as entidades da administração pública federal direta, autárquica e fundacional, em atos administrativos a respeito de ativos de tecnologia da informação, devem incorporar as normas de segurança da informação estabelecidas pelo Gabinete de Segurança Institucional da Presidência da República, bem como os normativos de gestão de tecnologia da informação e comunicação e de segurança da informação editados pelo Ministério do Planejamento, Desenvolvimento e Gestão.

IV. OUTRAS ALTERAÇÕES

Além da instituição da PNSI, o Decreto nº 9.637/2018 alterou o inciso III, do art. 1º do Decreto nº 2.295, de 4 de agosto de 1997, que regulamenta a Lei de Licitações (Lei 8.666/1993), e dispõe sobre a dispensa de processo licitatório em casos que possam comprometer a segurança nacional.

Além disso, uma das alterações de maior impacto está a revogação integral do Decreto nº 8.135/2013, que estabelecia as condições de contratação de infraestrutura de comunicação de dados pelo governo, e entre seus dispositivos dava às empresas públicas e sociedades de economia mista a prerrogativa de fornecer estrutura de comunicação ao próprio governo sem a necessidade de licitação.

Por fim, também foi revogada de forma integral o Decreto nº 3.505, de 13 de junho de 2000, que instituía a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal.

V. CONCLUSÃO

Dessa forma, resta claro que a implementação da Política Nacional de Segurança da Informação consagra a fundamental importância de uma das principais pautas do próximo governo, que é a segurança e a proteção dos dados, sejam relacionados à segurança e ao sigilo, ou aos dados pessoais dos cidadãos.

Registre-se que as competências do Gabinete de Segurança Institucional da Presidência da República elencadas no referido ato normativo evidenciam o perfil bem definido da atual Política Nacional de Segurança da Informação, pois tratam-se de atribuições específicas e correspondentes à política em comento.

Ademais, é possível observar o alargamento das competências nos planos estratégico, operacional e normativo dos órgãos responsáveis pela execução das atividades relacionadas à segurança da informação.

Sendo assim, é possível depreender que, de acordo com a Política Nacional de Segurança da Informação vigente, a administração da segurança da informação é definida por fins e orientada por princípios, de modo que estes são determinantes para a sua caracterização.

Ainda, a referida política conta com instrumentos de execução próprios e agentes executores de competências específicas e substanciais.

A cópia do decreto pode ser acessada aqui:

A publicação oficial está disponível na íntegra no site do Diário Oficial da União

Fonte: Lima Feigelson Advogados

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!