Portaria nº 7.663/STI, DE 28 de março de 2022.

                   O SUPERINTENDENTE DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe confere o art. 39 do Regimento Interno, aprovado pela Resolução nº 381, de 14 de junho de 2016, e

CONSIDERANDO a deliberação da 3ª Reunião Ordinária do Comitê de Segurança da Informação e Comunicações da ANAC de 2020 realizada em 17 de dezembro de 2020;

CONSIDERANDO as obrigações estabelecidas no Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação;

CONSIDERANDO as orientações para a Estrutura de Gestão de Segurança da Informação, que deverão ser implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta, contidas na Instrução Normativa nº 01 do Gabinete de Segurança Institucional, de 27 de maio de 2020, e em suas Normas Complementares;

CONSIDERANDO as Instruções Normativas nº 114, de 9 de maio de 2017, que institui a Política de Gestão de Riscos Corporativos da ANAC, nº 120, de 22 de fevereiro de 2018, que institui a Política de Governança de Tecnologia da Informação e Comunicação - PGTIC da ANAC, nº 128, de 6 de novembro de 2018, que institui a Política de Segurança da Informação da Agência Nacional de Aviação Civil - POSI/ANAC, e nº 172, de 2 de agosto de 2020, que institui a Política de Proteção de Dados Pessoais;

CONSIDERANDO a Portaria GSI/PR nº 93, de 18 de outubro de 2019, que aprova o Glossário de Segurança da Informação;

CONSIDERANDO as recomendações constantes nas normas técnicas NBR ISO/IEC 27001:2013 - Sistema de Gestão de Segurança da Informação e NBR ISO/IEC 27002:2013 - Código de Práticas para a Gestão da Segurança da Informação; e

CONSIDERANDO o que consta do processo nº 00058.043557/2021-11,

RESOLVE:

Art. 1º Instituir a Norma Complementar que disciplina a Gestão de Segurança da Informação e Comunicações - SIC na utilização de recursos e serviços de Tecnologia da Informação - TI - da Agência Nacional de Aviação Civil – ANAC, nos termos do anexo.

Art. 2º Esta Portaria entra em vigor na data de sua publicação.

JOSÉ ASSUMPÇÃO RODRIGUES DE ALMEIDA

___________________________________________________________________________________________

Publicado em 30 de março de 2022 no Boletim de Pessoal e Serviço - BPS v.17, nº 13, de 28 de março a 1º de abril de 2022.

ANEXO À Portaria 7.663/STI, DE 28 de março de 2022.

NORMA COMPLEMENTAR Nº 7

GESTÃO DE SIC NA UTILIZAÇÃO DE RECURSOS E SERVIÇOS DE TI DA ANAC

CAPÍTULO I

DAS DEFINIÇÕES

Art. 1º  Para os fins desta Portaria, consideram-se:

I - Ativo de Tecnologia da Informação:  são elementos de hardware ou software que dão suporte a ativos de informações ou são utilizados para acesso ou manipulação destes. São exemplos: computadores (desktop e notebook), dispositivos móveis, servidores (físicos ou virtuais), ativos de redes, aplicativos e banco de dados, sem prejuízo de outros ativos não mencionados neste dispositivo;

II - Autenticação de multifatores – MFA: utilização de dois ou mais fatores de autenticação para concessão de acesso a um sistema ou serviço de TI. Os fatores de autenticação se dividem em:

1. algo que o usuário conhece (senhas, frases de segurança, PIN, dentre outros);

2. algo que o usuário possui (certificado digital, tokens, códigos enviados por SMS, dentre outros);

3. algo que o usuário é (aferível por meios biométricos, tais como digitais, padrões de retina, reconhecimento facial, dentre outros); e

4. onde o usuário está (quando o acesso só pode ser feito em uma máquina específica, cujo acesso é restrito);

III - BYOD - Bring Your Own Device. Trata-se de uma política de segurança de uma organização, que permite que os dispositivos móveis dos funcionários sejam usados nas atividades corporativas. Uma política BYOD estabelece limitações e restrições sobre se um dispositivo pessoal (como um notebook, smartphone ou tablet) pode ou não ser conectado na rede corporativa;

IV - Caixa postal funcional - caixa postal de correio eletrônico para uso individual associada a um único usuário da rede;

V - Caixa postal corporativa - caixa postal de correio eletrônico associada a uma unidade organizacional da ANAC;

VI - Controle de acesso - conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso ao uso de recursos físicos ou computacionais. Via de regra, requer procedimentos de autenticação;

VII - Dispositivos móveis - equipamentos portáteis dotados de capacidade computacional ou dispositivos removíveis de memória para armazenamento, entre os quais se incluem, não se limitando a estes: notebooks, netbooks, smartphones, tablets, pendrives, USB drives, HD externo, e cartões de memória;

VIII - Endpoint - é qualquer dispositivo conectado a uma rede de computadores; e

IX - Perfil de Acesso - conjunto de atributos de cada usuário, definidos previamente como necessários para credencial de acesso.

CAPÍTULO II

DOS PRINCÍPIOS E OBJETIVOS

Art. 2º  A gestão de segurança da informação no uso de recursos e serviços de TI na ANAC será regida pelos princípios da disponibilidade, integridade, confidencialidade, autenticidade (DICA), irretratabilidade, responsabilidade, legalidade e confiabilidade;

Art. 3º Constituem objetivos desta Norma:

I - estabelecer orientações e procedimentos gerais para garantir a gestão de segurança da informação quanto ao uso dos recursos e serviços de TI da ANAC;

II - atribuir responsabilidades aos envolvidos nos processos de gestão de segurança de recursos de TI, a fim de minimizar os impactos decorrentes de seu mau uso e possíveis indisponibilidades nos serviços de TI;

III - aprimorar a capacidade da Agência de atender às necessidades de usuários e de administrar os recursos e os serviços de TI no âmbito da Segurança da Informação; e

IV - estabelecer controles que mitiguem riscos de comprometimento da Gestão de Segurança da Informação (GSI) da ANAC.

CAPÍTULO III

DO CONTROLE DE ACESSO COMPUTACIONAL

Art. 4º  A gestão de acesso à rede de computadores da ANAC obedecerá às seguintes orientações e procedimentos gerais:

I - Implementação de controles para fornecimento de acesso aos serviços;

II - Avaliação periódica da definição, implementação e administração de mecanismos de segurança da informação;

III - Implementação de processos e disponibilização de recursos para identificar e responder a eventos de violação de segurança;

IV - Monitoramento, apuração e a comunicação de eventos de violação de segurança ao Gestor de Segurança da Informação da ANAC, aos membros do CSIP, e à ETIR;

V - Realização de auditorias para apuração de uso indevido dos serviços da Rede da ANAC com o objetivo de identificar possíveis violações de segurança  e vulnerabilidades;

VI - Implementação de controles para o fornecimento de informações e recursos de autenticação para acesso aos serviços da Rede da ANAC;

VII - Aplicação do princípio do menor privilégio, concedendo-se apenas o acesso necessário para o desempenho de uma atividade específica;

VIII - Realização da autorização e modificação dos privilégios de acesso apenas quando da solicitação da chefia imediata ou superior hierárquico;

IX - Implementação de mecanismos para possibilitar a suspensão do acesso à Rede da ANAC em casos de irregularidade na utilização dos serviços no que tange à Segurança de TI;

X - Disponibilização de acessos a sistemas internos, intranet e demais serviços remotos somente mediante utilização de comunicação segura e sujeitos ao monitoramento da equipe da STI;

XI - Habilitação do mecanismo de Múltiplo Fator de Autenticação, preferencialmente, sempre que for necessário realizar a autenticação nos sistemas e serviços da rede da ANAC;

XII - Utilização e definição dos perfis de acesso de usuários de acordo com o trabalho desempenhado no âmbito da ANAC;

XIII - Concessão dos acessos a recursos e serviços de TI, tanto aos usuários quanto aos prestadores de serviços, somente quando os procedimentos de autorização tiverem sido concluídos;

XIV - Assinatura do Termo de Uso e Responsabilidade pelos usuários, indicando a aceitação das condições de acesso;

XV - Remoção ou bloqueio periódico de contas de usuários redundantes; e

XVI - Implementação de política de gestão de senhas do usuário.

§ 1º A gestão de senha para usuários com perfil de administrador deverá utilizar critérios de complexidade e periodicidade diferentes da gestão de senha para usuários comuns.

§ 2º A ETIR comunicará os eventos de violação de segurança à CTIR/GOV do GSI/PR, quando necessário.

§ 3º Usuários que tenham acesso privilegiado aos ativos de TI, incluindo servidores e bancos de dados devem assinar, adicionalmente, um Termo de Compromisso de Manutenção de Sigilo.

CAPÍTULO IV

DO ACESSO À INTERNET

Art. 5º  A gestão de acesso à Internet da ANAC obedecerá às seguintes orientações e procedimentos gerais:

I - O acesso dos usuários à Internet pela Rede ANAC deverá ser provido de acordo com as premissas definidas pela STI;

II - Deverão ser implementados mecanismos de segurança para proteção, monitoramento e auditoria das informações trocadas por meio da Internet;

III - Os acessos quando violarem os termos estabelecidos ou expuserem a ANAC a riscos de danos à sua imagem ou à segurança das suas informações deverão ser bloqueados;

IV - O acesso a sítios ou programas bloqueados na Internet será liberado apenas para os casos especiais em que, pelas atividades desenvolvidas, reste demonstrada a necessidade de acesso, mediante solicitação da chefia imediata e aprovação da STI.

V - O agente utilizador da internet, identificado por login de rede, ou por outro mecanismo, responderá pelos acessos e atos indevidos praticados por meio do acesso à internet disponibilizado pela ANAC.

CAPÍTULO V

DO USO DOS ATIVOS DE TECNOLOGIA DA INFORMAÇÃO

Art. 6º  A gestão do uso dos ativos de Tecnologia da Informação da ANAC obedecerá às seguintes orientações e procedimentos gerais:

I - Usuário comum não deverá ter acesso de administrador aos ativos de Tecnologia da Informação sem prévia solicitação e aprovação da chefia imediata e da STI, mediante justificativa e assinatura de Termo de Uso e Responsabilidade específico;

II - Sempre que possível, deverão ser utilizados mecanismos de criptografia em trânsito para proteção de dados nos ativos de Tecnologia da Informação;

III - A autorização e homologação de programas utilitários com acesso privilegiado ao sistema operacional do Endpoint devem obrigatoriamente levar em consideração aspectos de segurança;

IV - Todo equipamento de informática deverá ter instalado Agente de segurança para Endpoint e/ou Antivírus, sendo terminantemente proibida a desativação deste(s), respeitando-se a limitação de recurso, a relação de custo-benefício e a viabilidade técnica da Agência;

V - Deverão ser implementados processos que possibilitem a atualização periódica dos Sistemas Operacionais sob responsabilidade da STI;

VI - Os processos relacionados ao inventário e monitoramento do uso dos ativos de TI são definidos em norma complementar própria.

VII - Deverão ser realizadas varreduras e manutenções preventivas, a fim de encontrar e remover malwares e sistemas utilitários de uso proibido, de acordo com à Política de Segurança da ANAC.

Parágrafo único. As disposições presentes neste artigo se aplicam, também, à gestão dos dispositivos móveis.

CAPÍTULO VI

DO USO DOS DISPOSITIVOS MÓVEIS

Art. 7º  A gestão do uso dos dispositivos móveis na rede da ANAC obedecerá às seguintes orientações e procedimentos gerais:

I - Deve-se realizar o cadastro e registro dos dispositivos móveis de computação fornecidos pela ANAC, a fim de garantir a sua identificação única, bem como a do usuário responsável pelo uso;

II - A utilização dos equipamentos deverá ser realizada de forma única e exclusiva por aqueles agentes que assumiram a responsabilidade pelo seu uso;

III - A instalação sem permissão de aplicativos ou de recursos não disponibilizados pelo setor responsável deverá ser restringida nos dispositivos corporativos;

IV - Deverão ser implementados mecanismos que possibilitem a proteção e sigilo dos dados armazenados nos dispositivos em casos de extravio;

V - Deverão ser implementados mecanismos de autenticação, autorização e registro de acesso do usuário, bem como do dispositivo às conexões de rede e recursos disponíveis na ANAC;

VI - Os recursos corporativos só poderão ser acessados quando o proprietário de dispositivo BYOD estiver devidamente autorizado e o dispositivo seguir as orientações mínimas de segurança para acessar os recursos;

VII - Os recursos ou dados corporativos aos quais o dispositivo móvel particular terá acesso deverão ser restringidos;

VIII - Deverão ser estabelecidos procedimentos de controle e concessão de acesso a visitantes que, durante a permanência em instalações da ANAC, necessitem conectar seus dispositivos móveis à rede da Agência;

IX - O armazenamento de informações classificadas em dispositivos móveis removíveis deverá ser restringido àqueles que possibilitem a aplicação de controles compatíveis com o nível de classificação da informação;

X - Termo de Uso e Responsabilidade a ser assinado pelo servidor público ou colaborador deverá ser elaborado, quando da disponibilização para seu uso de dispositivos móveis; e

XI - Os acessos a sistemas internos, intranet e demais serviços remotos por dispositivos móveis corporativos serão realizados somente mediante utilização de comunicação segura;

CAPÍTULO VII

DO USO DE CORREIO ELETRÔNICO

Art. 8º  A gestão do uso do serviço de correio eletrônico da ANAC obedecerá às seguintes orientações e procedimentos gerais:

I - As caixas postais funcionais serão instituídas apenas com a delegação de privilégios a usuários específicos;

II - Permissões para acesso às caixas postais devem ser configuradas adequadamente considerando os princípios de privilégio mínimo e da necessidade de conhecer;

III - A integridade e a disponibilidade do serviço de correio eletrônico devem ser garantidas;

IV - Deverão ser implementados mecanismos para controlar o envio de mensagens para destinatários simultâneos, sendo necessária solicitação formal para possível autorização de envio acima do limite estabelecido;

V - Deve-se possibilitar o monitoramento do uso do correio eletrônico, bem como a realização de auditoria para apuração de uso indevido, quando solicitado pelas instâncias competentes; e

VI - As caixas postais do correio eletrônico corporativo, funcionais, ramais e demais mídias de comunicação poderão sofrer processos de auditoria, registrados de acordo com sua finalidade para que não haja violações de privacidade, uma vez que são de propriedade da ANAC e estão única e exclusivamente sob concessão de uso para os colaboradores.

CAPÍTULO VIII

DAS RESPONSABILIDADES

Art. 9º  A Superintendência de Tecnologia da Informação terá as seguintes atribuições:

I - Estabelecer controles para proteção da confidencialidade e integridade dos dados trafegados sobre as redes privadas (Intranet e Wi-Fi) e pública (Internet);

II - Exigir que o provedor dos serviços de rede gerencie os serviços acordados de maneira segura, bem como possibilitar o monitoramento do serviço prestado, a fim de auditá-lo;

III - Aplicar tecnologias, a fim de viabilizar segurança de serviços de redes como autenticação, encriptação e controles de conexões de rede;

IV - Elaborar os Termos de Uso e Responsabilidade e exigir que os usuários tomem conhecimento e cumpram seus dispositivos;

V - Avaliar periodicamente os mecanismos de segurança da informação implantados na rede da ANAC, bem como garantir a sua execução continuada.

Art. 10.  Os usuários dos recursos e serviços da ANAC terão as seguintes responsabilidades:

I - Informar a STI sobre qualquer violação das normas de segurança de que tenham conhecimento;

II - Preservar a integridade, guardar sigilo das informações e zelar pelos recursos e serviços de TI, utilizando-os somente para os fins previstos pela ANAC;

III - Avaliar o tipo e a classificação da informação que será acessada e transmitida, atentando para o disposto em normativos específicos e na legislação vigente;

IV - Informar à STI tão logo identifique que o sistema operacional ou os softwares de segurança dos equipamentos sob sua guarda encontrem-se desatualizados.

CAPÍTULO IX

DAS DISPOSIÇÕES FINAIS

Art. 11.  Os procedimentos gerais de segurança da informação para o uso seguro de mídias sociais serão definidos em norma complementar própria.

Art. 12.  Os casos omissos serão resolvidos pelo Comitê de Segurança da Informação e Proteção de Dados Pessoais (CSIP) da ANAC, apoiado pelo Comitê de Tecnologia da Informação quando for necessário.