PORTARIA Nº 10.641/STI, DE 2 DE MARÇO DE 2023.
Institui a Norma Complementar nº 6, que dispõe sobre a Gestão de Riscos de Tecnologia da Informação e Comunicações da ANAC. |
O SUPERINTENDENTE DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe conferem o art. 39 do Regimento Interno, aprovado pela Resolução nº 381, de 14 de junho de 2016,
Considerando a deliberação da 1ª Reunião Extraordinária do Comitê de Segurança da Informação e Proteção de Dados Pessoais da ANAC, realizada em 8 de fevereiro de 2022;
Considerando as orientações para Gestão de Segurança da Informação, que deverão ser implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta, contidas na Instrução Normativa GSI/PR nº 01, de 27 de maio de 2020, e na Instrução Normativa GSI/PR nº 3, de 28 de maio de 2021;
Considerando a Portaria GSI/PR nº 93, de 18 de outubro de 2019, que aprova o Glossário de Segurança da Informação; e
Considerando as Instruções Normativas nºs 114, de 9 de maio de 2017, que institui a Política de Gestão de Riscos Corporativos da ANAC, 182, de 8 de agosto de 2022, que institui a Política de Governança de Tecnologia da Informação e Comunicação - PGTIC da ANAC, 128, de 6 de novembro de 2018, que institui a Política de Segurança da Informação da Agência Nacional de Aviação Civil - POSI/ANAC, e 172, de 2 de agosto de 2020, que institui a Política de Proteção de Dados Pessoais; e
Considerando o que consta do processo 00058.044684/2019-12,
RESOLVE:
Art. 1º Instituir, nos termos do Anexo desta Portaria, a Norma Complementar nº 6 que disciplina a Gestão de Riscos de Tecnologia da Informação e Comunicações da Agência Nacional de Aviação Civil - GRTIC/ANAC.
Art. 2º Fica revogada a Portaria nº 3.654/STI, de 26 de novembro de 2019, publicada no Boletim de Pessoal e Serviço - BPS v. 14, nº 50, de 13 de dezembro de 2019.
Art. 3º Esta Portaria entra em vigor na data de sua publicação.
JOSÉ ASSUMPÇÃO RODRIGUES DE ALMEIDA
ANEXO À PORTARIA Nº 10.641/STI, DE 2 DE MARÇO DE 2023.
NORMA COMPLEMENTAR Nº 6
GESTÃO DE RISCOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÕES
CAPÍTULO I
DAS DEFINIÇÕES
Art. 1º Para os fins desta Norma Complementar, considera-se:
I - ameaça: conjunto de fatores externos com o potencial de causar em dano para um sistema ou organização;
II - apetite ao risco: nível de risco que a ANAC está disposta a aceitar;
III - Ativo Crítico de Informação: ativos relacionados aos objetivos estratégicos da ANAC e que afeta a sua missão se for revelado, modificado, destruído ou mal-usado, ou seja, é o ativo requerido para executar as atividades-fim e de suporte da ANAC, bem como para desempenhar outras atividades essenciais para o alcance da sua missão;
IV - PDCA: do inglês (Plan-Do-Check-Act), consiste em um método interativo de gestão de quatro passos, utilizado para o controle e melhoria contínua de processos e produtos;
V - proprietário da informação: parte interessada da ANAC ou indivíduo legalmente instituído por sua posição ou cargo, que é responsável primário pela viabilidade e sobrevivência da informação;
VI - riscos de segurança da informação: risco potencial associado à exploração de uma ou mais vulnerabilidades de um ou mais ativos de informação, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização; e
VII - vulnerabilidade: condição que, quando explorada por um criminoso cibernético, pode resultar em uma violação de segurança cibernética dos sistemas computacionais ou redes de computadores, e consiste na interseção de três fatores: suscetibilidade ou falha do sistema, acesso possível à falha e capacidade de explorar essa falha.
CAPÍTULO II
DOS OBJETIVOS E DOS PRINCÍPIOS
Art. 2º Constituem objetivos e princípios do processo de Gestão de Riscos de Tecnologia da Informação e Comunicações - GRTIC da ANAC:
I - estabelecer as diretrizes para que os processos de tomada de decisão da Superintendência de Tecnologia da Informação - STI sejam suportados por abordagens sistemáticas de identificação, avaliação e tratamento de riscos, em conformidade com os requisitos legais e do negócio;
II - proporcionar o entendimento comum, consistente e inequívoco dos riscos de TIC, aperfeiçoando a atuação da STI com base na identificação de oportunidades e de ameaças relacionadas aos objetivos da ANAC;
III - estar compatível com a missão e os objetivos estratégicos da ANAC, considerando, preliminarmente:
a) os processo internos da ANAC;
b) os requisitos legais;
c) a Política de Segurança da Informação da ANAC;
d) a Política de Gestão de Riscos Corporativos da ANAC; e
e) a estrutura da ANAC;
IV - assegurar-se de que as atividades destinadas à GRTIC sejam implementadas e conduzidas de modo controlado e conforme o planejado;
V - produzir subsídios para a Gestão de Segurança da Informação e Comunicações e a Gestão de Continuidade de Serviços de TIC, nos aspectos relacionados à SIC da ANAC;
VI - estar alinhado ao modelo PDCA e modo a fomentar a sua melhoria contínua; e
VII - atender às expectativas dos seus usuários e demais partes interessadas, demonstrando a capacidade para administrar uma interrupção no negócio e proteger a imagem da ANAC.
CAPÍTULO III
DAS DIRETRIZES
Art. 3º A GRTIC obedecerá às seguintes diretrizes:
I - deverá ser contínua, tendo como principal objetivo a manutenção da segurança dos Ativos Críticos de Informação da ANAC;
II - deverá subsidiar propostas de novos investimentos na área de SIC;
III - deverá ser interativa e evolutiva, devendo observar, para sua consecução, a capacidade operacional da infraestrutura de Gestão da Segurança da Informação da ANAC e dos seus demais recursos operacionais; e
IV - a gestão dos processos, das atividades e dos produtos relativos à GRTIC deverá ser realizada com foco na melhoria contínua.
CAPÍTULO IV
DO PROCESSO DE GESTÃO DE RISCOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÕES
Art. 4º O processo de GRTIC deverá fornecer à ANAC os seguintes documentos:
I - plano de gestão de riscos de segurança da informação;
II - relatório de identificação, análise e avaliação dos riscos de segurança da informação; e
III - relatório de tratamento de riscos de segurança da informação.
Parágrafo único. As instâncias superiores deverão ser informadas a respeito de todas as fases da GRTIC, compartilhando as informações entre o tomador da decisão e as demais partes envolvidas e interessadas.
Art. 5º O plano de gestão de riscos de segurança da informação deverá conter, no mínimo:
I - a abrangência da aplicação da gestão de riscos, delimitando seu âmbito de atuação e os ativos de informação que serão objeto de tratamento;
II - a metodologia a ser utilizada deverá contemplar, no mínimo, critérios de avaliação e de aceitação de riscos;
III - os tipos de riscos;
IV - o nível de severidade dos riscos;
V - um modelo do relatório de identificação, análise e avaliação dos riscos de segurança da informação com as orientações necessárias para sua elaboração; e
VI - um modelo do relatório de tratamento de riscos de segurança da informação com as orientações necessárias para sua elaboração.
§ 1º O plano de gestão de riscos da segurança da informação deverá ser regularmente revisado, a fim de manter atualizados os riscos relativos aos ativos de informação.
§ 2º O processo de implementação do plano de gestão de riscos de segurança da informação deverá considerar, dentre outros aspectos, as recomendações de mudanças em relação aos critérios de aceitação de riscos, a abrangência da atuação do plano, as ações de segurança da informação e as atividades de tratamento de riscos previstas.
§ 3º A abrangência de que trata o inciso I do caput poderá envolver a STI como um todo, uma ou mais gerências, um ou mais processos, um ou mais sistemas, um ou mais recursos, um ou mais ativos de informação.
Art. 6º O relatório de identificação, análise e avaliação dos riscos de segurança da informação deverá ser elaborado com base no modelo estabelecido pelo plano de gestão de riscos de segurança da informação e deverá conter, no mínimo:
I - os riscos associados a cada ativo de informação, considerando as ameaças envolvidas, as vulnerabilidades existentes e as ações de segurança das informações já implementadas;
II - o grau de severidade dos riscos identificados, considerando os valores ou os níveis de probabilidade de ocorrência do risco e as consequências da ocorrência do risco (perda da integridade, disponibilidade, confiabilidade ou autenticidade nos ativos envolvidos);
III - os eventos de segurança da informação ocorridos, com a descrição das ações de segurança, e de eventuais consequências do evento para o órgão ou a entidade;
IV - as alterações nos fatores de risco (ameaça, vulnerabilidade, probabilidade e impacto); e
V - as mudanças em relação a critérios de avaliação e análise.
§ 1º O relatório de identificação, análise e avaliação dos riscos de segurança da informação deverá ser atualizado anualmente e sempre que houver alteração em algum dos fatores de risco ou em algum contexto interno ou externo, devendo ser posteriormente enviado ao gestor de segurança da informação para aprovação.
§ 2º Contextos interno e externo são o conjunto de eventos que possam influenciar a capacidade da organização de atingir seus objetivos estratégicos.
Art. 7º O relatório de tratamento de riscos de segurança da informação deverá ser resultante do relatório de identificação, análise e avaliação dos riscos de segurança da informação.
§ 1º O relatório de tratamento de riscos de segurança da informação deverá considerar as possibilidades de tratamento para cada risco identificado.
§ 2º Para cada possibilidade de tratamento detectada em função do risco identificado, deverão ser observados, no que couber:
I - a eficácia das ações de segurança da informação;
II - as restrições técnicas;
III - as restrições físicas estruturais;
IV - as restrições operacionais;
V - as restrições organizacionais;
VI - os requisitos legais; e
VII - a relação custo-benefício.
§ 3º O relatório de tratamento de riscos de segurança da informação deverá ser elaborado com base no modelo estabelecido pelo plano de gestão de riscos de segurança da informação e deverá conter, no mínimo:
I - a definição e a priorização das ações de segurança e as atividades de tratamento de riscos que deverão ser realizadas;
II - os responsáveis pela execução e pelo acompanhamento das ações de segurança e atividades de tratamento de riscos;
III - os prazos de execução das ações de segurança e das atividades de tratamento de riscos; e
IV - as opções de tratamentos de riscos priorizados que podem ser: evitar, transferir, mitigar ou aceitar.
Art. 8º Após elaboração e aprovação dos documentos mencionados no art. 4º desta Norma Complementar, deverão ser implementadas ações de segurança e atividades de tratamento de riscos e, ainda, ser mantidos os riscos monitorados e analisados criticamente, a fim de verificar regularmente, no mínimo, as seguintes mudanças:
I - nos critérios de avaliação e aceitação dos riscos;
II - no ambiente;
III - nos ativos de informação;
IV - nas ações de SIC; e
V - nos fatores do risco (ameaça, vulnerabilidade, probabilidade e impacto).
CAPÍTULO V
DAS RESPONSABILIDADES
Art. 9º Compete ao Comitê de Segurança da Informação e Proteção de Dados Pessoais da ANAC:
I - aprovar as diretrizes gerais para o Processo de GRTIC observada, dentre outros, a Política de Segurança da Informação e a Gestão de Riscos Corporativos da ANAC, bem como a sua missão e os seus objetivos estratégicos;
II - aprovar o plano de gestão de riscos de segurança da informação;
III - aprovar o relatório de identificação, análise e avaliação dos riscos de segurança da informação; e
IV - aprovar o relatório de tratamento de riscos de segurança da informação.
Art. 10. Compete ao Gestor de Segurança da Informação da ANAC:
I - coordenar a gestão de riscos de segurança da informação;
II - designar o agente responsável pela gestão de riscos de segurança da informação, dentre os servidores efetivos da ANAC; e
III - propor medidas preventivas ao CSIP.
Art. 11. Compete ao agente responsável pela gestão de riscos de segurança da informação elaborar:
I - o plano de gestão de riscos de segurança da informação;
II - o relatório de identificação, análise e avaliação dos riscos de segurança da informação; e
III - o relatório de tratamento de riscos de segurança da informação.
CAPÍTULO VI
DAS ATUALIZAÇÕES
Art. 12. Esta Norma Complementar deverá ser revisada e atualizada periodicamente, no máximo a cada 3 (três) anos, caso não ocorram eventos ou fatos relevantes que exijam uma revisão imediata.
CAPÍTULO VII
Art. 13. Os casos omissos serão resolvidos pelo Comitê de Segurança da Informação e Proteção de Dados Pessoais - CSIP.
_________________________________________________________________________
Publicado em 7 de março de 2023 no Boletim de Pessoal e Serviço - BPS v.18, nº 10, de 6 a 10 de março de 2023.