Portaria nº 16.517/std, DE 6 de março de 2025

O SUPERINTENDENTE DE TECNOLOGIA E TRANSFORMAÇÃO DIGITAL, no uso das atribuições que lhe confere o art. 39 do Regimento Interno, aprovado pela Resolução nº 381, de 14 de junho de 2016, e

Considerando o disposto nos arts. 46 e 50 da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGDP);

Considerando o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação - LAI);

Considerando o disposto no Decreto nº 11.856, e 26 de dezembro de 2023, que institui a Política Nacional de Cibersegurança e o Comitê Nacional de Cibersegurança;

Considerando o disposto no Decreto nº 10.332, de 28 de abril de 2020, que institui a Estratégia de Governo Digital para o período de 2020 a 2022;

Considerando o disposto nos 2.3.4 e 2.3.5 da Estratégia Nacional de Segurança Cibernética, aprovada pelo Decreto nº 10.222, de 5 de fevereiro de 2020;

Considerando o disposto no art. 2º, inciso XXIII, do Decreto nº 10.046, de 9 de outubro de 2019, que dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados;

Considerando o disposto nos arts. 2º, incisos III e IV, 3º, incisos III, IV, VIII, XI, e 15 do Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação - PNSI, dispõe sobre a governança da segurança da informação e dá outras providências;

Considerando o disposto no art. 12, inciso IV, alíneas "g" e "h", da Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020, que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da administração pública federal;

Considerando o disposto no Capítulo IV da Instrução Normativa GSI/PR nº 3, de 28 de maio de 2021, que dispõe sobre os processos relacionados à gestão de segurança da informação nos órgãos e nas entidades da administração pública federal;

Considerando o disposto na Seção A.12.3 (Cópias de segurança) da Norma ABNT NBR ISO/IEC 27001:2013;

Considerando o disposto nas Seções 12.3 (Cópias de segurança) e 18 (Conformidade) da Norma ABNT NBR ISO/IEC 27002:2013;

Considerando o disposto na Norma Complementar IN01/DSIC/GSIPR nº 21, de 8 de outubro de 2014, que dispõe sobre diretrizes para o registro de eventos, coleta e preservação de evidências de incidentes de segurança em redes;

Considerando o disposto na Portaria GSI/PR nº 93, de 18 de outubro de 2021, que aprova o glossário de segurança da informação;

Considerando o disposto na Instrução Normativa nº 128, de 6 de novembro de 2018, que aprova Política de Segurança da Informação - Posi no âmbito da Anac;

Considerando o disposto na Instrução Normativa nº 172, de 2 de agosto de 2020, que aprova a Política de Proteção de Dados Pessoais - PoPD no âmbito da Anac;

Considerando o disposto nos Controles 3 e 8 do Guia do Framework de Privacidade e Segurança da Informação SGD (PPSI);

Considerando o disposto no Framework de Segurança Cibernética do CIS 8 – Salvaguardas do controle 8 (Audit Log Management Policy Template for CIS Control 8); e

Considerando o que consta do processo nº 00058.076474/2024-42,

 RESOLVE:

 Art. 1º Instituir, nos termos do Anexo, a Norma Complementar nº 10, que dispõe a Política de Gerenciamento de Registros (Logs) de Auditoria de Ativos de (TI) da Agência Nacional de Aviação Civil - Anac.

Art. 2º Esta Portaria entra em vigor na data de sua publicação.

FERNANDO ANDRÉ COELHO MITKIEWICZ

ANEXO

NORMA COMPLEMENTAR Nº 10 - POLÍTICA DE GERENCIAMENTO DE REGISTROS (LOGS) DE AUDITORIA DE ATIVOS DE TI

 TÍTULO I

DAS DISPOSIÇÕES GERAIS

CAPÍTULO I

DO OBJETIVO

 Art. 1º A Política de Gestão de Registros (logs) de Auditoria de Ativos de Tecnologia da Informação - TI objetiva estabelecer as diretrizes que visem à coleta, armazenamento, análise e exclusão de logs de auditoria dos ativos do ambiente computacional da Anac, em atendimento à Política de Segurança da Informação - Posi/Anac, aprovada pela Instrução Normativa nº 128, de 6 de novembro de 2018. 

CAPÍTULO II

DO ESCOPO

Art. 2º Esta Norma Complementar se aplica aos ativos de tecnologia da informação que compõem o ambiente computacional da Anac fornecido e mantido pela Superintendência de Tecnologia e Transformação Digital - STD.

 TÍTULO II

DA CONCEITUAÇÃO

Art. 3º Para os fins desta Norma Complementar, considera-se:

I - ambiente computacional: conjunto de ativos de tecnologia da informação, composto por hardwares e softwares, destinado ao recebimento, tratamento, armazenamento, transmissão e processamento de dados;

II - ativo de TI: recurso que compõe o ambiente computacional da Anac, tais como estação de trabalho física ou virtual, computador portátil, servidor físico ou virtual, sistema/aplicação corporativa/negocial, infraestrutura de TI, entre outros, dispostos nas instalações físicas ou em nuvem computacional;

III - descarte: eliminação correta de informações, documentos, mídias e acervos digitais;

IV - Etir/Anac: Equipe de Prevenção, Tratamento, e Resposta a Incidentes Cibernéticos da Anac;

V - evento: qualquer mudança de estado que tem importância para a gestão de um item de configuração ou serviço de tecnologia da informação, ou seja, qualquer ocorrência dentro do escopo de tecnologia da informação que tenha relevância para a gestão dos serviços entregues ao usuário;

VI - evento de segurança: qualquer ocorrência identificada em um sistema, serviço ou rede, que indique uma possível falha da política de segurança, falha das salvaguardas ou mesmo uma situação até então desconhecida, que possa se tornar relevante em termos de segurança;

VII - gestor de ativo de TI: servidor ou colaborador responsável pelo ativo de TI na STD;

VIII - ataque cibernético: ocorrência resultante de ação mal-intencionada que compromete a confidencialidade, integridade ou autenticidade de sistema de informação ou das informações processadas, armazenadas ou transmitidas por esse sistema;

IX - log: registro de evento relevante em um dispositivo de TI ou sistema computacional;

X - log de sistema: categoria de log que informa evento no nível do sistema, tais como travamentos, horários de início/término de processo do sistema, entre outros, sendo nativos dos sistemas e que exigem menos configurações para serem ativados;

XI - log de auditoria: categoria de log que inclui evento no nível do usuário, tais como: quando um usuário realiza login no sistema ou acessa um determinado arquivo, entre outros;

XII - risco: no sentido amplo, trata-se da possibilidade de ocorrência de um evento que pode impactar o cumprimento dos objetivos, podendo ser mensurado em termos de impacto e de probabilidade;

XIII - sistema corporativo crítico: trata-se de sistema(as) mantido(os) pela STD que apoia(am) processo(os) de negócio e/ou trabalho de alta criticidade da Anac;

XIV - sistema departamental crítico: trata-se de sistema(as) mantido(os) pela UORG(s) que apoia(am) processo(os) de negócio e/ou trabalho de alta criticidade da Anac; e

XV - trilha de auditoria: registro ou conjunto de registros que possam indicar, de forma cronológica e inequívoca, o autor e a ação realizada em determinada operação, procedimento ou evento.

 TÍTULO III

DAS REFERÊNCIAS E BOAS PRÁTICAS

Art. 4º A Política de que trata esta Norma Complementar visa a atender às seguintes leis, normativos e boas práticas:

I - arts. 46 e 50 da Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais - LGDP;

II - Lei nº 12.527, de 18 de novembro de 2011, a Lei de Acesso à Informação - LAI;

III - Decreto nº 11.856, e 26 de dezembro de 2023;

IV - Decreto nº 10.332, de 28 de abril de 2020;

V - nos 2.3.4 e 2.3.5 da Estratégia Nacional de Segurança Cibernética, aprovada pelo Decreto nº 10.222, de 5 de fevereiro de 2020;

VI - art. 2º, inciso XXIII, do Decreto nº 10.046, de 9 de outubro de 2019;

V - arts. 2º, incisos III e IV, 3º, incisos III, IV, VIII, XI, e 15, do Decreto nº 9.637, de 26 de dezembro de 2018;

VI - art. 12, inciso IV, alíneas "g" e "h", da Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020;

VII - Capítulo IV da Instrução Normativa GSI/PR nº 3, de 28 de maio de 2021;

VIII - Seção A.12.3 (Cópias de segurança) da Norma ABNT NBR ISO/IEC 27001:2013;

IX - Seções 12.3 (Cópias de segurança) e 18 (Conformidade) da Norma ABNT NBR ISO/IEC 27002:2013;

X - Norma Complementar IN01/DSIC/GSIPR nº 21, de 8 de outubro de 2014;

XI - Portaria GSI/PR nº 93, de 18 de outubro de 2021, que aprova o glossário de segurança da informação;

XII - Instrução Normativa nº 128, de 6 de novembro de 2018;

XIII - Controles 3 e 8 do Guia do Framework de Privacidade e Segurança da Informação SGD (PPSI); e

XIV - Framework de segurança cibernética do CIS 8 - Salvaguardas do controle 8 (Audit Log Management Policy Template for CIS Control 8).

TÍTULO IV

DAS PREMISSAS E RESPONSABILIDADES

 Art. 5º Os logs de eventos objetos desta instrução deverão ser gerados, armazenados e analisados para todos os ativos de TI, sobretudo, os críticos aos processos de negócio da Anac.

Art. 6º Os gestores de ativos de TI da STD são responsáveis pela implementação de mecanismos administrativos e técnicos que permitam a coleta, armazenamento, análise e exclusão dos logs objetos desta Instrução.

 TÍTULO V

DO CICLO DE VIDA DOS LOGS

CAPÍTULO I

DA COLETA DE LOGS

Art. 7º A Anac deverá ter a capacidade de realizar a coleta de logs de auditoria em todos os ativos de informação.

§ 1º Os administradores precisarão configurar as fontes de registros e ativar a coleta das informações necessárias no formato e local específicos desejados.

§ 2º Os logs de que trata o caput poderão ser gerados a partir de diversas fontes, tais como antivírus, firewalls, sistemas de prevenção e detecção de intrusão, sistemas operacionais em servidores, estações de trabalho e aplicações.

Art. 8º Os logs de auditoria de ativos de TI deverão ser coletados na medida necessária e suficiente para permitir a realização de monitoramento e análise de atividades maliciosas ou não autorizadas.

§ 1º Os ativos de TI deverão estar com as informações de data e hora sincronizadas com pelo menos duas fontes de tempo, onde houver suporte.

§ 2º Para os ativos de TI não contemplados por esta Norma Complementar em função de dificuldades técnicas ou obrigações contratuais e normativas ou outras razões legítimas, as exceções deverão ser documentadas e aprovadas por meio de adequado processo de gerenciamento de exceções.

Art. 9º Os logs poderão ser inicialmente coletados em um ou mais repositórios, podendo ser posteriormente centralizados para permitir um melhor gerenciamento dos eventos.

Art. 10. Os ativos de TI deverão gerar registros (logs) de eventos, incluindo a identificação daqueles significativos para a segurança da informação (eventos de segurança), podendo ser, mas não se limitando a:

I - logons (do sistema ou domínio) bem-sucedidos e tentativas de logon mal-sucedidas;

II - criação e exclusão de contas de usuários;

III - acesso ao serviço de diretório;

IV - leitura, escrita e exclusão de base de dados;

V - acesso e uso privilegiado de recursos do ativo;

VI - configurações de sistema (logs de sistema);

VII - acesso a documentos e processos; e

VIII - inicialização, interrupção ou exclusão de arquivo de log de auditoria.

§ 1º Ativos de informação que contêm dados sensíveis aos negócios da instituição deverão possuir log de auditoria detalhado, incluindo, mas não se limitando, a elementos úteis que possam ajudar em uma eventual investigação forense:

I - origem do evento;

II - data e hora do evento;

III - nome de usuário; e

IV - endereços de origem e destino.

§ 2º A organização deverá, ao manter registros de eventos (logs), considerando o princípio de minimização de dados, gravar o acesso ao dado pessoal, incluindo as seguintes informações, mas não se limitando a:

I - identificação do usuário;

II - data e hora do acesso;

III - qual titular de dados pessoais foi acessado; e

IV - quais mudanças (se houver alguma) foram feitas (adições, modificações ou exclusões).

§ 3º Os sistemas departamentais críticos e que manipulem dados sensíveis deverão gerar registros (logs) de auditoria de eventos de segurança (trilha de auditoria) exemplificados nos incisos do caput, quando pertinentes, incluindo pelo menos as seguintes informações:

I - identidade do usuário;

II - data e horário do evento;

III - indicação de sucesso do evento;

IV - endereço de rede de origem e destino do evento; e

V - identidade ou nome dos dados afetados.

Art. 11. Quando apropriado, logs de auditoria de consultas DNS e URL em ativos de informação deverão ser coletados.

Art. 12. As implementações de coleta de logs poderão incluir a coleta de logs de auditoria de linhas de comando (CLI) tais como PowerShell, BASH e terminais administrativos remotos.

Art. 13. Deverão ser implementadas controles específicos para registro das atividades dos administradores e operadores dos ativos de TI críticos.

Art. 14. Em caso de incidente de segurança cibernética todo e qualquer material coletado deverá ser lacrado e custodiado pelo agente responsável pela Etir/Anac, que deverá preencher um Termo de Custódia do Ativo relacionado ao incidente.

Paragrafo único. O material coletado ficará à disposição da autoridade comunicada, a qual orientará quanto a sua destinação.

CAPÍTULO II

DO ARMAZENAMENTO DE LOGS

 Art. 15. O armazenamento de logs deverá estar de acordo com o processo de gestão de logs da Anac.

§ 1º O armazenamento de logs de auditoria de ativos de TI classificados como críticos serão priorizados, tendo em vista a capacidade dos recursos da infraestrutura de armazenamento de TI da STD.

§ 2º Quando os logs armazenados contiverem dados pessoais:

I - deverá ser observado o previsto no art. 16 da LGPD, de forma a avaliar se os logs deverão ser eliminados ou mantidos após o término do tratamento dos dados pessoais;

II - os logs deverão ser projetados para evitar a captura desnecessária de Informações de Identificação Pessoal (PII); e

III - quando a inclusão de PII for inevitável, deverão ser adotadas técnicas de anonimização ou pseudonimização para proteger a identidade dos indivíduos.

§ 3º Os logs deverão ser retidos por no mínimo 90 (noventa) dias e, uma vez que o período mínimo de retenção tenha sido atingido, a STD poderá continuar a retê-los até que seja determinado pelo gestor do ativo que não sejam mais necessários para fins administrativos, legais, de auditoria ou outros fins operacionais.

Art. 16. Os registros (logs) de auditoria deverão ser retidos de forma segura.

Parágrafo único. Cópias de segurança (backups) de arquivos de log de auditoria deverão ser armazenados de forma segura, incluindo, mas não se limitando, ao uso de criptografia.

Art. 17. A capacidade de armazenamento dos logs deverá ser constantemente monitorada e ajustada de forma a evitar impactos à disponibilidade das aplicações e serviços de TI monitorados.

Parágrafo único. A eventual desativação da coleta e armazenamento de logs de auditoria de ativos de TI críticos por ocasião de impactos à performance e/ou capacidade das soluções monitoradas deverá ser devidamente comunicada e fundamentada à STD.

 CAPÍTULO III

DA ANÁLISE DOS LOGS

 Art. 18. Análises de logs de auditoria de ativos de TI, sobretudo os críticos, poderão ser realizadas periodicamente visando a detecção de anomalias ou eventos anormais que possam indicar uma ameaça potencial às operações da Anac.

§ 1º O comportamento dos ativos de TI deverá ser analisado para fins de detecção e mitigação de execução de comandos e scripts que possam indicar ações maliciosas.

§ 2º Processos, procedimentos e medidas técnicas poderão ser definidos e implementados para detecção de anomalias e notificação imediata aos responsáveis pelo ativo de TI, caso confirmado.

Art. 19. Eventos relacionados à segurança nos aplicativos e na infraestrutura de TI subjacente deverão ser identificados e monitorados.

Parágrafo único. Em casos de resposta a incidentes cibernéticos, a coleta de dados para fins de análise forense deverá ser empregada nos sistemas afetados, garantindo-se a segurança dos dados obtidos e a disponibilização segura aos órgãos competentes.

Art. 20. Quando apropriado, logs de auditoria do provedor de serviços em nuvem deverão ser coletados e analisados.

Art. 21. O acesso aos ativos de TI, sobretudo os críticos, deverá ser avaliado quanto à execução de atividades não autorizadas ou incomuns.

Art. 22. Os registros de auditoria de ativos de TI críticos deverão ser preferencialmente correlacionados quando houver mais de um repositório de logs ou quando coletado de fontes diferentes.

CAPÍTULO IV

DA EXCLUSÃO DOS LOGS

 Art. 23. Os logs dos ativos de TI deverão ser removidos do armazenamento por meio da utilização de métodos seguros quando não forem mais necessários para atendimento de requisitos legais, regulatórios ou de negócios.

Art. 24. Deverão ser implementadas medidas de salvaguarda para os logs, bem como controles específicos para registro das atividades dos administradores e operadores nos sistemas e ativos de TI, de forma que esses não tenham permissão de exclusão ou desativação dos registros (log) de suas próprias atividades.

Art. 25. A exclusão ou descarte deverá ser feita de modo a assegurar a irrecuperabilidade, destruindo inclusive as cópias, mídias digitais, impressos e discos rígidos.

Art. 26. Mídias digitais de armazenamento ou discos rígidos poderão ser reutilizados, desde que seja realizada a sobrescrição de dados na mídia a ser reutilizada.

 TÍTULO VI

DAS DISPOSIÇÕES FINAIS

 Art. 27. Os casos omissos serão resolvidos pela STD.

CAPÍTULO I

DA AVALIAÇÃO E REGULAMENTAÇÃO

 Art. 28. O cumprimento desta Norma Complementar será avaliado periodicamente, de acordo com os critérios da STD.

Art. 29. Fica a STD autorizada a elaborar procedimentos específicos para a operacionalização dos controles estabelecidos nesta Instrução Administrativa.

CAPÍTULO II

DA ADEQUAÇÃO, APLICAÇÃO, VIGÊNCIA E ATUALIZAÇÕES

 Art. 30. Fica estabelecido o prazo de 180 (cento e oitenta) dias a contar da data de publicação desta Norma Complementar para a elaboração de plano de adequação visando a adoção de providências técnicas necessárias à implementação plena deste normativo pela STD.

Art. 31. Esta Norma Complementar deverá ser revisada e atualizada a cada 2 (dois) anos ou sempre que ocorrerem eventos ou fatos relevantes que exijam sua imediata alteração.

Art. 32. O cumprimento desta Norma Complementar será avaliado anualmente, de acordo com os critérios da STD.

__________________________________________________________________________ 

Publicada em 19 de março de 2025 no Boletim de Pessoal e Serviço - BPS v.20, nº 11, de 17 a 21 de março de 2025