Portaria nº 16.578/CSIP, DE 13 de março de 2025

Instituir a Norma Complementar nº 12, que dispõe sobre a Gestão de Controle de Acesso.

O GESTOR DE SEGURANÇA DA INFORMAÇÃO, na qualidade de Presidente do Comitê de Segurança da Informação e de Proteção de Dados Pessoais da Agência Nacional De Aviação Civil - CSIP/ANAC, no uso das atribuições que lhe conferem o art. 3º, inciso IV, da Portaria nº 5.805, de 30 de agosto de 2021, e

Considerando o disposto no Decreto nº 10.332, de 28 de abril de 2020, que institui a Estratégia de Governo Digital para o período de 2020 a 2022;

Considerando o disposto nos arts. 46 e 50 da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGDP);

Considerando o disposto nos arts. 3º, incisos I do Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação - PNSI;

Considerando o disposto nos 2.3.4 e 2.3.5 da Estratégia Nacional de Segurança Cibernética, aprovada pelo Decreto nº 10.222, de 5 de fevereiro de 2020;

Considerando o disposto no art. 2º, inciso XXIII, do Decreto nº 10.046, de 9 de outubro de 2019, que dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados;

Considerando o disposto no art. 12, inciso IV, alínea "f" da Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020, que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da administração pública federal;

Considerando o disposto nos itens 9 a 11.2.9 da Norma ABNT NBR ISO/IEC 27002:2013;

Considerando o disposto no capítulo 6 do Framework de segurança cibernética do CIS 8;

Considerando o disposto nos Controles 5, 6, 12 e 31 do Guia do Framework de Privacidade e Segurança da Informação SGD (PPSI);

Considerando o disposto no capítulo II da Instrução Normativa Nº 04/GSI/PR, de 26 de março de 2020;

Considerando o disposto na Portaria GSI/PR nº 93, de 18 de outubro de 2021, que aprova o glossário de segurança da informação;

Considerando o disposto no Account and Credential Management Policy Template for CIS Controls 5 and 6;

Considerando o disposto nos itens 6 a 6.6.2 da Norma ABNT NBR ISO/IEC ABNT NBR ISO/IEC 27701: 2019. Técnicas de segurança - Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação - Requisitos e Diretrizes;

Considerando o disposto nos itens 9 a 9.2.2 e 9.2.3 da ISO/IEC FDIS 29151:2016(E). Information technology - Security techniques - Code of practice for personally identifiable information protection;

Considerando o disposto na Orientação de Segurança da Informação e Cibernética - OSIC nº 09/2023, que trata da Gestão de Acesso Privilegiado (Privileged Access Management - PAM);

Considerando o disposto na Instrução Normativa nº 128, de 6 de novembro de 2018, que aprova Política de Segurança da Informação - Posi no âmbito da ANAC;

Considerando o disposto na Portaria STI/ANAC nº 9.457, de 6 de outubro de 2022, que dispõe sobre a Gestão de Inventário e Mapeamento de Ativos de Informação da ANAC; e

Considerando o que consta do processo nº 00058.100065/2024-74,

RESOLVE:

Art. 1º Instituir, nos termos do Anexo, a Norma Complementar nº 12, que dispõe sobre a Gestão de Controle de Acesso da Agência Nacional de Aviação Civil - ANAC.

Art. 2º Fica revogada a Portaria nº 3.174/SAF, de 10 de outubro de 2019, publicada no Boletim de Pessoal e Serviço - BPS v.14, nº 41, de 11 de outubro de 2019, que instituiu a Norma Complementar nº 2.

Art. 3º Esta Portaria entra em vigor na data de sua publicação.

 

VITOR MATEUS SILVA RAMOS

__________________________________________________________________________

Publicada em 26 de março de 2025 no Boletim de Pessoal e Serviço - BPS v.20, nº 12, de 24 a 28 de março de 2025

ANEXO

NORMA COMPLEMENTAR Nº 12 - GESTÃO DE CONTROLE DE ACESSO

 

TÍTULO I

DAS DISPOSIÇÕES GERAIS

CAPÍTULO I

DO OBJETIVO

Art. 1º A Norma de Gestão de Acesso objetiva estabelecer diretrizes e responsabilidades para a gestão de acessos a sistemas, informações, recursos tecnológicos e ambientes físicos, visando garantir a confidencialidade, integridade e disponibilidade das informações no âmbito da ANAC.

CAPÍTULO II

DO ESCOPO

Art. 2º Esta Norma Complementar se aplica a todas as informações, cujo o agente de tratamento seja a ANAC, ao meio utilizado para este tratamento, seja digital ou físico, e as dependências físicas desta organização, bem como a qualquer pessoa que circule nas dependências ou que interaja exercendo controle administrativo, técnico ou operacional, mesmo que eventual, desses meios de tratamento.

TÍTULO II

DA CONCEITUAÇÃO

Art. 3º Para os fins desta Norma Complementar, considera-se:

I - usuário: pessoa física, seja servidor ou equiparado, empregado ou prestador de serviços, habilitada pela administração para acessar os ativos de informação de um órgão ou entidade da administração pública federal, formalizada por meio da assinatura de Termo de Responsabilidade;

II - gestor de acesso: responsável por autorizar, revisar e monitorar os acessos aos sistemas e recursos;

III - sistema de informação: conjunto de elementos materiais ou intelectuais, colocados à disposição dos usuários, em forma de serviços ou bens, que possibilitam a agregação dos recursos de tecnologia, informação e comunicações de forma integrada;

IV - privacidade: direito de manter as informações pessoais protegidas de acesso não autorizado;

V - segurança da informação: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;

VI - acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem como possibilidade de usar os ativos de informação de um órgão ou entidade, observada eventual restrição que se aplique;

VII - conta de serviço: conta de acesso à rede corporativa de computadores, necessária a um procedimento automático (aplicação, script, entre outros) sem qualquer intervenção humana no seu uso;

VIII - autenticação: processo que busca verificar a identidade digital de uma entidade de um sistema, no momento em que ela requisita acesso a esse sistema. O processo é realizado por meio de regras preestabelecidas, geralmente pela comparação das credenciais apresentadas pela entidade com outras já pré-definidas no sistema, reconhecendo como verdadeiras ou legítimas as partes envolvidas em um processo;

IX - autorização: processo que ocorre após a autenticação e que tem a função de diferenciar os privilégios atribuídos ao usuário que foi autenticado. Os atributos de autorização normalmente são definidos em grupos mantidos em uma base de dados centralizada, sendo que cada usuário herda as características do grupo a que ele pertence; portanto, autorização é o direito ou a permissão de acesso a um recurso de um sistema;

X - controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso ao uso de recursos físicos ou computacionais. Via de regra, requer procedimentos de autenticação;

XI - MFA: sigla de autenticação de multifatores (multifactor authentication);

XII - acesso lógico: capacidade de um indivíduo, sistema ou processo de interagir com sistemas de computação, redes ou informações digitais por meio de autenticação e autorização, sem a necessidade de contato físico direto com os dispositivos ou infraestrutura;

XIII - ativos de informação: meios de armazenamento, transmissão e processamento da informação, equipamentos necessários a isso, sistemas utilizados para tal, locais onde se encontram esses meios, recursos humanos que a eles têm acesso e conhecimento ou dado que tem valor para um indivíduo ou organização;

XIV - CFTV: Circuito Fechado de Televisão;

XV - classificação dos ambientes: classificação dos ambientes físicos da Agência, considerando a criticidade, o tipo e o grau de sigilo das informações tratadas e o provável impacto no caso de quebra de segurança;

XVI - credenciamento: processo pelo qual o usuário recebe credenciais de segurança que concederão o acesso, incluindo a identificação, a autenticação, o cadastramento de código de identificação e definição de perfil de acesso em função de autorização prévia e da necessidade de conhecer;

XVII - gestão de risco: aplicação sistemática de políticas, procedimentos, práticas de gestão, metodologias e ações direcionadas ao gerenciamento de riscos, objetivando apoiar a melhoria contínua organizacional; e

XVIII - necessidade de conhecer: condição segundo a qual o conhecimento da informação classificada é indispensável para o adequado exercício de cargo, função, emprego ou atividade reservada.

TÍTULO III

DO ACESSO LÓGICO

Art. 4º O acesso lógico aos recursos da rede local deverá ser realizado por meio de sistema de controle de acesso.

§ 1º O acesso de que trata o caput deverá ser concedido e mantido pela Superintendência de Tecnologia e Transformação Digital - STD, baseado nas responsabilidades e tarefas de cada usuário.

§ 2º A ANAC deverá implementar protocolos de comunicação e redes seguros.

§ 3º Terão direito a acesso lógico aos recursos da rede local os usuários de recursos de tecnologia da informação.

§ 4º Para fins desta Norma Complementar, consideram-se usuários de recursos de tecnologia da informação servidores ocupantes de cargo efetivo ou cargo em comissão, ocupantes de emprego público em exercício, assim como funcionários de empresas prestadoras de serviços, estagiários e demais usuários temporários em atividade na ANAC.

§ 5º O acesso remoto deverá ser realizado por meio de Rede Virtual Privada - VPN, após as devidas autorizações.

§ 6º Deverá ser utilizado o MFA para a autenticação de acesso remoto.

§ 7º O acesso a todas as aplicações corporativas ou de terceiros que estejam hospedados em fornecedores deverá utilizar MFA, sempre que o recurso estiver disponível.

§ 8º A ANAC deverá centralizar a autenticação, autorização e auditoria - AAA dos ativos de informação da sua infraestrutura de rede.

§ 9º A ANAC deverá adotar técnicas de segmentação de rede visando segregar o acesso de forma eficiente e segura, assegurando que apenas colaboradores e dispositivos autorizados possam interagir com partes específicas da rede.

Art. 5º A STD deverá estabelecer e manter um inventário de todas as contas gerenciadas, este deve incluir contas de usuário, administrativas, testes e serviço. Em caso de contas de serviço, o inventário deverá conter, no mínimo, informações de:

I - departamento proprietário;

II - data de criação/última autorização de renovação de acesso; e

III - a STD deverá validar todas as contas ativas do órgão.

Art. 6º A STD implementará a centralização da gestão de contas por meio de serviço de diretório e/ou identidade.

Art. 7 A STD deverá estabelecer e manter um inventário dos sistemas de autenticação e autorização da organização.

Parágrafo único. O inventário de que trata o caput deverá ser revisado periodicamente.

Art. 8º A STD deverá centralizar o controle de acesso para todos os ativos de informação da organização, por meio de um serviço de diretório ou provedor de SSO.

Art. 9º A STD deverá definir e manter o controle de acesso dos usuários baseados em funções.

§ 1º Deverá ser elaborada a documentação dos direitos dos acessos para cada função dentro da organização.

§ 2º A STD realizará análises de controle de acesso aos ativos institucionais para validar se todos os privilégios estão autorizados para a execução de atividades de cada função, este processo deve ser repetido de forma periódica ou quando novas funções e ativos de informação forem inseridos na organização.

§ 3º A concessão e manutenção de acesso a usuários que lidam com dados pessoais, deverá limitar, estritamente, o acesso aos sistemas que processam esses dados ao mínimo necessário para cumprir os objetivos essenciais do processamento, em conformidade com o princípio da minimização de dados.

§ 4º A atribuição ou revogação dos direitos de acesso concedidos, deverá incluir:

I - verificação de que o nível de acesso concedido é apropriado às políticas de acesso, além de ser consistente com outros requisitos, tais como, segregação de funções;

II - garantia de que os direitos de acesso não estão ativados antes que o procedimento de autorização esteja completo;

III - manutenção de um registro preciso e atualizado dos perfis dos usuários criados para os que tenham sido autorizados a acessar o sistema de informação e os dados pessoais neles contidos;

IV - mudança dos direitos de acesso dos usuários que tenham mudado de função ou de atividades, e imediata remoção ou bloqueio dos direitos de acesso dos usuários que deixaram a ANAC; e

V - analisar criticamente os direitos de acesso em intervalos regulares.

Art. 10. A STD deverá implementar um processo formal de registro de usuários que tratem de dados pessoais para permitir atribuição de direitos de acesso e fornecer medidas para lidar com o comprometimento do controle de acesso do usuário, como corrupção ou comprometimento de senhas ou outros dados de registro do usuário, podendo ser realizadas as seguintes ações:

I - o uso de um identificador de usuário único, para permitir relacionar os usuários com suas responsabilidades e ações;

II - o uso compartilhado de identificador de usuário somente será permitido onde eles são necessários por razões operacionais ou de negócios e deverá ser aprovado e documentado; e

III - a garantia de que o um mesmo identificador de usuário não é emitido para outros.

TÍTULO IV

DA CONTA DE ACESSO LÓGICO E SENHA

Art. 11. Para utilização das estações de trabalho da ANAC, será obrigatório o uso de uma única identificação (login) e de senha de acesso, fornecidos pela STD mediante solicitação formal pelo titular da unidade do requisitante.

§ 1º O formulário de solicitação de acesso se encontra disponível para preenchimento no portal de serviços da ANAC.

§ 2º Os privilégios de acesso dos usuários à rede local deverão ser definidos pela unidade requisitante ao qual o usuário está vinculado, limitando-se a atividades estritamente necessárias à realização de suas tarefas.

§ 3º Na necessidade de utilização de perfil diferente do disponibilizado, o titular da unidade do usuário deverá encaminhar solicitação para a STD que a examinará, podendo negá-la nos casos em que a entender desnecessária.

Art. 12. O login e senha são de uso pessoal e intransferível, sendo proibida a sua divulgação, sob pena de serem bloqueados pela STD quando constatada qualquer irregularidade.

Parágrafo único. Para retomar o acesso à rede, deverá ser formalizada nova requisição pelo titular da unidade do requisitante.

Art. 13. O padrão adotado para o formato da conta de acesso do usuário é a sequência primeiro nome + ponto + último nome do usuário.

Parágrafo único. Nos casos de já existência de conta de acesso para outro usuário, a STD realizará outra combinação utilizando o nome completo do usuário para o qual a conta está sendo criada.

Art. 14. O padrão adotado para o formato da senha é o definido pela STD, que considera o tamanho mínimo de caracteres, a tipologia (letras, número e símbolos) e a proibição de repetição de senhas anteriores.

§ 1º A formação da senha da identificação (login) de acesso à rede local deverá seguir as regras de:

I - possuir tamanho mínimo de oito caracteres, sendo obrigatório o uso de letras (maiúsculas e minúsculas), números e caracteres especiais; e

II - não reutilizar as últimas 4 (quatro) senhas.

§ 2º A STD fornecerá uma senha temporária para cada conta de acesso criada no momento da liberação dessa conta e a mesma deverá ser alterada pelo usuário quando do primeiro acesso à rede local.

Art. 15. As senhas de acesso serão renovadas a cada 90 (noventa) dias, devendo o usuário ser informado antecipadamente a fim de que ele próprio efetue a mudança.

Parágrafo único. Caso não efetue a troca no prazo estabelecido, será bloqueado seu acesso à rede local até que a nova senha seja configurada.

TÍTULO V

DO BLOQUEIO, DESBLOQUEIO E CANCELAMENTO DA CONTA DE ACESSO

Art. 16. A conta de acesso será bloqueada nas seguintes hipóteses:

I - solicitação do superior imediato do usuário com a devida justificativa;

II - quando da suspeita de mau uso dos serviços disponibilizados pela ANAC ou descumprimento da Política de Segurança da Informação - POSI e normas correlatas em vigência;

III - para estagiários e terceirizados, após 180 (cento e oitenta) dias consecutivos sem movimentação pelo usuário; e

IV - para servidores, após 365 (trezentos e sessenta e cinco) dias consecutivos sem movimentação pelo usuário.

Art. 17. O desbloqueio da conta de acesso à rede local, será realizado apenas após solicitação formal do superior imediato do usuário à STD.

Art. 18. Quando do afastamento temporário do usuário, a conta de acesso deverá ser bloqueada a pedido do superior imediato ou da Superintendência de Gestão de Pessoas - SGP.

Art. 19. A STD deverá garantir a implementação de um processo formal de cancelamento de usuários que administrem ou operem sistemas e serviços que tratem de dados pessoais. Tal processo deverá incluir:

I - a imediata remoção ou desabilitação de usuário que tenha deixado a ANAC; e

II - a remoção e identificação, de forma periódica, ou a desabilitação de usuários com os mesmos identificadores.

Art. 20. A STD deverá configurar o bloqueio automático de sessão nos ativos após um período de inatividade preestabelecido.

Parágrafo único. O prazo de que trata o caput poderá ser específico para cada tipo de ativo.

Art. 21. A STD priorizará, sempre que possível, a revogação/desativação de contas com o objetivo de manter dados e logs para possíveis auditorias.

TÍTULO VI

DA MOVIMENTAÇÃO INTERNA

Art. 22. Quando houver mudança do usuário para outro setor ou o usuário ocupar uma nova função, os direitos de acesso à rede local deverão ser revogados.

§ 1º O novo superior imediato ou a SGP deverá realizar a solicitação de novos acessos de acordo com novo setor ou função do usuário.

§ 2º Os direitos de acesso antigos deverão ser imediatamente cancelados conforme solicitação do antigo superior imediato ou da SGP.

TÍTULO VII

DA CONTA DE ACESSO BIOMÉTRICO

Art. 23. A conta de acesso biométrico, quando implementada, deverá ser vinculada a uma conta de acesso lógico e ambas deverão ser utilizadas para se obter um acesso, a fim de atender os conceitos da autenticação de multifatores.

Parágrafo único. A ANAC deverá tratar seus respectivos dados biométricos como dados sigilosos, preferencialmente, utilizando-se de criptografia, na forma da legislação vigente.

TÍTULO VIII

DOS ADMINISTRADORES

Art. 24. A utilização de identificação (login) com acesso no perfil de administrador será permitida somente para usuários cadastrados para execução de tarefas específicas na administração de ativos de informação.

§ 1º Somente os técnicos da STD devidamente identificados e habilitados terão senha com privilégio de administrador nos equipamentos locais e na rede.

§ 2º Na necessidade de utilização de login com privilégio de administrador do equipamento local, o usuário deverá encaminhar solicitação para a STD, que poderá negar os casos em que entender desnecessária a utilização.

§ 3º Se concedida a permissão ao usuário como administrador local na estação de trabalho, este será responsável por manter a integridade da máquina, não podendo instalar, desinstalar ou remover qualquer programa sem autorização formal da STD.

§ 4º Caso constatada a irregularidade, o usuário perderá o acesso como administrador, não mais podendo requerer outra permissão.

§ 5º A identificação (login) com privilégio de administrador nos equipamentos locais será fornecida em caráter provisório, podendo ser renovada por solicitação formal do titular da unidade requisitante.

§ 6º Salvo para atividades específicas da área responsável pela gestão da tecnologia da informação do órgão, não será concedida, para um mesmo usuário, identificação (login) com privilégio de administrador para mais de uma estação de trabalho, ou para acesso a equipamentos servidores e a dispositivos de rede.

§ 7º Excepcionalmente, poderão ser concedidas identificações (login) de acesso à rede de comunicação de dados a visitante em caráter temporário após apreciação da STD.

§ 8º A STD deverá implementar o MFA para todas as contas de administrador, sempre que esse recurso estiver disponível.

§ 9º A STD deverá restringir os privilégios de administrador a contas de administrador dedicados nos ativos de informação, para que o usuário com privilégio de administrador não consiga realizar atividades gerais de computação, como navegação na Internet, e-mail e uso do pacote de produtividade, estas atividades deverão ser realizadas a partir da conta primária não privilegiada do usuário.

§ 10º Ao tratar dados pessoais a ANAC deverá observar o princípio do privilégio mínimo como regra, para garantir que o usuário receba apenas os direitos mínimos necessários para executar suas atividades, podendo ser realizadas as seguintes ações:

I - remover os direitos de administrador nos dispositivos finais;

II - remover todos os direitos de acesso root e admin aos servidores e utilizar tecnologias que permitam a elevação granular de privilégios conforme a necessidade, ao mesmo tempo em que fornecem recursos claros de auditoria e monitoramento;

III - eliminar privilégios permanentes (privilégios que estão “sempre ativos”) sempre que possível;

IV - limitar a associação de uma conta privilegiada ao menor número possível de pessoas; e

V - minimizar o número de direitos para cada conta privilegiada.

TÍTULO IX

DO CONTROLE DE ACESSO AOS AMBIENTES FÍSICOS

Art. 25. O controle de acesso aos ambientes físicos da ANAC será realizado por meio de procedimentos e recursos humanos, físicos e tecnológicos com a finalidade de conceder ou bloquear o acesso a determinado ambiente.

CAPÍTULO I

DAS DIRETRIZES

Art. 26. O controle de acesso às dependências da ANAC observará as seguintes diretrizes:

I - a identificação, a autorização, a autenticação, o interesse do serviço e a necessidade de conhecer são condicionantes para a concessão de acesso às dependências da Agência;

II - a classificação dos ambientes físicos e os controles de acesso adotados poderão ser alterados em decorrência da Gestão de Riscos da ANAC;

III - os controles adotados variam de acordo com a criticidade do ambiente a ser acessado; e

IV - a segurança no ambiente de trabalho é responsabilidade de todos.

CAPÍTULO II

DA CLASSIFICAÇÃO DOS AMBIENTES FÍSICOS

Art. 27. A classificação dos ambientes físicos da ANAC será registrada em documento próprio, aprovado pelo Comitê de Segurança da Informação e Proteção de Dados Pessoais - CSIP.

§ 1º A classificação dos ambientes levará em consideração a criticidade, o tipo e o grau de sigilo das informações tratadas e o provável impacto no caso de quebra de segurança.

§ 2º Os ambientes serão classificados em 3 níveis, sendo o nível 1 o de maior sensibilidade, conforme os impactos a seguir:

I - nível 1 - podem afetar o alcance dos objetivos estratégicos da Agência ou provocar grave dano à imagem institucional;

II - nível 2 - podem degradar o serviço da ANAC ou provocar danos à imagem institucional; e

III - nível 3 - podem afetar os requisitos de eficiência, eficácia, desempenho, salvaguarda de ativos, informação e conformidade dos processos da Agência.

§ 3º O CSIP poderá definir ambientes específicos, não classificados, com controles especiais de acesso.

§ 4º A classificação poderá ser revista pelo CSIP sempre que a Gestão de Riscos da Agência assim o recomendar.

CAPÍTULO III

DOS REQUISITOS DE SEGURANÇA

Art. 28. O controle de acesso às dependências da ANAC deverá observar os seguintes requisitos mínimos de segurança:

I - Ambientes Nível 3: barreira física de acesso, liberada por meio de chave, cartão ou biometria, obrigatório para a Sede em Brasília e desejável para as demais unidades;

II - Ambientes Nível 2:

a) requisitos do ambiente Nível 3;

b) ambiente privativo, protegido por barreira física, tais como portas com travas ou recepções específicas; e

III - Ambientes Nível 1:

a) requisitos dos ambientes Nível 2;

b) mecanismo específico de controle de acesso por meio de biometria;

c) porta de acesso isolada de locais de circulação geral;

d) paredes sólidas, resistente a chamas e sem janelas para a parte externa do prédio;

e) sem identificação explícita de sua destinação; e

f) CTFV específico.

§ 1º As áreas comuns dos edifícios da sede e das unidades administrativas regionais do Rio de Janeiro, São Paulo, São José dos Campos, Recife, Porto Alegre e Curitiba deverão possuir os seguintes requisitos:

a) as entradas principais deverão possuir unidade de recepção e serviço de segurança, presencial e/ou eletrônica com monitoramento remoto;

b) controle de acesso;

c) todos os setores da Agência que puderem ser alcançados de maneira independente, a partir de entradas de acesso à edificação, incluindo garagem, deverão possuir controle de acesso;

d) o hall dos elevadores, em todos os andares, deverá possuir sistema de CFTV; e

e) segurança predial presencial ou eletrônica com monitoramento remoto, conforme recomende a Gestão de Riscos da Agência.

§ 2º Os itens previstos no parágrafo anterior constituem requisitos desejáveis para o Centro de Treinamento e para as demais unidades administrativas regionais da Agência.

§ 3º O controle de acesso previsto no parágrafo anterior refere-se tão somente à entrada nos prédios da ANAC, não se confundindo com o controle de frequência dos servidores.

CAPÍTULO V

DOS PROCEDIMENTOS ESPECÍFICOS

Seção I

Do Acesso de Servidores

Art. 29. É livre a entrada e saída dos servidores nos prédios da ANAC e o acesso aos ambientes Nível 3 durante o horário de expediente, desde que devidamente identificados por meio de crachá funcional, devendo estar fixado em local de fácil visualização.

Parágrafo único. O crachá funcional é de uso obrigatório, devendo o servidor permanecer portando-o nas instalações da ANAC.

Art. 30. A entrada de servidor fora do horário de expediente, fins de semana e feriados, será permitida mediante autorização da chefia imediata e posterior anuência da Superintendência de Administração e Finanças - SAF.

Seção II

Do Acesso de Empregados Terceirizados e Estagiários

Art. 31. Fica autorizada a circulação dos colaboradores terceirizados que trabalham nas dependências da ANAC nos ambientes Nível 3, desde que devidamente uniformizados, caso estejam sujeitos ao uso de uniforme, e identificados por meio de crachá, em local de fácil visualização.

§ 1º É vedada a entrada de colaboradores terceirizados nos prédios da ANAC fora do horário de expediente, fins de semana e feriados, excetuando-se aqueles que estejam a serviço.

§ 2º Os gestores ou responsáveis deverão encaminhar à SAF, com antecedência, a relação dos terceirizados que estejam nas condições do parágrafo anterior.

Art. 32. O acesso e a circulação dos estagiários da ANAC somente serão permitidos mediante identificação e durante o horário de expediente, salvo se autorizado ou acompanhado pela respectiva chefia imediata.

Seção III

Do Acesso de Visitantes e Prestadores de Serviço

Art. 33. Fica vedado o acesso de visitantes e prestadores de serviço nas instalações da ANAC:

I - sem a devida identificação na Recepção;

II - portando arma, de qualquer natureza, ressalvado os casos legalmente permitidos;

III - que estejam fazendo uso de capacetes, chapéus, bonés ou similares;

IV - apresentando comportamento agressivo ou desequilibrado, em visível estado de embriaguez ou sob o efeito de substâncias que produzam semelhante resultado;

V - conduzindo animais, exceto cão-guia, quando estiver acompanhando portadores de deficiência visual ou sensorial e desde que esteja portando licença ou identificação do cão-guia; ou

VI - para a prática de comércio e/ou propaganda não autorizada em quaisquer de suas formas.

Parágrafo único. Os visitantes terão acesso tão somente aos ambientes cuja entrada for autorizada.

Art. 34. Salvo situações devidamente justificadas, o acesso de visitantes e prestadores de serviço às instalações da ANAC somente será permitido durante o horário de expediente, devendo obrigatoriamente se dirigirem à recepção.

§ 1º Para que seja permitido o acesso, será exigido:

I - apresentação de documento de identificação;

II - registro, na Recepção, do setor a que pretende se dirigir e a hora de chegada;

III - autorização da unidade que pretende visitar; e

IV - manutenção, em local visível, de crachá ou instrumento similar recebido na Recepção.

§ 2º Na saída, a Recepção deverá:

I - cobrar a devolução do crachá ou instrumento similar; e

II - registrar a hora da saída.

Art. 35. Terão seus acessos restritos à Portaria dos prédios profissionais de serviço para a entrega de materiais, de qualquer natureza, bem como para receber donativos ou análogos.

Parágrafo Único. A entrega de material de almoxarifado e patrimônio deverá ser autorizada pela SAF e realizada em local por ela indicado.

Art. 36. A entrada de prestadores de serviço vinculados a contrato ou convênio firmado pela ANAC se dará mediante apresentação de documento de identificação, devendo estar portando crachá da empresa, contendo nome, cargo ou função que ocupa e a respectiva fotografia.

Art. 37. Servidores acompanhados de visitantes deverão encaminhá-los à Recepção para identificação.

Seção IV

Do Acesso aos Ambientes Níveis 1 e 2

Art. 38. O acesso aos ambientes Nível 1 e 2 observarão, como procedimentos prévios, o constante das seções I a III do presente Capítulo.

Art. 39. O acesso aos ambientes de Nível 2 será condicionada à autorização específica, verbal ou por escrito, da unidade responsável pela gestão do ambiente.

Art. 40. Para o acesso aos ambientes Nível 1, é obrigatório o credenciamento junto à unidade responsável pela gestão do ambiente.

Parágrafo único. O credenciamento de que trata o caput deverá ser revisto periodicamente.

Art. 41. Nos ambientes Nível 1, deverão ser observados os seguintes procedimentos:

I - os trabalhos a serem realizados por colaboradores externos deverão ser sempre supervisionados;

II - somente poderão ser fotografados ou filmados com autorização da unidade responsável por sua gestão; e

III - os requisitos de segurança dos ambientes deverão ser monitorados permanentemente.

TÍTULO X

DAS RESPONSABILIDADES

CAPÍTULO I

DO ACESSO LÓGICO

Art. 42. É de responsabilidade do superior imediato do usuário comunicar formalmente à SGP o desligamento ou saída do usuário da ANAC. para que as permissões de acesso à rede local sejam canceladas.

Art. 43. A SGP deverá comunicar imediatamente à STD sobre desligamentos, cessões e licenças de servidores e estagiários, para que seja efetuado o bloqueio momentâneo ou a revogação definitiva da permissão de acesso aos recursos.

Art. 44. É responsabilidade dos respectivos gestores dos contratos de terceirização da ANAC a comunicação imediata à STD sobre desligamentos e licenças de funcionários de empresas prestadoras de serviços, para que seja efetuado o bloqueio momentâneo ou revogação definitiva da permissão de acesso aos recursos.

Art. 45. É de responsabilidade da STD o monitoramento da utilização de serviços de rede e de acesso à Internet, podendo ainda exercer fiscalização nos casos de apuração de uso indevido desses recursos, bem como bloquear, temporariamente, sem aviso prévio, a estação de trabalho que esteja realizando atividade que coloque em risco a segurança da rede, até que seja verificada a situação e descartada qualquer hipótese de dano à infraestrutura tecnológica da ANAC.

Art. 46. O usuário é responsável por todos os acessos realizados através de sua conta de acesso e por possíveis danos causados à rede local e a recursos de tecnologia custodiados ou de propriedade da ANAC.

§ 1º O usuário é responsável pela integridade e utilização de sua estação de trabalho, devendo, no caso de sua ausência temporária do local onde se encontra o equipamento, bloqueá-lo ou desconectar-se da estação, para coibir acessos indevidos.

§ 2º A utilização simultânea da conta de acesso à rede local em mais de uma estação de trabalho ou notebook deverá ser evitada, sendo responsabilidade do usuário titular da conta de acesso os riscos que a utilização paralela implica.

§ 3º O usuário não poderá, em hipótese alguma, transferir ou compartilhar com outrem sua conta de acesso e respectiva senha à rede local.

Art. 47. O usuário deverá informar à STD qualquer situação da qual tenha conhecimento que configure violação de sigilo ou que possa colocar em risco a segurança inclusive de terceiros.

Art. 48. É dever do usuário zelar pelo uso dos sistemas informatizados, tomando as medidas necessárias para restringir ou eliminar riscos para a Instituição, a saber:

I - não permitir a interferência externa caracterizada como invasão, monitoramento ou utilização de sistemas por terceiros, e outras formas;

II - evitar sobrecarga de redes, de dispositivos de armazenamento de dados ou de outros, para não gerar indisponibilidade de informações internas e externas;

III - interromper a conexão aos sistemas e adotar medidas que bloqueiem o acesso de terceiros, sempre que completarem suas atividades ou quando se ausentarem do local de trabalho por qualquer motivo;

IV - não se conectar a sistemas e não buscar acesso a informações para as quais não lhe tenham sido dadas senhas e/ou autorização de acesso;

V - não divulgar a terceiros ou a outros usuários dispositivos ou programas de segurança existentes em seus equipamentos ou sistemas;

VI - utilizar corretamente os equipamentos de informática e conservá-los conforme os cuidados e medidas preventivas estabelecidas;

VII - não divulgar suas senhas e nem permitir que terceiros tomem conhecimento delas, reconhecendo-as como pessoais e intransferíveis; e

VIII - assinar o Termo de Responsabilidade quanto à utilização da respectiva conta de acesso.

CAPÍTULO II

DO ACESSO AOS AMBIENTES FÍSICOS

Art. 49. Constituem responsabilidades da SAF:

I - divulgar ações de sensibilização e conscientização sobre o controle de acesso;

II - submeter ao CSIP proposta de mudança na classificação dos ambientes;

III - realizar, periodicamente, a verificação dos ambientes da Agência quanto aos seus requisitos de segurança;

IV - propor requisitos e procedimentos de segurança adicionais aos previstos nesta Norma Complementar;

V - gerenciar as barreiras de acesso aos ambientes Nível 3;

VI - dar manutenção a todas as barreiras de acesso da ANAC;

VII - implantar os requisitos de segurança dos ambientes da Agência; e

VIII - propor alterações nesta Norma Complementar.

Art. 50. Constituem responsabilidades dos servidores e colaboradores da Agência:

I - contribuir para a cultura de segurança física, patrimonial, da informação e comunicações;

II - comunicar à SAF eventuais casos de quebra de segurança no acesso às dependências da Agência; e

III - observar os procedimentos constantes na presente Norma Complementar.

Art. 51. Constituem responsabilidades dos gestores dos ambientes Nível 2:

I - gerenciar as barreiras de acesso aos ambientes privativos; e

II - autorizar a entrada nos ambientes sob sua responsabilidade.

Art. 52. Constituem responsabilidades dos gestores dos ambientes Nível 1:

I - credenciar e descredenciar as pessoas autorizadas a acessar o ambiente;

II - supervisionar os trabalhos desenvolvidos no ambiente por agentes externos à Agência; e

III - fiscalizar o uso adequado do ambiente.

TÍTULO XI

DAS DISPOSIÇÕES GERAIS

Art. 53. Os incidentes que afetem a Segurança das Informações, assim como o descumprimento da Política de Segurança da Informação e Normas de Segurança deverão ser obrigatoriamente comunicados pelos usuários à STD.

Art. 54. Quando houver suspeita de quebra da segurança da informação que exponha ao risco os serviços ou recursos de tecnologia, a STD fará a investigação, podendo interromper temporariamente o serviço afetado, sem prévia autorização.

§ 1º Nos casos em que o ator da quebra de segurança for um usuário, a STD comunicará os resultados ao superior imediato do mesmo para adoção de medidas cabíveis.

§ 2º Ações que violem a POSI ou que quebrem os controles de Segurança da Informação serão passíveis de sanções civis, penais e administrativas, conforme a legislação em vigor, que podem ser aplicadas isoladamente ou cumulativamente.

§ 3º Processo administrativo disciplinar específico deverá ser instaurado para apurar as ações que constituem em quebra das diretrizes impostas por esta Norma e pela POSI.

§ 4º A resolução de casos de violação/transgressões omissos nas legislações correlatas será resolvida pelo Comitê de Segurança da Informação e Proteção de Dados Pessoais - CSIP/ANAC.

Art. 55. As salas não ocupadas serão objeto de verificação periódica.

Art. 56. Caso sejam detectadas ações de vandalismo, a segurança ou a SAF deverá ser imediatamente acionada.

Art. 57. Os equipamentos disponibilizados nas salas de reuniões de uso comum deverão ser protegidos por mecanismos que impeçam a sua livre retirada.

Art. 58. As imagens capturadas pelo CFTV deverão ser mantidas por, no mínimo, 15 (quinze) dias, sendo desejável que sejam armazenadas pelo prazo de 30 (trinta) dias corridos.

Parágrafo único. Não serão fornecidas cópias das gravações realizadas, sendo permitida apenas a visualização das imagens por pessoas previamente autorizadas pela SAF.

Art. 59. As informações das recepções e catracas de acesso deverão ser mantidas pelo período mínimo de 1 (um) ano, sendo desejável que sejam armazenadas pelo prazo de dois anos.

Art. 60. Os casos omissos serão resolvidos pelo CSIP/ANAC.

Art. 61. Esta Norma Complementar deverá ser revisada e atualizada anualmente ou sempre que ocorrerem eventos ou fatos relevantes que exijam sua imediata alteração.