Portaria nº 7.663/STI, DE 28 de março de 2022.
O SUPERINTENDENTE DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe confere o art. 39 do Regimento Interno, aprovado pela Resolução nº 381, de 14 de junho de 2016, e
CONSIDERANDO a deliberação da 3ª Reunião Ordinária do Comitê de Segurança da Informação e Comunicações da ANAC de 2020 realizada em 17 de dezembro de 2020;
CONSIDERANDO as obrigações estabelecidas no Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação;
CONSIDERANDO as orientações para a Estrutura de Gestão de Segurança da Informação, que deverão ser implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta, contidas na Instrução Normativa nº 01 do Gabinete de Segurança Institucional, de 27 de maio de 2020, e em suas Normas Complementares;
CONSIDERANDO as Instruções Normativas nº 114, de 9 de maio de 2017, que institui a Política de Gestão de Riscos Corporativos da ANAC, nº 120, de 22 de fevereiro de 2018, que institui a Política de Governança de Tecnologia da Informação e Comunicação - PGTIC da ANAC, nº 128, de 6 de novembro de 2018, que institui a Política de Segurança da Informação da Agência Nacional de Aviação Civil - POSI/ANAC, e nº 172, de 2 de agosto de 2020, que institui a Política de Proteção de Dados Pessoais;
CONSIDERANDO a Portaria GSI/PR nº 93, de 18 de outubro de 2019, que aprova o Glossário de Segurança da Informação;
CONSIDERANDO as recomendações constantes nas normas técnicas NBR ISO/IEC 27001:2013 - Sistema de Gestão de Segurança da Informação e NBR ISO/IEC 27002:2013 - Código de Práticas para a Gestão da Segurança da Informação; e
CONSIDERANDO o que consta do processo nº 00058.043557/2021-11,
RESOLVE:
Art. 1º Instituir a Norma Complementar que disciplina a Gestão de Segurança da Informação e Comunicações - SIC na utilização de recursos e serviços de Tecnologia da Informação - TI - da Agência Nacional de Aviação Civil – ANAC, nos termos do anexo.
Art. 2º Esta Portaria entra em vigor na data de sua publicação.
JOSÉ ASSUMPÇÃO RODRIGUES DE ALMEIDA
___________________________________________________________________________________________
Publicado em 30 de março de 2022 no Boletim de Pessoal e Serviço - BPS v.17, nº 13, de 28 de março a 1º de abril de 2022.
ANEXO À Portaria 7.663/STI, DE 28 de março de 2022.
NORMA COMPLEMENTAR Nº 7
GESTÃO DE SIC NA UTILIZAÇÃO DE RECURSOS E SERVIÇOS DE TI DA ANAC
CAPÍTULO I
DAS DEFINIÇÕES
Art. 1º Para os fins desta Portaria, consideram-se:
I - Ativo de Tecnologia da Informação: são elementos de hardware ou software que dão suporte a ativos de informações ou são utilizados para acesso ou manipulação destes. São exemplos: computadores (desktop e notebook), dispositivos móveis, servidores (físicos ou virtuais), ativos de redes, aplicativos e banco de dados, sem prejuízo de outros ativos não mencionados neste dispositivo;
II - Autenticação de multifatores – MFA: utilização de dois ou mais fatores de autenticação para concessão de acesso a um sistema ou serviço de TI. Os fatores de autenticação se dividem em:
-
algo que o usuário conhece (senhas, frases de segurança, PIN, dentre outros);
-
algo que o usuário possui (certificado digital, tokens, códigos enviados por SMS, dentre outros);
-
algo que o usuário é (aferível por meios biométricos, tais como digitais, padrões de retina, reconhecimento facial, dentre outros); e
-
onde o usuário está (quando o acesso só pode ser feito em uma máquina específica, cujo acesso é restrito);
III - BYOD - Bring Your Own Device. Trata-se de uma política de segurança de uma organização, que permite que os dispositivos móveis dos funcionários sejam usados nas atividades corporativas. Uma política BYOD estabelece limitações e restrições sobre se um dispositivo pessoal (como um notebook, smartphone ou tablet) pode ou não ser conectado na rede corporativa;
IV - Caixa postal funcional - caixa postal de correio eletrônico para uso individual associada a um único usuário da rede;
V - Caixa postal corporativa - caixa postal de correio eletrônico associada a uma unidade organizacional da ANAC;
VI - Controle de acesso - conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso ao uso de recursos físicos ou computacionais. Via de regra, requer procedimentos de autenticação;
VII - Dispositivos móveis - equipamentos portáteis dotados de capacidade computacional ou dispositivos removíveis de memória para armazenamento, entre os quais se incluem, não se limitando a estes: notebooks, netbooks, smartphones, tablets, pendrives, USB drives, HD externo, e cartões de memória;
VIII - Endpoint - é qualquer dispositivo conectado a uma rede de computadores; e
IX - Perfil de Acesso - conjunto de atributos de cada usuário, definidos previamente como necessários para credencial de acesso.
CAPÍTULO II
DOS PRINCÍPIOS E OBJETIVOS
Art. 2º A gestão de segurança da informação no uso de recursos e serviços de TI na ANAC será regida pelos princípios da disponibilidade, integridade, confidencialidade, autenticidade (DICA), irretratabilidade, responsabilidade, legalidade e confiabilidade;
Art. 3º Constituem objetivos desta Norma:
I - estabelecer orientações e procedimentos gerais para garantir a gestão de segurança da informação quanto ao uso dos recursos e serviços de TI da ANAC;
II - atribuir responsabilidades aos envolvidos nos processos de gestão de segurança de recursos de TI, a fim de minimizar os impactos decorrentes de seu mau uso e possíveis indisponibilidades nos serviços de TI;
III - aprimorar a capacidade da Agência de atender às necessidades de usuários e de administrar os recursos e os serviços de TI no âmbito da Segurança da Informação; e
IV - estabelecer controles que mitiguem riscos de comprometimento da Gestão de Segurança da Informação (GSI) da ANAC.
CAPÍTULO III
DO CONTROLE DE ACESSO COMPUTACIONAL
Art. 4º A gestão de acesso à rede de computadores da ANAC obedecerá às seguintes orientações e procedimentos gerais:
I - Implementação de controles para fornecimento de acesso aos serviços;
II - Avaliação periódica da definição, implementação e administração de mecanismos de segurança da informação;
III - Implementação de processos e disponibilização de recursos para identificar e responder a eventos de violação de segurança;
IV - Monitoramento, apuração e a comunicação de eventos de violação de segurança ao Gestor de Segurança da Informação da ANAC, aos membros do CSIP, e à ETIR;
V - Realização de auditorias para apuração de uso indevido dos serviços da Rede da ANAC com o objetivo de identificar possíveis violações de segurança e vulnerabilidades;
VI - Implementação de controles para o fornecimento de informações e recursos de autenticação para acesso aos serviços da Rede da ANAC;
VII - Aplicação do princípio do menor privilégio, concedendo-se apenas o acesso necessário para o desempenho de uma atividade específica;
VIII - Realização da autorização e modificação dos privilégios de acesso apenas quando da solicitação da chefia imediata ou superior hierárquico;
IX - Implementação de mecanismos para possibilitar a suspensão do acesso à Rede da ANAC em casos de irregularidade na utilização dos serviços no que tange à Segurança de TI;
X - Disponibilização de acessos a sistemas internos, intranet e demais serviços remotos somente mediante utilização de comunicação segura e sujeitos ao monitoramento da equipe da STI;
XI - Habilitação do mecanismo de Múltiplo Fator de Autenticação, preferencialmente, sempre que for necessário realizar a autenticação nos sistemas e serviços da rede da ANAC;
XII - Utilização e definição dos perfis de acesso de usuários de acordo com o trabalho desempenhado no âmbito da ANAC;
XIII - Concessão dos acessos a recursos e serviços de TI, tanto aos usuários quanto aos prestadores de serviços, somente quando os procedimentos de autorização tiverem sido concluídos;
XIV - Assinatura do Termo de Uso e Responsabilidade pelos usuários, indicando a aceitação das condições de acesso;
XV - Remoção ou bloqueio periódico de contas de usuários redundantes; e
XVI - Implementação de política de gestão de senhas do usuário.
§ 1º A gestão de senha para usuários com perfil de administrador deverá utilizar critérios de complexidade e periodicidade diferentes da gestão de senha para usuários comuns.
§ 2º A ETIR comunicará os eventos de violação de segurança à CTIR/GOV do GSI/PR, quando necessário.
§ 3º Usuários que tenham acesso privilegiado aos ativos de TI, incluindo servidores e bancos de dados devem assinar, adicionalmente, um Termo de Compromisso de Manutenção de Sigilo.
CAPÍTULO IV
DO ACESSO À INTERNET
Art. 5º A gestão de acesso à Internet da ANAC obedecerá às seguintes orientações e procedimentos gerais:
I - O acesso dos usuários à Internet pela Rede ANAC deverá ser provido de acordo com as premissas definidas pela STI;
II - Deverão ser implementados mecanismos de segurança para proteção, monitoramento e auditoria das informações trocadas por meio da Internet;
III - Os acessos quando violarem os termos estabelecidos ou expuserem a ANAC a riscos de danos à sua imagem ou à segurança das suas informações deverão ser bloqueados;
IV - O acesso a sítios ou programas bloqueados na Internet será liberado apenas para os casos especiais em que, pelas atividades desenvolvidas, reste demonstrada a necessidade de acesso, mediante solicitação da chefia imediata e aprovação da STI.
V - O agente utilizador da internet, identificado por login de rede, ou por outro mecanismo, responderá pelos acessos e atos indevidos praticados por meio do acesso à internet disponibilizado pela ANAC.
CAPÍTULO V
DO USO DOS ATIVOS DE TECNOLOGIA DA INFORMAÇÃO
Art. 6º A gestão do uso dos ativos de Tecnologia da Informação da ANAC obedecerá às seguintes orientações e procedimentos gerais:
I - Usuário comum não deverá ter acesso de administrador aos ativos de Tecnologia da Informação sem prévia solicitação e aprovação da chefia imediata e da STI, mediante justificativa e assinatura de Termo de Uso e Responsabilidade específico;
II - Sempre que possível, deverão ser utilizados mecanismos de criptografia em trânsito para proteção de dados nos ativos de Tecnologia da Informação;
III - A autorização e homologação de programas utilitários com acesso privilegiado ao sistema operacional do Endpoint devem obrigatoriamente levar em consideração aspectos de segurança;
IV - Todo equipamento de informática deverá ter instalado Agente de segurança para Endpoint e/ou Antivírus, sendo terminantemente proibida a desativação deste(s), respeitando-se a limitação de recurso, a relação de custo-benefício e a viabilidade técnica da Agência;
V - Deverão ser implementados processos que possibilitem a atualização periódica dos Sistemas Operacionais sob responsabilidade da STI;
VI - Os processos relacionados ao inventário e monitoramento do uso dos ativos de TI são definidos em norma complementar própria.
VII - Deverão ser realizadas varreduras e manutenções preventivas, a fim de encontrar e remover malwares e sistemas utilitários de uso proibido, de acordo com à Política de Segurança da ANAC.
Parágrafo único. As disposições presentes neste artigo se aplicam, também, à gestão dos dispositivos móveis.
CAPÍTULO VI
DO USO DOS DISPOSITIVOS MÓVEIS
Art. 7º A gestão do uso dos dispositivos móveis na rede da ANAC obedecerá às seguintes orientações e procedimentos gerais:
I - Deve-se realizar o cadastro e registro dos dispositivos móveis de computação fornecidos pela ANAC, a fim de garantir a sua identificação única, bem como a do usuário responsável pelo uso;
II - A utilização dos equipamentos deverá ser realizada de forma única e exclusiva por aqueles agentes que assumiram a responsabilidade pelo seu uso;
III - A instalação sem permissão de aplicativos ou de recursos não disponibilizados pelo setor responsável deverá ser restringida nos dispositivos corporativos;
IV - Deverão ser implementados mecanismos que possibilitem a proteção e sigilo dos dados armazenados nos dispositivos em casos de extravio;
V - Deverão ser implementados mecanismos de autenticação, autorização e registro de acesso do usuário, bem como do dispositivo às conexões de rede e recursos disponíveis na ANAC;
VI - Os recursos corporativos só poderão ser acessados quando o proprietário de dispositivo BYOD estiver devidamente autorizado e o dispositivo seguir as orientações mínimas de segurança para acessar os recursos;
VII - Os recursos ou dados corporativos aos quais o dispositivo móvel particular terá acesso deverão ser restringidos;
VIII - Deverão ser estabelecidos procedimentos de controle e concessão de acesso a visitantes que, durante a permanência em instalações da ANAC, necessitem conectar seus dispositivos móveis à rede da Agência;
IX - O armazenamento de informações classificadas em dispositivos móveis removíveis deverá ser restringido àqueles que possibilitem a aplicação de controles compatíveis com o nível de classificação da informação;
X - Termo de Uso e Responsabilidade a ser assinado pelo servidor público ou colaborador deverá ser elaborado, quando da disponibilização para seu uso de dispositivos móveis; e
XI - Os acessos a sistemas internos, intranet e demais serviços remotos por dispositivos móveis corporativos serão realizados somente mediante utilização de comunicação segura;
CAPÍTULO VII
DO USO DE CORREIO ELETRÔNICO
Art. 8º A gestão do uso do serviço de correio eletrônico da ANAC obedecerá às seguintes orientações e procedimentos gerais:
I - As caixas postais funcionais serão instituídas apenas com a delegação de privilégios a usuários específicos;
II - Permissões para acesso às caixas postais devem ser configuradas adequadamente considerando os princípios de privilégio mínimo e da necessidade de conhecer;
III - A integridade e a disponibilidade do serviço de correio eletrônico devem ser garantidas;
IV - Deverão ser implementados mecanismos para controlar o envio de mensagens para destinatários simultâneos, sendo necessária solicitação formal para possível autorização de envio acima do limite estabelecido;
V - Deve-se possibilitar o monitoramento do uso do correio eletrônico, bem como a realização de auditoria para apuração de uso indevido, quando solicitado pelas instâncias competentes; e
VI - As caixas postais do correio eletrônico corporativo, funcionais, ramais e demais mídias de comunicação poderão sofrer processos de auditoria, registrados de acordo com sua finalidade para que não haja violações de privacidade, uma vez que são de propriedade da ANAC e estão única e exclusivamente sob concessão de uso para os colaboradores.
CAPÍTULO VIII
DAS RESPONSABILIDADES
Art. 9º A Superintendência de Tecnologia da Informação terá as seguintes atribuições:
I - Estabelecer controles para proteção da confidencialidade e integridade dos dados trafegados sobre as redes privadas (Intranet e Wi-Fi) e pública (Internet);
II - Exigir que o provedor dos serviços de rede gerencie os serviços acordados de maneira segura, bem como possibilitar o monitoramento do serviço prestado, a fim de auditá-lo;
III - Aplicar tecnologias, a fim de viabilizar segurança de serviços de redes como autenticação, encriptação e controles de conexões de rede;
IV - Elaborar os Termos de Uso e Responsabilidade e exigir que os usuários tomem conhecimento e cumpram seus dispositivos;
V - Avaliar periodicamente os mecanismos de segurança da informação implantados na rede da ANAC, bem como garantir a sua execução continuada.
Art. 10. Os usuários dos recursos e serviços da ANAC terão as seguintes responsabilidades:
I - Informar a STI sobre qualquer violação das normas de segurança de que tenham conhecimento;
II - Preservar a integridade, guardar sigilo das informações e zelar pelos recursos e serviços de TI, utilizando-os somente para os fins previstos pela ANAC;
III - Avaliar o tipo e a classificação da informação que será acessada e transmitida, atentando para o disposto em normativos específicos e na legislação vigente;
IV - Informar à STI tão logo identifique que o sistema operacional ou os softwares de segurança dos equipamentos sob sua guarda encontrem-se desatualizados.
CAPÍTULO IX
DAS DISPOSIÇÕES FINAIS
Art. 11. Os procedimentos gerais de segurança da informação para o uso seguro de mídias sociais serão definidos em norma complementar própria.
Art. 12. Os casos omissos serão resolvidos pelo Comitê de Segurança da Informação e Proteção de Dados Pessoais (CSIP) da ANAC, apoiado pelo Comitê de Tecnologia da Informação quando for necessário.