Legislação

- A comunicação de dados e informações sigilosos por meio de sistemas de informação será feita em conformidade com o disposto nos arts. 25 e 26.

- Ressalvado o disposto no parágrafo único do art. 44, os programas, aplicativos, sistemas e equipamentos de criptografia para uso oficial no âmbito da União são considerados sigilosos e deverão, antecipadamente, ser submetidos à certificação de conformidade da Secretaria Executiva do Conselho de Defesa Nacional.

- Entende-se como oficial o uso de código, cifra ou sistema de criptografia no âmbito de órgãos e entidades públicos e instituições de caráter público.

Parágrafo único - É vedada a utilização para outro fim que não seja em razão do serviço.

- Aplicam-se aos programas, aplicativos, sistemas e equipamentos de criptografia todas as medidas de segurança previstas neste Decreto para os documentos sigilosos controlados e os seguintes procedimentos:

I - realização de vistorias periódicas, com a finalidade de assegurar uma perfeita execução das operações criptográficas;

II - manutenção de inventários completos e atualizados do material de criptografia existente;

III - designação de sistemas criptográficos adequados a cada destinatário;

IV - comunicação, ao superior hierárquico ou à autoridade competente, de qualquer anormalidade relativa ao sigilo, à inviolabilidade, à integridade, à autenticidade, à legitimidade e à disponibilidade de dados ou informações criptografados; e

V - identificação de indícios de violação ou interceptação ou de irregularidades na transmissão ou recebimento de dados e informações criptografados.

Parágrafo único - Os dados e informações sigilosos, constantes de documento produzido em meio eletrônico, serão assinados e criptografados mediante o uso de certificados digitais emitidos pela Infra-Estrutura de Chaves Públicas Brasileira (ICP-Brasil).

- Os equipamentos e sistemas utilizados para a produção de documentos com grau de sigilo ultra-secreto só poderão estar ligados a redes de computadores seguras, e que sejam física e logicamente isoladas de qualquer outra.

- A destruição de dados sigilosos deve ser feita por método que sobrescreva as informações armazenadas. Se não estiver ao alcance do órgão a destruição lógica, deverá ser providenciada a destruição física por incineração dos dispositivos de armazenamento.

- Os equipamentos e sistemas utilizados para a produção de documentos com grau de sigilo secreto, confidencial e reservado só poderão integrar redes de computadores que possuam sistemas de criptografia e segurança adequados a proteção dos documentos.

- O armazenamento de documentos sigilosos, sempre que possível, deve ser feito em mídias removíveis que podem ser guardadas com maior facilidade.