Portaria nº 9.459/STI, DE 6 de outubro de 2022.
|
Institui a Norma Complementar nº 1, que dispõe sobre a Gestão de Continuidade de Serviços de Tecnologia da Informação da ANAC. |
O SUPERINTENDENTE DE TECNOLOGIA DA INFORMAÇÃO SUBSTITUTO, no uso das atribuições que lhe confere o art. 39 do Regimento Interno, aprovado pela Resolução nº 381, de 14 de junho de 2016, e
Considerando a deliberação da 2ª Reunião Ordinária do Comitê de Segurança da Informação e Comunicações da ANAC realizada em 07 de junho de 2019,
Considerando as obrigações estabelecidas no Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação;
Considerando as orientações para Gestão de Segurança da Informação, que deverão ser implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta, contidas na Instrução Normativa GSI/PR nº 01, de 27 de maio de 2020, e na Instrução Normativa GSI/PR nº 3, de 28 de maio de 2021;
Considerando a Portaria GSI/PR nº 93, de 18 de outubro de 2019, que aprova o Glossário de Segurança da Informação;
Considerando as recomendações constantes nas normas técnicas NBR ISO/IEC 27001:2006 – Sistema de Gestão de segurança da informação e NBR ISO/IEC 27002:2005 - Código de Práticas para a Gestão da Segurança da Informação;
Considerando as Instruções Normativas nº 114, de 9 de maio de 2017, que institui a Política de Gestão de Riscos Corporativos da ANAC, nº 182, de 8 de agosto de 2022, que institui a Política de Governança de Tecnologia da Informação e Comunicação - PGTIC da ANAC, nº 128, de 6 de novembro de 2018, que institui a Política de Segurança da Informação da Agência Nacional de Aviação Civil - POSI/ANAC, e nº 172, de 2 de agosto de 2020, que institui a Política de Proteção de Dados Pessoais; e
Considerando o constante dos autos do processo nº 00058.013841/2019-30,
RESOLVE:
Art. 1º Instituir a Norma Complementar que disciplina a Gestão de Continuidade de Serviços de Tecnologia da Informação da Agência Nacional de Aviação Civil – ANAC, nos termos do anexo.
Art. 2º Fica revogada a Portaria nº 1796, de 11 de junho de 2019, publicada no Boletim de Pessoal e Serviço - BPS v. 14, nº 28, de 12 de julho de 2019, que institui a Norma Complementar Nº 1, que dispõe sobre a Gestão de Continuidade de Serviços de Tecnologia da Informação da ANAC.
Art. 3º Esta Portaria entra em vigor na data de sua publicação.
Alexandre Magnus Fernandes Diniz
ANEXO À PORTARIA Nº 9.459/STI, DE 6 DE OUTUBRO DE 2022.
NORMA COMPLEMENTAR Nº 1
GESTÃO DE CONTINUIDADE DE SERVIÇOS DE TECNOLOGIA DA INFORMAÇÃO
CAPÍTULO I
DAS DEFINIÇÕES
Art. 1º Para os fins desta Portaria, consideram-se:
I - Análise de Impacto nos Negócios (AIN): análise que visa a estimar os impactos resultantes da interrupção de serviços e de cenários de desastres que possam afetar o desempenho da ANAC, bem como as técnicas para quantificar e qualificar esses impactos, possibilitando, também, a definição da criticidade dos processos de negócio suportados pelos serviços de TI, suas prioridades de recuperação, interdependências e os requisitos de segurança da informação e comunicações para que os objetivos de recuperação sejam atendidos nos prazos estabelecidos;
II - Atividade crítica: atividade que deve ser executada visando garantir a consecução de produtos e serviços fundamentais do órgão ou entidade, de forma a atingir os objetivos mais importantes e sensíveis ao tempo;
III - Ativo Crítico de Tecnologia da Informação: é todo aquele relacionado aos objetivos estratégicos da ANAC e que afeta a missão da Agência se for revelado, modificado, destruído ou mal-usado, ou seja, é o ativo requerido para executar as atividades-fim e de suporte da Instituição, bem como para desempenhar outras atividades essenciais para o alcance da sua missão;
IV - Ativos de Tecnologia da Informação: constituem os meios de armazenamento, transmissão e processamento, os sistemas de informação e os locais onde se encontram esses meios, bem como as pessoas que a eles têm acesso;
V - Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais – ETIR: grupo de agentes públicos com a responsabilidade de prestar serviços relacionados à segurança cibernética, em observância à política de segurança da informação e aos processos de gestão de riscos de segurança da informação da ANAC;
VI - Gestão de continuidade de Serviços de TI: processo que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações dos serviços de TI, caso estas ameaças se concretizem. Esse processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das partes interessadas, a reputação, a marca da organização e suas atividades de valor agregado;
VII - Gestão de riscos - processo de natureza permanente, estabelecido, direcionado e monitorado pela alta administração, que contempla as atividades de identificação, avaliação e gerenciamento de potenciais eventos que possam afetar a organização, destinado a fornecer segurança razoável quanto à realização de seus objetivos;
VIII - Gestores de Soluções de Tecnologia da Informação e Comunicação: representantes das unidades organizacionais formalmente designados como responsáveis pela gestão das soluções de TIC da ANAC;
IX - Incidente de Segurança: é qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores;
X - Plano de Continuidade de Serviços de TI - PCSTI: documentação dos procedimentos e das informações necessárias para que a ANAC mantenha seus serviços de TI e respectivos ativos de informação críticos e que apoiem a continuidade de suas atividades críticas em local alternativo, em um nível previamente definido, em caso de incidente;
XI - Plano de Gerenciamento de Incidentes – PGI: plano de ação definido e documentado para ser usado quando ocorrer um incidente. O Plano deve abordar os meios “pessoas, recursos, serviços e outras ações” que sejam necessários para implementar o processo de gerenciamento de incidentes;
XII - Plano de Recuperação de Serviços de TI – PRSTI: documentação dos procedimentos e informações necessárias para que a ANAC operacionalize o retorno das atividades críticas à normalidade;
XIII - Resiliência - capacidade de uma organização ou de uma infraestrutura de resistir aos efeitos de um incidente, ataque ou desastre, e retornar à normalidade das operações;
XIV - RTO (Recovery Time Objective): tempo máximo para retorno operacional de um serviço ou processo de negócio após a ocorrência de um desastre;
XV - RPO (Recovery Point Objective): quantidade de informação que poderá ser perdida no caso de uma situação de desastre;
XVI - Serviço de TI: é um meio de possibilitar a cocriação de valor entre o departamento de TI, seus clientes e a organização como um todo. Definição conforme a biblioteca ITIL v4 - Information Technology Infrastructure Library.
XVII - Solução de TI: conjunto de sistemas, bens e serviços de TIC e automação que, com sua construção ou contratação, se integram para o alcance das necessidades da ANAC; e
XVIII - Tratamento de incidentes cibernéticos: consiste nas ações e procedimentos tomados imediatamente após a identificação do incidente, visando garantir a continuidade de operações, preservar evidências e emitir as notificações necessárias.
CAPÍTULO II
DOS OBJETIVOS
Art. 2º A implementação do processo de gestão de continuidade serviços de TI tem o objetivo de minimizar os impactos decorrentes de falhas, desastres ou indisponibilidades significativas sobre as atividades da ANAC nessa área, além de recuperar perdas de ativos de informação e serviços de TI em nível aceitável, por intermédio de ações de resposta a incidentes e recuperação de desastres.
Art. 3º São objetivos adicionais do processo de gestão de continuidade serviços de TI:
I - estabelecer as diretrizes para garantir a disponibilidade necessária de recursos tecnológicos e humanos que suportem os processos de negócios, de forma ordenada, assegurando a continuidade dos serviços de TI essenciais da ANAC;
II - definir orientações para a implementação de controles para a recuperação de ativos de TI, por intermédio de ações de prevenção, resposta e recuperação, de forma ordenada, assegurando a continuidade dos serviços de TI essenciais da ANAC; e
III - atribuir papéis e responsabilidades aos envolvidos nas ações necessárias para minimizar os impactos decorrentes de falhas, desastres ou indisponibilidades significativas nos serviços de TI.
CAPÍTULO III
DOS PRINCÍPIOS
Art. 4º Constituem princípios do Processo de Gestão de Continuidade de Serviços de TI da ANAC:
I - implementar uma estrutura documental definida para a capacidade contínua da Gestão de Continuidade de Serviços de TI;
II - assegurar-se de que as atividades destinadas à Gestão de Continuidade de Serviços de TI sejam implementadas e conduzidas de modo controlado e conforme o planejado;
III - alcançar a resiliência necessária à continuidade dos serviços de TI que seja apropriada ao seu tamanho, à sua complexidade e à sua natureza;
Art. 5º O processo de gestão de continuidade de serviços de TI deve ser baseado nas estratégias de continuidade para as atividades críticas, na avaliação dos riscos levantados no processo de gestão de riscos e em diretrizes institucionais sobre gestão de continuidade de negócio.
CAPÍTULO IV
DA ESTRUTURA DOCUMENTAL
Art. 6º A estrutura documental para a Gestão de Continuidade de Serviços de TI será organizada pelos seguintes Planos:
I - Plano de Continuidade de Serviços de TI;
II - Plano de Gerenciamento de Incidentes;
III - Plano de Recuperação de Serviços de TI;
IV - Capítulo no Protocolo de Sala de Crise da ANAC relativos a incidentes de TI.
Parágrafo único. Os documentos que compõem a Gestão de Continuidade de Serviços de TI devem ser revistos sempre que houver mudança significativa nos ativos críticos da ANAC.
Art. 7º O Plano de Continuidade de Serviços de TI tem por objetivo definir como serão realizadas a gestão dos incidentes em caso de desastres ou de outras interrupções das operações de negócios e a maneira como deverão ser recuperadas as atividades nos prazos estabelecidos.
Art. 8° O Plano de Continuidade de Serviços de TI deverá observar o disposto no relatório de identificação, análise e avaliação de riscos de segurança da informação e a prioridade de recuperação dos processos de negócio.
Art. 9º O Plano de Continuidade de Serviços de TI deverá definir estratégias de implementação de ambiente contingência para os serviços de TI com alto impacto para o negócio alinhadas às diretrizes institucionais sobre gestão de continuidade de negócio.
Art. 10. O Plano de Gerenciamento de Incidentes tem por objetivo restaurar a operação normal do serviço de TI o mais breve possível e dentro de acordos de RTO e RPO, minimizando o impacto adverso nas operações de negócio, garantindo os níveis acordados de qualidade de serviço.
Parágrafo único: O Plano de Gerenciamento de Incidentes terá relação direta com o processo de gerenciamento de incidente preconizado pela ITIL.
Art. 11. O Plano de Recuperação de Serviços de TI tem por objetivo definir estratégias e procedimentos operacionais específicos para cada serviço de TI que estejam no escopo do Plano de Continuidade de Serviços de TI.
Art. 12. O Plano de Continuidade de Serviços de TI deverá conter, no mínimo:
I - o objetivo;
II - as atividades críticas de negócio a serem contempladas no plano;
III - os requisitos para ativação do plano, em especial, o tempo máximo aceitável de permanência da falha;
IV - o(s) responsável(is) pela ativação do plano, com seus respectivos dados de contato;
V - o(s) responsável(is) por aplicar as medidas de contingência definidas, tendo cada servidor responsabilidades formalmente definidas e nominalmente atribuídas, incluindo seus respectivos dados de contato; e
VI - a definição:
a) das ações necessárias para operacionalização das medidas cuja implementação dependa da aquisição de recursos físicos e/ou humanos;
b) dos limites de decisão para os responsáveis pela aplicação das medidas de contingência perante situações inesperadas;
c) dos parâmetros para encerramento do plano e para a volta à normalidade;
d) dos responsáveis por essas ações, incluindo seus dados de contato;
e) da forma de monitoramento desse processo; e
f) de um roteiro de simulação de teste de funcionamento e da forma de sua aplicação.
CAPÍTULO V
Art. 13. A Gestão da Continuidade de Serviços de TI obedecerá às seguintes diretrizes:
I - as ações relativas à Gestão de Continuidade de Serviços de TI devem estar em conformidade com a Política de Backup e Política de Gestão de Riscos da ANAC, e com toda a legislação aplicável à Administração Pública Federal.
II - deverão ser adotados planos proativos, de forma a viabilizar que os sistemas de informação que sustentam as atividades críticas da ANAC sejam recuperados e tenham sua continuidade assegurada, por meio da manutenção de estratégias e planos de recuperação viáveis;
III - devem ser previstos e destinados o tempo, o capital e os recursos necessários para assegurar que a cultura de Continuidade de Serviços de TI seja disseminada e compreendida por toda a Agência, por meio de campanhas de conscientização que envolvam os executores de todos os processos que são suportados pela Gestão da Continuidade de Serviços de TI da ANAC;
IV - devem-se realizar exercícios e testes periódicos na execução dos Planos de Continuidade de Serviços de TI, de Gerenciamento de Incidentes e de Recuperação de Serviços de TI, com o levantamento das dificuldades e das necessidades de ajuste;
V - as atividades de Gestão de Continuidade de Serviços de TI devem ser monitoradas regularmente e o progresso no desenvolvimento da cultura e das estratégias de continuidade de negócios em toda a Agência deve ser avaliado como base para a melhoria contínua da Governança de Tecnologia da Informação e Comunicação;
VI - periodicamente, deve-se realizar a manutenção dos Planos, promovendo as revisões consideradas necessárias por ocasião dos testes realizados e da avaliação do progresso das estratégias e da cultura;
VII - a gestão dos processos, das atividades e dos produtos relativos à Gestão de Continuidade de Serviços de TI deve ser realizada com foco na melhoria contínua;
VIII - deve-se promover a gestão dos ativos de informação críticos que compõem a Gestão de Continuidade de Serviços de TI, o que inclui as pessoas, os processos, a tecnologia e o ambiente interno e externo à ANAC;
IX - deve-se realizar o gerenciamento dos Riscos à Continuidade de Serviços de TI de maneira aderente à Política de Gestão de Riscos da ANAC;
X - deve-se realizar a Análise de Impacto nos Negócios da ANAC suportados pelos Serviços de TI;
XI - deve-se realizar nova AIN sempre que houver atualização desta norma ou quando se julgar necessário;
XII - a Gestão de Continuidade de Serviços de TI deve observar o resultado da Análise de Riscos de Serviços de TI e da Análise de Impacto de Negócio realizadas, de forma a nortear as estratégias de continuidade;
XIII - os incidentes devem ser contidos ou solucionados dentro de prazos estabelecidos, minimizando os impactos e buscando assegurar que o nível de serviço prestado pela ANAC junto ao seu público externo e interno seja percebido como aceitável;
XIV - os contratos firmados com empresas terceirizadas que suportem atividades críticas devem conter cláusula que prevejam que as referidas empresas possuam Planos de Continuidade dos seus Negócios.
CAPÍTULO VI
DO PROCESSO DE GESTÃO DE CONTINUIDADE DE SERVIÇOS DE TI
Art. 14. O processo de Gestão de Continuidade de Serviços de TI da ANAC é composto pelas seguintes etapas:
I - Planejamento - compreende a análise dos processos críticos para o negócio, a fim de estabelecer quais atividades da Superintendência de Tecnologia de Informação são essenciais para o negócio, quais deverão ser tratadas na Continuidade de Serviços de TI e quais estratégias serão utilizadas durante a ocorrência de um incidente, podendo compreender também a avaliação da necessidade de revisão dos planos já instituídos, seja em virtude do tempo decorrido desde a sua aprovação, seja em razão de mudanças nos ativos de informação, procedimentos ou testes realizados;
II - Execução - abrange a elaboração ou revisão dos planos, com a descrição dos cenários de falhas e os procedimentos técnicos para lidar com os problemas, a realização de testes (execução parcial ou integral dos planos), a aprovação dos planos, seu armazenamento e divulgação;
III - Verificação - abrange a realização de testes periódicos dos Planos desenvolvidos e a análise dos incidentes críticos ocorridos (desastres), a fim de prover as informações necessárias na etapa de Melhoria;
IV - Melhoria - compreende a identificação das oportunidades de melhoria com vistas a dar início a um novo ciclo do processo e consequente atualização dos planos.
Art. 15. O Processo de Gestão de Continuidade de Serviços de TI será acionado quando verificadas interrupções parciais ou totais que impactem as atividades críticas da ANAC, previstos nos incisos seguintes:
I - ocorrido o incidente, considerados os serviços, sistemas ou ativos de TIC afetados e a criticidade, a Superintendência de Tecnologia da Informação acionará os Plano de Continuidade de Serviços de TI para a manutenção da continuidade das atividades, ainda que de forma contingencial e, se for o caso, os Plano de Recuperação de Serviços de TI para retorno das atividades à normalidade e o Plano de Gerenciamento de Incidentes para a execução do plano de ação;
II - a comunicação às partes interessadas observará as orientações contidas no Plano de Gerenciamento de Incidentes de TI;
III - os ativos e serviços de tecnologia da informação e comunicações afetados pelo incidente serão monitorados pela ETIR, a fim de subsidiar o fornecimento de informações ao Superintendente de Tecnologia da Informação;
IV - a execução do Plano de Continuidade de Serviços de TI será encerrada quando da comunicação de retorno à normalidade dos serviços, sistemas ou ativos críticos afetados.
CAPÍTULO VII
DAS RESPONSABILIDADES
Art. 16. O gestor de segurança da informação terá as seguintes responsabilidades:
I - coordenar o processo de gestão de continuidade de serviços de TI; e
II - designar um agente responsável pela gestão de continuidade de serviços de TI, dentre os servidores efetivos da ANAC.
Parágrafo único: As responsabilidades dispostas nos incisos I e II do caput poderão ser objeto de delegação.
Art. 17. A Superintendência de Tecnologia da Informação terá as seguintes responsabilidades:
I - elaborar e revisar o Plano de Continuidade de Serviços de TI;
II - elaborar e revisar o Plano de Gerenciamento de Incidentes;
III - elaborar e revisar o Plano de Recuperação de Serviços de TI;
IV - propor alterações nesta Norma Complementar;
V - realizar a avaliação dos riscos de TI;
VI - realizar, periodicamente, a Análise de Impacto nos Negócios;
VII - propor melhorias na implantação de novos controles relativos à Gestão de Continuidade de Serviços de TI;
VIII - supervisionar a elaboração, implementação, testes e atualização dos planos;
IX - desenvolver a cultura de Gestão de Continuidade de Serviços de TI;
X - acionar o Plano de Gerenciamento de Incidentes, o Plano de Continuidade de Serviços de TI e o Plano de Recuperação de Serviços de TI.
XI - avaliar e aprimorar este plano a partir dos resultados dos testes de funcionamento;
XII - gerenciar a contingência quando ocorrer a interrupção de atividades, com base nesse plano desenvolvido; e
XIII - propor os recursos necessários para a implementação e o desenvolvimento das ações relacionadas à continuidade das atividades, bem como para a realização dos testes de funcionamento deste plano.
Art. 18. O Agente Responsável terá as seguintes responsabilidades:
I - assessorar os responsáveis pelo processo ou os titulares das unidades em que forem identificadas atividades críticas nas atribuições descritas no art. 17.;
II - avaliar o Plano Continuidade de Serviços de TI e propor mudanças, quando aplicável;
III - supervisionar a implementação, os testes de funcionamento e a atualização desse plano;
IV - propor melhorias na implementação de novos controles relativos ao Plano de Continuidade de Serviços de TI;
V - participar da elaboração da análise de impacto nos negócios; e
VI - propor medidas visando ao desenvolvimento da cultura de gestão de continuidade de Serviços de TI.
Art. 19. Os gestores de soluções de TI, sistemas e curadores de dados da ANAC terão as seguintes responsabilidades:
I - contribuir para a elaboração do Plano de Continuidade de Serviços de TI, em seus aspectos não tecnológicos;
II - contribuir para a elaboração do Plano de Gerenciamento de Incidentes, em seus aspectos não tecnológicos;
III - contribuir para a elaboração do Plano de Recuperação de Serviços de TI, em seus aspectos não tecnológicos;
IV - classificar o nível minimamente operável e aceitável de cada aplicação;
V - definir o tempo máximo para retorno operacional de um serviço ou processo de negócio após a ocorrência de um desastre (RTO).
Art. 20. Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais da ANAC terá as seguintes responsabilidades:
I - contribuir para a elaboração do Plano de Gerenciamento de Incidentes, do Plano de Continuidade de Serviços de TI e do Plano de Recuperação de Serviços de TI;
II- receber, analisar, tratar e responder às notificações relacionadas a incidentes de segurança em redes de computadores;
III - monitorar e prevenir incidentes de segurança em redes de computadores.
CAPÍTULO VIII
DAS ATUALIZAÇÕES
Art. 21. Esta Norma deve ser revisada e atualizada periodicamente, no máximo a cada 3 (três) anos, caso não ocorram eventos ou fatos relevantes que exijam uma revisão imediata.
Art. 22. A revisão do Plano de Continuidade de Serviços de TI deverá ser realizada:
I - uma vez ao ano, no mínimo;
II - em função dos resultados dos testes de funcionamento realizados, uma vez comprovada a perda da validade e eficácia das medidas adotadas diante de novas situações; ou
III - após mudança significativa nos ativos de informação, nas atividades ou em algum de seus componentes.
CAPÍTULO IX
DAS DISPOSIÇÕES FINAIS
Art. 23. Os casos omissos serão resolvidos pelo Comitê de Segurança da Informação e Proteção de Dados Pessoais – CSIP.
_______________________________________________________________________________________
Publicado em 28 de novembro de 2022 no Boletim de Pessoal e Serviço - BPS v.17, nº 48, de 28 de novembro a 2 de dezembro de 2022.