SEI/ANATEL - 1696463

O CONSELHO DIRETOR DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das atribuições que lhe foram conferidas pelo art. 133, inciso XXII, do Regimento Interno da Agência, aprovado pela Resolução nº 612, de 29 de abril de 2013, e alterações posteriores,

CONSIDERANDO a Instrução Normativa GSI/PR nº 1 do Gabinete de Segurança Institucional da Presidência da República (GSIPR), de 13 de junho de 2008, e suas respectivas Normas Complementares, que disciplinam a gestão de segurança da informação e comunicações no âmbito da Administração Pública Federal;

CONSIDERANDO a Norma Complementar nº 03/IN01/DSIC/GSIPR do Gabinete de Segurança Institucional da Presidência da República (GSIPR), de 30 de junho de 2009, que estabelece as diretrizes, critérios e procedimentos para elaboração, institucionalização, divulgação e atualização da Política de Segurança da Informação e Comunicações (POSIC) nos órgãos e entidades da Administração Pública Federal, direta e indireta (APF);

CONSIDERANDO a relevância de aprimorar e sistematizar em política as práticas institucionais de segurança que contribuem para o pleno exercício da Agência;

CONSIDERANDO as boas práticas em segurança preconizadas pelas normas da família ISO 27000;

CONSIDERANDO deliberação tomada por meio do Circuito Deliberativo nº 126, de 20 de julho de 2017;

Art. 1º Aprovar a Política de Segurança da Informação e Comunicações da Agência Nacional de Telecomunicações (POSIC/Anatel) anexa a esta Portaria.

Documento assinado eletronicamente por Juarez Martinho Quadros do Nascimento, Presidente do Conselho, em 25/07/2017, às 19:15, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 1696463 e o código CRC 99173EFA.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES (POSIC/ANATEL)

Art. 1º A Política de Segurança da Informação e Comunicações da Agência Nacional de Telecomunicações (POSIC/Anatel) tem por finalidade estabelecer diretrizes para a segurança do manuseio, tratamento, recuperação, controle e proteção dos dados, informações e conhecimentos produzidos, armazenados ou transmitidos por qualquer meio, no âmbito da Anatel, observadas as diretrizes estabelecidas pelo poder público quanto à transparência e o acesso às informações públicas.

Parágrafo único. Todo usuário que tenha acesso aos ativos de informação da Agência está sujeito às diretrizes, às normas e aos procedimentos de segurança tratados por esta Política, sendo ainda responsável por garantir a segurança das informações a que tenham acesso.

I - ameaça: conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou para organização como um todo;

II - ativo de informação: patrimônio composto por todos os dados, informações e conhecimentos obtidos, gerados e utilizados durante a execução dos sistemas e processos de trabalho da Anatel;

III - autenticidade: propriedade da informação que tenha sido produzida, expedida, recebida, modificada ou destruída por determinada pessoa natural, equipamento ou sistema;

IV - classificação: atribuição, pela autoridade competente, de grau de sigilo a dado, informação, documento, material, área ou instalação;

V - comissão de segurança da informação e comunicações da Anatel (CSIC/Anatel): grupo de servidores com a responsabilidade de assessorar a implementação das ações de segurança da informação e comunicações no âmbito do Anatel;

VI - confidencialidade: propriedade de que o dado ou a informação não esteja disponível ou revelado a pessoa física, sistema, órgão ou entidade não autorizado e credenciado;

VII - conhecimento: soma da experiência das pessoas com as informações adquiridas ao longo do tempo, podendo ser tácito (cognitivo) ou explícito (formalizado);

VIII - controle de acesso: procedimento destinado a conceder ou bloquear o acesso aos ativos de informação;

IX - criticidade: grau de importância de um determinado ativo institucional para a continuidade do negócio da instituição;

X - custodiante da informação: qualquer pessoa natural ou jurídica, interna ou externa, unidade, processo ou projeto da Anatel que detém a posse, mesmo que transitória, de informação produzida ou recebida pela Agência ou de qualquer outro tipo de ativo de informação da Anatel;

XI - dado: qualquer elemento identificado em sua forma bruta, que em determinado contexto não conduz, por si só, à compreensão de determinado fato ou situação;

XII - direito de acesso: privilégio relacionado a um cargo ou pessoa para ter acesso a um determinado ativo de informação;

XIII - disponibilidade: qualidade da informação que pode ser conhecida e utilizada por indivíduos, equipamentos ou sistemas autorizados;

XIV - dispositivos móveis: consiste em equipamentos portáteis dotados de capacidade computacional e dispositivos removíveis de memória para armazenamento, tais como notebooks, netbooks, smartphones, tablets, pendrives, USB drives, HDs externos e cartões de memória;

XV - documento: unidade de registro de informações, qualquer que seja o suporte ou formato;

XVI - equipe de tratamento e resposta a incidentes em redes computacionais da Anatel (ETIR/Anatel): grupo de servidores com a responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança em computadores da rede computacional da Agência.

XVII - evento de segurança da informação: ocorrência identificada a partir de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou outra que possa ser relevante para a segurança da informação;

XVIII - gestão de continuidade do negócio: processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio, caso estas ameaças se concretizem. Este processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das partes interessadas, a reputação e a marca da organização, e suas atividades de valor agregado;

XIX - gestão de continuidade dos serviços de Tecnologia da Informação: processo de gestão de continuidade de serviços de Tecnologia da Informação (TI) que prepara uma organização para potenciais ocorrências de incidentes de segurança da informação ou de tecnologia da informação que possam causar indisponibilidade nos serviços de TI que suportam os seus processos críticos.

XX - gestor da informação: servidor responsável pela administração das informações geridas nos processos de trabalho de sua responsabilidade;

XXI - gestor de segurança da informação e comunicações: é o responsável pelas ações de segurança da informação e comunicações no âmbito da Anatel;

XXII - incidente de segurança da informação: evento de segurança da informação, indesejado ou inesperado, que comprometa ou ameace a integridade, a autenticidade, a confidencialidade ou a disponibilidade de qualquer ativo de informação da Anatel;

XXIII - informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente do suporte em que resida ou da forma pela qual seja veiculado;

XXIV - informação pessoal: aquela relacionada à pessoa natural identificada ou identificável;

XXV - informação sigilosa: aquela submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado;

XXVI - instrumento de trabalho: recursos empregados no acesso, manuseio, proteção, transmissão e armazenamento dos ativos de informação, tais como, computadores e seus componentes, acessórios, periféricos, redes de comunicação de dados, telefones, sistemas de da informação e bancos de dados.

XXVII - integridade: propriedade de que a informação não foi modificada ou destruída, inclusive quanto à origem, trânsito e destino, de maneira não autorizada ou acidental;

XXVIII - responsabilidade: deveres de um usuário em relação ao ativo de informação ao qual ele tem direito de acesso;

XXIX - segurança da informação e comunicações (SIC): conjunto de ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados e das informações, bem como a proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças ao seu desenvolvimento;

XXX - tratamento da informação: conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação; e,

XXXI - usuário: qualquer pessoa que utilize os ativos de informação da Anatel, de acordo com a seguinte classificação:

a) externo: qualquer pessoa natural ou jurídica que tenha acesso, de forma autorizada, aos ativos de informação produzidos ou custodiados pela Anatel e que não seja caracterizada como usuário interno;

b) interno: qualquer pessoa que, mesmo transitoriamente ou sem remuneração, exerça na Anatel cargo, emprego, função pública, ou que trabalhe para empresa prestadora de serviço contratada ou conveniada para a execução de atividades da Agência.

Art. 3º Na aplicação e interpretação das regras estabelecidas na POSIC/Anatel, devem ser observados os seguintes instrumentos legais e normativos, sem prejuízo do disposto em normas supervenientes que venham a regular a matéria:

I - Lei nº 9.472, de 16 de julho de 1997 - Lei Geral de Telecomunicações (LGT), que dispõe sobre a organização dos serviços de telecomunicações, a criação e funcionamento de um órgão regulador e outros aspectos institucionais, nos termos da Emenda Constitucional nº 8, de 1995;

II - Decreto nº 2.338, de 7 de outubro de 1997, que aprova o Regulamento da Agência Nacional de Telecomunicações e dá outras providências;

III - Resolução nº 612, de 29 de abril de 2013 e alterações posteriores, que aprova o Regimento Interno da Agência Nacional de Telecomunicações;

IV - Lei nº 8.112, de 11 de dezembro de 1990, que dispõe sobre o regime jurídico dos servidores públicos civis da União, das autarquias e das fundações públicas federais;

V - Lei nº 8.159, de 8 de janeiro de 1991, que dispõe sobre a Política Nacional de Arquivos Públicos e Privados e dá outras providências;

VI - Lei nº 12.527, de 18 de novembro de 2011, que regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 1991; e dá outras providências;

VII - Decreto nº 7.724, de 16 de maio de 2012, que regulamenta a Lei nº 12.527, de 18 de novembro de 2011;

VIII - Decreto nº 7.845, de 14 de novembro de 2012, que regulamenta procedimentos para credenciamento de segurança e tratamento de informação classificada em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento;

IX - Decreto nº 8.135, de 04 de novembro de 2013, que dispõe sobre as comunicações de dados da Administração Pública Federal direta, autárquica e fundacional, e sobre a dispensa de licitação nas contratações que possam comprometer a segurança nacional;

X - Lei nº 9.983, de 14 de julho de 2000, que altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal), e dá outras providências;

XII - Decreto nº 1.171, de 22 de junho de 1994, que aprova o Código de Ética Profissional do Servidor Público Civil do Poder Executivo Federal;

XIII - Decreto nº 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal;

XIV - Decreto nº 5.482, de 30 de junho de 2005, que dispõe sobre a divulgação de dados e informações pelos órgãos e entidades da Administração Pública Federal, por meio da Rede Mundial de Computadores - Internet;

XV - Portaria Interministerial nº 140, de 16 de março de 2006, que disciplina a divulgação de dados e informações pelos órgãos e entidades da Administração Pública Federal, por meio da rede mundial de computadores - internet e dá outras providências;

XVI - Portaria nº 221, de 4 de março de 2015, que dispõe sobre a instituição da Comissão de Segurança da Informação e Comunicações (CSIC/Anatel) e da Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais da Anatel (ETIR/Anatel);

XVII - Portaria Interministerial nº 141, de 2 de maio de 2014, dos Ministérios do Planejamento, Orçamento e Gestão (MPOG), das Comunicações (MC) e da Defesa (MD), que dispõe sobre as comunicações de dados da Administração Pública Federal direta, autárquica e fundacional;

XVIII - Decreto nº 6.029, de 1º de fevereiro de 2007, que institui o Sistema de Gestão da Ética do Poder Executivo Federal, e dá outras providências;

XIX - Instrução Normativa GSI nº 1, de 13 de junho de 2008, e suas respectivas Normas Complementares, que disciplinam a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências;

XX - Instrução Normativa GSI nº 2, de 5 de fevereiro de 2013, e suas respectivas Normas Complementares, que dispõem sobre o Credenciamento de segurança para o tratamento de informação classificada, em qualquer grau de sigilo, no âmbito do Poder Executivo Federal;

XXI - Instrução Normativa GSI nº 3, de 6 de março de 2013, e suas respectivas Normas Complementares, que dispõem sobre os parâmetros e padrões mínimos dos recursos criptográficos baseados em algoritmos de Estado para criptografia da informação classificada no âmbito do Poder Executivo Federal;

XXII - Instrução Normativa Conjunta nº 1, de 10 de maio de 2016, do Ministério do Planejamento, Orçamento e Gestão (MPOG) e da Controladoria-Geral da União (CGU), que dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo Federal;

XXIII - Estratégia de Governança Digital da Administração Pública Federal 2016-19, do Ministério do Planejamento, Orçamento e Gestão (MPOG), que define os objetivos estratégicos, metas e indicadores da Política de Governança Digital, estabelecida pelo Decreto nº 8.638, de 15 de janeiro de 2016;

XXVI - Plano Diretor de Tecnologia da Informação e Comunicações da Anatel (PDTIC/Anatel 2017-2019), aprovado por meio da Portaria nº 1700, de 8 de dezembro de 2016.

I - a legalidade, a impessoalidade, a moralidade, a publicidade, a eficiência, a celeridade, a razoabilidade e a ética na proteção dos ativos de informação;

II - a preservação da disponibilidade, da integridade, confidencialidade e da autenticidade dos ativos de informação;

III - a busca de melhores práticas e a atualização tecnológica na proteção dos ativos de informação;

IV - a responsabilidade individual na utilização dos ativos de informação; e,

V - transparência no tratamento das informações institucionais e pessoais, respeitando-se a intimidade, a vida privada, a honra e a imagem das pessoas, bem como as liberdades e garantias individuais.

Art. 5º O Sistema de Gestão da Segurança da Informação e Comunicações da Anatel (SGSIC/Anatel) tem como base o processo de melhoria contínua, denominado Ciclo “PDCA” (Plan-Do-Check-Act) e é composto pelos seguintes processos:

V - inventário, mapeamento de ativos, tratamento e classificação da informação; e,

§ 1º Os processos do SGSIC/Anatel são interdependentes e devem ser estruturados e monitorados de forma a permitir sua melhoria contínua, em conformidade com os normativos estabelecidos para os órgãos e entidades da APF.

§ 2º Serão elaboradas e/ou mantidas portarias específicas destinadas à implantação e operacionalização das diretrizes previstas nesta norma, cuja aprovação competirá ao Presidente da Anatel.

§ 3º Os novos processos relacionados à SIC que vierem a ser estabelecidos, para aplicação em toda a APF, após a publicação da POSIC/Anatel, deverão seguir, quando de sua implementação no âmbito da Agência, as diretrizes propostas na presente Política.

Art. 6º A gestão da segurança da informação e comunicações alinha-se ao planejamento estratégico e tem como princípios a preservação dos ativos de informação da Anatel quanto aos aspectos de disponibilidade, integridade, confidencialidade, autenticidade e de transparência das informações públicas, independentemente do meio em que se encontrem.

Parágrafo único. De forma a promover a gestão e a fomentar os aspectos de SIC, a Comissão de Segurança da Informação e Comunicações da Anatel (CSIC/Anatel), órgão colegiado, de natureza consultiva e de caráter permanente, atuará na proposição e condução das diretrizes da POSIC/Anatel, bem como no assessoramento do Presidente e do Conselho Diretor da Agência em matérias correlatas.

Art. 7º O processo de gestão de incidentes de SIC é iterativo, contínuo e tem por objetivo interromper e/ou minimizar os impactos decorrentes dos incidentes de segurança da informação e comunicações na rede computacional da Agência.

Parágrafo único. Todo usuário, ao tomar conhecimento de qualquer incidente ou suspeitar da possibilidade da sua ocorrência ou da existência de alguma vulnerabilidade ou ameaça à SIC da Agência, deve notificar o fato imediatamente à Equipe de Tratamento e Resposta a Incidentes de Segurança da Informação da Anatel (ETIR/Anatel), para que sejam tomadas as providências cabíveis.

Art. 8º O processo de gestão de riscos de SIC é iterativo, contínuo e tem por objetivo identificar, analisar, avaliar, dar tratamento adequado, comunicar e monitorar os riscos relacionados às dimensões que integram a segurança da informação.

§ 1º Em suas atividades a CSIC/Anatel deverá considerar, principalmente, a gestão dos riscos mais relevantes, aos quais os ativos de informação da Anatel estão expostos e a priorização das ações voltadas ao tratamento dos riscos identificados.

§ 2º O processo de gestão de riscos de SIC deverá estar alinhado à política de gestão de riscos corporativos da Agência e às melhores práticas de gestão de riscos de SIC.

§ 3º Cada unidade administrativa da Agência será responsável pela gestão dos riscos de SIC de sua área.

Art. 9º O processo de gestão de continuidade dos serviços de tecnologia da informação é iterativo, contínuo e tem por objetivo minimizar os impactos nas atividades da Anatel, decorrentes de falhas, desastres ou indisponibilidades significativas em ativos de tecnologia da informação, além de recuperar perdas de ativos de informação a um nível aceitável, por intermédio de ações de prevenção, resposta e recuperação.

§ 1º O plano de continuidade dos serviços de tecnologia da informação deve sempre levar em consideração a estrutura de tecnologia da informação disponível na Agência.

§ 2º O processo de gestão de continuidade de serviços de tecnologia da informação deverá estar alinhado ao processo de gestão de continuidade de negócios da Agência e às melhores práticas de gestão de continuidade de serviços de tecnologia da informação.

§ 3º As unidades administrativas da Agência são responsáveis pela elaboração e manutenção do plano de continuidade de serviços de tecnologia da informação de suas respectivas áreas.

Art. 10. Os ativos de informação, incluindo dispositivos móveis corporativos e pessoais, quando aplicável, devem ser submetidos ao controle de acesso físico e lógico, com níveis de acesso adequados, com o objetivo de garantir a manutenção das propriedades de disponibilidade, integridade, confidencialidade e autenticidade, conforme disposto nas normas específicas.

§ 1º A interligação de redes, o compartilhamento de ativos de informação e as trocas de informações com outras entidades ficam condicionados a acordos com previsão da manutenção da confidencialidade.

§ 2º As contratações de bens e serviços deverão conter cláusula de confidencialidade que responsabilize a contratada por violações da POSIC/Anatel a que ela ou seus representantes deem causa.

Do Inventário e Mapeamento de Ativos e do Tratamento e Classificação da Informação

Art. 11. As informações de propriedade da Anatel ou por ela custodiadas devem ser utilizadas para os fins a que se destinam e não podem ser apropriadas pelos usuários e custodiantes.

§ 1º O uso de ativos de informação está sujeito ao controle e ao monitoramento da Anatel para garantir a utilização estrita e correta desses recursos, bem como minimizar riscos inerentes às atividades, aos serviços e à imagem da Agência.

§ 2º No estabelecimento da forma do tratamento e da utilização dos dados e informações decorrentes das atividades de monitoramento, devem ser considerados os graus de criticidade e os critérios de confidencialidade.

Art. 12. Os ativos de informação devem ser inventariados e classificados, por meio de um processo contínuo de forma a descrever os seus respectivos contêineres, bem como identificar seus responsáveis (proprietários e custodiantes), definir os requisitos de segurança e estabelecer seu respectivo valor para o negócio da Anatel.

Art. 13. A segurança da informação em recursos humanos tem por objetivo garantir que quaisquer pessoas que tenham acesso aos ativos de informação da Agência entendam suas responsabilidades e atuem em consonância com os preceitos da POSIC/Anatel, para que os riscos inerentes à realização de suas atividades sejam reduzidos.

Art. 14. Devem ser realizadas ações e eventos para divulgação, sensibilização, conscientização e capacitação em SIC direcionados aos usuários internos da rede corporativa da Anatel.

§ 1º As ações de sensibilização, conscientização e capacitação em segurança da informação têm por objetivo:

II - conscientizar sobre a importância e necessidade do estrito cumprimento da POSIC/Anatel;

III - internalizar conceitos e boas práticas de SIC na cultura da Anatel e, consequentemente;

IV - esclarecer sobre as responsabilidades individuais quanto à observância da POSIC/Anatel nas atividades e processos de trabalho; e,

V - minimizar os riscos de SIC inerentes à realização das atividades da Agência.

§ 2º Todos os usuários dos ativos de informação da Anatel devem ter ciência de que o uso das informações e dos sistemas corporativos pode ser monitorado, e que os registros assim obtidos poderão ser utilizados para detecção de violações da POSIC/Anatel e das normas de segurança da informação e, conforme o caso, servir como evidência em processos administrativos e/ou legais.

Art. 15. O acesso lógico às soluções de tecnologia da informação da Anatel e o acesso físico às dependências da Anatel, bem como a utilização do serviço de correio eletrônico, de Internet, de acesso à rede de computadores e de criação e gestão de perfis institucionais em redes sociais no âmbito da Anatel seguem as regras gerais definidas em normas específicas e integrantes desta Política.

Art. 16. O cumprimento da POSIC/Anatel, de suas normas e procedimentos será acompanhado pela CSIC/Anatel.

Art. 17. Os descumprimentos ou inobservâncias de quaisquer regras ou diretrizes definidas nessa política, em suas normas complementares e procedimentos são passíveis de sanções administrativas, civis e penais, que poderão cumular-se.

Parágrafo Único. Essas violações serão avaliadas pela CSIC/Anatel, que tomará as medidas cabíveis e dará conhecimento à Corregedoria da Anatel, nos termos do art. 19, VIII.

Art. 18. A estrutura para o SGSIC/Anatel é composta pela CSIC/Anatel, pelo Gestor de Segurança da Informação e Comunicações e pela ETIR/Anatel.

I - assessorar a implementação das ações de segurança da informação e comunicações na Anatel;

IV - propor a elaboração e a revisão de normas e procedimentos inerentes à SIC;

VIII - analisar incidentes de SIC e encaminhar à Corregedoria aqueles passíveis de correição;

IX - elaborar proposta e promover atualização periódica de plano com medidas que garantam a continuidade das atividades da Anatel e o retorno à situação de normalidade em caso de desastre ou falha nos recursos que suportam os processos vitais de negócio da Agência;

XI - requerer informações que considerar necessárias ao acompanhamento das ações de gestão de SIC às unidades administrativas da Anatel;

XIII - submeter à aprovação minutas de normativos e propostas de natureza estratégica ou que necessitem de cooperação intersetorial que versem sobre SIC;

XIV - instituir grupos de trabalho para tratar de temas específicos para as ações de SIC;

XV - interagir com as unidades administrativas da Agência ou entidades externas, observadas as competências regimentais, objetivando o pleno atendimento ao objeto desta Política e a execução dos processos de SIC propostos;

XVI - a edição e publicação das demais normas referentes ao seu funcionamento;

XVII - resolução de conflitos relacionados aos ativos de informações da Agência; e,

XVIII - monitorar mudanças na organização, processos de negócio e recursos de tecnologia da informação e comunicações que possam afetar a SIC da Anatel.

Parágrafo único. A CSIC/Anatel é presidida pelo Gestor de SIC e sua composição é definida em portaria específica.

Art. 20. Compete ao Gestor de Segurança da Informação e Comunicações da Anatel:

II - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;

III - propor recursos necessários às ações de segurança da informação e comunicações;

V - realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na segurança da informação e comunicações;

VI - manter contato permanente e estreito com o Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República para o trato de assuntos relativos à segurança da informação e comunicações; e,

VII - propor normas e procedimentos relativos à segurança da informação e comunicações no âmbito da Anatel.

I - tomar as providências de emergência pertinentes à SIC, imediatamente após detecção ou conhecimento de incidentes de segurança da informação no âmbito da Anatel;

II - tomar todas as ações de segurança necessárias, tais como, acessar e bloquear, temporariamente, sem aviso prévio, os ativos de informação, o acesso individual ou coletivo às soluções de TI, a fim de coletar evidências ou minimizar os riscos à SIC, mediante autorização do Gestor de SIC; e,

III - analisar os incidentes de SIC e encaminhar relatório à CSIC/Anatel, quando o incidente registrado impactar diretamente nos objetivos estratégicos da Agência.

Parágrafo único. O regimento interno e as atribuições dos membros da ETIR/Anatel são definidos em portaria específica aprovada pelo Gestor de SIC.

II - propor à CSIC/Anatel a atualização da POSIC/Anatel, das normas e dos procedimentos de SIC, sempre que houver alteração no ambiente computacional ou atualizações tecnológicas, a fim de promover a melhoria contínua do nível de segurança;

III - apresentar relatórios periódicos do processo de Gestão de Riscos de SIC à CSIC/Anatel;

IV - definir as soluções técnicas necessárias para a implantação e adequação do ambiente da Anatel à POSIC/Anatel e suas normas integrantes; e,

V - garantir a disponibilidade de recursos tecnológicos necessários à implementação das ações de SIC.

Art. 23. São obrigações dos usuários e custodiantes dos ativos de informação:

I - conhecer e cumprir a POSIC/Anatel, bem como os demais instrumentos normativos relacionados, sendo-lhes facultado o direito de propor alterações nesses documentos;

II - proteger as informações, físicas ou eletrônicas, em sua posse contra acessos, modificação, destruição ou divulgação não autorizados;

III - usar os ativos de informação para as finalidades que foram estabelecidas;

IV - não discutir assuntos de trabalho que envolvam informações sigilosas, obtidas em virtude das atividades desempenhadas na Anatel, em ambientes públicos ou em áreas expostas, incluindo a emissão de comentários e opiniões pessoais na mídia e na Internet em nome da Anatel; e,

V - assegurar que ativos de informação, pessoais ou não, que sejam utilizados para a realização de atividades da Agência e que não estejam sendo monitorados pelas ferramentas e soluções de segurança da Anatel, possuam a proteção adequada, visando atender os princípios de SIC definidos nesta Política.

Art. 24. A POSIC/Anatel e suas normas de integrantes devem ser reavaliadas, pela CSIC/Anatel, no máximo a cada três anos ou caso ocorram eventos ou fatos relevantes que exijam uma revisão extraordinária.

Art. 26. As portarias e normas internas de segurança da informação e comunicações publicadas com base na Portaria nº 559, de 3 de julho de 2013, permanecem em vigor.