Você está aqui: Página Inicial > Assuntos > Legislação > Acervo normativo > Portarias > 2022 > PORTARIA Nº 9457/STI, 06/10/2022
conteúdo
publicado 28/11/2022 10h17, última modificação 28/11/2022 10h18

 

SEI/ANAC - 7780728 - Portaria

  

Timbre

  

Portaria nº 9.457/STI, DE 6 de outubro de 2022.

  

Institui a Norma Complementar nº 3, que dispõe sobre a Gestão de Inventário e Mapeamento de Ativos de Informação da ANAC.

 

O SUPERINTENDENTE DE TECNOLOGIA DA INFORMAÇÃO SUBSTITUTO, no uso das atribuições que lhe confere o art. 39, do Regimento Interno, aprovado pela Resolução nº 381, de 14 de junho de 2016, e

 

Considerando a deliberação da 1ª Reunião Extraordinária do Comitê de Segurança da Informação e Proteção de Dados Pessoais da ANAC realizada em 8 de fevereiro de 2022;

 

Considerando as obrigações estabelecidas no Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação;

 

Considerando as orientações para Gestão de Segurança da Informação, que deverão ser implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta, contidas na Instrução Normativa GSI/PR nº 01, de 27 de maio de 2020, e na Instrução Normativa GSI/PR nº 3, de 28 de maio de 2021;

 

Considerando a Portaria GSI/PR nº 93, de 18 de outubro de 2019, que aprova o Glossário de Segurança da Informação;

 

Considerando as recomendações constantes nas normas técnicas NBR ISO/IEC 27001:2006 – Sistema de Gestão de segurança da informação e NBR ISO/IEC 27002:2005 - Código de Práticas para a Gestão da Segurança da Informação;

 

Considerando as Instruções Normativas nº 114, de 9 de maio de 2017, que institui a Política de Gestão de Riscos Corporativos da ANAC, nº 182, de 8 de agosto de 2022, que institui a Política de Governança de Tecnologia da Informação e Comunicação - PGTIC da ANAC, nº 128, de 6 de novembro de 2018, que institui a Política de Segurança da Informação da Agência Nacional de Aviação Civil - POSI/ANAC, e nº 172, de 2 de agosto de 2020, que institui a Política de Proteção de Dados Pessoais; e

 

Considerando o constante dos autos do processo nº 00058.025766/2019-50,

 

RESOLVE:

 

Art. 1º Instituir a Norma Complementar que disciplina a Gestão de Inventário e Mapeamento de Ativos de Informação da Agência Nacional de Aviação Civil - ANAC, nos termos do disposto em anexo.

 

Art. 2º Fica revogada a Portaria nº 2111, de 11 de julho de 2019, publicada no Boletim de Pessoal e Serviço - BPS v. 14, nº 47, de 22 de novembro de 2019, que institui a Norma Complementar Nº 3, que dispõe sobre a Gestão de Inventário e Mapeamento de Ativos de Informação da ANAC.

 

Art. 3º Esta Portaria entra em vigor na data de sua publicação.

 

 

 ALEXANDRE MAGNUS FERNANDES DINIZ

 

ANEXO À PORTARIA Nº 9.457/STI, DE 6 DE OUTUBRO DE 2022.

 

NORMA COMPLEMENTAR Nº 3

GESTÃO DE INVENTÁRIO E MAPEAMENTO DE ATIVOS DE INFORMAÇÃO

 

CAPÍTULO I

DAS DEFINIÇÕES

 

Art. 1º Para os fins desta Portaria, consideram-se:

 

I - Ativos de Informação - meios de armazenamento, transmissão e processamento da informação, equipamentos necessários a isso, sistemas utilizados para tal, locais onde se encontram esses meios, recursos humanos que a eles têm acesso e conhecimento ou dado que tem valor para um indivíduo ou organização;

 

II - Ativo crítico de informação: é todo aquele relacionado aos objetivos estratégicos da ANAC e que afeta a missão da Agência se for revelado, modificado, destruído ou mal-usado, ou seja, é o ativo requerido para executar as atividades-fim e de suporte da Instituição, bem como para desempenhar outras atividades essenciais para o alcance da sua missão;

 

III - Contêiner dos ativos de informação - local onde se encontra o ativo de informação. Geralmente, um contêiner descreve algum tipo de ativo tecnológico -hardware, software ou sistema de informação (mas também pode se referir a pessoas ou mídias como papel, CD-ROM ou DVD-ROM). Um contêiner, portanto, é qualquer tipo de ativo dentro do qual um ativo de informação é armazenado, transportado ou processado. Ele pode ser um único ativo tecnológico (como um servidor), uma coleção de ativos tecnológicos (como uma rede) ou uma coletânea de mídias digitais, entre outros;

 

IV - Custodiante da informação - qualquer indivíduo ou estrutura de órgão ou entidade da administração pública federal, direta e indireta, que tenha responsabilidade formal de proteger a informação e aplicar os níveis de controles de segurança, em conformidade com as exigências de segurança da informação, comunicadas pelo proprietário da informação;

 

V - Proprietário da informação - parte interessada do órgão ou entidade da administração pública federal, direta e indireta, ou indivíduo legalmente instituído por sua posição ou cargo, que é responsável primário pela viabilidade e sobrevivência da informação;

 

VI - Valor do ativo de informação - valor, tangível e intangível, que reflete tanto a importância do ativo de informação para o alcance dos objetivos estratégicos da ANAC, quanto o quão cada ativo de informação é imprescindível aos interesses da sociedade e do Estado.

 

CAPÍTULO II

DOS OBJETIVOS

 

Art. 2º O processo de Gestão de Inventário e Mapeamento de Ativos de Informação tem o objetivo de estruturar e manter um registro de ativos de informação, destinado a subsidiar os processos de gestão de riscos, de gestão de continuidade e de gestão de mudanças nos aspectos relativos à segurança da informação.

 

Art. 3º São objetivos adicionais do processo de Gestão de Inventário e Mapeamento de Ativos de Informação:

 

I - estabelecer as diretrizes para subsidiar a ANAC a conhecer, valorizar, proteger e manter seus ativos de informação, em conformidade com os requisitos legais e do negócio;

 

II - proporcionar o entendimento comum, consistente e inequívoco dos ativos de informação, da identificação clara de seus responsáveis, de um conjunto completo de informações básicas sobre os requisitos de segurança de cada ativo de informação e da identificação do valor que o ativo de informação representa para a ANAC.

 

CAPÍTULO III

DOS PRINCÍPIOS

 

Art. 4º Constituem princípios do processo de Gestão de Inventário e Mapeamento de Ativos de Informação da ANAC:

 

I - considerar, prioritariamente, os objetivos estratégicos, os processos, os requisitos legais e a estrutura da ANAC, estando alinhadas à sua Política de Segurança da Informação;

 

II - assegurar-se de que as atividades destinadas à Gestão de Inventário e Mapeamento de Ativos de Informação sejam implementadas e conduzidas de modo controlado e conforme o planejado;

 

III - atender às expectativas dos seus usuários e demais partes interessadas, demonstrando a capacidade para administrar uma interrupção no negócio e proteger a imagem da Agência.

 

CAPÍTULO IV

DAS DIRETRIZES

 

Art. 5º A Gestão de Inventário e Mapeamento de Ativos de Informação obedecerá às seguintes diretrizes:

 

I - as ações relativas à Gestão de Inventário e Mapeamento de Ativos de Informação devem estar em conformidade com a Política de Gestão de Continuidade de Serviços de Tecnologia da Informação, com a Política de Gestão de Riscos da ANAC e com toda a legislação aplicável à Administração Pública Federal;

 

II - deverá ser contínuo, tendo como principal objetivo a manutenção da segurança das infraestruturas críticas de informação da ANAC;

 

III - deverá subsidiar propostas de novos investimentos na área de segurança da informação;

 

IV - deverá ser dinâmico, periódico e estruturado para manter a base de dados de ativos de informação atualizada e, consequentemente, prover informações para o desenvolvimento de ações e planos de aperfeiçoamento de práticas de gestão da segurança da informação;

 

V - deverá ser interativo e evolutivo, devendo observar, para sua consecução, a capacidade operacional da infraestrutura de gestão da segurança da informação da ANAC e dos seus demais recursos operacionais;

 

VI - a gestão dos processos, das atividades e dos produtos relativos à Gestão de Inventário e Mapeamento de Ativos de Informação deve ser realizada com foco na melhoria contínua;

 

VII - deve-se promover a gestão dos ativos críticos de informação, o que inclui as pessoas, os processos, a tecnologia e os ambientes interno e externo à ANAC.

 

CAPÍTULO V

DO PROCESSO DE GESTÃO DE INVENTÁRIO E MAPEAMENTO DE ATIVOS DE INFORMAÇÃO

 

Art. 6º O processo de Gestão de Inventário e Mapeamento de Ativos de Informação da ANAC é composto pelas seguintes etapas:

 

I - coleta de informações gerais dos ativos de informação;

 

II - detalhamento dos ativos de informação;

 

III - caracterização dos contêineres dos ativos de informação;

 

IV - identificação dos responsáveis – proprietários e custodiantes de cada ativo de informação;

 

V - definição dos requisitos de segurança da informação;

 

VI - estabelecimento do valor do ativo de informação;

 

VII - relacionamento das interfaces de cada ativo de informação e as interdependências entre eles.

 

Art. 7º A coleta de informações gerais dos ativos de informação consiste na definição dos responsáveis pela coleta e na utilização de um conjunto essencial de informações para cada ativo de informação.

 

Parágrafo único. Poderão fazer parte do escopo do inventário os ativos de informação da ANAC relacionados a:

 

a) tecnologia da informação (equipamentos, sistemas, aplicativos, serviços e comunicação de dados);

 

b) documentos físicos e digitais (ostensivos, sigilosos e classificados);

 

c) processos de negócio e seus viabilizadores (recursos tangíveis e intangíveis).

 

Art. 8º O detalhamento dos ativos de informação deve contemplar informações que:

 

a) determinem com clareza e objetividade o conteúdo do ativo de informação;

 

b) identifiquem os responsáveis – proprietários e custodiantes - de cada ativo de informação;

 

c) identifiquem o valor de cada ativo de informação;

 

d) identifiquem os respectivos requisitos de segurança da informação e comunicações dos ativos de informação.

 

Art. 9º Na caracterização dos contêineres dos ativos de informação, deverão ser observados os seguintes pontos:  

 

I - o contêiner deve ser caracterizado, no mínimo, com a lista de todos os recipientes em que um ativo da informação é armazenado, transportado ou processado, e respectiva indicação dos responsáveis por manter estes recipientes;

 

II - devem ser definidos os limites do ambiente que deve ser examinado; 

 

III - devem ser descritos os relacionamentos que necessitam ser compreendidos para atendimento das exigências de segurança da informação.

 

Art. 10.  Na identificação dos responsáveis de cada ativo de informação, será considerado proprietário do ativo de informação a parte interessada da ANAC, indivíduo legalmente instituído que, por sua posição e/ou cargo, é responsável primário pela viabilidade e sobrevivência dos ativos de informação.

 

Art. 11. Na definição dos requisitos de segurança da informação, deverão ser observados os seguintes pontos:

 

I - os requisitos de segurança da informação devem ser definidos por meio de critérios que atendam à disponibilidade, à integridade, à confidencialidade e à autenticidade da informação;

 

II - os critérios devem ser categorizados, no mínimo, em 5 categorias de controle:

 

a) tratamento da informação;

 

b) controles de acesso físico e lógico;

 

c) gestão de risco de segurança da informação;

 

d) tratamento e respostas a incidentes em redes computacionais; e

 

e) gestão de continuidade dos negócios nos aspectos relacionados à segurança da informação.

 

Art. 12. No estabelecimento do valor do ativo de informação, deverão ser observados os seguintes pontos:

 

I - os proprietários do ativo da informação devem indicar o valor do ativo, o qual deve refletir o quão cada ativo de informação é importante para a que organização alcance seus objetivos estratégicos e o quão o ativo de informação é imprescindível aos interesses da sociedade e do Estado;

 

II - cabe aos proprietários dos ativos de informação indicar o valor do ativo para o negócio da Agência, considerando os fatores de risco aos quais os ativos possam estar expostos, tais como ameaça, vulnerabilidade e impacto, alinhado a metodologia de gestão de riscos corporativos quando aplicável.

 

Art. 13. No relacionamento das interfaces de cada ativo de informação e das interdependências entre eles, deverão ser observados os seguintes pontos:

 

I - os proprietários do ativo da informação devem relacionar as interfaces de cada ativo de informação sob sua responsabilidade e as interdependências entre esses e outros ativos de informação;

 

II - os custodiantes dos ativos de informação relacionados poderão auxiliar na identificação das interfaces;

 

III - as interfaces dos ativos de informação e a interdependências entre eles, quando pertinente, deverão ser registradas em ferramenta de gestão de configuração ou CMDB (configuration management database), estando os registros alinhados ao que preconiza o processo de gestão de configuração de serviços de tecnologia da informação da ANAC.

 

CAPÍTULO VI

DAS RESPONSABILIDADES

 

Art. 14. O Comitê de Segurança da Informação e Proteção de Dados Pessoais da ANAC terá a seguinte responsabilidade:

 

I - aprovar as diretrizes gerais para o processo de Gestão de Inventário e Mapeamento de Ativos de Informação, observadas, entre outros aspectos, a Política de Segurança da Informação e a Política de Gestão de Riscos Corporativos da ANAC, bem como a sua missão e os seus objetivos estratégicos;

 

II - avaliar os relatórios gerados pelo processo de Gestão de Inventário e Mapeamento de Ativos de Informação da ANAC.

 

Art. 15. O Gestor de Segurança da Informação terá as seguintes responsabilidades:

 

I - coordenar o processo de mapeamento de ativos de informação;

 

II - designar um agente responsável pelo processo de Gestão de Inventário e Mapeamento de Ativos de Informação, dentre os servidores efetivos da ANAC;

 

III – submeter o relatório de que trata o artigo 16, inciso VIII desta norma à homologação da Diretoria.

 

Parágrafo único: As responsabilidades dispostas nos incisos I e II do caput poderão ser objeto de delegação.

 

Art. 16. O Agente Responsável terá as seguintes responsabilidades:

 

I - identificar e classificar os ativos de informação por nível de criticidade;

 

II - monitorar os níveis de segurança dos ativos de informação junto aos proprietários dos ativos de informação;

 

III - analisar os resultados obtidos de controle dos níveis de segurança da informação de cada ativo de informação;

 

IV - propor ajustes e de medidas preventivas e proativas à ANAC;

 

V - definir o escopo do inventário para cada ciclo de execução;

 

VI - identificar potenciais ameaças aos ativos de informação;

 

VII - identificar vulnerabilidades dos ativos de informação;

 

VIII - consolidar informações resultantes da análise do nível de segurança da informação de cada ativo de informação ou de grupos de ativos de informação em um relatório;

 

IX - autorizar a atualização do relatório mencionado no inciso anterior;

 

X - avaliar os riscos dos ativos de informação ou do grupo de ativos de informação.

 

Art. 17. O Proprietário do Ativo de Informação terá as seguintes responsabilidades:

 

I - descrever o ativo de informação;

 

II - definir as exigências e os riscos de segurança da informação para o ativo de informação, respeitados os parâmetros técnicos estabelecidos pelo custodiante;

 

III - monitorar o cumprimento das exigências de segurança da informação.

 

Art. 18. O custodiante terá as seguintes responsabilidades:

 

I - proteger os ativos de informação, isto é, como o ativo é armazenado, transportado e processado, de forma a assegurar a disponibilidade, integridade, confidencialidade e autenticidade da informação;

 

II - proteger os contêineres dos ativos de informação, e, consequentemente, aplicar os níveis de controles de segurança conforme as exigências de segurança da informação, comunicadas pelos proprietários dos ativos de informação;

 

III - estabelecer diretrizes e parâmetros técnicos de forma a subsidiar o Proprietário dos Ativos de Informação na definição das exigências de segurança da informação.

 

CAPÍTULO VII

DAS ATUALIZAÇÕES

 

Art. 19. Esta Norma deve ser revisada e atualizada periodicamente, no máximo a cada 3 (três) anos, caso não ocorram eventos ou fatos relevantes que exijam uma revisão imediata.

 

CAPÍTULO VIII

DAS DISPOSIÇÕES FINAIS

 

Art. 20. O registro de ativos de informação deverá ser homologado por meio de ato da Diretoria da ANAC.

 

Art. 21. Os casos omissos serão resolvidos pelo Comitê de Segurança da Informação e Proteção de Dados Pessoais – CSIP.

 

_______________________________________________________________________________________

Publicado em 28 de novembro de 2022 no Boletim de Pessoal e Serviço - BPS v.17, nº 48, de 28 de novembro a 2 de dezembro de 2022.