A norme permite, sob condições rigorosas de segurança, controle e auditoria, o uso de soluções tecnológicas avançadas compatíveis com os parâmetros internacionais mais exigentes
O Gabinete de Segurança Institucional da Presidência da República (GSI/PR) publicou a Instrução Normativa que regulamenta o tratamento de informações classificadas em ambientes de computação em nuvem no âmbito da Administração Pública Federal.
A norma representa um marco na modernização das normas de segurança da informação, ao permitir, sob condições rigorosas de segurança, controle e auditoria, o uso de soluções tecnológicas avançadas compatíveis com os parâmetros internacionais mais exigentes.
A publicação ocorre em um contexto de crescente transformação digital do setor público, em que a escalabilidade, interoperabilidade e redução de custos operacionais tornaram a computação em nuvem um pilar estratégico. A nova norma foi elaborada pelo Departamento de Segurança da Informação da Secretaria de Segurança da Informação e Cibernética do GSI/PR, com ampla participação de órgãos estratégicos de segurança do Estado e sociedade, notadamente do Sistema Brasileiro de Inteligência.
A nova norma estabelece critérios técnicos e organizacionais para que o tratamento de informação classificada em grau reservado e secreto possa ser realizado em ambientes de nuvem privada ou comunitária, exclusivamente em datacenters localizados no território nacional e operados por provedores previamente habilitados e auditados.
O uso de nuvem pública e híbrida permanece vedado e a norma mantém a restrição ao tratamento de informações classificadas no grau ultrassecreto em ambientes de nuvem. Ainda, a norma revoga a disposição da Instrução Normativa GSI/PR nº 5/2021, que vedava o uso de computação em nuvem para o tratamento de informação classificada.
Entre os requisitos exigidos para a utilização da nuvem para tratamento de informação classificada, destacam-se: isolamento de ambientes, criptografia baseada em algoritmo de Estado, gestão de chaves exclusiva por parte do órgão contratante, autenticação multifator, monitoramento contínuo, controles de acesso rigorosos e vedação de acesso do provedor ao conteúdo das informações classificadas. Os provedores interessados devem atender a exigências de certificação, estrutura dedicada, e habilitação de segurança como órgão de registro ou posto de controle, nos termos do Decreto nº 7.845/2012, que regulamenta a proteção da informação classificada prevista na Lei de Acesso à Informação.
A norma também detalha as responsabilidades dos órgãos contratantes e dos provedores de serviços, prevendo mecanismos de fiscalização, auditoria anual, capacitação de pessoal credenciado, comunicação de incidentes e preservação de evidências em caso de quebra de segurança.
“Trata-se de um marco na soberania digital do Brasil e um passo estratégico que equilibra inovação tecnológica com segurança da informação, garantindo que o Estado brasileiro possa exercer suas funções estratégicas de forma segura, eficaz e compatível com os desafios do mundo digital”, conforme destaca Danielle Ayres, Diretora de Segurança da Informação.
A nova Instrução Normativa entrará em vigor na data de sua publicação no Diário Oficial da União e faz parte do conjunto de medidas previstas pela Política Nacional de Segurança da Informação (PNSI), reforçando o compromisso do Governo Federal com a soberania digital, a proteção da informação de Estado e a resiliência cibernética do país.