O Gabinete de Segurança Institucional da Presidência da República (GSI/PR) publicou uma Instrução Normativa para o tratamento de informações classificadas em ambientes de computação em nuvem no âmbito da Administração Pública Federal. Segundo a nota divulgada nesta terça-feira (7) a regulação permite, com medidas de segurança, o controle e auditoria, o uso de soluções de TI compatíveis com os parâmetros internacionais.
De acordo com a instituição, a nova norma foi elaborada pelo Departamento de Segurança da Informação da Secretaria de Segurança da Informação e Cibernética do GSI/PR, com participação de órgãos de segurança do Estado e sociedade, notadamente do Sistema Brasileiro de Inteligência. E também que a regra estabelece critérios técnicos e organizacionais para que o tratamento de informação classificada em grau reservado para que possa ser realizado em ambientes de nuvem privada ou comunitária, com exclusividade em datacenters localizados no território nacional e operados por provedores previamente habilitados e auditados.
“O uso de nuvem pública e híbrida permanece vedado e a norma mantém a restrição ao tratamento de informações classificadas no grau ultrassecreto em ambientes de nuvem. Ainda, a norma revoga a disposição da Instrução Normativa GSI/PR nº 5/2021, que vedava o uso de computação em nuvem para o tratamento de informação classificada”, explica o comunicado.
Além disso, entre o que é exigido para a utilização da nuvem para tratamento de informação classificada é destacado o isolamento de ambientes, criptografia baseada em algoritmo de Estado, gestão de chaves exclusiva por parte do órgão contratante, autenticação multifator, monitoramento contínuo, controles de acesso rigorosos e vedação de acesso do provedor ao conteúdo das informações classificadas. A norma reforça com detalhes as responsabilidades dos contratantes e dos provedores de serviços, prevendo mecanismos de fiscalização, auditoria anual, capacitação de pessoal credenciado, comunicação de incidentes e preservação de evidências em caso de quebra de segurança.
