PORTARIA Nº 10.641/STI, DE 2 DE MARÇO DE 2023. 

O SUPERINTENDENTE DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe conferem o art. 39 do Regimento Interno, aprovado pela Resolução nº 381, de 14 de junho de 2016,

Considerando a deliberação da 1ª Reunião Extraordinária do Comitê de Segurança da Informação e Proteção de Dados Pessoais da ANAC, realizada em 8 de fevereiro de 2022;

Considerando as orientações para Gestão de Segurança da Informação, que deverão ser implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta, contidas na Instrução Normativa GSI/PR nº 01, de 27 de maio de 2020, e na Instrução Normativa GSI/PR nº 3, de 28 de maio de 2021;

Considerando a Portaria GSI/PR nº 93, de 18 de outubro de 2019, que aprova o Glossário de Segurança da Informação; e

Considerando as Instruções Normativas nºs 114, de 9 de maio de 2017, que institui a Política de Gestão de Riscos Corporativos da ANAC, 182, de 8 de agosto de 2022, que institui a Política de Governança de Tecnologia da Informação e Comunicação - PGTIC da ANAC, 128, de 6 de novembro de 2018, que institui a Política de Segurança da Informação da Agência Nacional de Aviação Civil - POSI/ANAC, e 172, de 2 de agosto de 2020, que institui a Política de Proteção de Dados Pessoais; e

Considerando o que consta do processo 00058.044684/2019-12, 

RESOLVE:

Art. 1º Instituir, nos termos do Anexo desta Portaria, a Norma Complementar nº 6 que disciplina a Gestão de Riscos de Tecnologia da Informação e Comunicações da Agência Nacional de Aviação Civil - GRTIC/ANAC.

Art. 2º Fica revogada a Portaria nº 3.654/STI, de 26 de novembro de 2019, publicada no Boletim de Pessoal e Serviço - BPS v. 14, nº 50, de 13 de dezembro de 2019.

Art. 3º Esta Portaria entra em vigor na data de sua publicação.

JOSÉ ASSUMPÇÃO RODRIGUES DE ALMEIDA

ANEXO À PORTARIA Nº 10.641/STI, DE 2 DE MARÇO DE 2023.

NORMA COMPLEMENTAR Nº 6

GESTÃO DE RISCOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÕES

CAPÍTULO I

DAS DEFINIÇÕES

Art. 1º Para os fins desta Norma Complementar, considera-se:

I - ameaça:  conjunto de fatores externos com o potencial de causar em dano para um sistema ou organização;

II - apetite ao risco: nível de risco que a ANAC está disposta a aceitar;

III - Ativo Crítico de Informação: ativos relacionados aos objetivos estratégicos da ANAC e que afeta a sua missão se for revelado, modificado, destruído ou mal-usado, ou seja, é o ativo requerido para executar as atividades-fim e de suporte da ANAC, bem como para desempenhar outras atividades essenciais para o alcance da sua missão;

IV - PDCA: do inglês (Plan-Do-Check-Act), consiste em um método interativo de gestão de quatro passos, utilizado para o controle e melhoria contínua de processos e produtos;

V - proprietário da informação: parte interessada da ANAC ou indivíduo legalmente instituído por sua posição ou cargo, que é responsável primário pela viabilidade e sobrevivência da informação;

VI - riscos de segurança da informação: risco potencial associado à exploração de uma ou mais vulnerabilidades de um ou mais ativos de informação, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização; e

VII - vulnerabilidade: condição que, quando explorada por um criminoso cibernético, pode resultar em uma violação de segurança cibernética dos sistemas computacionais ou redes de computadores, e consiste na interseção de três fatores: suscetibilidade ou falha do sistema, acesso possível à falha e capacidade de explorar essa falha. 

CAPÍTULO II

DOS OBJETIVOS E DOS PRINCÍPIOS

Art. 2º Constituem objetivos e princípios do processo de Gestão de Riscos de Tecnologia da Informação e Comunicações - GRTIC da ANAC:

I - estabelecer as diretrizes para que os processos de tomada de decisão da Superintendência de Tecnologia da Informação - STI sejam suportados por abordagens sistemáticas de identificação, avaliação e tratamento de riscos, em conformidade com os requisitos legais e do negócio;

II - proporcionar o entendimento comum, consistente e inequívoco dos riscos de TIC, aperfeiçoando a atuação da STI com base na identificação de oportunidades e de ameaças relacionadas aos objetivos da ANAC;

III - estar compatível com a missão e os objetivos estratégicos da ANAC, considerando, preliminarmente:

a) os processo internos da ANAC;

b) os requisitos legais;

c) a Política de Segurança da Informação da ANAC;

d) a Política de Gestão de Riscos Corporativos da ANAC; e

e) a estrutura da ANAC;

IV - assegurar-se de que as atividades destinadas à GRTIC sejam implementadas e conduzidas de modo controlado e conforme o planejado;

V - produzir subsídios para a Gestão de Segurança da Informação e Comunicações e a Gestão de Continuidade de Serviços de TIC, nos aspectos relacionados à SIC da ANAC;

VI - estar alinhado ao modelo PDCA e modo a fomentar a sua melhoria contínua; e

VII - atender às expectativas dos seus usuários e demais partes interessadas, demonstrando a capacidade para administrar uma interrupção no negócio e proteger a imagem da ANAC.

CAPÍTULO III

DAS DIRETRIZES

Art. 3º A GRTIC obedecerá às seguintes diretrizes:

I - deverá ser contínua, tendo como principal objetivo a manutenção da segurança dos Ativos Críticos de Informação da ANAC;

II - deverá subsidiar propostas de novos investimentos na área de SIC;

III - deverá ser interativa e evolutiva, devendo observar, para sua consecução, a capacidade operacional da infraestrutura de Gestão da Segurança da Informação da ANAC e dos seus demais recursos operacionais; e

IV - a gestão dos processos, das atividades e dos produtos relativos à GRTIC deverá ser realizada com foco na melhoria contínua. 

CAPÍTULO IV

DO PROCESSO DE GESTÃO DE RISCOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÕES

Art. 4º O processo de GRTIC deverá fornecer à ANAC os seguintes documentos:

I - plano de gestão de riscos de segurança da informação;

II - relatório de identificação, análise e avaliação dos riscos de segurança da informação; e

III - relatório de tratamento de riscos de segurança da informação.

Parágrafo único. As instâncias superiores deverão ser informadas a respeito de todas as fases da GRTIC, compartilhando as informações entre o tomador da decisão e as demais partes envolvidas e interessadas.

Art. 5º O plano de gestão de riscos de segurança da informação deverá conter, no mínimo:

I - a abrangência da aplicação da gestão de riscos, delimitando seu âmbito de atuação e os ativos de informação que serão objeto de tratamento;

II - a metodologia a ser utilizada deverá contemplar, no mínimo, critérios de avaliação e de aceitação de riscos;

III - os tipos de riscos;

IV - o nível de severidade dos riscos;

V - um modelo do relatório de identificação, análise e avaliação dos riscos de segurança da informação com as orientações necessárias para sua elaboração; e

VI - um modelo do relatório de tratamento de riscos de segurança da informação com as orientações necessárias para sua elaboração.

§ 1º O plano de gestão de riscos da segurança da informação deverá ser regularmente revisado, a fim de manter atualizados os riscos relativos aos ativos de informação.

§ 2º O processo de implementação do plano de gestão de riscos de segurança da informação deverá considerar, dentre outros aspectos, as recomendações de mudanças em relação aos critérios de aceitação de riscos, a abrangência da atuação do plano, as ações de segurança da informação e as atividades de tratamento de riscos previstas.

§ 3º A abrangência de que trata o inciso I do caput poderá envolver a STI como um todo, uma ou mais gerências, um ou mais processos, um ou mais sistemas, um ou mais recursos, um ou mais ativos de informação.

 Art. 6º O relatório de identificação, análise e avaliação dos riscos de segurança da informação deverá ser elaborado com base no modelo estabelecido pelo plano de gestão de riscos de segurança da informação e deverá conter, no mínimo:

I - os riscos associados a cada ativo de informação, considerando as ameaças envolvidas, as vulnerabilidades existentes e as ações de segurança das informações já implementadas;

II - o grau de severidade dos riscos identificados, considerando os valores ou os níveis de probabilidade de ocorrência do risco e as consequências da ocorrência do risco (perda da integridade, disponibilidade, confiabilidade ou autenticidade nos ativos envolvidos);

III - os eventos de segurança da informação ocorridos, com a descrição das ações de segurança, e de eventuais consequências do evento para o órgão ou a entidade;

IV - as alterações nos fatores de risco (ameaça, vulnerabilidade, probabilidade e impacto); e

V - as mudanças em relação a critérios de avaliação e análise.

§ 1º O relatório de identificação, análise e avaliação dos riscos de segurança da informação deverá ser atualizado anualmente e sempre que houver alteração em algum dos fatores de risco ou em algum contexto interno ou externo, devendo ser posteriormente enviado ao gestor de segurança da informação para aprovação.

§ 2º Contextos interno e externo são o conjunto de eventos que possam influenciar a capacidade da organização de atingir seus objetivos estratégicos.

Art. 7º O relatório de tratamento de riscos de segurança da informação deverá ser resultante do relatório de identificação, análise e avaliação dos riscos de segurança da informação.

§ 1º O relatório de tratamento de riscos de segurança da informação deverá considerar as possibilidades de tratamento para cada risco identificado.

§ 2º Para cada possibilidade de tratamento detectada em função do risco identificado, deverão ser observados, no que couber:

I - a eficácia das ações de segurança da informação;

II - as restrições técnicas;

III - as restrições físicas estruturais;

IV - as restrições operacionais;

V - as restrições organizacionais;

VI - os requisitos legais; e

VII - a relação custo-benefício.

§ 3º O relatório de tratamento de riscos de segurança da informação deverá ser elaborado com base no modelo estabelecido pelo plano de gestão de riscos de segurança da informação e deverá conter, no mínimo:

I - a definição e a priorização das ações de segurança e as atividades de tratamento de riscos que deverão ser realizadas;

II - os responsáveis pela execução e pelo acompanhamento das ações de segurança e atividades de tratamento de riscos; 

III - os prazos de execução das ações de segurança e das atividades de tratamento de riscos; e

IV - as opções de tratamentos de riscos priorizados que podem ser: evitar, transferir, mitigar ou aceitar.

Art. 8º Após elaboração e aprovação dos documentos mencionados no art. 4º desta Norma Complementar, deverão ser implementadas ações de segurança e atividades de tratamento de riscos e, ainda, ser mantidos os riscos monitorados e analisados criticamente, a fim de verificar regularmente, no mínimo, as seguintes mudanças:

I - nos critérios de avaliação e aceitação dos riscos;

II - no ambiente;

III - nos ativos de informação;

IV - nas ações de SIC; e

V - nos fatores do risco (ameaça, vulnerabilidade, probabilidade e impacto).

CAPÍTULO V

DAS RESPONSABILIDADES

Art. 9º Compete ao Comitê de Segurança da Informação e Proteção de Dados Pessoais da ANAC:

I - aprovar as diretrizes gerais para o Processo de GRTIC observada, dentre outros, a Política de Segurança da Informação e a Gestão de Riscos Corporativos da ANAC, bem como a sua missão e os seus objetivos estratégicos;

II - aprovar o plano de gestão de riscos de segurança da informação;

III - aprovar o relatório de identificação, análise e avaliação dos riscos de segurança da informação; e

IV - aprovar o relatório de tratamento de riscos de segurança da informação.

 Art. 10. Compete ao Gestor de Segurança da Informação da ANAC:

I - coordenar a gestão de riscos de segurança da informação;

II - designar o agente responsável pela gestão de riscos de segurança da informação, dentre os servidores efetivos da ANAC; e

III - propor medidas preventivas ao CSIP.

Art. 11. Compete ao agente responsável pela gestão de riscos de segurança da informação elaborar:

I - o plano de gestão de riscos de segurança da informação;

II - o relatório de identificação, análise e avaliação dos riscos de segurança da informação; e

III - o relatório de tratamento de riscos de segurança da informação.

CAPÍTULO VI

DAS ATUALIZAÇÕES

Art. 12. Esta Norma Complementar deverá ser revisada e atualizada periodicamente, no máximo a cada 3 (três) anos, caso não ocorram eventos ou fatos relevantes que exijam uma revisão imediata.

CAPÍTULO VII

DAS DISPOSIÇÕES FINAIS

 Art. 13. Os casos omissos serão resolvidos pelo Comitê de Segurança da Informação e Proteção de Dados Pessoais - CSIP.

_________________________________________________________________________

Publicado em 7 de março de 2023 no Boletim de Pessoal e Serviço - BPS v.18, nº 10, de 6 a 10 de março de 2023.