Resolução n.º 5/90, de 28 de Fevereiro de 1990
Resolução do Conselho de Ministros n.º 5/90 As presentes instruções têm como objectivo garantir a segurança nos sistemasinformáticos.
A diversidade e evolução dos equipamentos e programas dos sistemas informáticos não se coaduna com o estabelecimento de normas rígidas que prevejam todas as situações. Entendeu-se, por isso, estabelecer um conjunto de regras suficientemente flexível, de forma a deixar à Autoridade Nacional de Segurança a possibilidade de, caso a caso, apreciar a oportunidade das medidas a aplicar.
A Autoridade Nacional de Segurança é a entidade responsável pela segurança nos sistemas informáticos, como resulta das competências que lhe são atribuídas, nomeadamente pelos SEGNACs 1 e 2, aprovados, respectivamente, pelas Resoluções n.os 50/88, de 3 de Dezembro, e 37/89, de 24 de Outubro.
Considerando que os sistemas informáticos tendem a tornar-se o principal suporte de certas actividades industriais, tecnológicas, administrativas e das investigações e que a falta de segurança de dados e programas pode influenciar, distorcendo, a acção competitiva nestas actividades; Considerando que existem documentos, dados e programas relativos a essas actividades que, atendendo à sua especificidade, não foram ainda objecto de regulamentaçãoprópria; Assim: Nos termos das alíneas f) e g) do artigo 202.º da Constituição, o Conselho de Ministrosresolveu: Aprovar, ao abrigo do disposto na alínea d) do n.º 2 do artigo 8.º da Lei n.º 20/87, de 12 de Junho, as instruções sobre a segurança informática, adiante designadas abreviadamente por SEGNAC 4, anexas a esta resolução e que dela fazem parte integrante.
Presidência do Conselho de Ministros, 28 de Setembro de 1989. - O Primeiro-Ministro, Aníbal António Cavaco Silva.
NORMAS PARA A SEGURANÇA NACIONAL, SALVAGUARDA E DEFESA DAS MATÉRIAS CLASSIFICADAS, SEGURANÇA INFORMÁTICA SEGNAC 4 CAPÍTULO 1 Objecto Artigo 1.º Generalidades Sem prejuízo das normas constantes dos regulamentos nacionais de segurança respeitantes à protecção de documentos, actividade industrial, tecnológica e de investigação e outros, a segurança informática tem como finalidade: a) Garantir que o tratamento dos dados e programas esteja em conformidade com a classificação de segurança dos documentos que lhe deram origem, sempre que a salvaguarda dos interesses nacionais, de países aliados, organizações ou alianças de países de que Portugal faça parte justifique a sua aplicação; b) Responsabilizar os directores dos estabelecimentos, empresas, organismos ou serviços pela protecção de dados e programas, instalações, material informático, do pessoal. das comunicações e de outras actividades contra quebras de segurança, comprometimentos e acções de sabotagem, espionagem e ainda pelo implemento de medidas que garantam a fiabilidade do equipamento e suportes lógicos, a integridade da informação e a continuidade dos trabalhos.
Artigo 2.º Competências 1 - A responsabilidade pela coordenação, credenciação, fiscalização e controlo das normas de segurança estabelecidas para a segurança informática que diga respeito a elementos da Administração Pública será da competência das entidades e órgãos referidos no SEGNAC 1 - instruções sobre a segurança de matérias classificadas aprovadas pela Resolução do Conselho de Ministros n.º 50/88, de 3 de Dezembro.
2 - Quando não se trate de elementos da Administração Pública, aplicar-se-ão, com as devidas adaptações, as medidas constantes do SEGNAC 2 instruções sobre a segurança industrial, tecnológica e de investigação, aprovadas pela Resolução do Conselho de Ministros n.º 37/89, de 24 de Outubro.
Artigo 3.º Revisão As propostas de revisão e de alteração às presentes instruções competem à Comissão Técnica do Sistema de Informações da República Portuguesa, em coordenação com a Autoridade Nacional de Segurança.
Artigo 4.º Princípios básicos 1- Todos os dados e programas devem ser convenientemente protegidos contra indiscrições, fugas, violações ou descuidos.
2 - Uma única medida de segurança não constitui, por via de regra, protecção suficiente, pelo que as medidas a aplicar têm de ser combinadas, de forma a obter-se uma sobreposição adequada.
Artigo 5.º Estudo de ameaça e medidas de segurança Na aplicação de medidas de segurança devem observar-se os seguintes princípios: a) As medidas efectivas de segurança têm de se basear em estudos cuidadosos e contínuos das ameaças, especialmente respeitantes à segurança dos suportes informáticos, acessos lógicos, redes de comunicação e radiações electromagnéticas, pelo que se torna fundamental a coordenação entre as informações e a segurança; b) As medidas de segurança devem ser planeadas de forma a incidirem principalmente sobre dados e programas classificados considerados essenciais; c) Sempre que possível, devem concentrar-se os dados e programas classificados a proteger, por forma a poderem beneficiar de uma segurança maiseficaz; d) O acesso aos dados e programas classificados deve restringir-se, exclusivamente, às pessoas credenciadas que tenham necessidade de os conhecer para cumprimento das suas missões ou tarefas.
e) As medidas de segurança física e manuseamento de documentos e programas classificados, por mais rigorosas que sejam, só são eficazes: 1) Se a idoneidade do pessoal credenciado para manusear dados e programas classificados estiver em permanente avaliação; 2) Se a sua instrução em matéria de segurança for também permanente; 3) Se as medidas de segurança física forem objecto permanente de revistas, rondas e inspecções, executadas por elementos credenciados e devidamente preparados para o efeito; f) Na distribuição da classificação de segurança há que usar de maior prudência a fim de não ser atribuído um grau de classificação de segurança inferior ou superior ao requerido pelos dados e programas em análise.
Artigo 6.º Disposições gerais As normas constantes dos regulamentos de segurança em vigor são aplicáveis, com as devidas adaptações, às situações omissas ou não contempladas no presente regulamento, designadamente no que se aplica a: a) Celebração de contratos; b) Credenciação de pessoas e empresas; c) Classificação, preparação e segurança das matérias classificadas; d) Reprodução, transferência, controlo e destruição de matérias classificadas; e) Medidas de segurança a adoptar em reuniões e conferências classificadas; f) Quebras e violações de segurança e comprometimento das matérias classificadas; g) Transporte internacional e nacional de material classificado; h) Visitas internacionais.
Artigo 7.º Tarefas e responsabilidades do pessoal técnico Com observância do respectivo conteúdo funcional e níveis hierárquicos, deve o responsável pelo sistema informático atribuir a tarefas e responsabilidades do pessoal técnico de informática, nas áreas de concepção, desenvolvimento, sistema operativo e operação, segundo a legislação ou normas em vigor para estamatéria.
Artigo 8.º Informatização de documentos O processamento informático de documentos classificados de Muito secreto e Secreto só pode ter lugar desde que a entidade de origem não se tenha oposto à sua informatização.
Artigo 9.º Microcomputadores Não se abordam especificamente nestas normas a segurança e protecção dos dados e programas classificados, armazenados ou que se executam num microcomputador, por se considerar que estes últimos devem obedecer às mesmas regras enunciadas para equipamentos informáticos de maior porte.
Artigo 10.º Definições A definição de termos técnicos de informática e o glossário de termos de informações e segurança nacional constam de anexo A ao presente diploma, do qual faz parte integrante.
CAPÍTULO 2 Regime de segredo Artigo 11.º Credenciação Os centros de informática do Estado ou privados e o seu pessoal, pertencentes aos estabelecimentos, empresas, organismos ou serviços, ou que funcionem isoladamente, que venham a desempenhar actividades a que tenham sido atribuídos um dos três graus de segurança - Muito secreto, Secreto e Confidencial - são obrigados, sempre que relacionados com essas actividades, a obter a credenciação adequada, à qual são aplicáveis as normas constantes dos SEGNAC 1 e 2, conforme se trate ou não de elementos ligados à Administração Pública.
Artigo 12.º Extensão e duração da protecção do segredo Os ministros ou os membros dos órgãos de governo próprio das regiões autónomas que tutelem as actividades a que tenha sido atribuída classificação de segurança, ouvida a Autoridade Nacional de Segurança, fixam a extensão e a duração das obrigações do estabelecimento, empresa, organismo ou serviço em matéria de protecção do segredo.
Artigo 13.º Cumprimento das normas de segurança 1 - O cumprimento das normas de segurança estabelecidas deve ser inspeccionado com regularidade, de acordo com o estabelecido nos SEGNAC 1 e SEGNAC 2, respectivamente.
2 - A Autoridade Nacional de Segurança poderá, quando o entender, dispensar parte das exigências contidas no presente regulamento.
CAPÍTULO 3 Segurança física das instalações Artigo 14.º Generalidades O presente capítulo define as instruções para a garantia da protecção física dos centros de informática, de forma a garantir a segurança dos dados, programas e materiais classificados contra a espionagem, sabotagem, terrorismo, comprometimento e divulgação não autorizada, especialmente a captação de radiações electromagnéticas, introdução dos vulgarmente denominados 'vírus informáticos' e violação dos acessos lógicos.
Artigo 15.º Áreas de segurança 1 - As áreas ocupadas pelo equipamento informático e seus periféricos obedecem à classificação das áreas de segurança definidas, respectivamente, nos SEGNAC 1 e SEGNAC 2.
2 - Existem áreas de segurança de classe 1, classe 2 ou de classe 3, consoante a classificação dos dados e programas a preparar, digitalizar ou imprimir.
Artigo 16.º Necessidades em matéria de segurança 1 - Para decidir qual o grau de protecção física a adoptar é necessário ter em conta os elementos em causa, nomeadamente: a) O grau de classificação de segurança dos...
Para continuar a ler
PEÇA SUA AVALIAÇÃO