Na segunda-feira, o governo publicou uma revisão da norma sobre o tratamento das informações no âmbito da administração federal. Entre as principais modificações estão a exigência da identificação da pessoa ou do órgão responsável por determinada informação, e a ampliação do uso de criptografia de Estado. Devido à segurança, também foi descartado o privilégio de adoção de formatos abertos e não proprietários.
Esta foi a primeira revisão da Norma 20, do Departamento de Segurança da Informação e Comunicações – documento que trata de diretrizes de segurança do processo de tratamento da informação. Ela abrange das regras a serem seguidas por todos os órgãos públicos federais sobre acesso, classificação e tratamento de informações.
Uma das alterações parece atingir diretamente o estímulo ao software livre. Na versão original, “os órgãos e entidades da APF (Administração Pública Federal) deverão priorizar a adoção de formatos abertos e não proprietários, sempre que possível, para preservar as informações digitais e permitir seu amplo acesso, conforme padrões de interoperabilidade do Governo Eletrônico”.
O texto revisado não inclui mais nenhuma menção aos “formatos abertos e não proprietários”, muito menos a prioridade de adoção dos mesmos. Em seu lugar, a referência ficou restrita a: “Recomenda-se a observância dos padrões de interoperabilidade do Governo Eletrônico”.
No campo criptográfico, as regras do DSIC já previam que informações sigilosas devem ser submetidas à criptografia que utilize algoritmo de Estado – ou seja, um sistema criptográfico desenvolvido dentro do governo. Vale dizer, com uso dos algoritmos do Centro de Pesquisas e Desenvolvimento para a Segurança das Comunicações, Cepesc, ligado à Abin.
Com a revisão, qualquer informação classificada deve ser “produzida e custodiada”, “armazenada em meios eletrônicos” sempre com “uso de criptografia baseada em algoritmo de Estado”. Mais do que isso, mesmo no “transporte, transmissão e distribuição de mídias que contenham informação sigilosa” precisa ser usada a criptografia.
A norma revisada inclui conceitos novos como do “custodiante da informação” – qualquer indivíduo ou estrutura do órgão “que tenha a responsabilidade formal de proteger a informação” – de “informação pessoal” ou ainda “proprietário da informação” – o indivíduo que, pelo cargo que ocupa, é o responsável pela sobrevivência da informação.
Com informações de Convergência Digital