Matérias mais recentes - Todas as seções

INSTRUÇÃO NORMATIVA Nº 3, DE 6 DE MARÇO DE 2013

Brasão do Brasil

Diário Oficial da União

Publicado em: 14/03/2013 | Edição: 50 | Seção: 1 | Página: 2

Órgão: Presidência da República/GABINETE DE SEGURANÇA INSTITUCIONAL

INSTRUÇÃO NORMATIVA Nº 3, DE 6 DE MARÇO DE 2013

Dispõe sobre os parâmetros e padrões mínimosdos recursos criptográficos baseadosem algoritmos de Estado para criptografiada informação classificada no âmbito do

Poder Executivo Federal.

O MINISTRO DE ESTADO CHEFE DO GABINETEDE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA

REPÚBLICA - GSI/PR, no uso de suas atribuições;

Considerando:

 o disposto nos incisos II do art. 37 da Lei no 12.527, de 18de novembro de 2011;

 o disposto no Decreto no 3.505, de 13 de junho de 2000;

 o disposto no inciso II do caput do art. 70 do Decreto no7.724, de 16 de maio de 2012;

 o disposto no art. 40 e seu parágrafo único e no art. 56 doDecreto no 7.845, de 14 de novembro de 2012;

 o disposto na Instrução Normativa GSI/PR no 1, de 13 dejunho de 2008;

 o disposto na Norma Complementar - NC 09/IN01/DSIC/GSI/PR(Revisão 01), de 15 fevereiro de 2013; e

 a necessidade de orientar a condução de políticas de segurançada informação classificada, já existentes, ou a serem implementadaspelos órgãos e entidades do Poder Executivo Federal,resolve:

Art. 1o Estabelecer, no âmbito do Poder Executivo Federal,os parâmetros e padrões mínimos para recursos criptográficos baseadosem algoritmos de Estado, que deverão ser implementados,pelos órgãos e entidades, na criptografia da informação classificada,em qualquer grau de sigilo.

Art. 2o Para fins desta Instrução Normativa - IN entende-se por:

I-Agente Responsável: servidor público ocupante de cargoefetivo ou militar de carreira de órgão ou entidade do Poder ExecutivoFederal e possuidor de credencial de segurança;

II - Algoritmo de Estado: função matemática utilizada nacifração e na decifração, desenvolvido pelo Estado, para uso exclusivoem interesse do serviço de órgãos ou entidades do PoderExecutivo Federal;

III - Chave Criptográfica: valor que trabalha com um algoritmocriptográfico para cifração ou decifração;

IV - Cifração: ato de cifrar mediante uso de algoritmo simétricoou assimétrico, com recurso criptográfico, para substituirsinais de linguagem em claro por outros ininteligíveis por pessoas nãoautorizadas a conhecê-la;

V - Credencial de Segurança: certificado que autoriza pessoapara o tratamento da informação classificada;

VI - Decifração: ato de decifrar mediante uso de algoritmosimétrico ou assimétrico, com recurso criptográfico, para reverterprocesso de cifração original;

VII - Gestor de Segurança da Informação e Comunicações:é o responsável pelas ações de segurança da informação e comunicaçõesno âmbito do órgão ou entidade do Poder Executivo Federal;

VIII - Informação Classificada: informação sigilosa em poderdos órgãos e entidades públicas, observado o seu teor e em razãode sua imprescindibilidade à segurança da sociedade ou do Estado,classificada como ultrassecreta, secreta ou reservada; e

IX - Recurso Criptográfico: sistema, programa, processo,equipamento isolado ou em rede que utiliza algoritmo simétrico ouassimétrico para realizar cifração ou decifração.

Art. 3o A Alta Administração dos órgãos e entidades doPoder Executivo Federal, sob pena de responsabilidade, deverá, noâmbito de sua competência, assegurar a implementação e utilizaçãodos parâmetros e padrões mínimos dos recursos criptográficos baseadosem algoritmos de Estado, para criptografia da informaçãoclassificada, em qualquer grau de sigilo;

Parágrafo único. O Gestor de Segurança da Informação eComunicações e todo Agente Responsável, usuários de recurso criptográficobaseado em algoritmo de Estado, devem seguir o dispostonesta Instrução Normativa e na legislação vigente, sob pena de responsabilidade.

Art. 4o A cifração e decifração de informações classificadas,em qualquer grau de sigilo, devem utilizar recurso criptográfico baseadoem algoritmo de Estado em conformidade com os padrões eparâmetros mínimos estabelecidos na NC 09/IN01/DSIC/GSI/PR (Revisão01), de fevereiro de 2013, reproduzidos no Anexo desta InstruçãoNormativa.

Art. 5o O recurso criptográfico baseado em algoritmo deEstado deverá ser de desenvolvimento próprio ou por órgãos e entidadesdo Poder Executivo Federal, mediante acordo ou termo decooperação, vedada a participação e contratação de empresas e profissionaisexternos, para tal finalidade.

§ 1o Excepcionalmente, com anuência da Alta Administraçãodo órgão ou entidade, o previsto no caputpoderá ser terceirizado,desde que atendidas obrigatoriamente as seguintes condições:

I - seja realizado exclusivamente por meio de Contrato Sigiloso,nos termos dos arts. 48 e 49 do Decreto no 7.845, de 14 denovembro de 2012;

II - seja previsto em cláusula contratual que fica vedado ao con tratadoos direitos de propriedade e de exploração comercial, do recursocriptográfico com algoritmo de estado, objeto do presente contrato;

§ 2o O não cumprimento do previsto no caputou nos incisosI e II do § 1º , poderá gerar responsabilidade administrativa, civil epenal, conforme legislação vigente.

Art. 6o À Alta Administração dos órgãos e entidades doPoder Executivo Federal compete:

I - solicitar, quando se fizer necessário, apoio técnico aoGSI/PR, referente ao uso de recurso criptográfico baseado em algoritmode Estado, para o cumprimento da legislação pertinente;

II - realizar autoavaliação de conformidade relativa ao usodos recursos criptográficos baseados em algoritmo de Estado, e encaminharrelatório anual ao GSI/PR, conforme previsto no item 5.6.2da NC 09/IN01/DSIC/GSI/PR (Revisão 01), de fevereiro de 2013;

III - adequar os recursos criptográficos, já em uso, às determinaçõesdesta Instrução Normativa, e conforme legislação vigente;

IV - prever explicitamente nos entendimentos, contratos, termosou acordos de aquisição e manutenção de equipamentos, dispositivosmóveis, sistemas, aplicativos ou serviços que disporão derecurso criptográfico baseado em algoritmo de Estado, o fiel cumprimentodo disposto na presente Instrução Normativa, sem prejuízoda legislação vigente;

V - garantir o previsto no art. 41 do Decreto no 7.845, de 14de novembro de 2012, e encaminhar relatório anual ao GSI/PR, conformeprevisto no item 5.6.3 da NC 09/IN01/DSIC/GSI/PR (Revisão01), de fevereiro de 2013;

VI - informar ao GSI/PR, tempestivamente, o comprometimentodo sigilo de qualquer recurso criptográfico baseado em algoritmode Estado;

VII - capacitar os Agentes Responsáveis para o uso dosrecursos criptográficos, observando as normas vigentes, os procedimentosde credenciamento de segurança, e o tratamento de informaçãoclassificada; e

VIII - prever recurso orçamentário para o uso de recursoscriptográficos baseados em algoritmos de Estado, conforme necessidadede cada órgão ou entidade.

Art. 7o O GSI/PR acompanhará periodicamente o cumprimentodo estabelecido nesta IN pelos órgãos e entidades do PoderExecutivo Federal, por meio do disposto no item 5.6 da NC09/IN01/DSIC/GSI/PR (Revisão 01), de 15 de fevereiro de 2013, e devisitas técnicas quando se fizer necessário.

Art. 8o O GSI/PR prestará apoio técnico, previsto no art. 56do Decreto no 7.845, de 14 de novembro de 2012, devendo os órgãose entidades do Poder Executivo Federal formalizarem a demandajunto ao GSI/PR no prazo de até cento e oitenta dias, conformeprevisto no item 5.9.3 da NC 09/IN01/DSIC/GSI/PR (Revisão 01), de15 de fevereiro de 2013.

Parágrafo único. Vencido o prazo do caput, as necessidadesrecebidas não serão mais tratadas como demanda específica para ocumprimento do prazo referido no Decreto, e sim, como demanda decaráter ordinário.

Art. 9o Todo recurso criptográfico baseado em algoritmo deEstado constitui material de acesso restrito e requer procedimentosespeciais adequados de controle para o seu acesso, manutenção, armazenamento,transferência, trânsito e descarte, em conformidadecom a legislação vigente, sob pena de responsabilização da AltaAdministração.

Parágrafo único. O Gestor de Segurança da Informação eComunicações e todo Agente Responsável, usuários de recurso criptográficobaseado em algoritmo de Estado, devem possuir credencialde segurança, ou excepcionalmente, assinar o Termo de Compromissode Manutenção de Sigilo - TCMS, conforme Anexo I do Decreto no7.845, de 14 de novembro de 2012.

Art. 10 Esta Instrução Normativa entra em vigor na data desua publicação.

JOSÉ ELITO CARVALHO SIQUEIRA

ANEXO

Este conteúdo não substitui o publicado na versão certificada.

Borda do rodapé
Logo da Imprensa