[Cisl-comunidade] Sobre auditoria de software - PI 141/2014

[Comite Implementacao Software Livre]

Membros do Comitê

Em resposta a dúvida colocada por alguns participantes do Comitê, segue esclarecimento.

Sobre auditoria de software, a Portaria Interministerial Nº 141, que regula o Decreto 8135/2013, instrui:
...
CAPÍTULO V
DA AUDITORIA DE PROGRAMAS E EQUIPAMENTOS
Art.
 13. Os programas e equipamentos destinados às atividades de que trata o
 art. 1º deverão ter características que permitam auditoria, pelo órgão 
ou entidade contratante ou por instituição credenciada pelo Governo 
Federal, para fins de garantia da disponibilidade, integridade, 
confidencialidade e autenticidade das informações.
Art. 14. O termo 
de referência ou projeto básico e o respectivo contrato celebrado com 
fornecedor privado ou com órgão ou entidade fornecedor deverá prever, 
entre outras disposições:
I - a possibilidade de realização de auditoria em programas e equipamentos; e
II
 - o detalhamento dos critérios e condições mínimas de segurança, bem 
como das respectivas obrigações a serem exigidas dos fornecedores, 
observado o disposto nos arts. 8º a 12 desta Portaria.
§ 1º Para fins
 do disposto no inciso I do caput, o órgão ou entidade contratante 
exigirá a adesão às diretrizes e especificações técnicas estabelecidas, 
em capítulo específico, da arquitetura e-PING - Padrões de 
Interoperabilidade de Governo Eletrônico.
§ 2º As diretrizes e 
especificações técnicas da e-PING referidas no  § 1º deverão exigir, no 
mínimo, a possibilidade de abertura do código fonte no caso de programas
 para comunicação de dados e de firmware e sistemas operacionais no caso
 de equipamentos para comunicação de dados.
§ 3º Para efeito dessa Portaria, são considerados auditáveis os software livres ou públicos brasileiros.
..

Auditoria de software é um processo complexo que exige recursos humanos altamente qualificados.
As
 recentes denúncias de espionagem através de códigos maliciosos 
introduzidos propositalmente nos softwares evidenciam a necessidade de 
verificação dos sistemas quanto a arquitetura, informações trafegadas e,
 inclusive, do código fonte do software para uma auditoria realmente 
eficaz.

A maioria dos órgãos de governo não mantém equipes com as
 competências necessárias para auditoria dos softwares que utiliza. 
Neste contexto salientamos a importância do uso de Software Livre ou 
Software Público Brasileiro, já que os mesmo são continuamente 
auditorados por suas comunidades, com milhares de desenvolvedores ao 
redor do mundo.

Em caso de uso de software proprietário, o código
 fonte do software não é automaticamente disponibilizado; para que o 
órgão realize uma auditoria realmente qualificada deverá especificar, em
 contrato, a cessão do código fonte para auditoria. Com a posse do 
código fonte do software cabe ainda ao órgão alocar uma equipe capaz de 
executar a auditoria neste código fonte. Esta opção é geralmente 
incompatível com a realidade dos órgãos de governo, seja pela grande 
diversidade e complexidade destes softwares, seja por não ser esta a 
atribuição de seus técnicos.

Assim, aconselhamos aos gestores:
i)  máxima atenção ao requisitos de auditoria para os softwares utilizados;
ii)
 critérios de licenças definidos nos processos licitatórios (ou ao menos
 que as licenças sejam incluídas pelos candidatos); e,
iii) que seja 
considerada a grande vantagem do uso de Software Livre e Software 
Público Brasileiro para atender às condições de auditoria estabelecidas 
em Lei e reguladas pela portaria supracitada.

Atenciosamente,
Coordenação do CISL



-


"Esta mensagem do SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS (SERPRO), empresa pública federal regida pelo disposto na Lei Federal nº 5.615, é enviada exclusivamente a seu destinatário e pode conter informações confidenciais, protegidas por sigilo profissional. Sua utilização desautorizada é ilegal e sujeita o infrator às penas da lei. Se você a recebeu indevidamente, queira, por gentileza, reenviá-la ao emitente, esclarecendo o equívoco."

"This message from SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS (SERPRO) -- a government company established under Brazilian law (5.615/70) -- is directed exclusively to its addressee and may contain confidential data, protected under professional secrecy rules. Its unauthorized use is illegal and may subject the transgressor to the law's penalties. If you're not the addressee, please send it back, elucidating the failure."
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.softwarelivre.org/pipermail/cisl-comunidade/attachments/20140527/3dd5e4e9/attachment-0001.html>