Upload
brasscom
View
127
Download
1
Embed Size (px)
Citation preview
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060
Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 1/11
MINISTÉRIO DO PLANEJAMENTO, ORÇAMENTO E GESTÃO
CONSULTA PÚBLICA – REQUISITOS DE SEGURANÇA E CONFORMIDADE PARA SERVIÇO DE
CORREIO ELETRÔNICO | EPING
CONTRIBUIÇÕES DA BRASSCOM, ASSOCIAÇÃO BRASILEIRA DAS EMPRESAS DE
TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO
São Paulo, 26 de fevereiro de 2016
INTRODUÇÃO
A Brasscom, Associação Brasileira das Empresas de Tecnologia da Informação e
Comunicação, entidade que congrega seleto grupo de empresas fornecedoras de software,
hardware, soluções e serviços de tecnologia da informação e comunicação (TIC), tem como missão
trabalhar em prol do desenvolvimento do setor, disseminando seu alcance e potencializando seus
efeitos sobre a economia e o bem-estar social.
Em estreita sintonia com as tendências de mercado e com as principais preocupações no
âmbito governamental, a Brasscom sente-se honrada pela oportunidade de contribuir na
Consulta Pública, ora em andamento, sobre os requisitos de segurança e conformidade para
serviço de Correio Eletrônico da Administração Pública Federal (APF), em linha com o espírito de
aperfeiçoar a gestão da segurança da informação e comunicação no âmbito do Governo Federal.
Neste ínterim, a Brasscom parabeniza o Ministério do Planejamento, Orçamento e Gestão (MPOG)
e demais órgãos que compõem o Sistema de Administração dos Recursos de Tecnologia da
Informação (SISP), pela iniciativa de dialogar com o setor produtivo na busca do melhor
entendimento para a implementação das diretrizes traçadas pelo Decreto Presidencial nº
8135/2013.
IMPORTÂNCIA DE PADRÕES GLOBAIS NA SEGURANÇA DA INFORMAÇÃO
Cientes que a informação é atualmente considerada como ativo estratégico tanto para
organizações privadas quanto para os Governos ao redor do mundo, entendemos que a gestão
da segurança da informação e comunicação e a proteção destas, ante as tentativas de violação
por parte de atores não autorizados, tornou-se um desafio global. Neste sentido, para se alcançar
o sucesso na implementação de meios para garantir a segurança da informação e comunicação
no âmbito do Governo Federal, torna-se essencial a adoção de medidas alinhadas com as práticas
empregadas mundialmente, ou, do contrário, o Brasil corre o risco de isolamento, aumentando
os desafios para o desenvolvimento e manutenção da higidez e da inviolabilidade da informação
pública, bem como inibindo o crescimento do setor de TIC no País.
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060
Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 2/11
Sabemos que os sistemas de TIC são compostos por hardwares e softwares desenvolvidos
e produzidos com base em padrões internacionais de tecnologia com apenas algumas mínimas
variações de acordo com o país ou região. No tocante às comunicações de dados, é a aderência
aos padrões internacionais que garante a interoperabilidade no âmbito da infraestrutura digital
global. Por esta razão, empresas de todo o mundo têm acesso aos mercados globais para seus
produtos de TIC. Assim sendo, é recomendável que os processos para avaliação de segurança de
produtos de TIC a serem adotados pelo Governo Federal harmonizem-se com os padrões de
avaliação empregados internacionalmente, promovendo eficiência, gerando maior
desenvolvimento da indústria nacional, bem como crescimento dos investimentos em pesquisa e
inovação no setor de TIC no Brasil.
Em relação à gestão da segurança da informação e comunicação no âmbito da APF, desde
a publicação do Decreto Presidencial nº 8.135/2013 e da subsequente Portaria Interministerial nº
141, de 2 de maio de 2014, a Brasscom tem se manifestado no sentido de alertar para a sua
complexidade e oferecer sugestões de abordagem. Neste contexto, reiteramos que o Common
Criteria (CC), padrão de certificação global internacionalmente reconhecido, é o processo de
certificação que melhor atende às questões centrais de segurança da informação no âmbito da
APF, tanto em função da sua generalidade e abertura para acomodar especificidades, quanto em
razão do caráter essencialmente descentralizado do ecossistema de suas entidades certificadoras
e da sua aceitação por diversos países.
O Common Criteria Recognition Arrangement (CCRA) é o acordo multilateral que prevê
o reconhecimento mútuo de produtos avaliados pelos Governos signatários. Os produtos são
avaliados por laboratórios competentes e licenciados de forma independente. Os certificados
para produtos avaliados podem ser emitidos por uma série de Entidades Certificadoras, as quais
garantem que as avaliações executadas, para determinado produto, em um cenário de uso
específico, sejam realizadas de acordo com a metodologia de testes do CC.
O CC está baseado na Norma ISO/IEC 15.408, definida por órgão internacional1 ao qual o
Brasil é signatário, e configura-se como uma linguagem comum que permite a avaliação de
características de segurança e parâmetros de garantia de produtos de TIC, incluindo hardware,
firmware e software. O processo de avaliação testa a funcionalidade de um determinado produto
de segurança de TIC e se as medidas de garantia aplicáveis a esses produtos atendem às
exigências específicas. Esta certificação é utilizada em países como Alemanha, França e Índia,
1 International Organization for Standardization (ISO) - A lista de países membros está disponível em
http://www.iso.org/iso/home/about/iso_members.htm. Ressaltamos que o Brasil está representado na ISO (Organização
Internacional de Normatização) desde 1940, por intermédio da ABNT (Associação Brasileira de Normas Técnicas), que é
membro fundadora da ISO, a qual por sua vez é membro da IEC (International Electrotechnical Commission).
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060
Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 3/11
dentre outros, como uma alternativa isenta e aceitável de certificação de soluções de tecnologia
da informação e comunicação a serem contratadas pelos Governos.
A adoção da já citada Norma ISO/IEC é funcional e valiosa, dado que fornece requisitos,
especificações, diretrizes e características que podem ser usados de forma consistente para
assegurar que os materiais, produtos, processos e serviços são adequados para os fins a que se
destinam. A utilização de Normas Internacionais garante que os produtos e serviços são seguros,
confiáveis e de boa qualidade. Para o setor de TIC, tratam-se de ferramentas estratégicas que
otimizam recursos, assim como ampliam a competitividade nacional. Assim, ressaltamos a
eficiência e economicidade que a adoção por parte da APF ao CC trará ao país, sobretudo em
matéria financeira, uma vez que a criação de uma certificação local gerará mais custos e dificultará
a oferta de produtos de TIC por um maior número de empresas ao Governo Federal.
Observamos que os documentos elaborados pelo MPOG disponibilizados nesta Consulta
Pública reproduzem os denominados “Protection Profiles”, trasladados do referido padrão
internacional para o português. Este documento, objeto da presente consulta pública, é elaborado
por órgão competente da APF, para tratar de aspectos técnicos das soluções de TIC a serem
adquiridas por qualquer órgão da APF, incluindo os requisitos de segurança e conformidade de
equipamentos, softwares e soluções, bem como cenários de uso e questões organizacionais dos
órgãos contratantes, visando a inexistência de qualquer vínculo com agências governamentais de
outras jurisdições, o que seria, em tese, plenamente aderente às necessidades específicas da APF.
Entretanto, há que se ponderar que a replicação de um sistema de certificação internacional em
âmbito pátrio, que já conta com uma expressiva lista de entidades certificadoras, públicas e
privadas, de diversos países, é um esforço desproporcional em relação ao benefício almejado.
Outros países, em situação similar à do Brasil, já aderiram ao padrão Common Criteria,
especificando Protection Profiles específicos para suas necessidades de segurança nacional. Pela
escala do seu mercado doméstico, o Brasil, caso aderisse a este ecossistema global, teria
condições e legitimidade técnica e econômica de aspirar, inclusive, a receber investimentos para
o estabelecimento de um centro global de certificação. A orientação adotada pelo Governo
Federal nesta matéria não aproveita tal oportunidade, e, em consequência, deverá enfrentar o
risco da inviabilização econômico-financeira da estratégia em curso.
Outrossim, verificamos que o texto da Consulta Pública ora em discussão reitera, em seu
bojo, a imposição de abertura do código fonte do software relativo ao serviço de correio
eletrônico. Em oportunidades anteriores a Brasscom posicionou-se sobre esta questão,
ressaltando que tal medida gera insegurança jurídica em relação à proteção da propriedade
intelectual e aos direitos autorais dos fornecedores de software, hardware e firmware. Tais
provedores, que investem expressivos montantes em pesquisa, desenvolvimento e inovação
tecnológica e têm seus negócios lastreados na proteção da propriedade intelectual, podem se ver
desestimulados a fornecer para o poder público brasileiro. Tal situação seria altamente
desvantajosa para o Brasil, principalmente ante a constatação que as tecnologias de invasão e
violação da segurança da informação evoluem em velocidade e sofisticação frenéticas. O possível
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060
Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 4/11
alijamento quanto ao acesso ao estado da arte em termos de tecnologia da informação,
comunicação e gestão de segurança, por conta de debilidade na proteção da propriedade
intelectual consubstanciada em software e firmware, é altamente prejudicial aos melhores
interesses públicos do País. Destarte, não faz sentido a insistência na obrigatoriedade da abertura
de código fonte e o detalhamento de possíveis procedimentos de auditoria, enquanto não for
equacionado e superado o obstáculo da insegurança jurídica quanto à proteção da propriedade
intelectual dos provedores de software, hardware e firmware que venham a fornecer para a APF.
Destacamos também o excessivo foco na abordagem brasileira sobre o processo de
auditoria de programas e equipamentos, em detrimento dos riscos de segurança digital advindos
de pessoas, processos e forma de utilização de determinado item tecnológico. De modo a
assegurar os objetivos aprimorados de segurança em dados e sistemas de informação e
comunicação, torna-se imperativo a atenção em relação à gestão de risco de segurança.
Conforme posicionamento anterior, a construção de efetiva segurança da informação passa por
uma visão holística assentada em três importantes pilares: (i) emprego massivo de encriptação,
para garantir a segurança tanto na comunicação quanto no armazenamento de dados; (ii)
segurança dos sistemas e da Infraestrutura; e (iii) governança e operação da segurança.
NOTAÇÃO DAS ALTERAÇÕES PROPOSTAS E RESPECTIVAS JUSTIFICATIVAS
Este documento apresenta propostas de alteração do texto submetido à consulta pública
que são acompanhadas de sucintas justificativas e comentários sobre aspectos restritivos nos
itens relacionados ao ADA (Alvo de Avaliação), ao fazer uma comparação dos documentos do
ePING/MPOG aos Protection Profiles/CC. Algumas circunstâncias aludidas neste documento,
referentes à dinâmica dos negócios no mundo digital, demandariam textos substantivamente
mais extensos, para se tornarem compreensíveis. No intuito de melhor fundamentar as
proposições manifestadas neste documento, a Brasscom se coloca à disposição para
esclarecimentos adicionais ou mais detalhados.
Na dicção dos dispositivos transcritos da minuta dos Requisitos de Segurança e
Conformidade para Serviço de Correio Eletrônico, objeto desta Consulta Pública, adota-se a
seguinte notação:
Fragmento de texto taxado
Propõe-se a eliminação do fragmento de texto da minuta do documento;
Fragmento de texto sublinhado
Propõe-se que o fragmento de texto seja acrescentado à minuta do documento.
[...]
Refere-se à manutenção do fragmento de texto original da minuta do
documento.
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060
Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 5/11
PARTE 1 – INTRODUÇÃO
A1.2 Descrição Organizacional do Serviço
O ADA (Alvo de Avaliação) é um serviço de correio eletrônico, com as seguintes
funcionalidades:
[...]
Para a prestação deste serviço estarão disponíveis uma caixa postal por usuário e
catálogo(s) com endereços eletrônicos de contatos e usuários do serviço.
Os usuários e/ou as mensagens deverão ser classificados em, no mínimo, três níveis de
confidencialidade ou restrição ao compartilhamento, desde não-confidencial até
confidencialidade-máxima, em função do cargo ocupado pelo servidor público, ou outro critério
a ser adotado posteriormente. Os requisitos de hospedagem, processamento, armazenamento e
segurança podem ser modulados para cada classe de confidencialidade estabelecida.
Para os graus de confidencialidade mais restritivos, O o serviço estará será hospedado em
uma infraestrutura, física ou virtual, administrada por entidades de governo e será utilizado por
funcionários da administração pública federal.
Para os graus de confidencialidade menos restritivos, o serviço poderá ser hospedado em
infraestrutura de terceiros, física ou virtual, por intermédio de contratos de prestação de serviços
tecnológicos lastreados em acordo de níveis de serviço (ANS) compatíveis com os requisitos de
confidencialidade e restritividade, podendo ser administrados pelos provedores dos serviços
contratados ou por entidades de governo, sendo, em qualquer caso, utilizado por funcionários
da administração pública federal.
Outras funcionalidades que complementam ou estendem o Serviço poderão estar
presentes, mas não estarão no escopo do ADA.
Serviços de AntiSpam, Antivírus e DDOS poderão ser objeto de contratos de prestação de
serviços tecnológicos especializados, lastreados em acordo de níveis de serviço (ANS) compatíveis
com os requisitos de confidencialidade e restritividade.
Justificativas
(1) Conceito de classificação de dados - É importante atrelar o trabalho de classificação
de dados do Governo Federal com serviços de Correio Eletrônico, para que
mensagens sejam classificadas com a mesma tipologia. Em dados classificados como
“não sensíveis”, sugerimos não excluir a possibilidade de armazenar em provedores
externos. Uma opção de critério para classificação de dados nesta situação poderá
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060
Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 6/11
ser o próprio cargo ocupado pelo servidor público, uma vez que nem todos os
funcionários públicos necessitam dos mesmos níveis de segurança. Sua função
determina sua propensão a manipular mensagens atreladas a contextos de
segurança nacional.
(2) Hospedagem do serviço - Também no mesmo parágrafo sugerimos incluir que a
hospedagem do serviço seja feita em infraestrutura física ou virtual, de modo a não
restringir as possibilidades que os avanços das tecnologias empregadas em
datacenters oferecem, em termos de utilização mais eficiente das plataformas de
hardware, em especial de processamento.
(3) Subcontratação de hospedagem - É igualmente importante facultar a utilização de
diferentes modelos de contratação, com acordos de níveis de serviços adequados
aos requisitos, como forma de aproveitar o avanço do estado da arte e reduzir custos
operacionais.
(4) Componentes de AntiSpam, Antivírus e DDOS – Recomenda-se que a APF coteje a
possibilidade de utilizar serviços em nuvem para esses componentes, de forma
independente ao trabalho de classificação de dados para o servidor de caixas postais,
visto que esses componentes possuem características técnicas que viabilizam seu
uso sem comprometer a privacidade das mensagens, desde que os acordos de níveis
de serviço sejam satisfatórios para a APF.
A1.3 Descrição Técnica do Serviço
O ADA será um serviço de correio eletrônico acessível pela Internet através de navegador
e/ou aplicativo-cliente específico desenvolvido para os sistemas operacionais de interesse, desde
que os recursos de segurança presentes no aplicativo-cliente sejam compatíveis ou superiores
aos recursos de segurança disponíveis nos navegadores Web. O usuário terá acesso a todas as
funcionalidades apenas após autenticação. As mensagens do correio eletrônico poderão ser
assinadas digitalmente e criptografadas no envio das mensagens, permitindo a descriptografia
desencriptação na recepção e a verificação da assinatura digital.
[...]
O ADA, deverá empregar, tanto na sua implementação quanto na interoperabilidade com
os serviços de acesso e na integração dos seus componentes, protocolos baseados em padrões
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060
Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 7/11
internacionais abertos, em especial, que estejam em conformidade com RFCs2 emitidas pela IETF3,
tais como: (1) RPC para acesso via aplicativos; (2) SMTP; (3) HTTP4/HTTPS5; (4) RPC com túnel
sobre HTTP; (5) Web Services Application Programming Interface, API, para estender
funcionalidades do ADA para outros serviços e sistemas; (6) SIP6/RTP7; (7) outros protocolos
aplicáveis; (8) novos protocolos padronizados aplicáveis que vierem a ser publicados no futuro.
Justificativas
(1) Aplicativos-clientes: Com a proliferação dos dispositivos móveis de acesso à Internet,
tais como smartphones, tablets e wearables, e a proliferação dos respectivos
sistemas e plataformas operacionais, é importante que a APF não se veja impedida
de adotar as inovações trazidas no âmbito da Transformação Digital.
(2) Protocolos de acesso: É vital garantir a perfeita interoperabilidade entre o ADA e a
infraestrutura de comunicação global na qual estará inserido, sob pena de
isolamento da plataforma e dos serviços de correio eletrônico. Adicionalmente, o
uso de protocolos baseados em padrões abertos garante a independência da APF
com relação a um fornecedor específico, garantindo melhores preços e continuidade
tecnológica a longo prazo, além de facilitar a integração com outros componentes
de tecnologia.
2 Sigla em inglês para “Request for Comments”, documento que integra o IETF e traz especificações de um protocolo ou
tecnologia. As RFCs são publicadas toda vez que um comitê do IETF chega a um resultado consolidado entre as partes
interessadas.
3 Sigla em inglês para “Internet Engineering Task Force” e se refere a uma instituição que desenvolve e promove as normas
da Internet. Em seu site www.ietf.org encontramos as especificações de diversos protocolos associados à implementação
e operação da Internet.
4 Sigla em inglês para “Hyper Text Transfer Protocol”, ou seja, “Protocolo de Transferência de Hipertexto” que é definido
como um protocolo de comunicação entre sistemas da informação que permite a transferência de dados entre redes de
computadores, principalmente na Internet.
5 Sigla em inglês para “Hyper Text Transfer Protocol Secure”, ou seja, “Protocolo de Transferência de Hipertexto Seguro”
que é uma implementação do protocolo HTTP sobre uma camada adicional de segurança que utiliza o protocolo SSL/TLS.
Essa camada adicional permite que os dados sejam transmitidos por meio de uma conexão criptografada e que se
verifique a autenticidade do servidor e do cliente por meio de certificados digitais.
6 Sigla em inglês para “Session Initiation Protocol”, ou seja, “Protocolo de Iniciação e Sessão” que é um protocolo para
sinalização de sessões multimídia, largamente utilizado nas telecomunicações atualmente, o qual é apto a estabelecer,
modificar e terminar estes tipos de sessões.
7 Sigla em inglês para “Real Time Transport Protocol”, ou seja, “Protocolo de Transporte em Tempo Real”, e determina um
formato de pacote padrão para o envio de áudio e vídeo pela Internet.
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060
Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 8/11
A1.3.1 – Ativos de Informação
A arquitetura descrita para o serviço é genérica para abranger diversos sistemas de
correio.
[...]
Servidor de Envio e Recepção de Mensagens é o responsável pelo roteamento das
mensagens internas e para serviços de e-mail externos. Ele se comunica com o Servidor de
Armazenamento de Mensagens, com o Servidor de Diretório para autenticação, resolução de
endereços de recipientes e expansão de listas de recipientes e com o Servidor AntiSpam e
AntiVirus para verificação das mensagens e com o Servidor de Aplicação.
Justificativa
Resolução de endereços de recipientes e expansão de listas de recipientes são
funcionalidades básicas do servidor de correio eletrônico que não foram incorporadas na
definição original.
PARTE 2 - PROBLEMAS DE SEGURANÇA
A2.1. Pressupostos
Neste item são citadas as condições de segurança que se supõe que existam no ambiente
de TI do ADA mas que não se limitam ao escopo do ADA. Desta forma, ameaças não direcionadas
diretamente ao ADA serão tratadas por outros ativos, fora do escopo da avaliação.
[...]
7 - Assume-se que o ADA esteja hospedado em uma zona desmilitarizada de rede (ZDM),
e que possua ativos que tornem o ambiente de rede em que o ADA está hospedado seguro contra
ataques comuns advindos de outras redes. Entre os ativos de rede que podem ser usados para
este fim se destacam sistemas de filtro de conteúdo, sistemas de prevenção de perda de dados
(DLP), Firewall, e sistemas de prevenção de intrusão (IPS).
7-A O servidor de armazenamento de caixas postais de correio eletrônico deverá ser
hospedado ou em um provedor externo de serviços com os níveis adequados de segurança ou
na rede interna da APF.
[...]
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060
Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 9/11
Além dos pressupostos específicos identificados nos itens anteriores, cabe destacar outras
características ou ações de segurança que estão fora do escopo de avaliação do ADA, mas
contribuem de forma indireta, porém significativa, para a segurança na utilização do ADA.
São exemplos dessas características ou ações: Definição de políticas de segurança;
Estabelecimento de uma estrutura de gerenciamento da segurança da informação; [...] e Promover
a conformidade com requisitos legais e contratuais [ABNT NBR ISO/IEC 27002, 2013].
Em adição aos pressupostos dispostos e exemplificados, os seguintes pressupostos
relacionados ao ADA devem ser também considerados: (a) Inclusão em contrato de suporte 24x7;
(b) Possibilidade de efetivar atualizações de versões de todos os fornecedores que entregam seus
componentes, garantindo a segurança da operação, atualizações de software e o SLA14 de
prestação de serviços de suporte técnico; (c) Possuir serviços de backup e recuperação de dados
que possibilitam o retorno de mensagens individuais.
Justificativas
(1) Armazenamento de Caixas Postais de Correio Eletrônico: É necessário que o servidor
de armazenamento de caixas postais de correio eletrônico seja hospedado ou em
um provedor externo de serviços com os níveis adequados de segurança ou na rede
interna da APF. Armazená-lo em uma rede desmilitarizada pode acarretar em
exploração de falhas de serviços permitidos que comprometa a segurança das
mensagens. Para os demais componentes da arquitetura, não há problemas em
hospedá-los em uma rede ZDM15.
(2) Pressupostos adicionais: Recomendamos a inclusão no documento dos
pressupostos adicionais supracitados relacionados ao ADA, uma vez que são
importantes medidas para garantir a segurança das informações e comunicação do
serviço de correio eletrônico da APF.
14 Um Acordo de Nível de Serviço (ANS ou SLA, do inglês “Service Level Agreement”) é um acordo firmado entre a área
de TI e seu cliente interno, que descreve o serviço de TI, suas metas de nível de serviço, além dos papéis e
responsabilidades das partes envolvidas no acordo.
15 ZDM ou DMZ (sigla em inglês para “DeMilitarized Zone” ou “Zona Desmilitarizada”), é uma sub-rede que, dependendo
da ocasião, pode ser uma sub-rede física ou lógica que contém e expõe serviços externos de uma organização para acesso
a uma rede maior não confiável, por exemplo, a Internet. Recomendamos o uso do termo em inglês, como é conhecido
internacionalmente e pelo setor.
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060
Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 10/11
PARTE 3 - OBJETIVOS DE SEGURANÇA
A3 - Objetivos de segurança
[...]
Devem ser descritos todos os objetivos de segurança do perfil de proteção para um tipo
de ADA e eventuais objetivos de segurança adicionais para uma implementação específica de
ADA.
São objetivos de segurança do ADA:
(1) Prevenir acesso não-autorizado para objetos armazenados no seu servidor de caixas
postais, baseados na identidade dos usuários. Assim sendo, o ADA deverá prover
mecanismos de controle de acesso para caixas de correio privadas e diretórios
públicos para que apenas pessoas autorizadas possam ler, modificar ou deletar
mensagens e documentos;
(2) Prover a capacidade de rejeitar conexões SMTP17 baseado no endereço IP ou
hostname do servidor remoto, usando listas brancas e negras configuradas pelo
administrador, com o objetivo de reduzir o nível de SPAM. O ADA deverá ainda ser
capaz de estabelecer o nível de reputação dos servidores SMTP remotos, utilizando
estes níveis em configurações de bloqueio de entrada de SPAMs, se desejado;
(3) Ser capaz de restringir a entrega e roteamento de correio eletrônico para grupos de
distribuição, permitindo a entrega de mensagens para grupos de distribuição apenas
oriundas de usuários autenticados e autorizados. Adicionalmente, o administrador
deverá ser capaz de configurar quais usuários podem enviar mensagens a
determinados grupos de distribuição;
(4) Permitir a restrição de fluxo de mensagens baseados nos seguintes atributos:
emissores, destinatários (incluindo CCs), assunto, classificação, cabeçalho, nome do
anexo, tamanho do anexo e também por palavras-chave contidas no assunto ou
corpo da mensagem. Adicionalmente, o ADA deverá restringir, de acordo com as
17 Sigla em inglês para “Simple Mail Transfer Protocol”, ou seja, “Protocolo de transferência de correio simples”, que é o
protocolo padrão para envio de e-mails através da Internet.
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, conj. 151, Vila Olímpia, São Paulo, SP, CEP 04551-060
Brasscom-DOC-2016-011 (CP ePING_Correio EletrônicoI) v30 11/11
premissas do administrador, determinados tipos de anexos baseado em seu MIME-
TYPE18;
(5) Ser capaz de enviar comandos de limpeza total (wipe) para dispositivos móveis
compatíveis, visando garantir a remoção de mensagens em dispositivos perdidos
e/ou de pessoas afastadas;
(6) Garantir o controle e gestão dos dispositivos, através de soluções de MDM19, como
parte das premissas essenciais de garantia de segurança do ADA.
Justificativa
Os objetivos supracitados são fundamentais para o pleno funcionamento e garantia da
segurança das informações e comunicação do serviço de correio eletrônico da APF.
CONSIDERAÇÕES FINAIS
Reiteramos nosso interesse e disposição, no melhor espírito público, para oferecer
contribuições relevantes sobre a regulamentação do Decreto Presidencial nº 8.135/2013,
registrando protestos pela estima e consideração.
18 Sigla em inglês para “Multipurpose Internet Mail Extensions”, que se refere à um padrão da Internet para o formato das
mensagens de correio eletrônico. Este padrão estende o formato de protocolo de transferência do correio simples (SMTP)
dos e-mails para inserir diferentes tipos de conteúdo, sendo eles em texto ou não.
19 Sigla em inglês para “Mobile Device Management” que é o termo utilizado pelo mercado para administração de
dispositivos móveis, como smartphones, tablets, laptops e computadores desktops.