Boletim de Serviço Eletrônico em 30/10/2024

  

  

AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES

  

Ato nº 14884, de 16 de outubro de 2024

O SUPERINTENDENTE DE OUTORGA E RECURSOS À PRESTAÇÃO DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das atribuições que lhe foram conferidas pelo art. 156, VI do Regimento Interno da Anatel, aprovado pela Resolução nº 612, de 29 de abril de 2013, pelo art. 22, §2º do Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações, instituído pela Resolução nº 715, de 23 de outubro de 2019; e

CONSIDERANDO que os Procedimentos Operacionais dispõem sobre a condução do processo de avaliação da conformidade, abordando, entre outros, a atuação dos agentes no processo, e os procedimentos relativos a cada modelo de avaliação da conformidade, bem como regras, condições, requisitos procedimentais a serem seguidos no processo de Avaliação da Conformidade, observadas as regras gerais estabelecidas no Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações; e

CONSIDERANDO o constante dos autos do Processo nº 53500.081824/2023-01.

RESOLVE:

Art. 1º Aprovar, na forma do anexo a este Ato, o procedimento operacional para habilitação de entidades especializadas em avaliação de segurança cibernética em produtos para telecomunicações.

Art. 2º Este Ato entra em vigor na data de sua publicação no Boletim de Serviço Eletrônico da Anatel.


logotipo

Documento assinado eletronicamente por Vinicius Oliveira Caram Guimarães, Superintendente de Outorga e Recursos à Prestação, em 17/10/2024, às 17:52, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.


QRCode Assinatura

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 12747383 e o código CRC 53843517.



ANEXO

PROCEDIMENTO OPERACIONAL PARA HABILITAÇÃO DE ENTIDADES ESPECIALIZADAS EM AVALIAÇÃO DE SEGURANÇA CIBERNÉTICA EM PRODUTOS PARA TELECOMUNICAÇÕES

 

OBJETIVO

Este Procedimento estabelece as condições e os requisitos mínimos necessários para a habilitação pela Anatel de entidades especializadas em avaliação de segurança cibernética em hardware e software de produtos para telecomunicações.

 

CAMPO DE APLICAÇÃO

Este procedimento se aplica às entidades especializadas em avaliação de segurança cibernética em hardware e software de produtos para telecomunicações ou de produtos objeto de fiscalização pela Anatel, sujeitos ou não à homologação pela Agência.

 

REFERÊNCIAS NORMATIVAS

Para fins deste Procedimento, são consideradas as seguintes referências normativas:

Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações, aprovado pela Resolução nº 715, de 23 de outubro de 2019;

ABNT NBR ISO 9001 - Sistema de Gestão da Qualidade - Requisitos; e

ABNT NBR ISO 27001 - Segurança da informação, segurança cibernética e proteção à privacidade — Sistemas de gestão da segurança da informação — Requisitos.

 

DEFINIÇÕES

Para efeitos deste Procedimento, são consideradas as definições do Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações e dos demais Procedimentos Operacionais relacionados à avaliação da conformidade de produtos publicados pela Anatel, além da seguinte:

Entidade especializada em avaliação de segurança cibernética em hardware e software de produtos para telecomunicações: pessoa jurídica de direito público ou privado com especialização técnica alinhada aos requisitos e ao campo de aplicação estabelecidos neste documento, para execução de testes de avaliação da segurança cibernética no hardware ou no software de produtos para telecomunicações ou de produtos objeto de fiscalização pela Anatel, sujeitos ou não à homologação pela Agência, com objetivo de identificar falhas ou vulnerabilidades de qualquer natureza que coloquem em risco a segurança digital ou física dos equipamentos ou de seus usuários, não se confundindo com outras entidades habilitadas, como laboratórios de ensaios para certificação de produtos, que possuem critérios para sua habilitação baseados em procedimentos operacionais específicos.

 

CRITÉRIOS GERAIS

A habilitação de entidade especializada em avaliação de segurança cibernética em hardware e software de produtos para telecomunicações ou de produtos objeto de fiscalização, doravante denominada como habilitação, poderá ser concedida apenas a pessoas jurídicas de direito público ou privado, legalmente estabelecidas no Brasil, que deverão comprovar o atendimento à íntegra dos requisitos estabelecidos neste procedimento.

O processo de habilitação será conduzido pela Superintendência de Outorga e Recursos à Prestação da Anatel ou por entidade por ela designada para este fim e contemplará avaliação documental e, se necessário, auditorias presenciais nas instalações da entidade.

Auditorias remotas poderão ser realizadas em substituição às atividades presenciais, a critério da Anatel.

A habilitação será concedida por meio de Ato expedido pela Superintendência de Outorga e Recursos à Prestação e terá prazo de validade de 2 (dois) anos a partir da data de sua publicação no Boletim de Serviço Eletrônico da Anatel.

A habilitação poderá ser renovada, desde que a entidade manifeste seu interesse em no mínimo 3 (três) meses antes do vencimento do prazo da habilitação em vigência e comprove a manutenção do atendimento dos requisitos estabelecidos neste Procedimento.

A habilitação extinguir-se-á pelo advento de seu termo final ou por quaisquer das seguintes situações:

a pedido da entidade habilitada;

extinção, falência, fusão, cisão ou aquisição da entidade habilitada;

quebra de segurança nas informações sigilosas manipuladas pela entidade habilitada; ou

se a entidade habilitada deixar de cumprir quaisquer dos requisitos estabelecidos na regulamentação da Anatel a ela aplicáveis.

 

REQUERIMENTO DE HABILITAÇÃO

O pedido de habilitação deve ser submetido, por meio do sistema eletrônico próprio da Anatel, por pessoa com poderes para representar a entidade, e deve estar acompanhado da seguinte documentação:

Ato constitutivo, estatuto ou contrato social em vigor, devidamente registrado, para o caso de sociedades comerciais, e, para o caso de sociedades por ações, documentos de eleição de seus administradores;

Organograma atualizado ou documento que identifique os reais controladores da empresa;

Documentação que comprove capacidade técnica e administrativa, observados os requisitos dispostos no item 7 deste Procedimento; e

Termo de Compromisso indicando que a entidade:

respeitará os princípios e regras estabelecidos no Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações;

desempenhará as atividades propostas dentro dos padrões de idoneidade, imparcialidade, impessoalidade, rigor técnico e procedimental que ensejaram a habilitação;

cumprirá suas obrigações regulamentares;

encaminhará à Agência, quando solicitado, as informações que esta considerar necessárias dentro dos prazos definidos;

atenderá às convocações da Agência para participação de comitês e reuniões técnicas, objetivando a melhoria contínua do processo de avaliação da conformidade; e

manterá atualizados junto à Agência seus dados cadastrais, tais como razão social, endereço, endereço eletrônico e telefones, responsáveis técnicos e outros dados requeridos na solicitação da habilitação.

A entidade que, a qualquer tempo, comprovadamente não atender às condições descritas no Termo de Compromisso estará sujeita à perda da habilitação para avaliação de segurança cibernética em hardware e software de produtos para telecomunicações ou de produtos objeto de fiscalização.

 

COMPROVAÇÃO DE CAPACIDADE TÉCNICA E ADMINISTRATIVA

Capacidade de entrega

A capacidade de entrega será comprovada mediante:

apresentação de dois atestados expedidos há no máximo um ano por pessoas jurídicas de direito público ou privado que comprovem a capacidade de entrega da entidade com relação a testes de segurança cibernética em sistemas de tecnologia da informação ou em hardware e/ou firmware de equipamentos eletrônicos;

comprovação de que a entidade possui as certificações ISO-9001 e ISO-27001 e que realiza auditorias internas periódicas;

comprovação de que a entidade possui ao menos 5 (cinco) anos de experiência atuando no mercado de segurança cibernética; e

comprovação de que a entidade possui uma equipe técnica com ao menos 10 (dez) profissionais de segurança cibernética.

 

Habilitação técnica da equipe

A habilitação técnica da equipe será comprovada mediante:

comprovação de que a entidade possui ao menos 2 (dois) profissionais especialistas com no mínimo 5 (cinco) anos de experiência em atividades técnicas relacionadas à segurança cibernética dedicados à realização de testes de segurança cibernética em sistemas de tecnologia da informação ou em hardware e/ou firmware de equipamentos eletrônicos;

comprovação de que a entidade possui ao menos 2 (dois) profissionais com, no mínimo, pós-graduação lato sensu, com um mínimo de 360 horas ou stricto sensu, em áreas relacionadas à segurança cibernética; e

comprovação de que a entidade possui ao menos 2 (dois) profissionais que, em conjunto, possuam duas ou mais certificações vigentes dentre as listadas a seguir ou outras comprovadamente equivalentes a estas. No caso de outras certificações, caberá ao interessado apresentar para análise da Anatel as evidências que comprovem a equivalência entre as certificações.

OSCP - Offensive Security Certified Professional;

CompTIA PenTest+;

CEH - Certified Ethical Hacker;

DCPT - Desec Certified Penetration Tester.

comprovação de que a entidade possui processos e/ou programas internos que visem garantir a manutenção e o compartilhamento do conhecimento, bem como o aprimoramento contínuo da equipe técnica. 

 

Instalações

A entidade deve comprovar que possui, em território brasileiro, laboratório com acesso restrito contendo equipamentos adequados para as avaliações técnicas às quais possui especialização, em um espaço físico adequado para a acomodação de pessoal e de equipamentos.

O laboratório deve dispor de controle de acesso físico, garantindo o adequado isolamento do ambiente de testes do restante de sua infraestrutura.

 

Governança

A entidade deve comprovar que emprega políticas e processos que garantem a proteção de dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD), e a proteção de segredos comerciais e industriais, bem como de quaisquer dados que não sejam públicos eventualmente tratados durante a execução de suas atividades. Dentre essas medidas, pode-se citar as seguintes políticas e/ou processos: 

Política de classificação da informação;

Política de controle de acesso lógico;

Política de controle de uso de máquinas de fotografia, de filmagem, de gravação de sons ou similares em áreas restritas e laboratórios;

Política de controles criptográficos;

Política de segurança nas comunicações;

Política de retenção e descarte seguro das informações.

 

DISPOSIÇÕES FINAIS

Os casos omissos neste procedimento serão resolvidos administrativamente pela Gerência competente da ANATEL com base na regulamentação nacional vigente e naquela pertinente à avaliação da conformidade de produtos para telecomunicações.


Referência: Processo nº 53500.081824/2023-01 SEI nº 12747383