sexta-feira, 18 de maio de 2012

Portaria que define parte de documentos sigilosos é publicada

Nova Lei de Acesso à Informação entra em vigor nesta quarta (16/05).
Instituto Nacional de Tecnologia da Informação divulgou o que será secreto.

Foi publicada no "Diário Oficial da União" desta quarta-feira (16) uma portaria que define parte dos documentos considerados secretos pelo governo. O objetivo, segundo o texto, "é controlar o acesso e a divulgação de informações sigilosas" com o advento da nova Lei de Acesso à Informação.


A portaria é específica sobre as informações sigilosas do Instituto Nacional de Tecnologia da Informação e assinada por Renato da Silveira Martini, diretor-presidente do instituto, autarquia vinculada à Casa Civil da Presidência. O instituto é responsável pela estrutura de certificação digital do governo.

Entre os documentos considerados sigilosos estão relatórios de auditorias do instituto, termos de responsabilidade, documentos sobre o sistema de segurança e alarmes, plantas de imóveis, manuais de procedimento, planos de contingência ou de recuperação, registros telefônicos entre outros.

A lei, que começa a valer nesta quarta, obriga órgãos públicos a prestarem informações sobre suas atividades a qualquer cidadão interessado. O projeto é de iniciativa do Executivo e vale para todo o serviço público do país.

A portaria publicada no Diário Oficial, no entanto, exclui documentos do instituto dado "seu teor e em razão de sua imprescindibilidade à segurança da sociedade ou do Estado" (veja lista no final da reportagem).

Confira abaixo perguntas e respostas sobre a nova lei, de acordo com o texto da legislação e informações da Controladoria-Geral da União (CGU):

O que é a Lei de Acesso à Informação?
A lei 12527/2011, a chamada
Lei de Acesso à Informação, obriga órgãos públicos federais, estaduais e municipais (ministérios, estatais, governos estaduais, prefeituras, empresas públicas, autarquias etc.) a oferecer informações relacionadas às suas atividades a qualquer pessoa que solicitar os dados.

Como a lei será implantanda, na prática?
A lei determina que os órgãos públicos criem centros de atendimento dentro de cada órgão chamados de SICs (Serviços de Informação ao Cidadão). Esses centros precisarão ter estrutura para atender e orientar o público quanto ao acesso a informações de interesse coletivo como, por exemplo, tramitação de documentos, processos de licitações e gastos públicos.

O que a lei exige dos órgãos públicos na internet?
A Lei de Acesso à Informação estabelece também que as entidades públicas divulguem na internet, em linguagem clara e de fácil acesso, dados sobre a administração pública. Devem constar, no mínimo, registro das competências e estrutura organizacional, endereços e telefones das respectivas unidades e horários de atendimento ao público. Também devem ser publicados registros de quaisquer repasses ou transferências de recursos financeiros e informações sobre licitações, inclusive os editais e resultados. A lei exige ainda que fiquem expostos na internet dados gerais para o acompanhamento de programas, ações, projetos e obras do governo, além de respostas a perguntas mais frequentes da sociedade. As informações devem ser mantidas sempre atualizadas. Apenas os municípios com menos de 10 mil habitantes estão desobrigados a apresentar em um site na internet os dados sobre as operações municipais. No entanto, os órgãos desses pequenos municípios são obrigados a prestar informações sempre que solicitadas.

Quem poderá solicitar informações?
Qualquer pessoa pode pedir dados a respeito de qualquer órgão da administração pública.

É preciso dar razões para o pedido?
Não é preciso apresentar nenhum tipo de justificativa para a solicitação de informações.

Quais informações poderão ser solicitadas? Não há limites para as informações a serem solicitadas. Podem ser requisitadas quaisquer informaçôes a respeito de dados relativos aos órgãos públicos. Será possível, por exemplo, perguntar quanto um ministério ou secretaria gastou com salários de servidores, com obras públicas, andamento de processos de licitação, detalhes sobre auditorias, fiscalizações e outras.

E se o órgão público não atender ao pedido?
Se o órgão não puder prestar as informações, terá de apresentar uma justificativa. Se o cidadão não aceitar a justifificativa, pode entrar com recurso no próprio órgão. Se ainda não conseguir, pode apresentar outro recurso à Comissão Mista de Reavalização de Informações, instituída pela lei. A comissão vai avaliar o sigilo de dados públicos e as justificativas apresentadas pelo órgão público para não prestar as informações solicitadas. Se entender que a informação pode ser divulgada, a comissão acionará o órgão para que atenda ao pedido do cidadão.

Há informações que não podem ser fornecidas?
Não serão prestadas aos cidadãos informações consideradas sigilosas, tais como assuntos secretos do Estado, temas que possam colocar em risco a segurança nacional ou que comprometam atividades de investigação policial. Dados de casos que corram em segredo de justiça também não serão divulgados, assim como informações pessoais dos agentes públicos ou privados. Nesses casos, o órgão é obrigado a justificar o motivo para não fornecer o dado.

Por quais meios as informações poderão ser solicitadas?
As informações poderão ser solicitadas nos Serviços de Informações ao Cidadão (SICs), que serão instalados em cada órgão público. A lei também determina que seja concedida ao cidadão a opção de solicitar os dados pela internet. Outros meios, como carta e telefone, vão depender dos sistemas adotados por cada órgão.

As informações vão ser prestadas sempre por meio de documentos impressos?
Depende de como o órgão tiver armazenado os dados. Nos casos de arquivos digitais, o cidadão poderá obter as informações em um CD ou outra mídia digital. Se houver necessidade de impressão de um volume elevado de papéis, o cidadão pagará o custo.

Como tramita, dentro do órgão público, o pedido de informação?
Se o órgão tiver a informação ao alcance imediato, o pedido poderá ser atendido no momento em que for feito pelo cidadão, nos SICs. Se houver necessidade de pesquisa, o órgão tem 20 dias, prorrogáveis por mais 10, para atender à demanda. O cidadão será avisado por telefone ou pela internet. Depois desse prazo, o agente público tem que justificar o motivo da não prestação das informações.

Qual será a punição para servidores que não atenderem aos pedidos?
Servidores públicos que não prestarem as informações solicitadas e não apresentarem justificativa legal poderão sofrer sanções administrativas e até ser processados por improbidade.

ONGs (Organizações Não-Governamentais) também estão sujeitas à lei?
As entidades privadas sem fins lucrativos que recebam recursos públicos para a realização de ações de interesse público e que tenham parceria ou convênios com o governo devem divulgar informações sobre o dinheiro recebido e sua destinação.

Veja os documentos considerados sigilosos pelo instituto:
Papéis de Trabalho/Auditoria; Relatórios/Auditoria; Conceitos de Risco/ Auditoria; Pareceres/Auditoria; Relação das pessoas que serão detentores partições de recursos criptográficos da AC, com respectivos termos de designação para a função; Relação das necessidades de acesso físico e lógico para cada cargo; Relação de pessoas que possuem acesso às chaves ou componentes de chaves criptográficas da AC com sua respectiva designação formal e atribuição de responsabilidades; Relação do pessoal contratado para a AC/cargo desempenhado e a respectiva documentação; Termos de Designação de Gestor ou Responsável pelos Ativos da AC (ativos de informação e de processamento); Termos de Responsabilidade sobre a segurança física da AC; Termos de responsabilidade contendo descrição dos recursos que os funcionários e detentores de chaves ou componentes de chaves criptográficas deverão devolver à AC no ato de seu desligamento; Inventário dos ativos de processamento da AC e da AR contendo nº do patrimônio, localização física, atividade a ser desenvolvida e agente responsável pela utilização; Inventário de cartões/chaves de acesso às dependências e recursos da AC (em uso ou no cofre); Relação das pessoas autorizadas a ter acesso aos componentes da Infraestrutura da AC (painéis de controle de energia, comunicações, cabeamento etc.); Documentação dos sistemas e dispositivos redundantes que estão disponíveis para garantir a continuidade da operação dos serviços críticos (elétrico, geradores, nobreak, ar condicionado etc.); Documentação dos sistemas que provêm segurança física (alarmes, monitoramento por câmaras de vídeo, proteção contra incêndio e detecção de fumaça, sistemas de controle de acesso físico); Documentação dos Equipamentos de Emergência; Planta baixa da área construída; Topologia das redes de cabos lógicos e elétricos; Documentação técnica da construção de segurança de nível 1, 2, 3, 4, 5 e 6; Relação dos procedimentos e ferramentas usados para controle do envio de equipamentos para manutenção e para controle de entrada e saída de indivíduos em ambiente de nível 3 e 4; Relação dos usuários cadastrados para acesso ao sistema operacional (/etc/passwd); Relação dos recursos da AC que possuem controle de acesso lógico e relação dos procedimentos e ferramentas usados para esse controle; Relação dos funcionários que possuem acesso lógico aos recursos da AC relacionados no item anterior; Relação dos procedimentos e ferramentas que serão usados para detectar e responder a violações de segurança; Sistemas e arquivos da AC sujeitos a backup; Relação dos procedimentos e ferramentas usados para realização de backup dos sistemas e arquivos relacionados no item anterior, e dos controles estabelecidos para guarda das mídias geradas; Relação dos sistemas da AC do qual serão extraídos logs, respectiva periodicidade de extração e forma de guarda dos arquivos gerados; Planilha relacionando os eventos de guarda obrigatórios, definidos no item 4.5.1 da DPC, e os arquivos de log citados no item anterior; Formato dos arquivos de log e descrição dos campos relevantes; Procedimentos previstos para análise dos logs (relatórios ou planilhas elaborados pelo responsável pela atividade) e das ações tomadas em decorrência, no caso de constatação de irregularidades; Relação dos softwares autorizados a estarem instalados nos servidores, estações de trabalho, notebooks e demais equipamentos da AC, com a respectiva versão; Documentação evidenciando que a versão dos softwares utilizados está de acordo com a recomendações dos fabricante; Procedimentos previstos para realização de auditorias internas nos equipamentos e/ou outras providências adotadas para evitar a utilização de softwares não autorizados nos equipamentos da AC relacionados no Inventário de Ativos; Procedimentos previstos para registrar as mudanças de configuração nos sistemas (aplicação de patches, instalação de novas versões, alteração de parâmetros do sistema, etc.); Relação dos arquivos/diretórios dos servidores da AC cuja integridade seja verificada periodicamente; Relação dos procedimentos e ferramentas que serão usados para verificação periódica de integridade dos arquivos/diretórios relacionados no item anterior; Diagrama topológico atualizado da rede interna e das ligações com redes externas, evidenciando também, caso existam, pontos de conexão para acesso remoto; Relação dos equipamentos, procedimentos e ferramentas usados para prover segurança à rede da AC; Política de segurança aplicada nos equipamentos e ferramentas listados no item anterior (política de senhas, login local/remoto e outros parâmetros de segurança); Relação dos procedimentos e ferramentas que serão usados para publicação da LCR da AC na periodicidade adequada; Análise de Risco com documentação que comprove a participação/conhecimento da alta administração; Plano de Continuidade de Negócios; Plano de Extinção; Procedimentos e scripts de instalação usados para criação da AC; Relação dos procedimentos e ferramentas que serão utilizados para geração, guarda, manuseio e destruição da chave da AC; Manuais contendo procedimentos executados na AC; Documentação técnica dos seguintes sistemas e equipamentos; Documentos gerados pela entidade auditada em tempo de auditoria; Transações (Logs); Sistema (Logs); Segurança (Logs); Imagens de Vídeo (CFTV); Registros de Entrada e Saída de Controle de Acesso; Registro de Alarmes e Eventos Diversas; Registros Telefônicos; Análise de Risco; Avaliação de Risco; Manual de Segurança Patrimonial; Manual de Administração da Autoridade Certificadora; Manual de Administração da Segurança; Manual de Administração do Sistema de Gestão de Certificados (SGC); Manual de Administração de Banco de Dados; Plano de Continuidade de Negócios; Plano de Recuperação de Desastre; Plano de Contingência; Plano de Ação de Resposta a Incidente; Plano de Gerência de Configuração e Mudança; Termo de Admissão; Termo de Desligamento; Termos de Responsabilidade de detentores de CIK; Plano de Treinamento; Manual de Auditoria Interna; Scripts/roteiros de operação; Diagramas da Rede de Computadores; Diagramas da Rede elétrica; Configuração de Equipamento; Especificação Técnica de Hardware; Especificação Técnica de Sistema; Especificação Técnica da Infraestrutura; Configuração de Sistema Controle de Acesso; Chave Privada de Autoridade Certifica Raiz (AC-Raiz); Senha de Operação /Administração de Equipamentos (Hardware); Senha de Operação /Administração do Sistema e Gestão de Certificados (SCG); Senha de Operação /Administração de Sistemas (Software); Senha de Operação /Administração do Sistema de extinção de Incêndio; Senha de Operação /Administração do Sistema de Intrusão; Senha de Operação /Administração do Circuito Fechado de TV; Senha de Operação /Administração do Controle Acesso Físico; Habilitação Jurídica; Laudo de Conformidade; Relatório de Análise Quantitativa e Qualitativa; Ensaios de Conformidade; Código-Fonte de Sistemas; Listas de Tarefas dos Vigilantes -Recepção; Livro de Registro de Destruição de Mídias e Documentos; Livro de Registro de Manutenção de Hardware; Livro de Registro de Presença -CCD - ITI; Livro de Registro de Termos de Cartão de Acesso-CCD; Livro de Registro de Termos de Entrada de Material; Livro de Registro de Termos de Saída de Material; Manual de Administração do Banco de Dados; Manual de Uso das Estações de Trabalho; Manual dos Administradores - CCD; Manual dos Vigilantes - CCD; Planilha de Controle de Cartões de Acesso do CCD; Planilha de Controle de Cds-Bakcup CFTV-CCD; Planilha de Controle de Chaves Mecânicas; Listas de Tarefas dos Vigilantes -Recepção; Livro de Registro de Destruição de Mídias e Documentos; Livro de Registro de Manutenção de Hardware; Sistemas (Logs); Servidores (Logs); Imagens de Vídeo (CFTV); Registro de Incidentes de Segurança; Registros Telefônicos; Base de dados de ferramentas de monitoramento (redes, sistemas, servidores); Documentação da topologia/arquitetura da rede; Arquivos de configuração de Firewall; Arquivos de configuração de Servidores; Arquivos de configuração de Switches; Diagramas da Rede Dados; Diagrama de CFTV; Diagramas da Rede elétrica; Dados de Fitas de Backup; E-mails Institucionais( Serviço de Correio Eletrônico); Arquivos do serviço de armazenamento de dados corporativos (Sistema de Aquivos Dados-ITI); Senha de Operação /Administração de Equipamentos (Hardware); Senha de Operação /Administração de Sistemas e Servidores (Software);Senha de Operação /Administração do Circuito Fechado de TV.

Crédito:
G1.COM

Nenhum comentário:

Postar um comentário