Instrução Normativa nº 173, DE 30 de agosto de 2021.
Altera a Instrução Normativa nº 128, de 6 de novembro de 2018. |
A DIRETORIA COLEGIADA DA AGÊNCIA NACIONAL DE AVIAÇÃO CIVIL - ANAC, no exercício das competências que lhe foram outorgadas pelo arts. 11, inciso IX, da Lei nº 11.182, de 27 de setembro de 2005, e 24 do Anexo I do Decreto nº 5.731, de 20 de março de 2006, considerando o que consta do processo nº 00058.014301/2018-92, deliberado e aprovado na 27ª Reunião Administrativa Eletrônica, realizada nos dias 23 a 27 de agosto de 2021,
RESOLVE:
Art. 1º A Instrução Normativa nº 128, de 26 de novembro de 2018, que aprova a Política de Segurança da Informação e Comunicações - PoSIC no âmbito da Agência Nacional de Aviação Civil - ANAC, passa a vigorar com as seguintes alterações:
“Ementa: Aprova a Política de Segurança da Informação no âmbito da Agência Nacional de Aviação Civil - ANAC.” (NR)
“Preâmbulo: A DIRETORIA DA AGÊNCIA NACIONAL DE AVIAÇÃO CIVIL - ANAC, no exercício das competências que lhe foram outorgadas pelos artigos 11, inciso IX, da Lei nº 11.182, de 27 de setembro de 2005, e 24 do Anexo I do Decreto nº 5.731, de 20 de março de 2006, considerando o que consta do processo nº 00058.014301/2018-92, deliberado e aprovado na 3ª Reunião Administrativa Extraordinária da Diretoria, realizada em 6 de novembro de 2018,
RESOLVE:” (NR)
“Art. 1º Aprovar a Política de Segurança da Informação da Agência Nacional de Aviação Civil - POSI/ANAC.” (NR)
“Art. 2º Para os fins desta Instrução Normativa, serão adotados os conceitos e definições constantes do Glossário de Segurança da Informação, aprovado pelo Gabinete de Segurança Institucional da Presidência da República.” (NR)
“CAPÍTULO II
DO ESCOPO E DOS PRINCÍPIOS” (NR)
“Art. 3º São objetivos da POSI/ANAC:
.........................................
IV - estabelecer diretrizes para a elaboração de normas complementares e procedimentos internos necessários à efetiva implementação da segurança da informação; e
.........................................” (NR)
“Art. 4º A POSI/ANAC aplica-se no âmbito da Agência, englobando todos os servidores, colaboradores, fornecedores, prestadores de serviços e estagiários que, oficialmente, executem atividades vinculadas à atuação institucional e, no que couber, ao relacionamento da Agência com agentes credenciados, órgãos e entidades públicos ou privados.” (NR)
“Art. 4º-A São princípios da segurança da informação na ANAC:
I - a proteção das soluções de tecnologia da informação e dos ambientes físicos contra incidentes de segurança;
II - a preservação da disponibilidade, da integridade, da confidencialidade e da autenticidade das informações; e
III - a prevenção e o tratamento de incidentes de segurança da informação.” (NR)
“Art. 5º A estrutura normativa que norteará a gestão da segurança da informação será organizada da seguinte forma:
I - Política de Segurança da Informação - POSI/ANAC: Instrução Normativa que define as regras e diretrizes de alto nível, que representam os princípios básicos incorporados pela ANAC à sua gestão, de acordo com sua visão estratégica, servindo como base para que as normas complementares e os procedimentos internos sejam criados e detalhados;
II - normas complementares de segurança da informação: portarias aprovadas pelo Comitê de Segurança da Informação e Proteção de Dados Pessoais de acordo com as diretrizes estabelecidas na POSI/ANAC e publicadas pela unidade competente sobre a matéria, apresentando as regras, os controles e os procedimentos gerais a serem implementados; e
III - procedimentos internos de segurança da informação: Manuais de Procedimentos – MPR ou normativos correlatos que instrumentalizam o disposto na POSI/ANAC e nas normas complementares, viabilizando a sua aplicação imediata nos processos da Agência.” (NR)
“Art. 6º A gestão da segurança da informação observará às seguintes diretrizes gerais:
I - integrar as ações de segurança da informação, de proteção de dados pessoais, de gestão de riscos corporativos, de desenvolvimento de sistemas, acesso à informação e dados abertos.
II - gerir os riscos associados à segurança da informação;
III - adotar, desde a fase de concepção de produto ou de serviço até a sua execução, medidas de segurança, técnicas e administrativas, aptas a proteger as informações de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito; e
IV - definir as atribuições e responsabilidades relativas ao processo de promoção e aplicação da POSI/ANAC.” (NR)
“Art. 7º Deverão ser publicadas normas complementares que obedeçam às diretrizes específicas abaixo, organizadas pelos seguintes pilares organizacionais:
I - ............................................
.................................................
d) desenvolvimento e obtenção de software seguro: o processo deverá conter regras para o desenvolvimento seguro de códigos, a segurança das aplicações no que diz respeito aos acordos de licenciamento, propriedade dos códigos e direitos de propriedade intelectual, bem como os requisitos de documentação específicos de segurança para as aplicações a serem adquiridas ou desenvolvidas interna ou externamente.
...............................................
III - ........................................
...............................................
e) conformidade legal: estabelecer mecanismos para avaliação de conformidade nos aspectos relativos às normas de Segurança da Informação em vigor, com o objetivo de identificar, organizar e armazenar a legislação, regulamentação e contratos relevantes aos processos de trabalho da ANAC, bem como preservar a conformidade contratual, o direito autoral e a propriedade intelectual das informações e recursos utilizados nestes processos de trabalho;
...............................................” (NR)
“Art. 8º ...................................
I - aprovar as alterações na Política de Segurança da Informação – POSI/ANAC;
II - estabelecer diretrizes, prioridades e ações específicas de Segurança da Informação;
III - aprovar o plano de trabalho do Comitê de Segurança da Informação e Proteção de Dados Pessoais referente às atividades de segurança da informação; e
IV - garantir os recursos necessário para a execução da POSI/ANAC.” (NR)
“Art. 11. ...................................
I - definir os seus procedimentos internos em observância à POSI/ANAC e suas normas complementares;
II - cumprir as disposições da POSI/ANAC, as normas complementares e os procedimentos internos dela decorrentes; e
III - prestar as informações demandadas pelo Gestor de Segurança da Informação e pela Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR/ANAC.” (NR)
“Art. 12. O Gestor de Segurança da Informação terá as seguintes responsabilidades:
I - manter contato permanente com o Gabinete de Segurança Institucional da Presidência da República para tratar de assuntos relativos à segurança da informação;
II - manter a POSI/ANAC e suas normas complementares disponíveis na página da intranet da ANAC, respeitada a classificação de níveis de acesso;
III - promover a divulgação da POSI/ANAC e das normas complementares, de forma ampla e acessível, a todos os servidores, colaboradores, fornecedores, prestadores de serviços e estagiários que oficialmente executem atividades vinculadas à Agência;
IV - coordenar a revisão da POSI/ANAC e a elaboração das normas complementares;
V - orientar os servidores e os colaboradores da ANAC a respeito das práticas a serem adotadas em relação à segurança da informação;
VI - propor recursos necessários às ações de segurança da informação;
VII - viabilizar a inclusão das atividades necessárias ao cumprimento do Plano de Ações de Segurança da Informação nos planos específicos da ANAC;
VIII - acompanhar os trabalhos da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR;
IX - verificar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação;
X - acompanhar a aplicação de ações corretivas e administrativas cabíveis nos casos de violação da segurança da informação.
§ 1º O Diretor-Presidente designará o Gestor de Segurança da Informação dentre os membros do Comitê de Segurança da Informação e Proteção de Dados Pessoais da ANAC.
§ 2º O Gestor de Segurança da Informação poderá solicitar o apoio de qualquer unidade organizacional para o desempenho de suas atribuições, de acordo o disposto no Regimento Interno da ANAC.” (NR)
“Art. 13. A Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR/ANAC terá as seguintes responsabilidades:
............................................
II - recolher provas imediatamente após a ocorrência de um incidente de segurança da informação;
...........................................
IV - investigar as causas dos incidentes de segurança da informação;
...........................................
VII - apresentar ao Comitê de Segurança da Informação e Proteção de Dados Pessoais da ANAC, quando solicitado, o relatório de suas atividades; e
VIII - Atuar preventivamente a fim de mitigar o risco de ocorrência de incidentes de segurança.
§ 1º Caberá ao Superintendente de Tecnologia da Informação designar o agente responsável pela ETIR/ANAC e a sua composição.
§ 2º O agente responsável pela ETIR/ANAC definirá, em ato próprio, a forma de funcionamento da ETIR/ANAC.
....................................
§ 4º O responsável pela ETIR/ANAC deverá elaborar, em conjunto com a Superintendência de Tecnologia da Informação, documento de constituição da Equipe, o qual designará suas atribuições e seu escopo de atuação.
§ 5º A ETIR/ANAC será composta, preferencialmente, por servidores públicos civis ocupantes de cargo efetivo com capacitação técnica compatível com as atividades dessa equipe.” (NR)
“Art. 13-A. Os assuntos referentes à segurança da informação serão submetidos ao Comitê de Segurança da Informação e Proteção de Dados Pessoais da ANAC, instituído pelo Diretor-Presidente, e deverão observar as suas regras e estrutura de governança, ressalvadas as competências específicas do Gestor de Segurança da Informação.” (NR)
“Art. 14. O descumprimento das disposições constantes nesta Política e nas normas complementares sobre segurança da informação caracteriza violação de dever funcional, a ser apurada em processo administrativo disciplinar, sem prejuízo das responsabilidades civil e penal.” (NR)
“Art. 15. Esta Política deverá ser revisada e atualizada periodicamente, no máximo, a cada 4 (quatro) anos.” (NR)
“Art. 16. A POSI/ANAC, bem como as normas complementares dela decorrentes, deverão estar alinhadas ao Planejamento Estratégico, à Política de Gestão de Riscos Corporativos, à Política de Proteção de Dados Pessoais, ao Plano de Dados Abertos e à Instrução Normativa Nº 70, de 30 de abril de 2013.” (NR)
“Art. 17. Os casos omissos serão resolvidos pelo Comitê de Segurança da Informação e Proteção de Dados Pessoais da ANAC.” (NR)
Art. 2º Ficam revogados os incisos I a XIV do art. 2º, o inciso I do art. 3º e os arts. 9º, 10, 10-A e 12-A da Instrução Normativa nº 128, de 6 de novembro de 2018, publicada no Boletim de Pessoal e Serviço - BPS v.13, nº 45, de 9 de novembro de 2018.
Art. 3º Esta Instrução Normativa entre em vigor em 1º de outubro de 2021.
JULIANO ALCÂNTARA NOMAN
Diretor-Presidente
_______________________________________________________________________________________________
Publicado no Boletim de Pessoal e Serviço - BPS v.16, nº 35, de 3 de setembro de 2021.
Retificado no BPS v. 16, nº 48, de 3 de dezembro de 2021.