SEI/ANATEL - 6909882 - Resolução Interna

O CONSELHO DIRETOR DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das atribuições que lhe foram conferidas pelo art. 133, inciso XXII, do Regimento Interno da Agência, aprovado pela Resolução nº 612, de 29 de abril de 2013, e alterações posteriores,

CONSIDERANDO a Instrução Normativa GSI/PR nº 1 do Gabinete de Segurança Institucional da Presidência da República (GSIPR), de 27 de maio de 2020, e suas respectivas Normas Complementares, que disciplinam a gestão de segurança da informação e comunicações no âmbito da Administração Pública Federal;

CONSIDERANDO a relevância de aprimorar e sistematizar em política as práticas institucionais de segurança que contribuem para o pleno exercício da Agência;

CONSIDERANDO as boas práticas em segurança preconizadas pelas normas da família ISO 27000;

CONSIDERANDO deliberação tomada por meio do Circuito Deliberativo nº 89, de 18 de maio de 2021;

Art. 1º Aprovar, na forma do Anexo, a Política de Segurança da Informação e Comunicações da Agência Nacional de Telecomunicações (POSIC/Anatel).

Art. 3º Esta Resolução Interna entra em vigor a partir de 1º de junho de 2021, em consonância com o disposto no art. 4º, incisos I e II, do Decreto nº 10.139, de 28 de novembro de 2019.

Documento assinado eletronicamente por Leonardo Euler de Morais, Presidente do Conselho, em 19/05/2021, às 17:56, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 6909882 e o código CRC CE419B80.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES (POSIC/ANATEL)

Art. 1º A Política de Segurança da Informação e Comunicações da Agência Nacional de Telecomunicações (POSIC/Anatel) tem por finalidade estabelecer diretrizes para a segurança do manuseio, tratamento, recuperação, controle e proteção dos dados, informações e conhecimentos produzidos, armazenados ou transmitidos por qualquer meio, no âmbito da Anatel, observadas as diretrizes estabelecidas pelo poder público quanto à transparência e o acesso às informações públicas.

Parágrafo Único. Todo usuário que tenha acesso aos ativos de informação da Agência está sujeito às diretrizes, às normas e aos procedimentos de segurança tratados por esta Política, sendo, ainda, responsável por garantir a segurança das informações a que tenham acesso.

I - agente responsável: servidor público da Anatel, que se enquadre em qualquer das opções seguintes:

b) incumbido de chefiar e gerenciar a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais;

c) incumbido de chefiar ou gerenciar o processo de Inventário e Mapeamento de Ativos de informação;

III - ameaça: conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou para a organização;

IV - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

V - ativo de informação: os meios de armazenamento, transmissão e processamento da informação, os equipamentos necessários, os sistemas utilizados, os locais onde se encontram esses meios, e também os recursos humanos que a eles têm acesso;

VI - atributos biográficos: dados de pessoa natural relativos aos fatos da sua vida, tais como nome civil ou social, data de nascimento, filiação, naturalidade, nacionalidade, sexo, estado civil, grupo familiar, endereço e vínculos empregatícios;

VII - atributos biométricos: características biológicas e comportamentais mensuráveis da pessoa natural que podem ser coletadas para reconhecimento automatizado, tais como a palma da mão, as digitais dos dedos, a retina ou a íris dos olhos, o formato da face, a voz e a maneira de andar;

VIII - autenticidade: propriedade pela qual se assegura que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, órgão ou entidade;

IX - Autoridade Nacional de Proteção de Dados (ANPD): órgão da Administração Pública Federal responsável por zelar, implementar e fiscalizar o cumprimento da Lei 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados (LGPD) em todo o território nacional;

X - classificação: atribuição, pela autoridade competente, de grau de sigilo a dado, informação, documento, material, área ou instalação;

XI - Comissão de Segurança da Informação e Comunicações da Anatel (CSIC/Anatel): grupo de servidores com a responsabilidade de assessorar a implementação das ações de segurança da informação e comunicações no âmbito do Anatel;

XII - confidencialidade: propriedade pela qual se assegura que a informação não esteja disponível ou não seja revelada a pessoa, a sistema, a órgão ou a entidade não autorizados nem credenciados;

XIII - conhecimento: soma da experiência das pessoas com as informações adquiridas ao longo do tempo, podendo ser tácito (cognitivo) ou explícito (formalizado);

XIV - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

XV - controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso ao uso de recursos físicos ou computacionais e, via de regra, requer procedimentos de autenticação;

XVI - criticidade: grau de importância de um determinado ativo institucional para a continuidade do negócio da instituição;

XVII - custodiante: aquele que, de alguma forma, total ou parcialmente, zela pelo armazenamento, operação, administração e preservação de um sistema estruturante - ou dos ativos de informação que compõem o sistema de informação - que não lhe pertence, mas que está sob sua custódia;

XVIII - custodiante da informação: qualquer indivíduo ou estrutura de órgão ou entidade da Administração Pública Federal, direta e indireta, que tenha responsabilidade formal de proteger a informação e aplicar os níveis de controles de segurança em conformidade com as exigências de segurança da informação e comunicações (SIC) comunicadas pelo proprietário da informação;

XIX - dado: qualquer elemento identificado em sua forma bruta, que, em determinado contexto, não conduz, por si só à compreensão de determinado fato ou situação;

XX - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

XXI - dado de crianças e adolescentes: dado relacionado a criança de até 12 anos de idade incompletos e adolescente, aquela entre 12 e 18 anos;

XXII - dado pessoal: dado relacionado a pessoa natural identificada ou identificável;

XXIII - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

XXIV - direito de acesso: privilégio relacionado a um cargo ou pessoa para ter acesso a um determinado ativo de informação;

XXV - disponibilidade: propriedade pela qual se assegura que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados;

XXVI - dispositivos móveis: equipamentos portáteis dotados de capacidade computacional ou dispositivos removíveis de memória para armazenamento, entre os quais se incluem, não limitando a estes: notebooks, netbooks, smartphones, tablets, pendrives, USBdrives, HD externo, e cartões de memória;

XXVII - documento: unidade de registro de informações, qualquer que seja o suporte ou formato;

XXVIII - encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

XXIX - equipe de tratamento e resposta a incidentes em redes computacionais da Anatel (ETIR/Anatel): grupo de servidores com a responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança em rede de computadores da Agência;

XXX - evento de segurança da informação: ocorrência identificada a partir de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou outra que possa ser relevante em termos de segurança da informação;

XXXI - gestão de continuidade do negócio: processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio, caso estas ameaças se concretizem, que fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das partes interessadas, a reputação e a marca da organização, e suas atividades de valor agregado;

XXXII - gestão de continuidade dos serviços de Tecnologia da Informação: processo de gestão de continuidade de serviços de Tecnologia da Informação (TI) que prepara uma organização para potenciais ocorrências de incidentes de segurança da informação ou de tecnologia da informação que possam causar indisponibilidade nos serviços de TI que suportam os seus processos críticos.

XXXIII - gestor da informação: servidor responsável pela administração das informações geridas nos processos de trabalho de sua responsabilidade;

XXXIV - gestor de segurança da informação e comunicações: é o responsável pelas ações de segurança da informação e comunicações no âmbito da Anatel;

XXXV - incidente de segurança da informação: evento de segurança da informação, indesejado ou inesperado, que comprometa ou ameace a integridade, a autenticidade, a confidencialidade ou a disponibilidade de qualquer ativo de informação da Anatel;

XXXVI - informação: dados, processados ou não, que podem ser utilizados para produção e para transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;

XXXVII - informação pessoal: aquela relacionada à pessoa natural identificada ou identificável, relativa à intimidade, vida privada, honra e imagem;

XXXVIII - informação sigilosa: aquela submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado, e aquela abrangida pelas demais hipóteses legais de sigilo;

XXXIX - instrumento de trabalho: recursos empregados no acesso, manuseio, proteção, transmissão e armazenamento dos ativos de informação, tais como, computadores e seus componentes, acessórios, periféricos, redes de comunicação de dados, telefones, sistemas de informação e bancos de dados;

XL - integridade: propriedade pela qual se assegura que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;

XLI - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

XLII - responsabilidade: deveres de um usuário em relação ao ativo de informação ao qual ele tem direito de acesso;

XLIII - privacidade: inviolabilidade do direito a intimidade, a vida privada, a honra e a imagem das pessoas;

XLIV - proteção de dados pessoais: utilização de técnicas para proteção dos dados pessoais em qualquer fase do tratamento do ciclo de vida desses dados, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;

XLV - segurança da informação e comunicações (SIC): conjunto de ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados e das informações, bem como a proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças ao seu desenvolvimento;

XLVI - tratamento da informação: conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação; e,

XLVII - usuário: pessoa física, seja servidor ou equiparado, empregado ou prestador de serviços, habilitada pela administração para acessar os ativos de informação da Agência, formalizada por meio da assinatura de Termo de Responsabilidade, de acordo com a seguinte classificação:

a) externo: qualquer pessoa natural ou jurídica que tenha acesso, de forma autorizada, aos ativos de informação produzidos ou custodiados pela Anatel e que não seja caracterizada como usuário interno;

b) interno: qualquer pessoa que, mesmo transitoriamente ou sem remuneração, exerça na Anatel cargo, emprego, função pública, ou que trabalhe para empresa prestadora de serviço contratada ou conveniada para a execução de atividades da Agência.

Art. 3º Na aplicação e na interpretação das regras estabelecidas na POSIC/Anatel, devem ser observados os seguintes instrumentos legais e normativos, sem prejuízo do disposto em normas supervenientes que venham a regular a matéria:

I - Lei nº 9.472, de 16 de julho de 1997 - Lei Geral de Telecomunicações (LGT), que dispõe sobre a organização dos serviços de telecomunicações, a criação e funcionamento de um órgão regulador e outros aspectos institucionais, nos termos da Emenda Constitucional nº 8, de 1995;

II - Decreto nº 2.338, de 7 de outubro de 1997, que aprova o Regulamento da Agência Nacional de Telecomunicações e dá outras providências;

III - Resolução nº 612, de 29 de abril de 2013 e alterações posteriores, que aprova o Regimento Interno da Agência Nacional de Telecomunicações;

IV - Lei nº 8.112, de 11 de dezembro de 1990, que dispõe sobre o regime jurídico dos servidores públicos civis da União, das autarquias e das fundações públicas federais;

V - Lei nº 8.159, de 8 de janeiro de 1991, que dispõe sobre a Política Nacional de Arquivos Públicos e Privados e dá outras providências;

VI - Lei nº 12.527, de 18 de novembro de 2011, que regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 1991; e dá outras providências;

VII - Decreto nº 7.724, de 16 de maio de 2012, que regulamenta a Lei nº 12.527, de 18 de novembro de 2011;

VIII - Decreto nº 7.845, de 14 de novembro de 2012, que regulamenta procedimentos para credenciamento de segurança e tratamento de informação classificada em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento;

IX - Decreto nº 9.637, de 26 de dezembro de 2018, que Institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação, e altera o Decreto nº 2.295, de 4 de agosto de 1997, que regulamenta o disposto no art. 24, caput , inciso IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação nos casos que possam comprometer a segurança nacional;

X - Lei nº 9.983, de 14 de julho de 2000, que altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal), e dá outras providências;

XII - Decreto nº 1.171, de 22 de junho de 1994, que aprova o Código de Ética Profissional do Servidor Público Civil do Poder Executivo Federal;

XIII - Decreto nº 5.482, de 30 de junho de 2005, que dispõe sobre a divulgação de dados e informações pelos órgãos e entidades da Administração Pública Federal, por meio da Rede Mundial de Computadores - Internet;

XIV - Portaria Interministerial nº 140, de 16 de março de 2006, que disciplina a divulgação de dados e informações pelos órgãos e entidades da Administração Pública Federal, por meio da rede mundial de computadores - internet e dá outras providências;

XV - Portaria nº 221, de 4 de março de 2015, que dispõe sobre a instituição da Comissão de Segurança da Informação e Comunicações (CSIC/Anatel) e da Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais da Anatel (ETIR/Anatel);

XVI - Portaria Interministerial nº 141, de 2 de maio de 2014, dos Ministérios do Planejamento, Orçamento e Gestão (MPOG), das Comunicações (MC) e da Defesa (MD), que dispõe sobre as comunicações de dados da Administração Pública Federal direta, autárquica e fundacional;

XVII - Decreto nº 6.029, de 1º de fevereiro de 2007, que institui o Sistema de Gestão da Ética do Poder Executivo Federal, e dá outras providências;

XVIII - Decreto nº 9.573, de2 de novembro de 2018, que aprova a Política Nacional de Segurança de Infraestruturas Críticas;

XIX - Decreto nº 10.222, de 5 de fevereiro de 2020, que aprova a Estratégia Nacional de Segurança Cibernética 2020-2023;

XX - Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020, e suas respectivas Normas Complementares, que disciplinam a gestão de segurança da informação e comunicações no âmbito da Administração Pública Federal;

XXI - Instrução Normativa GSI/PR nº 2, de 5 de fevereiro de 2013, e suas respectivas Normas Complementares, que dispõem sobre o Credenciamento de segurança para o tratamento de informação classificada, em qualquer grau de sigilo, no âmbito do Poder Executivo Federal;

XXII - Instrução Normativa GSI/PR nº 3, de 6 de março de 2013, e suas respectivas Normas Complementares, que dispõem sobre os parâmetros e padrões mínimos dos recursos criptográficos baseados em algoritmos de Estado para criptografia da informação classificada no âmbito do Poder Executivo Federal;

XXIII - Instrução Normativa Conjunta nº 1, de 10 de maio de 2016, do Ministério do Planejamento, Orçamento e Gestão (MPOG) e da Controladoria-Geral da União (CGU), que dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo Federal;

XXIV - Estratégia de Governo Digital da Administração Pública Federal 2020-2, que define os princípios, objetivos e iniciativas da Política de Governo Digital, estabelecida pelo Decreto nº 10.332, de 28 de abril de 2020;

XXVII - Plano Diretor de Tecnologia da Informação e Comunicação da Anatel (PDTIC/Anatel 2021-2022), aprovado por meio da Portaria nº 1.208, de 27 de agosto de 2020; e,

XXVIII - Lei 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD).

I - a legalidade, a impessoalidade, a moralidade, a publicidade, a eficiência, a celeridade, a razoabilidade e a ética na proteção dos ativos de informação;

II - a preservação da disponibilidade, da integridade, da confidencialidade e da autenticidade dos ativos de informação;

III - a busca de melhores práticas e a atualização tecnológica na proteção dos ativos de informação;

IV - a responsabilidade individual na utilização dos ativos de informação; e,

V - a transparência no tratamento das informações institucionais e pessoais, respeitando-se a intimidade, a vida privada, a honra e a imagem das pessoas, bem como as liberdades e garantias individuais.

Art. 5º O Sistema de Gestão da Segurança da Informação e Comunicações da Anatel (SGSIC/Anatel) tem como base o processo de melhoria contínua, denominado Ciclo “PDCA” (Plan-Do-Check-Act) e é composto pelos seguintes processos:

V - inventário, mapeamento de ativos, tratamento e classificação da informação; e,

§ 1º Os processos do SGSIC/Anatel são interdependentes e devem ser estruturados e monitorados de forma a permitir sua melhoria contínua, em conformidade com os normativos estabelecidos para os órgãos e entidades da Administração Pública Federal.

§ 2º Serão elaboradas e/ou mantidas portarias específicas destinadas à implantação e operacionalização das diretrizes previstas nesta política, cuja aprovação competirá ao Presidente da Anatel.

§ 3º Os novos processos relacionados à SIC que vierem a ser estabelecidos, para aplicação em toda a Administração Pública Federal, após a publicação da POSIC/Anatel, deverão seguir, quando de sua implementação no âmbito da Agência, as diretrizes propostas na presente Política.

Art. 6º A gestão da segurança da informação e comunicações alinha-se ao planejamento estratégico e tem como princípios a preservação dos ativos de informação da Anatel quanto aos aspectos de disponibilidade, integridade, confidencialidade, autenticidade e de transparência das informações públicas, independentemente do meio em que se encontrem.

Parágrafo Único. De forma a promover a gestão e a fomentar os aspectos de SIC, a Comissão de Segurança da Informação e Comunicações da Anatel (CSIC/Anatel), órgão colegiado, de natureza consultiva e de caráter permanente, atuará na proposição e condução das diretrizes da POSIC/Anatel, bem como no assessoramento do Presidente e do Conselho Diretor da Agência em matérias correlatas.

Art. 7º O processo de gestão de incidentes de SIC é iterativo, contínuo e tem por objetivo interromper e/ou minimizar os impactos decorrentes dos incidentes de segurança da informação e comunicações na rede computacional da Agência.

§ 1º Todo usuário, ao tomar conhecimento de qualquer incidente ou suspeitar da possibilidade da sua ocorrência ou da existência de alguma vulnerabilidade ou ameaça à SIC da Agência, deve notificar o fato imediatamente à Equipe de Tratamento e Resposta a Incidentes de Segurança da Informação da Anatel (ETIR/Anatel), para que sejam tomadas as providências cabíveis.

§ 2º Em caso de incidentes de SIC envolvendo risco ou dano aos titulares de dados pessoais, a ETIR/Anatel proverá as informações disponíveis ao encarregado para subsidiar a comunicação com a ANPD e com esses titulares.

Art. 8º O processo de gestão de riscos de SIC é iterativo, contínuo e tem por objetivo identificar, analisar, avaliar, dar tratamento adequado, comunicar e monitorar os riscos relacionados às dimensões que integram a segurança da informação.

§ 1º Em suas atividades, a CSIC/Anatel deverá considerar, principalmente, a gestão dos riscos mais relevantes, aos quais os ativos de informação da Anatel estão expostos e a priorização das ações voltadas ao tratamento dos riscos identificados.

§ 2º O processo de gestão de riscos de SIC deverá estar alinhado à política de gestão de riscos corporativos da Agência e às melhores práticas de gestão de riscos de SIC.

§ 3º Os órgãos da Agência são responsáveis pela gestão dos riscos de SIC de suas respectivas áreas.

Art. 9º O processo de gestão de continuidade dos serviços de tecnologia da informação é iterativo, contínuo e tem por objetivo minimizar os impactos nas atividades da Anatel, decorrentes de falhas, desastres ou indisponibilidades significativas em ativos de tecnologia da informação, além de recuperar perdas de ativos de informação a um nível aceitável, por intermédio de ações de prevenção, resposta e recuperação.

§ 1º O plano de continuidade dos serviços de tecnologia da informação deve sempre levar em consideração a estrutura de tecnologia da informação disponível na Agência.

§ 2º O processo de gestão de continuidade de serviços de tecnologia da informação deverá estar alinhado ao processo de gestão de continuidade de negócios da Agência e às melhores práticas de gestão de continuidade de serviços de tecnologia da informação.

§ 3º Os órgãos da Agência são responsáveis pela elaboração e manutenção do plano de continuidade de serviços de tecnologia da informação de suas respectivas áreas.

Art. 10. Os ativos de informação, incluindo dispositivos móveis corporativos e pessoais, quando aplicável, devem ser submetidos ao controle de acesso físico e lógico, com níveis de acesso adequados, com o objetivo de garantir a manutenção das propriedades de disponibilidade, integridade, confidencialidade e autenticidade, conforme disposto nas normas complementares específicas.

§ 1º A interligação de redes, o compartilhamento de ativos de informação e as trocas de informações com outras entidades ficam condicionados a acordos com previsão da manutenção da confidencialidade.

§ 2º As contratações de bens e serviços deverão conter cláusula de confidencialidade que responsabilize a contratada por violações da POSIC/Anatel a que ela ou seus representantes deem causa.

Do Inventário e Mapeamento de Ativos e do Tratamento e Classificação da Informação

Art. 11. Os ativos de informação devem ser inventariados e classificados, por meio de um processo contínuo, de forma a descrever os seus respectivos contêineres, bem como identificar seus responsáveis (proprietários e custodiantes), definir os requisitos de segurança e estabelecer seu respectivo valor para o negócio da Anatel.

Art. 12. As informações de propriedade da Anatel ou por ela custodiadas devem ser utilizadas para os fins a que se destinam e não podem ser apropriadas pelos usuários e custodiantes.

§ 1º O uso de ativos de informação está sujeito ao controle e ao monitoramento da Anatel para garantir a utilização estrita e correta desses recursos, bem como minimizar riscos inerentes às atividades, aos serviços e à imagem da Agência.

§ 2º No estabelecimento da forma do tratamento e da utilização dos dados e informações decorrentes das atividades de monitoramento, devem ser considerados os graus de criticidade e os critérios de confidencialidade.

Art. 13. Na observação à proteção de dados pessoais prevista na legislação vigente, o seu tratamento deverá ser realizado de forma a proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Art. 14. A segurança da informação em recursos humanos tem por objetivo garantir que quaisquer pessoas que tenham acesso aos ativos de informação da Agência entendam suas responsabilidades e atuem em consonância com os preceitos da POSIC/Anatel, para que os riscos inerentes à realização de suas atividades sejam reduzidos.

Art. 15. Devem ser realizadas ações e eventos para divulgação, sensibilização, conscientização e capacitação em SIC direcionados aos usuários internos da rede corporativa da Anatel.

§ 1º As ações de sensibilização, conscientização e capacitação em segurança da informação têm por objetivo:

II - conscientizar sobre a importância e necessidade do estrito cumprimento da POSIC/Anatel;

III - internalizar conceitos e boas práticas de SIC na cultura da Anatel e, consequentemente;

IV - esclarecer sobre as responsabilidades individuais quanto à observância da POSIC/Anatel nas atividades e processos de trabalho; e,

V - minimizar os riscos de SIC inerentes à realização das atividades da Agência.

§ 2º Todos os usuários dos ativos de informação da Anatel devem ter ciência de que o uso das informações e dos sistemas corporativos pode ser monitorado, e que os registros assim obtidos poderão ser utilizados para detecção de violações da POSIC/Anatel e das suas normas de segurança da informação complementares e, conforme o caso, servir como evidência em processos administrativos e/ou legais.

Art. 16. O acesso lógico às soluções de tecnologia da informação da Anatel e o acesso físico às dependências da Anatel, bem como a utilização dos serviços de correio eletrônico, de Internet, de acesso à rede de computadores, de computação em nuvem, de criação e gestão de perfis institucionais em redes sociais no âmbito da Anatel, dentre outros, seguem também as regras gerais definidas em normas complementares específicas e integrantes desta Política.

Art. 17. O cumprimento da POSIC/Anatel, de suas normas complementares e procedimentos será acompanhado pela CSIC/Anatel.

Art. 18. Os descumprimentos ou inobservâncias de quaisquer regras ou diretrizes definidas nessa política, em suas normas complementares e procedimentos são passíveis de sanções administrativas, civis e penais, que poderão cumular-se.

Parágrafo Único. Essas violações serão avaliadas pela CSIC/Anatel, que tomará as medidas cabíveis e dará conhecimento à Corregedoria da Anatel, nos termos do art. 20, VIII.

Art. 19. A estrutura para o SGSIC/Anatel é composta pela CSIC/Anatel, pelo Gestor de Segurança da Informação e Comunicações e pela ETIR/Anatel.

I - assessorar a implementação das ações de segurança da informação e comunicações na Anatel;

IV - propor a elaboração e a revisão de normas e procedimentos inerentes à SIC;

VIII - analisar incidentes de SIC e encaminhar à Corregedoria aqueles passíveis de correição;

IX - elaborar proposta e promover atualização periódica de plano com medidas que garantam a continuidade das atividades da Anatel e o retorno à situação de normalidade em caso de desastre ou falha nos recursos que suportam os processos vitais de negócio da Agência;

XI - requerer informações que considerar necessárias ao acompanhamento das ações de gestão de SIC aos órgãos da Anatel;

XIII - submeter à aprovação, minutas de normativos e propostas de natureza estratégica ou que necessitem de cooperação intersetorial que versem sobre SIC;

XIV - instituir grupos de trabalho para tratar de temas específicos para as ações de SIC;

XV - interagir com os órgãos da Agência ou entidades externas, observadas as competências regimentais, objetivando o pleno atendimento ao objeto desta Política e a execução dos processos de SIC propostos;

XVI - a edição e publicação das demais normas referentes ao seu funcionamento;

XVII - a resolução de conflitos relacionados aos ativos de informações da Agência; e,

XVIII - monitorar mudanças na organização, processos de negócio e recursos de tecnologia da informação e comunicações que possam afetar a SIC da Anatel.

Parágrafo Único. A CSIC/Anatel é presidida pelo Gestor de SIC e sua composição é definida em portaria específica.

Art. 21. Compete ao Gestor de Segurança da Informação e Comunicações da Anatel:

II - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;

III - propor recursos necessários às ações de segurança da informação e comunicações;

V - realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na segurança da informação e comunicações;

VI - manter contato permanente e estreito com o Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República para o trato de assuntos relativos à segurança da informação e comunicações;

VII - propor normas e procedimentos relativos à segurança da informação e comunicações no âmbito da Anatel; e,

VIII - propor procedimentos relativos ao uso de recursos criptográficos, em conformidade com as orientações contidas na legislação vigente.

I - tomar as providências de emergência pertinentes à SIC, imediatamente após detecção ou conhecimento de incidentes de segurança da informação no âmbito da Anatel;

II - tomar todas as ações de segurança necessárias, tais como, acessar e bloquear, temporariamente, sem aviso prévio, os ativos de informação, o acesso individual ou coletivo às soluções de TI, a fim de coletar evidências ou minimizar os riscos à SIC, mediante autorização do Gestor de SIC;

III - analisar os incidentes de SIC e encaminhar relatório à CSIC/Anatel, quando o incidente registrado impactar diretamente nos objetivos estratégicos da Agência; e,

IV - prover as informações disponíveis ao encarregado para subsidiar a comunicação com a ANPD e com os titulares de dados pessoais, quando da ocorrência de incidentes de SIC envolvendo risco ou dano aos titulares desses dados.

Parágrafo Único. O regimento interno e as atribuições dos membros da ETIR/Anatel são definidos em portaria específica aprovada pelo Gestor de SIC.

II - propor à CSIC/Anatel a atualização da POSIC/Anatel, das normas e dos procedimentos de SIC, sempre que houver alteração no ambiente computacional ou atualizações tecnológicas, a fim de promover a melhoria contínua do nível de segurança;

III - apresentar relatórios periódicos do processo de Gestão de Riscos de SIC à CSIC/Anatel;

IV - definir as soluções técnicas necessárias para a implantação e adequação do ambiente da Anatel à POSIC/Anatel e suas normas integrantes; e,

V - garantir a disponibilidade de recursos tecnológicos necessários à implementação das ações de SIC.

Art. 24. São obrigações dos usuários e custodiantes dos ativos de informação:

I - conhecer e cumprir a POSIC/Anatel, bem como os demais instrumentos normativos relacionados, sendo-lhes facultado o direito de propor alterações nesses documentos;

II - proteger as informações, físicas ou eletrônicas, em sua posse contra acessos, modificação, destruição ou divulgação não autorizados;

III - usar os ativos de informação para as finalidades que foram estabelecidas;

IV - não discutir assuntos de trabalho que envolvam informações sigilosas, obtidas em virtude das atividades desempenhadas na Anatel, em ambientes públicos ou em áreas expostas, incluindo a emissão de comentários e opiniões pessoais na mídia e na Internet em nome da Anatel; e,

V - assegurar que ativos de informação, pessoais ou não, que sejam utilizados para a realização de atividades da Agência e que não estejam sendo monitorados pelas ferramentas e soluções de segurança da Anatel, possuam a proteção adequada, visando atender os princípios de SIC definidos nesta Política.

Art. 25. A POSIC/Anatel e suas normas de integrantes devem ser reavaliadas, pela CSIC/Anatel, no máximo, a cada três anos ou caso ocorram eventos ou fatos relevantes que exijam uma revisão extraordinária.

Art. 26. As portarias e normas internas de segurança da informação e comunicações publicadas com base na Portaria nº 559, de 3 de julho de 2013, e na Portaria nº 1.016, de 25 de julho de 2017, permanecem em vigor.