Você está aqui: Página Inicial > Assuntos > Legislação > Acervo normativo > Instruções Normativas > 2018 > Instrução Normativa nº 128, 06/11/2018
conteúdo
publicado 14/11/2018 15h59, última modificação 26/06/2023 17h31

Timbre

  

Instrução Normativa nº 128, DE 6 DE NOVEMBRO DE 2018.

  

Aprova a Política de Segurança da Informação no âmbito da Agência Nacional de Aviação Civil - ANAC. (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

(Texto compilado)

A DIRETORIA DA AGÊNCIA NACIONAL DE AVIAÇÃO CIVIL - ANAC, no exercício das competências que lhe foram outorgadas pelos artigos 11, inciso IX, da Lei nº 11.182, de 27 de setembro de 2005, e 24 do Anexo I do Decreto nº 5.731, de 20 de março de 2006, considerando o que consta do processo nº 00058.014301/2018-92, deliberado e aprovado na 3ª Reunião Administrativa Extraordinária da Diretoria, realizada em 6 de novembro de 2018, (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

RESOLVE:

 

Art. 1º Aprovar a Política de Segurança da Informação da Agência Nacional de Aviação Civil - POSI/ANAC. (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

CAPÍTULO I

DOS CONCEITOS E DEFINIÇÕES

 

Art. 2º Para os fins desta Instrução Normativa, serão adotados os conceitos e definições constantes do Glossário de Segurança da Informação, aprovado pelo Gabinete de Segurança Institucional da Presidência da República. (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

I - (Revogado pela Instrução Normativa nº 173, de 30.08.2021)

 

II - (Revogado pela Instrução Normativa nº 173, de 30.08.2021)

 

III - (Revogado pela Instrução Normativa nº 173, de 30.08.2021)

 

IV - (Revogado pela Instrução Normativa nº 173, de 30.08.2021)

 

V - (Revogado pela Instrução Normativa nº 173, de 30.08.2021)

 

VI - (Revogado pela Instrução Normativa nº 173, de 30.08.2021)

 

VII - (Revogado pela Instrução Normativa nº 173, de 30.08.2021)

 

VIII - (Revogado pela Instrução Normativa nº 173, de 30.08.2021)

 

IX - (Revogado pela Instrução Normativa nº 173, de 30.08.2021)

 

X - (Revogado pela Instrução Normativa nº 173, de 30.08.2021)

 

XI - (Revogado pela Instrução Normativa nº 173, de 30.08.2021)

 

XII - (Revogado pela Instrução Normativa nº 173, de 30.08.2021)

 

XIII - (Revogado pela Instrução Normativa nº 173, de 30.08.2021)

 

XIV - (Revogado pela Instrução Normativa nº 173, de 30.08.2021)

 

CAPÍTULO II

DO ESCOPO E DOS PRINCÍPIOS (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

Art. 3º São objetivos da POSI/ANAC: (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

I - (Revogado pela Instrução Normativa nº 173, de 30.08.2021)

 

II - dotar a ANAC de instrumentos jurídicos, normativos e organizacionais que a capacitem científica, tecnológica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o não-repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sensíveis;

 

III - promover a capacitação de recursos humanos para o desenvolvimento de competência científico-tecnológica em segurança da informação;

 

IV - estabelecer diretrizes para a elaboração de normas complementares e procedimentos internos necessários à efetiva implementação da segurança da informação; e (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

V - promover as ações necessárias à implementação e manutenção da segurança da informação.

 

Art. 4º A POSI/ANAC aplica-se no âmbito da Agência, englobando todos os servidores, colaboradores, fornecedores, prestadores de serviços e estagiários que, oficialmente, executem atividades vinculadas à atuação institucional e, no que couber, ao relacionamento da Agência com agentes credenciados, órgãos e entidades públicos ou privados. (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

Art. 4º-A São princípios da segurança da informação na ANAC: (Incluído pela Instrução Normativa nº 173, de 30.08.2021)

 

I - a proteção das soluções de tecnologia da informação e dos ambientes físicos contra incidentes de segurança; (Incluído pela Instrução Normativa nº 173, de 30.08.2021)

 

II - a preservação da disponibilidade, da integridade, da confidencialidade e da autenticidade das informações; e (Incluído pela Instrução Normativa nº 173, de 30.08.2021)

 

III - a prevenção e o tratamento de incidentes de segurança da informação. (Incluído pela Instrução Normativa nº 173, de 30.08.2021)

 

CAPÍTULO III

DA ESTRUTURA NORMATIVA

 

Art. 5º A estrutura normativa que norteará a gestão da segurança da informação será organizada da seguinte forma: (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

I - Política de Segurança da Informação - POSI/ANAC: Instrução Normativa que define as regras e diretrizes de alto nível, que representam os princípios básicos incorporados pela ANAC à sua gestão, de acordo com sua visão estratégica, servindo como base para que as normas complementares e os procedimentos internos sejam criados e detalhados; (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

II - normas complementares de segurança da informação: portarias aprovadas pelo Comitê de Segurança da Informação e Proteção de Dados Pessoais de acordo com as diretrizes estabelecidas na POSI/ANAC e publicadas pela unidade competente sobre a matéria, apresentando as regras, os controles e os procedimentos gerais a serem implementados; e (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

III - procedimentos internos de segurança da informação: Manuais de Procedimentos - MPR ou normativos correlatos que instrumentalizam o disposto na POSI/ANAC e nas normas complementares, viabilizando a sua aplicação imediata nos processos da Agência. (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

CAPÍTULO IV

DAS DIRETRIZES

 

Art. 6º A gestão da segurança da informação observará às seguintes diretrizes gerais: (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

I - integrar as ações de segurança da informação, de proteção de dados pessoais, de gestão de riscos corporativos, de desenvolvimento de sistemas, acesso à informação e dados abertos; (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

II - gerir os riscos associados à segurança da informação; (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

III - adotar, desde a fase de concepção de produto ou de serviço até a sua execução, medidas de segurança, técnicas e administrativas, aptas a proteger as informações de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito; e (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

IV - definir as atribuições e responsabilidades relativas ao processo de promoção e aplicação da POSI/ANAC. (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

Art. 7º Deverão ser publicadas normas complementares que obedeçam às diretrizes específicas abaixo, organizadas pelos seguintes pilares organizacionais: (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

I - tecnologia: versará, no mínimo, sobre os seguintes temas:

 

a) cópias de segurança: diretrizes para a realização de cópia de segurança (Backup) e de restauração dos dados (Restore) corporativos ou que são custodiados pela ANAC, visando assegurar a segurança das informações, conforme as propriedades de confidencialidade, integridade e disponibilidade dos ativos de informação, definindo estratégias e orientações para a implementação de controles relativos ao tema e atribuindo papéis e responsabilidades aos envolvidos nas ações de cópia e restauração de dados;

 

b) computação em nuvem: diretrizes para utilização de serviço de computação em nuvem, considerando a legislação e as boas práticas vigentes, o processo de tratamento da informação, os controles de acesso, físicos e lógicos, a localização geográfica e o modelo de serviço e de implementação de computação em nuvem a serem adotados pela ANAC;

 

c) criptografia: diretrizes para o uso de recursos criptográficos para as informações que tenham sido classificadas em qualquer grau de sigilo; e

 

d) desenvolvimento e obtenção de software seguro: o processo deverá conter regras para o desenvolvimento seguro de códigos, a segurança das aplicações no que diz respeito aos acordos de licenciamento, propriedade dos códigos e direitos de propriedade intelectual, bem como os requisitos de documentação específicos de segurança para as aplicações a serem adquiridas ou desenvolvidas interna ou externamente; (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

II - pessoas: versará, no mínimo, sobre os seguintes temas:

 

a) uso de dispositivos móveis: deverão ser adotados controles para o uso adequado de dispositivos móveis corporativos ou particulares por servidores, colaboradores e visitantes da ANAC;

 

b) acesso à internet: o acesso à internet deverá englobar a esfera profissional com conteúdo relacionado às atividades da ANAC, observando-se sempre a conduta compatível com os princípios definidos nesta PoSIC. Para tanto a ANAC deverá estabelecer controles de acesso à Internet, com o objetivo de evitar que os recursos computacionais sejam utilizados em desrespeito às leis, aos costumes e à dignidade da pessoa humana;

 

c) uso de e-mail: deverão ser definidas regras claras e precisas de uso do e-mail institucional, com o objetivo de evitar o seu mau uso ou violação à imagem da ANAC;

 

d) segurança em recursos humanos: a segurança dos recursos humanos deverá ser consolidada por meio de ações que promovam a cultura, sensibilização, conscientização, educação e treinamento em SIC no âmbito da ANAC;

 

e) uso de redes sociais: o uso seguro das redes sociais deverá ter como referência os objetivos estratégicos da ANAC, os critérios, as limitações e a estratégia de comunicação social, o processo de gestão de conteúdo e as responsabilidades na gestão de seu uso; e

 

f) controle de acesso: os computadores e sistemas da ANAC deverão possuir controle de acesso de modo a assegurar o uso apenas a usuários ou processos autorizados. O responsável pela autorização ou confirmação deverá ser claramente definido e registrado.

 

III - processos: versará, no mínimo, sobre os seguintes temas:

 

a) gestão de mudanças: terá como base a metodologia de gestão de processos da ANAC e deverá garantir que as mudanças na organização, nos processos de negócio, nos recursos de processamento da informação e nos sistemas não afetem a segurança da informação da ANAC;

 

b) gestão de riscos: orientar na formulação das ações de mitigação de riscos, com o objetivo de reduzir as vulnerabilidades, evitar ameaças, minimizar a exposição aos riscos e atenuar os impactos associados aos ativos de informação da ANAC, observada a Política de Gestão de Riscos da ANAC;

 

c) gestão de continuidade de negócios: orientar na formulação das ações de gestão de continuidade, com o objetivo de identificar ameaças e possíveis impactos na continuidade dos processos e serviços essenciais para o funcionamento da ANAC;

 

d) registro de eventos e trilhas de auditoria: implementar mecanismos de registro de eventos e auditoria, com o objetivo de garantir a exatidão dos registros de acesso aos ativos de informação;

 

e) conformidade legal: estabelecer mecanismos para avaliação de conformidade nos aspectos relativos às normas de Segurança da Informação em vigor, com o objetivo de identificar, organizar e armazenar a legislação, regulamentação e contratos relevantes aos processos de trabalho da ANAC, bem como preservar a conformidade contratual, o direito autoral e a propriedade intelectual das informações e recursos utilizados nestes processos de trabalho; (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

 

f) tratamento de incidentes de rede: a ANAC deverá manter equipe de tratamento e resposta a incidentes em redes computacionais, com objetivo de registrar, analisar e tratar incidentes de SIC por meio da coleta de evidências, investigação de ataques, provimento de assistência local e remota e intermediação da comunicação entre as partes envolvidas;

 

g) tratamento da informação: a informação utilizada pela ANAC deverá ser protegida, cuidada e gerenciada adequadamente com o objetivo de garantir a sua disponibilidade, integridade, confidencialidade e autenticidade. A ANAC deverá estabelecer medidas e procedimentos de tratamento e classificação da informação, respeitando a legislação vigente; e

 

h) gestão de ativos da informação: o processo de Inventário e Mapeamento de Ativos de Informação deverá considerar, prioritariamente, os objetivos estratégicos da ANAC, os processos e os requisitos legais, a fim de proporcionar o entendimento comum, consistente e inequívoco dos ativos de informação, da identificação clara de seus responsáveis, de um conjunto completo de informações básicas sobre os requisitos de SIC de cada ativo de informação e da identificação do valor que o ativo de informação representa para a ANAC.

 

IV - ambiente: versará, no mínimo, sobre os seguintes temas:

 

a) segurança física e do ambiente: as instalações de processamento das informações críticas ou sensíveis deverão ser prevenidas contra acesso não autorizado e mantidas em áreas seguras, protegidas por perímetros de segurança, conter barreiras de segurança e controles de acesso apropriados; e

 

b) controles de acesso: deverão ser adotados controles de entrada e saída de visitantes, pessoal interno, equipamentos e mídias, estabelecendo perímetros de segurança e habilitando o acesso apenas de pessoal autorizado. No caso de sistemas críticos, convém que sejam criados ambientes reservados, de uso exclusivo, para abrigá-los.

 

CAPÍTULO V

DAS COMPETÊNCIAS E RESPONSABILIDADES

 

Art. 8º Compete à Diretoria:

 

I - aprovar as alterações na Política de Segurança da Informação - POSI/ANAC; (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

II - estabelecer diretrizes, prioridades e ações específicas de Segurança da Informação; (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

III - aprovar o plano de trabalho do Comitê de Segurança da Informação e Proteção de Dados Pessoais referente às atividades de segurança da informação; e (Incluído pela Instrução Normativa nº 173, de 30.08.2021)

 

IV - garantir os recursos necessário para a execução da POSI/ANAC. (Incluído pela Instrução Normativa nº 173, de 30.08.2021)

 

Art. 9º (Revogado pela Instrução Normativa nº 173, de 30.08.2021)

 

Art. 10. (Revogado pela Instrução Normativa nº 173, de 30.08.2021)

 

Art. 10-A. (Revogado pela Instrução Normativa nº 173, de 30.08.2021)

 

Art. 11. As Unidades Organizacionais terão as seguintes responsabilidades:

 

I - definir os seus procedimentos internos em observância à POSI/ANAC e suas normas complementares; (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

II - cumprir as disposições da POSI/ANAC, as normas complementares e os procedimentos internos dela decorrentes; e (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

III - prestar as informações demandadas pelo Gestor de Segurança da Informação e pela Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR/ANAC. (Incluído pela Instrução Normativa nº 173, de 30.08.2021)

 

Art. 12. O Gestor de Segurança da Informação terá as seguintes responsabilidades: (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

I - manter contato permanente com o Gabinete de Segurança Institucional da Presidência da República para tratar de assuntos relativos à segurança da informação; (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

II - manter a POSI/ANAC e suas normas complementares disponíveis na página da intranet da ANAC, respeitada a classificação de níveis de acesso; (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

III - promover a divulgação da POSI/ANAC e das normas complementares, de forma ampla e acessível, a todos os servidores, colaboradores, fornecedores, prestadores de serviços e estagiários que oficialmente executem atividades vinculadas à Agência; (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

IV - coordenar a revisão da POSI/ANAC e a elaboração das normas complementares; (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

V - orientar os servidores e os colaboradores da ANAC a respeito das práticas a serem adotadas em relação à segurança da informação; (Incluído pela Instrução Normativa nº 173, de 30.08.2021)

 

VI - propor recursos necessários às ações de segurança da informação; (Incluído pela Instrução Normativa nº 173, de 30.08.2021)

 

VII - viabilizar a inclusão das atividades necessárias ao cumprimento do Plano de Ações de Segurança da Informação nos planos específicos da ANAC; (Incluído pela Instrução Normativa nº 173, de 30.08.2021)

 

VIII - acompanhar os trabalhos da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR; (Incluído pela Instrução Normativa nº 173, de 30.08.2021)

IX - verificar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação; (Incluído pela Instrução Normativa nº 173, de 30.08.2021)

 

X - acompanhar a aplicação de ações corretivas e administrativas cabíveis nos casos de violação da segurança da informação. (Incluído pela Instrução Normativa nº 173, de 30.08.2021)

 

§ 1º O Diretor-Presidente designará o Gestor de Segurança da Informação dentre os membros do Comitê de Segurança da Informação e Proteção de Dados Pessoais da ANAC. (Incluído pela Instrução Normativa nº 173, de 30.08.2021)

 

§ 2º O Gestor de Segurança da Informação poderá solicitar o apoio de qualquer unidade organizacional para o desempenho de suas atribuições, de acordo o disposto no Regimento Interno da ANAC. (Incluído pela Instrução Normativa nº 173, de 30.08.2021)

 

Art. 12-A. (Revogado pela Instrução Normativa nº 173, de 30.08.2021)

 

 

Art. 13. A Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR/ANAC terá as seguintes responsabilidades: (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

I - receber, analisar e responder às notificações relacionadas a incidentes de segurança em redes de computadores;

 

II - recolher provas imediatamente após a ocorrência de um incidente de segurança da informação; (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

III - executar análise crítica sobre os registros de falha para assegurar que foram satisfatoriamente resolvidas;

 

IV - investigar as causas dos incidentes de segurança da informação; (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

V - implementar mecanismos para permitir a quantificação e o monitoramento dos tipos, volumes e custos de incidentes e falhas de funcionamento;

 

VI - indicar a necessidade de controles aperfeiçoados ou adicionais para limitar a frequência, os danos e o custo de futuras ocorrências de incidentes; e

 

VII - apresentar ao Comitê de Segurança da Informação e Proteção de Dados Pessoais da ANAC, quando solicitado, o relatório de suas atividades; e (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

VIII - Atuar preventivamente a fim de mitigar o risco de ocorrência de incidentes de segurança. (Incluído pela Instrução Normativa nº 173, de 30.08.2021)

 

§ 1º Caberá ao Superintendente de Tecnologia da Informação designar o agente responsável pela ETIR/ANAC e a sua composição. (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

§ 2º O agente responsável pela ETIR/ANAC definirá, em ato próprio, a forma de funcionamento da ETIR/ANAC. (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

§ 3º Em casos de ameaças, incidentes ou quebra de segurança que exponham a riscos os sistemas e serviços da ANAC, o agente responsável pelo ETIR/ANAC poderá convocar, em caráter emergencial, servidores da Agência que tenham conhecimento para atuar.

 

§ 4º O responsável pela ETIR/ANAC deverá elaborar, em conjunto com a Superintendência de Tecnologia da Informação, documento de constituição da Equipe, o qual designará suas atribuições e seu escopo de atuação. (Incluído pela Instrução Normativa nº 173, de 30.08.2021)

 

§ 5º A ETIR/ANAC será composta, preferencialmente, por servidores públicos civis ocupantes de cargo efetivo com capacitação técnica compatível com as atividades dessa equipe. (Incluído pela Instrução Normativa nº 173, de 30.08.2021)

 

Art. 13-A. Os assuntos referentes à segurança da informação serão submetidos ao Comitê de Segurança da Informação e Proteção de Dados Pessoais da ANAC, instituído pelo Diretor-Presidente, e deverão observar as suas regras e estrutura de governança, ressalvadas as competências específicas do Gestor de Segurança da Informação. (Incluído pela Instrução Normativa nº 173, de 30.08.2021)

 

CAPÍTULO VI

DAS PENALIDADES

 

Art. 14. O descumprimento das disposições constantes nesta Política e nas normas complementares sobre segurança da informação caracteriza violação de dever funcional, a ser apurada em processo administrativo disciplinar, sem prejuízo das responsabilidades civil e penal. (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

CAPÍTULO VII

DAS ATUALIZAÇÕES

 

Art. 15. Esta Política deverá ser revisada e atualizada periodicamente, no máximo, a cada 4 (quatro) anos. (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

CAPÍTULO VIII

DAS DISPOSIÇÕES FINAIS

 

Art. 16. A POSI/ANAC, bem como as normas complementares dela decorrentes, deverão estar alinhadas ao Planejamento Estratégico, à Política de Gestão de Riscos Corporativos, à Política de Proteção de Dados Pessoais, ao Plano de Dados Abertos e à Instrução Normativa Nº 70, de 30 de abril de 2013. (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

Art. 17. Os casos omissos serão resolvidos pelo Comitê de Segurança da Informação e Proteção de Dados Pessoais da ANAC. (Redação dada pela Instrução Normativa nº 173, de 30.08.2021)

 

Art. 18. Fica revogada a Instrução Normativa nº 80, de 26 de novembro de 2014, publicada no Boletim de Pessoal e Serviço - BPS v.9, nº 48, de 28 de novembro de 2014.

 

Art. 19. Esta Instrução Normativa entra em vigor na data de sua publicação.

 

JOSÉ RICARDO PATARO BOTELHO DE QUEIROZ

Diretor-Presidente

__________________________________________________________________________________

Publicado no Boletim de Pessoal e Serviço - BPS v.13, nº 45, de 9 de novembro de 2018.