Boletim de Serviço Eletrônico em 26/11/2024

  

  

AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES

  

Ato nº 16417, de 22 de novembro de 2024

O SUPERINTENDENTE DE OUTORGA E RECURSOS À PRESTAÇÃO DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das atribuições que lhe foram conferidas pela Portaria nº 419, de 24 de maio de 2013, e

CONSIDERANDO a competência dada à Agência pelos Incisos XII e XIV do art. 19 da Lei nº 9.472, de 16 de julho de 1997 – Lei Geral de Telecomunicações;

CONSIDERANDO que as prestadoras de serviços de telecomunicações devem utilizar, no âmbito de suas redes e serviços, produtos e equipamentos de telecomunicações provenientes de fornecedores que possuam política de segurança cibernética, conforme estabelecido no art. 7º do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020; e,

CONSIDERANDO o constante dos autos do processo nº 53500.096265/2023-25;

RESOLVE:

Art. 1º Aprovar o Procedimento Operacional contendo diretrizes para auditoria da política de segurança cibernética de fornecedores de produtos e equipamentos de telecomunicações para prestadoras, na forma do anexo a este Ato.

Art. 2º Este Ato entra em vigor na data de sua publicação no Boletim de Serviço Eletrônico da Anatel, sendo mandatória sua aplicação a partir de 26.11.2025.


logotipo

Documento assinado eletronicamente por Sidney Azeredo Nince, Superintendente de Outorga e Recursos à Prestação, Substituto(a), em 26/11/2024, às 19:30, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.


QRCode Assinatura

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 12921340 e o código CRC 608B3CEE.



ANEXO

Procedimento operacional CONTENDO Diretrizes para auditoria da política de segurança cibernética de fornecedores de produtos e equipamentos de telecomunicações para prestadoras

 

OBJETIVO

Estabelecer diretrizes para realização de auditoria em fornecedores de produtos e equipamentos para as prestadoras de serviços de telecomunicações para fins de comprovação de implementação da Política de Segurança Cibernética de fornecedores de produtos e equipamentos de telecomunicações para as prestadoras (PSC) estabelecida pelo Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestruturas Críticas (GT-Ciber), em atendimento ao disposto no art. 7º do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações.

 

ABRANGÊNCIA

Este Procedimento se aplica aos fornecedores de produtos e equipamentos de telecomunicações para prestadoras de serviços de telecomunicações e aos Organismos de Certificação Designados (OCD) no exercício de suas funções como agentes do processo de auditoria da Política de Segurança Cibernética (PSC) do fornecedor de produtos para telecomunicações às prestadoras.

Este procedimento deve ser aplicado em conjunto com a "Política de Segurança Cibernética de fornecedores de produtos e equipamentos de telecomunicações para as prestadoras", elaborado pelo Subgrupo de Equipamento Fornecedores e Requisitos do GT-Ciber.

 

DEFINIÇÕES

Para fins deste Procedimento, além das definições constantes da regulamentação da Anatel, aplicam-se as seguintes definições:

Fabricante: detentor do projeto técnico do produto ou de licença para utilização do projeto técnico e que é responsável pela integração dos diferentes módulos de hardware e de software que compõem o produto a ser fornecido à prestadora.

Fornecedor: responsável pelo fornecimento de produtos e equipamentos para as prestadoras de serviços de telecomunicações, podendo ser o próprio fabricante do produto ou um representante de um fabricante.

 

REFERÊNCIAS

As referências seguintes apontam para documentos utilizados no desenvolvimento deste procedimento operacional assim como para documentos que poderão auxiliar o interessado a obter conhecimentos mais aprofundados sobre segurança cibernética de produtos, metodologias de desenvolvimento seguro de produtos e procedimentos de auditoria:

Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020;

Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações, aprovado pelo Ato nº 77, de 5 de janeiro de 2021;

Política de Segurança Cibernética de fornecedores de produtos e equipamentos de telecomunicações para as prestadoras, aprovada por meio do Despacho Decisório Nº 16/2023/COQL/SCO e seu Anexo.

ISO/IEC 27001, Information technology - Security techniques - Information security management systems – Requirements;

ISO/IEC 27002, Information technology - Security techniques - Code of practice for information security controls;

ISO/IEC 27034:2011 — Information technology — Security techniques — Application security;

ISO/IEC 27036-3, Information technology - Security techniques - Information security for supplier relationships - Part 3: Guidelines for information and communication technology supply chain security;

ISO/IEC 15408-1, Information technology – Security techniques – Evaluation criteria for IT security – Part 1: Introduction and general model

ISO/IEC 15408-2, Information technology – Security techniques – Evaluation criteria for IT security – Part 2: Security functional components

ISO/IEC 15408-3, Information technology – Security techniques – Evaluation criteria for IT security – Part 3: Security assurance componentes

ISO/IEC 29147, Information technology - Security techniques - Vulnerability disclosure;

ISO/IEC 30111, Information technology - Security techniques - Vulnerability handling processes;

ISO/IEC 28000, Security and resilience — Security management systems — Requirements;

IEC 62443-4-1 - SECURITY FOR INDUSTRIAL AUTOMATION AND CONTROL SYSTEMS – Part 4-1: Secure product development lifecycle requirements;

OWASP Comprehensive, Lightweight Application Security Process (CLASP);

GSMA NESAS - Network Equipment Security Assurance Scheme;

FIRST Common Vulnerability Scoring System SIG (CVSS);

CISA - Security by design - Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure-by-Design Software.

 

ENTIDADES HABILITADAS PARA REALIZAÇÃO DAS AUDITORIAS

As auditorias para verificação da implementação da PSC pelo Fornecedor poderão ser conduzidas por:

Organismos de Certificação Designados (OCD), habilitados pela Anatel para esta atividade;

Entidades independentes que possuam acreditação concedida por entidade membro do IAF (International Accreditation Forum). O escopo desta acreditação deve contemplar os itens da Política de Segurança Cibernética; ou

Entidades integrantes de esquemas de certificação desenvolvidos por fóruns de normatização técnica internacionalmente reconhecidos e que contemplem os itens da Política de Segurança Cibernética.

Para a obtenção da habilitação pela Anatel para realização das auditorias, o OCD deverá comprovar, perante à Agência, que dispõe de auditor habilitado nas condições estabelecidas no Procedimento operacional para reconhecimento de profissional como especialista na avaliação da conformidade de produtos para telecomunicações ou em outro procedimento operacional específico que venha a ser publicado pela Anatel, devendo este auditor:

ser reconhecido, pela Anatel, como especialista de segurança cibernética para o referido OCD; e

ser reconhecido, pela Anatel, como especialista para avaliação de fornecedores, com qualificação para realização de auditorias externas do Sistema de Gestão da Qualidade.

 

ORIENTAÇÕES GERAIS

Para fins de comprovação da implementação da PSC, o Fornecedor deverá apresentar à prestadora atestado ou conjunto de atestados de auditorias emitidos por entidades habilitadas que abranjam a totalidade dos itens da PSC aprovada pelo GT-Ciber.

O Fornecedor será o responsável por contratar a entidade habilitada para a realização da auditoria, podendo transferir ou compartilhar tal responsabilidade com o Fabricante do produto.

O escopo da auditoria deverá ser claro e previamente acordado entre entidades auditora e auditada, de forma a haver alinhamento de expectativas sobre o processo a ser desenvolvido.

O Fornecedor ou o Fabricante deverão prover todas as evidências necessárias solicitadas pela entidade auditora para possibilitar a verificação de atendimento aos itens da PSC e consequente emissão do atestado de conformidade.

A entidade auditora poderá solicitar a apresentação de evidências ou informações adicionais àquelas já fornecidas inicialmente pela entidade auditada, com a finalidade de comprovação de atendimento aos itens da PSC.

O Fornecedor ou o Fabricante poderão restringir o acesso do auditor a informações classificadas como segredo industrial ou comercial.

As evidências e os documentos apresentados à entidade auditora devem estar em língua portuguesa, inglesa ou espanhola e, se redigidos em língua diferente das mencionadas, devem ser apresentados acompanhados de tradução juramentada para o português.

O procedimento de auditoria deve primar pelo sigilo das informações.

O procedimento de auditoria deverá resultar em relatório(s) que descreva(m) a avaliação de cada item da política do Fornecedor e sua conformidade ou não.

A entidade responsável pela condução da auditoria emitirá um atestado de conformidade em favor do Fornecedor somente se o procedimento de auditoria evidenciar a aderência do Fornecedor à PSC.

O atestado de conformidade deverá conter informações que sejam suficientes para identificar o Fabricante do produto, seu representante no Brasil, se for o caso, e as linhas de produtos abrangidas pela avaliação realizada na auditoria.

O atestado de conformidade poderá indicar abrangência a todos os produtos ou linhas de produtos do Fabricante, desde que verificada esta condição durante o procedimento de auditoria.

A inclusão de novos modelos de produtos dentro das linhas de produtos já avaliadas no procedimento de auditoria não demandará execução de auditorias adicionais.

 

EVIDÊNCIAS DE AUDITORIA

Para comprovação da implementação da PSC aprovada pelo GT-Ciber, o Fornecedor deverá apresentar à entidade que conduzirá o procedimento de auditoria:

cópia de sua Política de Segurança Cibernética; e

as evidências elencadas nos subitens 7.5 a 7.12 deste Procedimento.

A avaliação do auditor sobre os itens 7.5 a 7.7 e 7.11 a 7.12 refere-se ao processo de manufatura do Fabricante e seus controles internos, devendo ser realizada sobre documentação ou evidências emitidas pelo Fabricante.

A avaliação sobre os demais itens poderá ser realizada sobre documentação ou evidências relacionadas aos processos do Fabricante ou de seu representante.

O processo de avaliação da auditoria frente às evidências apresentadas deverá considerar como referência as características dos equipamentos, seus cenários de utilização e as ameaças a que estão submetidos, a fim de determinar se as informações apresentadas comprovam atendimento aos itens da PSC.

A auditoria deverá considerar que, para produtos mais antigos, poderá não ser possível ao Fabricante redesenhar totalmente as etapas de concepção, projeto e desenvolvimento do produto. Contudo, ainda é possível para o Fabricante reduzir as vulnerabilidades do equipamento por meio adequações de processos.

No caso da impossibilidade de redesenhar as etapas de concepção, projeto e desenvolvimento do produto antigo, deverão constar no relatório de auditoria as justificativas para tal, além da descrição das adequações de processos adotadas pelo fabricante no sentido da redução de vulnerabilidades no produto.

Security by design

Quando aplicável ao produto homologado, o Fornecedor deve apresentar o resultado da avaliação de segurança cibernética estabelecida nos Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações, na forma de Declaração de Atendimento aos Requisitos de Segurança Cibernética ou de Certificado de Conformidade Técnica, submetidos à Anatel no processo de homologação dos produtos, contendo indicação de que os equipamentos a serem fornecidos às prestadoras: 

foram desenvolvidos com observância ao princípio de security by design; e

estão desprovidos de qualquer ferramenta de teste ou backdoor utilizados nos processos de desenvolvimento do produto e desnecessários à sua operação usual.

O Fornecedor deve demonstrar, de maneira geral, as atividades realizadas pelo Fabricante nas fases de: concepção, projeto, desenvolvimento e fabricação do produto; focadas na mitigação de vulnerabilidades e no incremento da segurança cibernética dos equipamentos e de seus usuários, podendo apresentar as seguintes informações:

análises de risco sobre os produtos e suas aplicações, seu uso pretendido e possíveis desvios no uso pretendido, vulnerabilidades resultantes dos cenários de uso, como os equipamentos podem ser objeto de invasão por agentes mal-intencionados e características do hardware e do software dos equipamentos relevantes para sua segurança cibernética;

normas, padrões ou recomendações adotados integralmente ou parcialmente em seus processos de desenvolvimento de produtos;

as práticas de desenvolvimento seguro de software e hardware adotadas, podendo abranger, entre outras:

emprego de linguagens de programação com gerenciamento automático de memória (memory safe programming languages);

o uso de implementações que não tenham vulnerabilidades de segurança já identificadas;

uso de ferramentas automatizadas para análise de códigos (por exemplo, ferramentas de análise estática ou dinâmica de códigos);

aplicação de técnicas de revisão de códigos, como revisão sistemática e revisão por pares;

emprego de métodos para validação de entrada de dados; e

metodologias empregadas para tratamento de erros e vulnerabilidades identificados durante o desenvolvimento do produto.

formas de proteção e controle do software durante o processo de desenvolvimento do produto, podendo abranger, entre outras:

uso de repositório de código protegido;

controle de versionamento; e

emprego de assinatura do código.

formas de verificação da segurança de softwares de terceiros utilizados nos equipamentos, podendo abranger, entre outras:

investigação quanto à presença de vulnerabilidades conhecidas não tratadas;

avaliação e testes do código fonte; e

teste de integração.

detalhamento do ciclo de testes para identificar vulnerabilidades no produto durante as fases de concepção, projeto e desenvolvimento e as ações realizadas para a correção das falhas identificadas; e

formas de verificação da integridade do software e do hardware do equipamento, podendo abranger, entre outras:

validação de assinatura de código;

comparação de hash criptográfico; e

raiz de confiança de hardware.

Na avaliação das evidências de auditoria, a entidade auditora deve considerar que não existe solução única ou padronizada para implementação dos princípios de Security by Design pelo Fabricante.

A adoção de práticas seguras para desenvolvimento de produtos deve considerar a criticidade e complexidade dos cenários de aplicação dos produtos e suas características técnicas, além dos impactos de sua implementação para a disponibilização de novos produtos e tecnologias no mercado.

Durante o processo de auditoria, deve ser verificada a adoção, por parte do Fabricante, de medidas alinhadas à diretriz de incentivo à adoção de conceitos de Security by Design no desenvolvimento de produtos e serviços no setor de telecomunicações contida no Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações.

 

Security by default

Quando aplicável ao produto homologado, o Fornecedor deve apresentar o resultado da avaliação de segurança cibernética estabelecida nos Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações, na forma de Declaração de Atendimento aos Requisitos de Segurança Cibernética ou de Certificado de Conformidade Técnica, submetidos à Anatel no processo de homologação dos produtos, contendo indicação de que os equipamentos a serem fornecidos às prestadoras:

protegem senhas, chaves de acesso e credenciais armazenadas ou transmitidas utilizando métodos adequados de criptografia ou hashing.

por padrão de fábrica, são configurados de forma restritiva ao invés de forma permissiva. A seleção de parâmetros para as configurações iniciais de fábrica deve primar por opções nativamente seguras, alinhadas aos princípios de segurança e privacidade.

estão desprovidos de qualquer forma de comunicação não documentada, incluindo aquelas para envio de informações de perfil de uso do equipamento para fabricantes ou para terceiros.

são fornecidos com serviços de comunicação de dados (serviço associado a uma porta/port) não usualmente utilizados desabilitados, reduzindo sua superfície de ataque.

facultam ao usuário a possibilidade de desabilitar funcionalidades e serviços de comunicação não essenciais à operação ou ao gerenciamento do equipamento.

Caso algumas das funcionalidades listadas no item 7.6.1 não estejam implementadas, em função das características do equipamento e de sua aplicação, o Fornecedor deve apresentar à auditoria as justificativas para tanto.

O Fabricante deverá apresentar evidências de medidas adotadas focadas na disponibilização ao mercado de produtos cuja configuração padrão de fábrica prime pela segurança dos usuários e dos serviços, com funcionalidades não essenciais ao funcionamento inicial dos produtos desabilitadas, reduzindo sua superfície de ataque.

 

Privacy by design

Quando aplicável ao produto homologado, o Fornecedor deve apresentar o resultado da avaliação de segurança cibernética estabelecida nos Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações, na forma de Declaração de Atendimento aos Requisitos de Segurança Cibernética ou de Certificado de Conformidade Técnica, submetidos à Anatel no processo de homologação dos produtos, contendo indicação de que os equipamentos a serem fornecidos às prestadoras:

possibilitam a utilização de métodos adequados de criptografia para a transmissão de dados sensíveis, incluindo informações pessoais; 

possibilitam a utilização de métodos adequados de criptografia para o armazenamento de dados sensíveis, incluindo informações pessoais; e

permitem que os usuários deletem facilmente seus dados pessoais e sensíveis armazenados, possibilitando o descarte ou a substituição do equipamento sem riscos de exposição de informações pessoais.

Caso algumas das funcionalidades listadas no item 7.7.1 não estejam implementadas, em função das características do equipamento e de sua aplicação, o Fornecedor deve apresentar à auditoria as justificativas para tanto.

O fabricante deverá apresentar evidências de medidas focadas na garantia da confidencialidade, integridade e autenticidade dos dados pessoais processados, transmitidos ou armazenados pelos produtos produzidos.

Durante o processo de auditoria, deve ser verificada a adoção, por parte do Fabricante, de medidas alinhadas à diretriz de incentivo à adoção de conceitos de Privacy by Design no desenvolvimento de produtos e serviços no setor de telecomunicações contida no Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações.

 

Política clara de suporte do fornecedor ao produto

O Fornecedor deve apresentar documentação que demonstre:

a política de suporte ao produto elaborada pelo Fornecedor e como ela é aplicada, especialmente em relação à disponibilização de atualizações de software/firmware para correção de vulnerabilidades de segurança;

condições específicas, se houver, conforme modelos, linhas ou categorias de produtos; e

divulgação da política por meio de página na Internet.

 

Atualizações de segurança

O Fornecedor deve apresentar documentação que demonstre:

o prazo e as situações para as quais serão providas atualizações de segurança para os equipamentos;

garantia do provimento de atualizações de segurança por, no mínimo, 2 (dois) anos após o lançamento do produto ou enquanto o equipamento estiver sendo distribuído ao mercado consumidor, sendo aplicável a opção que mais se estender;

as atividades periódicas realizadas pelo fornecedor ou fabricante para identificar e mitigar vulnerabilidades ao longo do ciclo de vida de seus produtos;

quais os mecanismos adotados para distribuir, de forma segura, ágil e sem custos aos usuários, as atualizações para correção ou mitigação de vulnerabilidades identificadas em seus produtos; e

que as atualizações são distribuídas acompanhadas de informações relevantes aos consumidores acerca das alterações efetuadas e as ações que devem ser realizadas para sua implementação.

 

Canal para notificações de vulnerabilidades

O Fornecedor deve apresentar documentação que demonstre a existência de um canal de comunicação que possibilite aos clientes, usuários finais e terceiros notificarem o Fornecedor ou Fabricante as vulnerabilidades de segurança identificadas nos produtos, devento este canal de comunicação:

ser exclusivo para a notificação de vulnerabilidades; e

implementar comunicações seguras como, por exemplo, formulário web com uso de HTTPS (Hyper Text Transfer Protocol Secure), e-mail criptografado com PGP (Pretty Good Privacy) ou outro esquema de chave pública (a chave pública associada ao endereço de e-mail deve ser disponibilizada para que os interessados possam, se assim desejarem, enviar mensagens cifradas).

 

Processo de divulgação coordenada de vulnerabilidades (CVD)

O Fornecedor deve apresentar evidências de que implementa um processo de Divulgação Coordenada de Vulnerabilidades, provendo aos clientes, usuários finais e terceiros as seguintes informações:

referências normativas, boas práticas e recomendações internacionalmente adotadas e reconhecidas sobre as quais se baseia o processo CVD implementado pelo fornecedor.

publicação da Política de Divulgação Coordenada de Vulnerabilidade do fornecedor em sua página na Internet.

os objetivos do fornecedor, suas responsabilidades, bem como o que ele espera de outras partes interessadas.

como deseja ser notificado sobre as vulnerabilidades encontradas em seus produtos (ex.: e-mail, formulário em página na Internet) e os respectivos contatos (ex.: endereço de e-mail, URL de formulário web, etc.).

detalhamento das opções de comunicação segura (ex.: chave PGP para e-mail, formulário seguro via HTTPS, etc.).

quais informações o notificador deve incluir na notificação.

o que o notificador deve esperar após reportar uma vulnerabilidade como, por exemplo: reconhecimento do recebimento da notificação, reconhecimento da vulnerabilidade, atualizações na evolução do caso e seus respectivos prazos.

orientação sobre o que está dentro e fora do escopo do processo de notificação, suas limitações, etc.

 

Canal de suporte para informar vulnerabilidades identificadas e medidas de mitigação

O Fornecedor deve apresentar evidências de que disponibiliza canal público de suporte, por meio de página na internet, para:

informar sobre novas vulnerabilidades identificadas em seus produtos, medidas de mitigação e correções de segurança associadas, contendo, no mínimo, as seguintes informações:

Identificador: identificador exclusivo para cada comunicado.

Título: referência genérica e sucinta referente ao(s) produto(s) afetado(s) e à vulnerabilidade corrigida.

Visão geral: breve resumo de alto nível sobre a vulnerabilidade para que os usuários possam entender os pontos principais e determinar rapidamente se o aviso é aplicável ao seu ambiente.

Descrição: descrição com mais informações que permitam aos usuários entenderem como são afetados e avaliarem sua exposição. Não deve fornecer detalhes a ponto de permitir a exploração da vulnerabilidade.

Produtos afetados: uma lista de produtos afetados conhecidos e suas versões.

Impacto: informações que descrevam o impacto da vulnerabilidade (por exemplo, negação de serviço, execução de códigos maliciosos) e a criticidade da vulnerabilidade por meio de sistema de pontuação de severidade reconhecido internacionalmente (ex.: Common Vulnerability Scoring System - CVSS).

Solução (ou Mitigação): informações sobre a ação que os usuários devem realizar para corrigir ou remediar a vulnerabilidade e seu impacto.

Créditos: reconhecimento ao descobridor (notificador) por relatar a vulnerabilidade e/ou outros envolvidos no processo de solução.

Histórico de Revisão: versão e data da publicação original. Pode conter um histórico de modificações se o boletim for atualizado posteriormente.

manter histórico de vulnerabilidades identificadas, medidas de mitigação adotadas e correções de segurança implementadas;

permitir acesso a correções de segurança e/ou novas versões de software e firmware para seus produtos; e

fornecer manuais e outros materiais com orientações relativas à configuração, atualização e uso seguro dos equipamentos.

 

DIPOSIÇÕES FINAIS

Os casos omissos neste Procedimento serão resolvidos administrativamente pelas Superintendências competentes da Anatel, sendo conferida a oportunidade de manifestação pelas partes envolvidas.


Referência: Processo nº 53500.096265/2023-25 SEI nº 12921340