(D. O. 14-06-2000)
Atualizada(o) até:
Decreto 9.637, de 26/12/2018, art. 22 (Revogação total).
Decreto 8.097, de 04/09/2013, art. 1º (art. 7º).
Decreto 5.495, de 20/07/2005 (art. 7º, XIV, XV eXVI).
Decreto 5.110, de 18/06/2004 (art. 7º, XIII).
Decreto 7.579, de 11/10/2011 (Sistema de Administração dos Recursos de Tecnologia da Informação - SISP, do Poder Executivo federal)O Presidente da República, no uso da atribuição que lhe confere o art. 84, inciso IV, da Constituição, e tendo em vista o disposto na Lei 8.159, de 08/01/91, e no Decreto 2.910, de 29/12/98, Decreta:
- Fica instituída a Política de Segurança da Informação nos órgãos e nas entidades da Administração Pública Federal, que tem como pressupostos básicos:
I - assegurar a garantia ao direito individual e coletivo das pessoas, à inviolabilidade da sua intimidade e ao sigilo da correspondência e das comunicações, nos termos previstos na Constituição;
II - proteção de assuntos que mereçam tratamento especial;
III - capacitação dos segmentos das tecnologias sensíveis;
IV - uso soberano de mecanismos de segurança da informação, com o domínio de tecnologias sensíveis e duais;
V - criação, desenvolvimento e manutenção de mentalidade de segurança da informação;
VI - capacitação científico-tecnológica do País para uso da criptografia na segurança e defesa do Estado; e
VII - conscientização dos órgãos e das entidades da Administração Pública Federal sobre a importância das informações processadas e sobre o risco da sua vulnerabilidade.
- Para efeitos da Política de Segurança da Informação, ficam estabelecidas as seguintes conceituações:
I - Certificado de Conformidade: garantia formal de que um produto ou serviço, devidamente identificado, está em conformidade com uma norma legal;
II - Segurança da Informação: proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento.
- São objetivos da Política da Informação:
I - dotar os órgãos e as entidades da Administração Pública Federal de instrumentos jurídicos, normativos e organizacionais que os capacitem científica, tecnológica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o não-repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sensíveis;
II - eliminar a dependência externa em relação a sistemas, equipamentos, dispositivos e atividades vinculadas à segurança dos sistemas de informação;
III - promover a capacitação de recursos humanos para o desenvolvimento de competência científico-tecnológica em segurança da informação;
IV - estabelecer normas jurídicas necessárias à efetiva implementação da segurança da informação;
V - promover as ações necessárias à implementação e manutenção da segurança da informação;
VI - promover o intercâmbio científico-tecnológico entre os órgãos e as entidades da Administração Pública Federal e as instituições públicas e privadas, sobre as atividades de segurança da informação;
VII - promover a capacitação industrial do País com vistas à sua autonomia no desenvolvimento e na fabricação de produtos que incorporem recursos criptográficos, assim como estimular o setor produtivo a participar competitivamente do mercado de bens e de serviços relacionados com a segurança da informação; e
VIII - assegurar a interoperabilidade entre os sistemas de segurança da informação.
- Para os fins deste Decreto, cabe à Secretaria-Executiva do Conselho de Defesa Nacional, assessorada pelo Comitê Gestor da Segurança da Informação de que trata o art. 6º, adotar as seguintes diretrizes:
I - elaborar e implementar programas destinados à conscientização e à capacitação dos recursos humanos que serão utilizados na consecução dos objetivos de que trata o artigo anterior, visando garantir a adequada articulação entre os órgãos e as entidades da Administração Pública Federal;
II - estabelecer programas destinados à formação e ao aprimoramento dos recursos humanos, com vistas à definição e à implementação de mecanismos capazes de fixar e fortalecer as equipes de pesquisa e desenvolvimento, especializadas em todos os campos da segurança da informação;
III - propor regulamentação sobre matérias afetas à segurança da informação nos órgãos e nas entidades da Administração Pública Federal;
IV - estabelecer normas relativas à implementação da Política Nacional de Telecomunicações, inclusive sobre os serviços prestados em telecomunicações, para assegurar, de modo alternativo, a permanente disponibilização dos dados e das informações de interesse para a defesa nacional;
V - acompanhar, em âmbito nacional e internacional, a evolução doutrinária e tecnológica das atividades inerentes à segurança da informação;
VI - orientar a condução da Política de Segurança da Informação já existente ou a ser implementada;
VII - realizar auditoria nos órgãos e nas entidades da Administração Pública Federal, envolvidas com a política de segurança da informação, no intuito de aferir o nível de segurança dos respectivos sistemas de informação;
VIII - estabelecer normas, padrões, níveis, tipos e demais aspectos relacionados ao emprego dos produtos que incorporem recursos critptográficos, de modo a assegurar a confidencialidade, a autenticidade, a integridade e o não-repúdio, assim como a interoperabilidade entre os Sistemas de Segurança da Informação;
IX - estabelecer as normas gerais para o uso e a comercialização dos recursos criptográficos pelos órgãos e pelas entidades da Administração Pública Federal, dando-se preferência, em princípio, no emprego de tais recursos, a produtos de origem nacional;
X - estabelecer normas, padrões e demais aspectos necessários para assegurar a confidencialidade dos dados e das informações, em vista da possibilidade de detecção de emanações eletromagnéticas, inclusive as provenientes de recursos computacionais;
XI - estabelecer as normas inerentes à implantação dos instrumentos e mecanismos necessários à emissão de certificados de conformidade no tocante aos produtos que incorporem recursos criptográficos;
XII - desenvolver sistema de classificação de dados e informações, com vistas à garantia dos níveis de segurança desejados, assim como à normatização do acesso às informações;
XIII - estabelecer as normas relativas à implementação dos Sistemas de Segurança da Informação, com vistas a garantir a sua interoperabilidade e a obtenção dos níveis de segurança desejados, assim como assegurar a permanente disponibilização dos dados e das informações de interesse para a defesa nacional; e
XIV - conceber, especificar e coordenar a implementação da infra-estrutura de chaves públicas a serem utilizadas pelos órgãos e pelas entidades da Administração Pública Federal.
- À Agência Brasileira de Inteligência - ABIN, por intermédio do Centro de Pesquisa e Desenvolvimento para a Segurança das Comunicações - CEPESC, competirá:
I - apoiar a Secretaria-Executiva do Conselho de Defesa Nacional no tocante a atividades de caráter científico e tecnológico relacionadas à segurança da informação; e
II - integrar comitês, câmaras técnicas, permanentes ou não, assim como equipes e grupos de estudo relacionados ao desenvolvimento das suas atribuições de assessoramento.
- Fica instituído o Comitê Gestor da Segurança da Informação, com atribuição de assessorar a Secretaria-Executiva do Conselho de Defesa Nacional na consecução das diretrizes da Política de Segurança da Informação nos órgãos e nas entidades da Administração Pública Federal, bem como na avaliação e análise de assuntos relativos aos objetivos estabelecidos neste Decreto.
- O Comitê será integrado por um representante de cada Ministério e órgãos a seguir indicados:
I - Ministério da Justiça;
II - Ministério da Defesa;
III - Ministério das Relações Exteriores;
IV - Ministério da Fazenda;
V - Ministério da Previdência Social;
Decreto 8.097, de 04/09/2013, art. 1º (Nova redação ao inc. V).Redação anterior: [V - Ministério da Previdência e Assistência Social;]
VI - Ministério da Saúde;
VII - Ministério do Desenvolvimento, Indústria e Comércio Exterior;
VIII - Ministério do Planejamento, Orçamento e Gestão;
IX - Ministério das Comunicações;
X - Ministério da Ciência, Tecnologia e Inovação;
Decreto 8.097, de 04/09/2013, art. 1º (Nova redação ao inc. X).Redação anterior: [X - Ministério da Ciência e Tecnologia;]
XI - Casa Civil da Presidência da República; e
XII - Gabinete de Segurança Institucional da Presidência da República, que o coordenará;
Decreto 8.097, de 04/09/2013, art. 1º (Nova redação ao inc. XII).Redação anterior: [XII - Gabinete de Segurança Institucional da Presidência da República, que o coordenará.]
XIII - Secretaria de Comunicação Social da Presidência da República;
Decreto 8.097, de 04/09/2013, art. 1º (Nova redação ao inc. XIII).Redação anterior (acrescentado pelo Decreto 5.110, de 18/06/2004): [XIII - Secretaria de Comunicação de Governo e Gestão Estratégica da Presidência da República.]
Decreto 5.110, de 18/06/2004 (Acrescenta o inc. XIII).XIV - Ministério de Minas e Energia;
Decreto 8.097, de 04/09/2013, art. 1º (Nova redação ao inc. XIV).Redação anterior (acrescentado pelo Decreto 5.495, de 20/07/2005): [XIV - Ministério de Minas e Energia;]
Decreto 5.495, de 20/07/2005 (Acrescenta o inc. XIV).XV - Controladoria-Geral da União;
Decreto 8.097, de 04/09/2013, art. 1º (Nova redação ao inc. XV).Redação anterior (acrescentado pelo Decreto 5.495, de 20/07/2005): [XV - Controladoria-Geral da União; e]
Decreto 5.495, de 20/07/2005 (Acrescenta o inc. XV).XVI - Advocacia-Geral da União; e
Decreto 8.097, de 04/09/2013, art. 1º (Nova redação ao inc. XVI).Redação anterior (acrescentado pelo Decreto 5.495, de 20/07/2005): [XVI - Advocacia-Geral da União.]
Decreto 5.495, de 20/07/2005 (Acrescenta o inc. XVI).XVII - Secretaria-Geral da Presidência da República.
Decreto 8.097, de 04/09/2013, art. 1º (Acrescenta o inc. XVII).§ 1º - Os membros do Comitê Gestor serão designados pelo Chefe do Gabinete de Segurança Institucional da Presidência da República, mediante indicação dos titulares dos Ministérios e órgãos representados.
§ 2º - Os membros do Comitê Gestor não poderão participar de processos similares de iniciativa do setor privado, exceto nos casos por ele julgados imprescindíveis para atender aos interesses da defesa nacional e após aprovação pelo Gabinete de Segurança Institucional da Presidência da República.
§ 3º - A participação no Comitê não enseja remuneração de qualquer espécie, sendo considerada serviço público relevante.
§ 4º - A organização e o funcionamento do Comitê serão dispostos em regimento interno por ele aprovado.
§ 5º - Caso necessário, o Comitê Gestor poderá propor a alteração de sua composição.
- Este Decreto entra em vigor na data de sua publicação.
Brasília, 13/06/2000. 179º da Independência e 112º da República. Fernando Henrique Cardoso - José Gregori - Geraldo Magela da Cruz Quintão - Luiz Felipe Lampreia - Pedro Malan - Waldeck Ornélas - José Serra - Alcides Lopes Tápias - Martus Tavares - Pimenta da Veiga - Ronaldo Mota Sardenberg - Pedro Parente - Alberto Mendes Cardoso