Você está aqui: Página Inicial > Assuntos > Legislação > Acervo normativo > Instruções Normativas > 2021 > Instrução Normativa nº 173, 30/08/2021
conteúdo
publicado 03/09/2021 21h51, última modificação 13/06/2022 18h08

 

SEI/ANAC - 6147225 - Instrução Normativa

  

Timbre

  

Instrução Normativa nº 173, DE 30 de agosto de 2021.

  

Altera a Instrução Normativa nº 128, de 6 de novembro de 2018.

A DIRETORIA COLEGIADA DA AGÊNCIA NACIONAL DE AVIAÇÃO CIVIL - ANAC, no exercício das competências que lhe foram outorgadas pelo arts. 11, inciso IX, da Lei nº 11.182, de 27 de setembro de 2005, e 24 do Anexo I do Decreto nº 5.731, de 20 de março de 2006, considerando o que consta do processo nº 00058.014301/2018-92, deliberado e aprovado na 27ª Reunião Administrativa Eletrônica, realizada nos dias 23 a 27 de agosto de 2021,

 

RESOLVE:

 

Art. 1º A Instrução Normativa nº 128, de 26 de novembro de 2018, que aprova a Política de Segurança da Informação e Comunicações - PoSIC no âmbito da Agência Nacional de Aviação Civil - ANAC, passa a vigorar com as seguintes alterações:

 

“Ementa: Aprova a Política de Segurança da Informação no âmbito da Agência Nacional de Aviação Civil - ANAC.” (NR)

“Preâmbulo: A DIRETORIA DA AGÊNCIA NACIONAL DE AVIAÇÃO CIVIL - ANAC, no exercício das competências que lhe foram outorgadas pelos artigos 11, inciso IX, da Lei nº 11.182, de 27 de setembro de 2005, e 24 do Anexo I do Decreto nº 5.731, de 20 de março de 2006, considerando o que consta do processo nº 00058.014301/2018-92, deliberado e aprovado na 3ª Reunião Administrativa Extraordinária da Diretoria, realizada em 6 de novembro de 2018,

RESOLVE:” (NR)

“Art. 1º Aprovar a Política de Segurança da Informação da Agência Nacional de Aviação Civil - POSI/ANAC.” (NR)

“Art. 2º Para os fins desta Instrução Normativa, serão adotados os conceitos e definições constantes do Glossário de Segurança da Informação, aprovado pelo Gabinete de Segurança Institucional da Presidência da República.” (NR)

“CAPÍTULO II

DO ESCOPO E DOS PRINCÍPIOS” (NR)

“Art. 3º São objetivos da POSI/ANAC:

.........................................

IV - estabelecer diretrizes para a elaboração de normas complementares e procedimentos internos necessários à efetiva implementação da segurança da informação; e

.........................................” (NR)

“Art. 4º A POSI/ANAC aplica-se no âmbito da Agência, englobando todos os servidores, colaboradores, fornecedores, prestadores de serviços e estagiários que, oficialmente, executem atividades vinculadas à atuação institucional e, no que couber, ao relacionamento da Agência com agentes credenciados, órgãos e entidades públicos ou privados.” (NR)

“Art. 4º-A São princípios da segurança da informação na ANAC:

I - a proteção das soluções de tecnologia da informação e dos ambientes físicos contra incidentes de segurança;

II - a preservação da disponibilidade, da integridade, da confidencialidade e da autenticidade das informações; e

III - a prevenção e o tratamento de incidentes de segurança da informação.” (NR)

“Art. 5º A estrutura normativa que norteará a gestão da segurança da informação será organizada da seguinte forma:

I - Política de Segurança da Informação - POSI/ANAC: Instrução Normativa que define as regras e diretrizes de alto nível, que representam os princípios básicos incorporados pela ANAC à sua gestão, de acordo com sua visão estratégica, servindo como base para que as normas complementares e os procedimentos internos sejam criados e detalhados;

II - normas complementares de segurança da informação: portarias aprovadas pelo Comitê de Segurança da Informação e Proteção de Dados Pessoais de acordo com as diretrizes estabelecidas na POSI/ANAC e publicadas pela unidade competente sobre a matéria, apresentando as regras, os controles e os procedimentos gerais a serem implementados; e

III - procedimentos internos de segurança da informação: Manuais de Procedimentos – MPR ou normativos correlatos que instrumentalizam o disposto na POSI/ANAC e nas normas complementares, viabilizando a sua aplicação imediata nos processos da Agência.” (NR)

“Art. 6º A gestão da segurança da informação observará às seguintes diretrizes gerais:

I - integrar as ações de segurança da informação, de proteção de dados pessoais, de gestão de riscos corporativos, de desenvolvimento de sistemas, acesso à informação e dados abertos.

II - gerir os riscos associados à segurança da informação;

III - adotar, desde a fase de concepção de produto ou de serviço até a sua execução, medidas de segurança, técnicas e administrativas, aptas a proteger as informações de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito; e

IV - definir as atribuições e responsabilidades relativas ao processo de promoção e aplicação da POSI/ANAC.” (NR)

“Art. 7º Deverão ser publicadas normas complementares que obedeçam às diretrizes específicas abaixo, organizadas pelos seguintes pilares organizacionais:

I - ............................................

.................................................

d) desenvolvimento e obtenção de software seguro: o processo deverá conter regras para o desenvolvimento seguro de códigos, a segurança das aplicações no que diz respeito aos acordos de licenciamento, propriedade dos códigos e direitos de propriedade intelectual, bem como os requisitos de documentação específicos de segurança para as aplicações a serem adquiridas ou desenvolvidas interna ou externamente.

...............................................

III - ........................................

...............................................

e) conformidade legal: estabelecer mecanismos para avaliação de conformidade nos aspectos relativos às normas de Segurança da Informação em vigor, com o objetivo de identificar, organizar e armazenar a legislação, regulamentação e contratos relevantes aos processos de trabalho da ANAC, bem como preservar a conformidade contratual, o direito autoral e a propriedade intelectual das informações e recursos utilizados nestes processos de trabalho;

...............................................” (NR)

“Art. 8º ...................................

I - aprovar as alterações na Política de Segurança da Informação – POSI/ANAC;

II - estabelecer diretrizes, prioridades e ações específicas de Segurança da Informação;

III - aprovar o plano de trabalho do Comitê de Segurança da Informação e Proteção de Dados Pessoais referente às atividades de segurança da informação; e

IV - garantir os recursos necessário para a execução da POSI/ANAC.” (NR)

“Art. 11. ...................................

I - definir os seus procedimentos internos em observância à POSI/ANAC e suas normas complementares;

II - cumprir as disposições da POSI/ANAC, as normas complementares e os procedimentos internos dela decorrentes; e

III - prestar as informações demandadas pelo Gestor de Segurança da Informação e pela Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR/ANAC.” (NR)

“Art. 12. O Gestor de Segurança da Informação terá as seguintes responsabilidades:

I - manter contato permanente com o Gabinete de Segurança Institucional da Presidência da República para tratar de assuntos relativos à segurança da informação;

II - manter a POSI/ANAC e suas normas complementares disponíveis na página da intranet da ANAC, respeitada a classificação de níveis de acesso;

III - promover a divulgação da POSI/ANAC e das normas complementares, de forma ampla e acessível, a todos os servidores, colaboradores, fornecedores, prestadores de serviços e estagiários que oficialmente executem atividades vinculadas à Agência;

IV - coordenar a revisão da POSI/ANAC e a elaboração das normas complementares;

V - orientar os servidores e os colaboradores da ANAC a respeito das práticas a serem adotadas em relação à segurança da informação;

VI - propor recursos necessários às ações de segurança da informação;

VII - viabilizar a inclusão das atividades necessárias ao cumprimento do Plano de Ações de Segurança da Informação nos planos específicos da ANAC;

VIII - acompanhar os trabalhos da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR;

IX - verificar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação;

X - acompanhar a aplicação de ações corretivas e administrativas cabíveis nos casos de violação da segurança da informação.

§ 1º O Diretor-Presidente designará o Gestor de Segurança da Informação dentre os membros do Comitê de Segurança da Informação e Proteção de Dados Pessoais da ANAC.

§ 2º O Gestor de Segurança da Informação poderá solicitar o apoio de qualquer unidade organizacional para o desempenho de suas atribuições, de acordo o disposto no Regimento Interno da ANAC.” (NR)

“Art. 13. A Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR/ANAC terá as seguintes responsabilidades:

............................................

II - recolher provas imediatamente após a ocorrência de um incidente de segurança da informação;

...........................................

IV - investigar as causas dos incidentes de segurança da informação;

...........................................

VII - apresentar ao Comitê de Segurança da Informação e Proteção de Dados Pessoais da ANAC, quando solicitado, o relatório de suas atividades; e

VIII - Atuar preventivamente a fim de mitigar o risco de ocorrência de incidentes de segurança.

§ 1º Caberá ao Superintendente de Tecnologia da Informação designar o agente responsável pela ETIR/ANAC e a sua composição.

§ 2º O agente responsável pela ETIR/ANAC definirá, em ato próprio, a forma de funcionamento da ETIR/ANAC.

....................................

§ 4º O responsável pela ETIR/ANAC deverá elaborar, em conjunto com a Superintendência de Tecnologia da Informação, documento de constituição da Equipe, o qual designará suas atribuições e seu escopo de atuação.

§ 5º A ETIR/ANAC será composta, preferencialmente, por servidores públicos civis ocupantes de cargo efetivo com capacitação técnica compatível com as atividades dessa equipe.” (NR)

“Art. 13-A. Os assuntos referentes à segurança da informação serão submetidos ao Comitê de Segurança da Informação e Proteção de Dados Pessoais da ANAC, instituído pelo Diretor-Presidente, e deverão observar as suas regras e estrutura de governança, ressalvadas as competências específicas do Gestor de Segurança da Informação.” (NR)

“Art. 14. O descumprimento das disposições constantes nesta Política e nas normas complementares sobre segurança da informação caracteriza violação de dever funcional, a ser apurada em processo administrativo disciplinar, sem prejuízo das responsabilidades civil e penal.” (NR)

“Art. 15. Esta Política deverá ser revisada e atualizada periodicamente, no máximo, a cada 4 (quatro) anos.” (NR)

“Art. 16. A POSI/ANAC, bem como as normas complementares dela decorrentes, deverão estar alinhadas ao Planejamento Estratégico, à Política de Gestão de Riscos Corporativos, à Política de Proteção de Dados Pessoais, ao Plano de Dados Abertos e à Instrução Normativa Nº 70, de 30 de abril de 2013.” (NR)

“Art. 17. Os casos omissos serão resolvidos pelo Comitê de Segurança da Informação e Proteção de Dados Pessoais da ANAC.” (NR)

 

Art. 2º Ficam revogados os incisos I a XIV do art. 2º, o inciso I do art. 3º e os arts. 9º, 10, 10-A e 12-A da Instrução Normativa  nº 128, de 6 de novembro de 2018, publicada no Boletim de Pessoal e Serviço - BPS v.13, nº 45, de 9 de novembro de 2018.

 

Art. 3º Esta Instrução Normativa entre em vigor em 1º de outubro de 2021.

 

JULIANO ALCÂNTARA NOMAN

Diretor-Presidente

_______________________________________________________________________________________________

Publicado no Boletim de Pessoal e Serviço - BPS v.16, nº 35, de 3 de setembro de 2021.

Retificado no BPS v. 16, nº 48, de 3 de dezembro de 2021.