Portaria nº 9.367/STI, DE 30 de setembro de 2022.

O SUPERINTENDENTE DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe foram conferidas pelo art. 39 do Regimento Interno, aprovado pela Resolução nº 381, de 14 de junho de 2016, e

Considerando o Decreto nº 10.748, de 16 de julho de 2021, que institui a Rede Federal de Gestão de Incidentes Cibernéticos;

Considerando as orientações para a Estrutura de Gestão de Segurança da Informação, que deverão ser implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta, contidas na Instrução Normativa nº 01 do Gabinete de Segurança Institucional, de 27 de maio de 2020, e em suas Normas Complementares;

Considerando as obrigações estabelecidas na Norma Complementar nº 05/IN01/DSIC/GSIPR, de 14/08/2009,  que trata da criação de Equipes de Tratamento e Resposta a Incidentes em redes computacionais – ETIR;

Considerando a Instrução Normativa nº 128, de 6 de novembro de 2018, que aprova a Política de Segurança da Informação - PoSI no âmbito da Agência Nacional de Aviação Civil - ANAC;

Considerando a Portaria nº 3.646/STI, de 25 de novembro de 2019, que institui a Norma Complementar nº 5 da ANAC, que dispõe sobre a Gestão de Incidentes de Segurança em Redes de Computadores da ANAC;

Considerando a Portaria nº 8.666/STI, de 25 de julho de 2022, que dispõe sobre a organização interna da Superintendência de Tecnologia da Informação; e

Considerando o que consta do processo nº 00058.052425/2022-52,

RESOLVE:

Art. 1º Instituir na forma do Anexo desta Portaria o Documento de Constituição da Equipes de Tratamento e Resposta a Incidentes - ETIR/ANAC.

Art. 2º Fica revogada a Portaria nº 1.330/STI, de 30 de abril de 2019, publicada no Boletim de Pessoal e Serviço - BPS v.14, nº 28, de 12 de julho de 2019, que designa o agente responsável pela Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR/ANAC e a sua composição.

Art. 3º Esta Portaria entra em vigor na data de sua publicação.

José Assumpção Rodrigues de Almeida

ANEXO Portaria nº 9.367/Sti, DE 30 de setembro de 2022.

DOCUMENTO DE CONSTITUIÇÃO DA ETIR ANAC

CAPÍTULO I

MISSÃO

Art. 1º Constitui a missão da ETIR ANAC a facilitação, a coordenação e a execução das atividades de tratamento e resposta a incidentes em redes computacionais da ANAC, de modo a apoiar o desenvolvimento seguro, eficiente e sustentado das atividades da aviação civil.

Parágrafo único. Não é missão da ETIR ANAC a facilitação, a coordenação e a execução das atividades de tratamento e reposta a incidentes no escopo da ETIR Setorial da Aviação Civil, nos termos do Decreto nº 10.748/2021.

CAPÍTULO II

PÚBLICO ALVO

Art. 2º  A ETIR da ANAC terá como público-alvo os usuários da rede corporativa de computadores e dos sistemas da Agência Nacional de Aviação Civil.

Art. 3º  A notificação do incidente poderá ser feita através dos seguintes canais:

I - Usuários internos:

a) Portal de Serviços da ANAC, acessível pelo endereço eletrônico: https://sistemas.anac.gov.br/portaldeservicos/ (TI - Tecnologia da Informação > Segurança de Redes e da Informação > Relatar incidente de segurança da informação);

b) e-mail: portaldeservicos@anac.gov.br ou etir@anac.gov.br ;

c) telefone- 0800-061-7767;

d) correspondências oficiais (memorandos, ofícios);

e) pessoalmente, em casos emergenciais.

II - Usuários externos:

a) e-mail: etir@anac.gov.br; e

b) correspondências oficiais (memorandos, ofícios).

CAPÍTULO III

INTERLOCUTORES

Art. 4º A ETIR da ANAC poderá tratar as situações relacionadas à incidentes  com os seguintes interlocutores:

 I - Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), nos termos da Norma Complementar nº 05/IN01/DSIC/GSIPR, cuja interlocução se dará principalmente por meio do endereço eletrônico ctir@gtir.gov.br, com o objetivo de informar sobre incidentes de segurança de maior impacto ocorridos ou em curso, além de eventualmente solicitar apoio técnico e orientações para o tratamento incidentes de segurança;

II - ETIR Setorial da Aviação Civil, nos termos do Decreto nº 10.748/2021, cuja interlocução se dará por canal a ser definido, com o objetivo de informar sobre incidentes de segurança de maior impacto ocorridos ou em curso, além de eventualmente solicitar apoio técnico e orientações para o tratamento incidentes de segurança; e

III - Polícia Federal, cuja interlocução se dará pelos canais oficiais, para notificar da ocorrência de incidentes de segurança de maior impacto tentados ou consumados contra os serviços e sistemas da ANAC.

CAPÍTULO IV

MODELO DE IMPLEMENTAÇÃO

Art. 5º A ETIR da ANAC adotará o Modelo 1 da Norma Complementar nº 05/IN01/DSIC/GSIPR, "Utilizando a equipe de Tecnologia da Informação - TI",  sendo formada por membros da Superintendência de Tecnologia da Informação - STI, incluindo servidores e colaboradores de empresas de prestação de serviços de TIC contratadas, que, além de suas funções regulares, desempenharão as atividades relacionadas ao tratamento e resposta a incidentes em redes computacionais.

Art. 6º  As atividades realizadas pela ETIR terão prioridade sobre aquelas designadas pelos chefes imediatos de seus respectivos integrantes.

CAPÍTULO V

ESTRUTURA ORGANIZACIONAL

Art. 7º  A coordenação das atividades da ETIR estará a cargo do Agente Responsável pela ETIR, com o apoio das Gerências Executivas, das Gerências Técnicas e das Coordenadorias da STI, de acordo com as respectivas competências definidas na Portaria de organização interna da STI (Portaria nº 8.666/STI, de 25 de julho de 2022).

Art. 8º O titular da Gerência de Infraestrutura Tecnológica - GEIT exercerá as atribuições de Agente Responsável pela ETIR da ANAC, sendo substituído em suas funções de Agente Responsável por seu substituto eventual.

Art. 9º  O Agente Responsável pela ETIR, em complemento ao disposto na PoSI, terá as seguintes responsabilidades:

I - coordenar a instituição, implementação e manutenção da infraestrutura necessária para a execução das atividades desempenhadas pela ETIR;

II - garantir que os incidentes em Redes Computacionais da Rede de Computadores da ANAC sejam monitorados;

III - coordenar o processo de comunicação entre a ETIR ANAC, a ETIR Setorial da Aviação Civil e o CTIR Gov, conforme estabelece o Decreto nº 10.478, de 16 de julho 2021, bem como de forma subsidiária a Norma Complementar nº 08/IN01/DSIC/GSIPR, de 9 de agosto de 2010;

IV - adotar procedimentos de feedback para assegurar que os usuários que comuniquem incidentes de segurança da informação e comunicações sejam informados dos procedimentos adotados;

V - propor ajustes e medidas preventivas e proativas à ANAC sobre assuntos afetos a incidentes em redes computacionais da Agência;

VI - apoiar e prover os meios necessários para a capacitação e treinamentos relacionados à segurança da informação e comunicação para os membros da ETIR; e

VII - apoiar, quando demandado, no acionamento de autoridades policiais competentes para a adoção dos procedimentos legais, em casos que exijam, conforme previsto na Norma Complementar nº 08/IN01/DSIC/GSIPR, de 9 de agosto de 2010.

Art. 10º A ETIR, em complemento ao disposto na PoSI, terá as seguintes responsabilidades:

I - executar as atividades de tratamento e resposta a incidentes nos sistemas informacionais e na rede de computadores da ANAC;

II - executar, quando possível, o tratamento de artefatos maliciosos e vulnerabilidades;

III - executar a emissão de alertas e advertências relacionadas a incidentes de SIC no âmbito da TI;

IV - apresentar, trimestralmente, para o STI, de forma proativa, vulnerabilidades e incidentes críticos de segurança em redes de computadores;

V - efetuar, de acordo com a maturidade da equipe, análises da infraestrutura de segurança em redes de computadores da organização com base nas necessidades da Agência e nas melhores práticas do mercado;

VI - executar tarefas que viabilizem ou facilitem a detecção e prevenção de intrusão;

VII - disseminar informações relacionadas à segurança, que sejam ostensivas, e que facilitem a pesquisa e utilização por todos os membros da ETIR;

VIII - observar os procedimentos de forense digital para registro de eventos, coleta e preservação de evidências de incidentes de segurança em redes; e

IX - apoiar tecnicamente na elaboração de políticas, normas, notas técnicas e procedimentos direcionados à segurança da informação e comunicações no âmbito da ANAC.

Art. 11º Caberá ao Gerente de Sistemas e Informações - GESI, e em seus impedimentos legais, o respectivo substituto, prover diagnósticos, coletas e análises relacionadas a eventos, problemas e incidentes relacionados a serviços e soluções de TI, inclusive relacionados à segurança da informação, no âmbito de sua competência.

Art. 12º As Unidades Organizacionais terão a responsabilidade de informar imediatamente à STI todas as violações às políticas de segurança da informação, incidentes, violações de acessos ou anomalias que possam indicar a possibilidade de incidentes na rede de computadores da ANAC, sobre os quais venham a tomar conhecimento.

CAPÍTULO VI

AUTONOMIA DA ETIR

Art. 13º  Para incidentes classificados como incidentes não críticos, a ETIR ANAC possuirá autonomia completa ou plena, dentro de sua competência, para realizar ações ou medidas necessárias na resposta, tratamento ou recuperação de incidentes. Durante um incidente de segurança não crítico, a ETIR poderá executar o que julgar necessário e adequado sem esperar pela aprovação de níveis superiores de gestão.

Art. 14º  Para incidentes considerados críticos, a ETIR possuirá autonomia compartilhada, e poderá recomendar as ações a serem seguidas e deverá indicar suas repercussões caso não sejam seguidas. A ETIR participará no resultado da decisão, sendo, no entanto, apenas um membro no processo decisório. Contudo, de forma a reduzir os potenciais impactos dos incidentes, a ETIR gozará de autonomia para executar medidas de mitigação no ambiente computacional da ANAC, reportando posteriormente ao grupo decisório as ações implementadas e seus resultados.

Art. 15º  Farão parte do processo decisório de incidentes críticos, juntamente com a ETIR:

I - o Superintendente de Tecnologia da Informação - STI;

II - o Gerente de Desenvolvimento de Sistemas - GESI; e

III - o Gerente Técnico de Planejamento e Projetos - GTPP.

Art. 16º Os critérios de classificação dos incidentes em críticos ou não críticos serão definidos em Manual de Procedimentos relativos aos processos de trabalho da ETIR ANAC.

Art. 17º Durante o tratamento do incidente, a qualquer tempo, em razão de novas evidências ou fatos, o incidente poderá ser reclassificado, sendo que a reclassificação de um incidente crítico para um incidente não crítico deverá ser aprovada pelo núcleo decisório citado no Art. 15º.

CAPÍTULO VII

SERVIÇOS

Art. 18º A ETIR ANAC prestará os seguintes serviços:

I - tratamento de Incidentes de Segurança em Redes Computacionais: serviço que consiste em receber, filtrar, classificar e responder às solicitações e alertas e realizar as análises dos incidentes de segurança, procurando extrair informações que permitam impedir a continuidade da ação maliciosa e também a identificação de tendências;

II -  análise de Vulnerabilidades: serviço que consiste em analisar possíveis vulnerabilidades, quer sejam em hardware ou software, objetivando analisar sua natureza, mecanismo e suas consequências e desenvolver estratégias para detecção e correção; e

III - acompanhamento de alertas e recomendações: serviço que consiste em acompanhar alertas ou recomendações emitidas pelo CTIR Gov como medida proativa ou preventiva, com o objetivo de tomar as devidas ações técnicas de tratamento ou mitigação dos respectivos riscos, advertir o público alvo ou orientá-los sobre as devidas ações.

CAPÍTULO VIII

DAS DISPOSIÇÕES FINAIS

Art. 19º Os casos omissos serão resolvidos pelo Comitê de Segurança da Informação e Proteção de Dados Pessoais (CSIP) da ANAC, apoiado pelo Comitê de Tecnologia da Informação quando for necessário.

_______________________________________________________________________________________

Publicado em 5 de outubro de 2022 no Boletim de Pessoal e Serviço - BPS v.17, nº 40, de 3 a 7 de outubro de 2022.