- FIPS PUB1
- Standards for Security Categorization of Federal Information and Information Systems.
- Computer Security Division.
- Information Technology Laboratory.
- NIST – GAITHERSBURG – MD.
- FEBRUARY, 2004.
O objetivo do FIPS2 PUB 199 é desenvolver standards para a categorização da informação e de sistemas de informação. Dizem que o FIPS PUB 199 foi inspirado pelos eventos do 9/11 (ataques terroristas a prédios monumentais dos EUA).
Alguns documentos relacionados:
- Atomic Energy Act de 1954.
- Executive Order 12958, emitida em 17 de abril de 1995 pelo presidente Bill Clinton, que trata da política de segurança nacional quanto à classificação e desclassificação de informações. Ela substituiu ordens executivas anteriores sobre o tema e buscou modernizar e tornar mais transparente o sistema de sigilo governamental nos Estados Unidos.
- Federal Information Security Management Act – FISMA (Public Law 107-347, Title III). Exigiu que todos os órgãos federais estabelecessem programas formais de segurança da informação. A FISMA atribuiu ao NIST (National Institute of Standards and Technology) a responsabilidade de desenvolver padrões e diretrizes para segurança da informação federal, em colaboração com a comunidade federal de TI e segurança.
- NIST SP 800-60, oferece orientação detalhada para aplicar o modelo de categorização de risco.
- A EO 12958 estabelece as regras para classificação de informações como confidenciais, secretas ou ultrassecretas (top secret) quando a divulgação dessas informações puder causar dano à segurança nacional.
- A EO 12958 foi modificada pela Executive Order 13292, assinada por George W. Bush em 2003.
- Em 2009, a Executive Order 13526, assinada por Barack Obama, revogou a EO 12958 e a 13292, atualizando todo o sistema de classificação com novos critérios de transparência, revisão e controle de acesso.
Quadro comparativo resumido entre as três ordens executivas que tratam da classificação de informações de segurança nacional nos EUA:
📊 Comparativo: EO 12958 (Clinton, 1995) × EO 13292 (Bush, 2003) × EO 13526 (Obama, 2009)
| Item | EO 12958 (1995) – Clinton | EO 13292 (2003) – Bush | EO 13526 (2009) – Obama |
|---|---|---|---|
| Objetivo | Reduzir o sigilo excessivo e aumentar a transparência | Fortalecer segurança nacional e sigilo pós-11/09 | Restaurar equilíbrio entre transparência e segurança |
| Desclassificação automática | Sim, em 25 anos (com exceções) | Enfraquecida, permite manter documentos secretos por tempo indefinido | Reforçada e centralizada no National Declassification Center |
| Autoridade de classificação | Restringida a poucas autoridades | Expandida, inclui o vice-presidente e mais cargos | Mantida com revisão e exigência de treinamento |
| Definição de segurança nacional | Mais limitada (foco em defesa e relações exteriores) | Ampliada, inclui ameaças de terrorismo e infraestrutura crítica | Mantida com critérios mais objetivos |
| FOIA (acesso público) | Incentivado, com justificativas para sigilo | Restrito, reduz exigência de justificativas | Reforçado, com dever de balancear com o interesse público |
| Classificação de agregações (mosaic theory) | Pouco enfatizada | Adicionada, permite classificar informações pela combinação de dados | Mantida, mas com diretrizes mais claras |
| Presunção de classificação | Evitada, exige justificativa clara | Facilitada, admite classificação preventiva | Evitada, retorno à exigência de fundamentação concreta |
| Instituições novas | Nenhuma criada | Nenhuma criada | Criação do National Declassification Center |
| Tendência geral | 🔓 Mais transparente | 🔐 Mais restritiva e sigilosa | ⚖️ Busca de equilíbrio e eficiência |
Aplicabilidade da FIPS 199
- Toda informação do governo federal americano, exceto a descrita na Executive Order 12958, na Executive Order 13292 e no Atomic Energy Act de 1954.
- Promove a categorização da informação.
Objetivos de segurança
- Confidencialidade
- Integridade
- Disponibilidade
Impactos potenciais (nas pessoas e nas organizações)
- Baixo
- Efeitos adversos moderados
- É possível realizar atividades mas com redução perceptível de performance
- Moderado
- Efeitos sérios
- A efetividade é prejudicada
- Dano aos ativos (assets)
- Alto
- Severo ou catastrófico
- Perda de efetividade na missão
- Danos aos ativos
- Danos Financeiros
- Perda de vidas ou ocorrência de ferimentos
Modelo
SC information type = {
(integrity, impact),
(availability, impact)
}
Exemplo
SC sensordata = {
(confidentiality, NA),
(integrity, high),
(availability, high)
}
Tabela da FIPS 199 (escala linear)
| Confidencialidade | 1 | 2 | 3 |
| Integridade | 1 | 2 | 3 |
| Disponibilidade | 1 | 2 | 3 |
| Low | Moderate | High |
Nossa sugestão de tabela (escala logarítmica)
| Confidencialidade | 1 | 10 | 100 |
| Integridade | 1 | 10 | 100 |
| Disponibilidade | 1 | 10 | 100 |
| Low | Moderate | High |
[1] Pesquisa realizada no texto original da FIPS PUB 199 e no ChatGPT4.
[2] FIPS – Federal Information Processing Standards.
Sê o primeiro