Membros do Comitê Em resposta a dúvida colocada por alguns participantes do Comitê, segue esclarecimento.
Sobre auditoria de software, a Portaria Interministerial Nº 141, que regula o Decreto 8135/2013, instrui: ... CAPÍTULO V DA AUDITORIA DE PROGRAMAS E EQUIPAMENTOS Art. 13. Os programas e equipamentos destinados às atividades de que trata o art. 1º deverão ter características que permitam auditoria, pelo órgão ou entidade contratante ou por instituição credenciada pelo Governo Federal, para fins de garantia da disponibilidade, integridade, confidencialidade e autenticidade das informações. Art. 14. O termo de referência ou projeto básico e o respectivo contrato celebrado com fornecedor privado ou com órgão ou entidade fornecedor deverá prever, entre outras disposições: I - a possibilidade de realização de auditoria em programas e equipamentos; e II - o detalhamento dos critérios e condições mínimas de segurança, bem como das respectivas obrigações a serem exigidas dos fornecedores, observado o disposto nos arts. 8º a 12 desta Portaria. § 1º Para fins do disposto no inciso I do caput, o órgão ou entidade contratante exigirá a adesão às diretrizes e especificações técnicas estabelecidas, em capítulo específico, da arquitetura e-PING - Padrões de Interoperabilidade de Governo Eletrônico. § 2º As diretrizes e especificações técnicas da e-PING referidas no § 1º deverão exigir, no mínimo, a possibilidade de abertura do código fonte no caso de programas para comunicação de dados e de firmware e sistemas operacionais no caso de equipamentos para comunicação de dados. § 3º Para efeito dessa Portaria, são considerados auditáveis os software livres ou públicos brasileiros. .. Auditoria de software é um processo complexo que exige recursos humanos altamente qualificados. As recentes denúncias de espionagem através de códigos maliciosos introduzidos propositalmente nos softwares evidenciam a necessidade de verificação dos sistemas quanto a arquitetura, informações trafegadas e, inclusive, do código fonte do software para uma auditoria realmente eficaz. A maioria dos órgãos de governo não mantém equipes com as competências necessárias para auditoria dos softwares que utiliza. Neste contexto salientamos a importância do uso de Software Livre ou Software Público Brasileiro, já que os mesmo são continuamente auditorados por suas comunidades, com milhares de desenvolvedores ao redor do mundo. Em caso de uso de software proprietário, o código fonte do software não é automaticamente disponibilizado; para que o órgão realize uma auditoria realmente qualificada deverá especificar, em contrato, a cessão do código fonte para auditoria. Com a posse do código fonte do software cabe ainda ao órgão alocar uma equipe capaz de executar a auditoria neste código fonte. Esta opção é geralmente incompatível com a realidade dos órgãos de governo, seja pela grande diversidade e complexidade destes softwares, seja por não ser esta a atribuição de seus técnicos. Assim, aconselhamos aos gestores: i) máxima atenção ao requisitos de auditoria para os softwares utilizados; ii) critérios de licenças definidos nos processos licitatórios (ou ao menos que as licenças sejam incluídas pelos candidatos); e, iii) que seja considerada a grande vantagem do uso de Software Livre e Software Público Brasileiro para atender às condições de auditoria estabelecidas em Lei e reguladas pela portaria supracitada. Atenciosamente, Coordenação do CISL - "Esta mensagem do SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS (SERPRO), empresa pública federal regida pelo disposto na Lei Federal nº 5.615, é enviada exclusivamente a seu destinatário e pode conter informações confidenciais, protegidas por sigilo profissional. Sua utilização desautorizada é ilegal e sujeita o infrator às penas da lei. Se você a recebeu indevidamente, queira, por gentileza, reenviá-la ao emitente, esclarecendo o equívoco." "This message from SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS (SERPRO) -- a government company established under Brazilian law (5.615/70) -- is directed exclusively to its addressee and may contain confidential data, protected under professional secrecy rules. Its unauthorized use is illegal and may subject the transgressor to the law's penalties. If you're not the addressee, please send it back, elucidating the failure."
_______________________________________________ Portal do CISL: www.softwarelivre.gov.br _______________________________________________ Cisl-comunidade mailing list [email protected] http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/cisl-comunidade
