O Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República, na condição de Secretário-Executivo do Conselho de Defesa Nacional, no uso da atribuição que lhe confere o art. 4º do Decreto nº 3.505, de 13 de junho de 2000, e o inciso IV do art. 1º do Anexo I do Decreto nº 6.931, de 11 de agosto de 2009,

Resolve:

Art. 1º Fica homologada a Norma Complementar nº 09/IN01/DSIC/GSIPR que estabelece as Orientações específicas para o uso de recursos criptográficos em Segurança da Informação e Comunicações nos órgãos e entidades da Administração Pública Federal, aprovada pelo Diretor do Departamento de Segurança da Informação e Comunicações, em anexo.

Art. 2º Esta Portaria entra em vigor na data de sua publicação.

JORGE ARMANDO FELIX

PRESIDÊNCIA DA REPÚBLICA

Gabinete de Segurança Institucional

Departamento de Segurança da Informação e Comunicações

ORIGEM

Departamento de Segurança da Informação e Comunicações

REFERÊNCIA NORMATIVA

Decreto nº 3.505, de 13 de junho de 2000

Decreto nº 4.553, de 27 de dezembro de 2002

Instrução Normativa GSI 01 de 13 de junho de 2008

Norma Complementar nº 01/DSIC/GSIPR de 13 de outubro de 2008

Norma Complementar nº 02/DSIC/GSIPR de 13 de outubro de 2008

Norma Complementar nº 07/DSIC/GSIPR de 14 de abril de 2010

CAMPO DE APLICAÇÃO

Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.

SUMÁRIO

1. Objetivo

2. Responsabilidades

3. Fundamento Legal da Norma Complementar

4. Termos e definições

5. Orientações Específicas

6. Vigência

7. Anexo A e B

INFORMAÇÕES ADICIONAIS

Não há

APROVAÇÃO

RAPHAEL MANDARINO JUNIOR

Diretor do Departamento de Segurança da Informação e Comunicações

1. OBJETIVO

Estabelecer orientações específicas para o uso de recursos criptográficos como ferramenta de controle de acesso em Segurança da Informação e Comunicações, nos órgãos ou entidades da Administração Pública Federal, direta e indireta (APF).

2. RESPONSABILIDADES

2.1 Caberá aos órgãos ou entidades da APF, no âmbito de suas competências, a utilização dos recursos criptográficos em conformidade com as orientações contidas nesta norma, sob pena de responsabilidade;

2.1.1 No âmbito de suas competências, os Gestores de Segurança da Informação e Comunicações são responsáveis pela implementação dos procedimentos relativos ao uso dos recursos criptográficos, em conformidade com as orientações contidas nesta norma, nos órgãos e entidades da Administração Pública Federal, direta e indireta;

2.1.2 O agente público ao receber um recurso criptográfico torna-se responsável pelo mesmo, devendo assinar o respectivo Termo de Uso de Recurso Criptográfico, conforme modelo constante no Anexo A.

3. FUNDAMENTO LEGAL DA NORMA COMPLEMENTAR

Conforme disposto no inciso II do art. 3º da Instrução Normativa nº 1, de 13 de Junho de 2008, do Gabinete de Segurança Institucional, compete ao Departamento de Segurança da Informação e Comunicações - DSIC, estabelecer normas definindo os requisitos metodológicos para implementação da Gestão de Segurança da Informação e Comunicações pelos órgãos e entidades da Administração Pública Federal, direta e indireta.

4. TERMOS E DEFINIÇÕES

Para os efeitos desta norma complementar, aplicam-se os seguintes termos e definições:

4.1 Algoritmo de Estado: função matemática utilizada na cifração e/ou decifração, de propriedade inequívoca do Estado, para uso exclusivo em interesse do serviço de órgãos ou entidades da Administração Pública Federal, direta e indireta;

4.2 Chave criptográfica: valor que trabalha com um algoritmo criptográfico para cifração e/ou decifração.

4.3 Cifração: ato de cifrar mediante o uso de algoritmo simétrico ou assimétrico, utilizando recurso criptográfico, a fim de substituir sinais de uma linguagem clara por outros ininteligíveis para aqueles que não estejam autorizados a conhecê-la;

4.4 Decifração: ato de decifrar mediante o uso de algoritmo simétrico ou assimétrico, utilizando recurso criptográfico, a fim de reverter o processo de cifração original;

4.5 Recurso Criptográfico: sistemas, programas, processos e equipamento isolado ou em rede que utiliza algoritmo simétrico ou assimétrico para realizar a cifração ou decifração.

5. ORIENTAÇÕES ESPECÍFICAS

Para fins de utilização de recursos criptográficos pelos órgãos e entidades da Administração Pública Federal, direta e indireta, além da legislação aplicável, deverão ser observados os seguintes procedimentos:

5.1 Recomenda-se o uso de recursos criptográficos baseados em algoritmo de Estado para cifração e decifração nos órgãos e entidades da Administração Pública Federal, direta e indireta;

5.1.1 O agente público, quando da cifração ou decifração no exercício de cargo, função, emprego ou atividade nos órgão ou entidades da Administração Pública Federal, direta e indireta, deve utilizar recurso criptográfico baseado em algoritmo de Estado adotado pelo órgão ao qual está vinculado;

5.2 Os recursos criptográficos baseados em algoritmo de Estado utilizam parâmetros e/ou padrões estabelecidos pelo Gabinete de Segurança Institucional da Presidência da República, por intermédio do Departamento de Segurança da Informação e Comunicações - DSIC, em conjunto com o Centro de Pesquisas e Desenvolvimento para a Segurança das Comunicações - CEPESC da Agência Brasileira de Inteligência - ABIN;

5.3 O uso de recurso criptográfico baseado em algoritmo de Estado é restrito ao agente público e requer treinamento e credenciamento, sob responsabilidade dos órgãos e entidades da Administração Pública Federal, direta e indireta;

5.4 O credenciamento de estrangeiros para uso de recurso criptográfico baseado em algoritmo de Estado deve ser submetido ao Gabinete de Segurança Institucional da Presidência da República por intermédio do Departamento de Segurança da Informação e Comunicações - DSIC;

5.5 A cifração e decifração de informações classificadas e sigilosas devem utilizar recurso criptográfico baseado em algoritmo de Estado em conformidade com os parâmetros mínimos estabelecidos no Anexo B.

5.6 Todo recurso criptográfico constitui uma informação classificada sigilosa e requer procedimentos especiais de controle para o seu acesso, manutenção, armazenamento, transferência, trânsito e descarte, em conformidade com a legislação pertinente;

5.7 É vedado ao usuário de recurso criptográfico nos órgãos e entidades da Administração Pública Federal, direta e indireta:

5.7.1 utilizar recursos criptográficos em desacordo com esta norma, bem como com a legislação em vigor;

5.7.2 utilizar recursos criptográficos diferentes dos padrões definidos pelo órgão ou entidade da Administração Pública Federal, direta e indireta, a que pertence;

5.7.3 impedir ou dificultar, de qualquer forma, a realização das atividades de monitoramento e auditoria dos recursos criptográficos pertencentes ao órgão ou entidade da Administração Pública Federal, direta e indireta.

5.8 Além do disposto nesta norma, os recursos criptográficos que utilizam algoritmos no interesse da segurança e da defesa nacionais podem ser objeto de regulamentação específica.

6. VIGÊNCIA

Esta norma entra em vigor na data de sua publicação

Modelo de Termo de Uso de Recurso Criptográfico

SERVIÇO PÚBLICO FEDERAL

(Nome do órgão ou entidade da APF)

TERMO DE USO DE RECURSO CRIPTOGRÁFICO

Pelo presente instrumento, eu _______________________________, CPF _______________, identidade ___________________, expedida pelo _____________________, em ____________________, e lotado no(a) ____________________________________________________ deste (Nome do órgão ou entidade), DECLARO, sob pena das sanções cabíveis e nos termos da _____________ (legislação vigente) que TENHO conhecimento sobre o uso do recurso criptográfico sob minha responsabilidade, sendo vedado seu uso:

I) para fins diversos dos funcionais ou institucionais;

II) para interceptar ou tentar interceptar transmissão de dados ou informações não destinados ao seu próprio acesso por quaisquer meios;

III) para tentar ou efetuar a interferência em serviços de outros usuários ou o seu bloqueio por quaisquer meios;

IV) para violar ou tentar violar os recursos de segurança dos equipamentos que utilizem recursos criptográficos;

V) para cifração ou decifração de informações ilícitas, entre os quais, materiais obscenos, ofensivos, ilegais, não éticos, ameaças, difamação, injúria, racismo ou quaisquer que venham a causar molestamento, tormento ou danos a terceiros;

VI) de forma inadequada, expondo-o a choques elétricos ou magnéticos, líquidos ou outros fatores que possam vir a causar-lhes danos, incluindo testes de invasão/intrusão/penetração, teste de quebra de senhas, teste de quebra de cifração, e teste de técnicas de invasão e defesa entre outros;

Local, UF, ______de ___________________de _______.

_________________________________

Assinatura

Nome do usuário e seu setor organizacional

Parâmetros mínimos para algoritmo de Estado

TABELA I - Tamanho da chave:

TABELA II - Algoritmos de bloco:

TABELA III - Algoritmos seqüenciais: