No dia em que entra em vigor a Lei de Acesso a Informações Públicas (LAI), foi publicado no Diário Oficial da União desta quarta-feira (16), uma portaria da Casa Civil que define os tipos de documentos que ainda continuarão sendo considerados secretos pelo governo. De acordo com o texto, o objetivo é “controlar o acesso e a divulgação de informações sigilosas produzidas por seus órgãos e entidades, assegurando sua proteção”.
Leia outros destaques de hoje do Congresso em Foco
Dentre os documentos listados estão relatórios de auditorias, termos de responsabilidade, documentos sobre o sistema de segurança e alarmes, plantas de imóveis, manuais de procedimento, planos de contingência ou de recuperação, registros telefônicos entre outros.
Apesar de a LAI estabelecer a transparência como regra e o sigilo como exceção, a portaria publicada hoje arugmenta que a classificação de tais documentos se deu em virtude de “seu teor e em razão de sua imprescindibilidade à segurança da sociedade ou do Estado”.
Leia também
A portaria foi assinada por Renato da Silveira Martini, diretor-presidente do Instituto Nacional de Tecnologia da Informação, autarquia vinculada à Casa Civil da Presidência.
Veja abaixo a lista dos documentos que deverão permanecer longe do acesso dos cidadãos:
PublicidadePapéis de Trabalho/Auditoria; Relatórios/Auditoria; Conceitos de Risco/Auditoria; Pareceres/Auditoria; Relação das pessoas que serão detentores partições de recursos criptográficos da AC, com respectivos termos de designação para a função; Relação das necessidades deacesso físico e lógico para cada cargo; Relação de pessoas que possuem acesso às chaves ou componentes de chaves criptográficas daAC com sua respectiva designação formal e atribuição de responsabilidades; Relação do pessoal contratado para a AC/cargo desempenhado e a respectiva documentação; Termos de Designação deGestor ou Responsável pelos Ativos da AC (ativos de informação ede processamento); Termos de Responsabilidade sobre a segurançafísica da AC; Termos de responsabilidade contendo descrição dosrecursos que os funcionários e detentores de chaves ou componentesde chaves criptográficas deverão devolver à AC no ato de seu desligamento; Inventário dos ativos de processamento da AC e da ARcontendo nº do patrimônio, localização física, atividade a ser desenvolvida e agente responsável pela utilização; Inventário de cartões/chaves de acesso às dependências e recursos da AC (em uso ouno cofre); Relação das pessoas autorizadas a ter acesso aos componentes da Infraestrutura da AC (painéis de controle de energia,comunicações, cabeamento etc.); Documentação dos sistemas e dispositivos redundantes que estão disponíveis para garantir a continuidade da operação dos serviços críticos (elétrico, geradores, nobreak, ar condicionado etc.); Documentação dos sistemas que provêmsegurança física (alarmes, monitoramento por câmaras de vídeo, proteção contra incêndio e detecção de fumaça, sistemas de controle de acesso físico); Documentação dos Equipamentos de Emergência;Planta baixa da área construída; Topologia das redes de cabos lógicose elétricos; Documentação técnica da construção de segurança denível 1, 2, 3, 4, 5 e 6; Relação dos procedimentos e ferramentasusados para controle do envio de equipamentos para manutenção epara controle de entrada e saída de indivíduos em ambiente de nível3 e 4; Relação dos usuários cadastrados para acesso ao sistemaoperacional (/etc/passwd); Relação dos recursos da AC que possuemcontrole de acesso lógico e relação dos procedimentos e ferramentasusados para esse controle; Relação dos funcionários que possuemacesso lógico aos recursos da AC relacionados no item anterior;Relação dos procedimentos e ferramentas que serão usados para detectar e responder a violações de segurança; Sistemas e arquivos daAC sujeitos a backup; Relação dos procedimentos e ferramentas usados para realização de backup dos sistemas e arquivos relacionadosno item anterior, e dos controles estabelecidos para guarda das mídiasgeradas; Relação dos sistemas da AC do qual serão extraídos logs,respectiva periodicidade de extração e forma de guarda dos arquivosgerados; Planilha relacionando os eventos de guarda obrigatórios,definidos no item 4.5.1 da DPC, e os arquivos de log citados no itemanterio; Formato dos arquivos de log e descrição dos campos relevantes; Procedimentos previstos para análise dos logs (relatórios ouplanilhas elaborados pelo responsável pela atividade) e das açõestomadas em decorrência, no caso de constatação de irregularidades;Relação dos softwares autorizados a estarem instalados nos servidores, estações de trabalho, notebooks e demais equipamentos da AC,com a respectiva versão; Documentação evidenciando que a versãodos softwares utilizados está de acordo com a recomendações dosfabricante; Procedimentos previstos para realização de auditorias internas nos equipamentos e/ou outras providências adotadas para evitara utilização de softwares não autorizados nos equipamentos da ACrelacionados no Inventário de Ativos; Procedimentos previstos pararegistrar as mudanças de configuração nos sistemas (aplicação depatches, instalação de novas versões, alteração de parâmetros do sistema, etc.); Relação dos arquivos/diretórios dos servidores da AC cujaintegridade seja verificada periodicamente; Relação dos procedimentos e ferramentas que serão usados para verificação periódica deintegridade dos arquivos/diretórios relacionados no item anterior; Diagrama topológico atualizado da rede interna e das ligações com redesexternas, evidenciando também, caso existam, pontos de conexãopara acesso remoto; Relação dos equipamentos, procedimentos e ferramentas usados para prover segurança à rede da AC; Política desegurança aplicada nos equipamentos e ferramentas listados no itemanterior (política de senhas, login local/remoto e outros parâmetros desegurança); Relação dos procedimentos e ferramentas que serão usados para publicação da LCR da AC na periodicidade adequada; Aná-lise de Risco com documentação que comprove a participação/conhecimento da alta administração; Plano de Continuidade de Negócios; Plano de Extinção; Procedimentos e scripts de instalaçãousados para criação da AC; Relação dos procedimentos e ferramentasque serão utilizados para geração, guarda, manuseio e destruição dachave da AC; Manuais contendo procedimentos executados na AC;Documentação técnica dos seguintes sistemas e equipamentos; Documentos gerados pela entidade auditada em tempo de auditoria;Transações (Logs); Sistema (Logs); Segurança (Logs); Imagens deVídeo (CFTV); Registros de Entrada e Saída de Controle de Acesso;Registro de Alarmes e Eventos Diversas; Registros Telefônicos; Aná-lise de Risco; Avaliação de Risco; Manual de Segurança Patrimonial;Manual de Administração da Autoridade Certificadora; Manual deAdministração da Segurança; Manual de Administração do Sistemade Gestão de Certificados (SGC); Manual de Administração de Bancode Dados; Plano de Continuidade de Negócios; Plano de Recuperaçãode Desastre; Plano de Contingência; Plano de Ação de Resposta aIncidente; Plano de Gerência de Configuração e Mudança; Termo deAdmissão; Termo de Desligamento; Termos de Responsabilidade dedetentores de CIK; Plano de Treinamento; Manual de Auditoria Interna; Scripts/roteiros de operação; Diagramas da Rede de Computadores; Diagramas da Rede elétrica; Configuração de Equipamento;Especificação Técnica de Hardware; Especificação Técnica de Sistema; Especificação Técnica da Infraestrutura; Configuração de Sistema Controle de Acesso; Chave Privada de Autoridade CertificaRaiz (AC-Raiz); Senha de Operação /Administração de Equipamentos(Hardware); Senha de Operação /Administração do Sistema e Gestãode Certificados (SCG); Senha de Operação /Administração de Sistemas (Software); Senha de Operação /Administração do Sistema deextinção de Incêndio; Senha de Operação /Administração do Sistemade Intrusão; Senha de Operação /Administração do Circuito Fechadode TV; Senha de Operação /Administração do Controle Acesso Fí-sico; Habilitação Jurídica; Laudo de Conformidade; Relatório de Aná-lise Quantitativa e Qualitativa; Ensaios de Conformidade; Código -Fonte de Sistemas; Listas de Tarefas dos Vigilantes -Recepção; Livrode Registro de Destruição de Mídias e Documentos; Livro de Registro de Manutenção de Hardware; Livro de Registro de Presença -CCD – ITI; Livro de Registro de Termos de Cartão de Acesso-CCD;Livro de Registro de Termos de Entrada de Material; Livro de Registro de Termos de Saída de Material; Manual de Administração doBanco de Dados; Manual de Uso das Estações de Trabalho; Manualdos Administradores – CCD; Manual dos Vigilantes – CCD; Planilhade Controle de Cartões de Acesso do CCD; Planilha de Controle deCds-Bakcup CFTV-CCD; Planilha de Controle de Chaves Mecânicas;Listas de Tarefas dos Vigilantes -Recepção; Livro de Registro deDestruição de Mídias e Documentos; Livro de Registro de Manutenção de Hardware; Sistemas (Logs); Servidores (Logs); Imagens deVídeo (CFTV); Registro de Incidentes de Segurança; Registros Telefônicos; Base de dados de ferramentas de monitoramento (redes,sistemas, servidores); Documentação da topologia/arquitetura da rede;Arquivos de configuração de Firewall; Arquivos de configuração deServidores; Arquivos de configuração de Switches; Diagramas daRede Dados; Diagrama de CFTV; Diagramas da Rede elétrica; Dadosde Fitas de Backup; E-mails Institucionais( Serviço de Correio Eletrônico); Arquivos do serviço de armazenamento de dados corporativos (Sistema de Aquivos Dados-ITI); Senha de Operação /Administração de Equipamentos (Hardware); Senha de Operação /Administração de Sistemas e Servidores (Software);Senha de Operação/Administração do Circuito Fechado de TV.
Dilma ainda deve regulamentação da Lei de Acesso
Falta de regulamentação atrasa Lei de Acesso
Órgão de recurso não deveria ser vinculado ao governo, critica especialista
Transparência é necessária, mas sai cara
Entenda o que diz lei de acesso
Lei de Acesso: Câmara garante sair na frente