SEI/ANATEL - 10862176

O PRESIDENTE DO GRUPO DE ACOMPANHAMENTO DA IMPLANTAÇÃO DAS SOLUÇÕES PARA OS PROBLEMAS DE INTERFERÊNCIA NA FAIXA DE 3.625 A 3.700 MHZ (GAISPI) DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das competências que lhe confere o Anexo IV-A do Edital de Licitação nº 1/2021-SOR/SPR/CD-ANATEL e o Regimento Interno do GAISPI, aprovado por meio da Portaria Anatel nº 2159, de 9 de dezembro de 2021 (SEI nº 7788057),

CONSIDERANDO as deliberações tomadas na 22ª Reunião Ordinária do GAISPI, realizada em 13 de setembro de 2023;

Art. 1º Aprovar as Diretrizes para Planejamento e Implantação da Rede Fixa Privativa de Comunicação da Administração Pública Federal, na forma do Anexo a esta Portaria.

Documento assinado eletronicamente por Moisés Queiroz Moreira, Presidente do Grupo, em 18/09/2023, às 18:54, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 10862176 e o código CRC CBEBD0D9.

DIRETRIZES PARA PLANEJAMENTO E IMPLANTAÇÃO DA REDE FIXA PRIVATIVA DE COMUNICAÇÃO DA ADMINISTRAÇÃO PÚBLICA FEDERAL

O presente documento estabelece as diretrizes para o planejamento e implantação da Rede Fixa Privativa de Comunicação da Administração Pública Federal, prevista nos itens 3.2 e 5 do ANEXO IV-B do Edital de Licitação nº 1/2021-SOR/SPR/CD-ANATEL (Edital), por parte da Entidade Administradora da Faixa de 3,5 GHz (EAF).

A implantação a que se refere o item anterior envolve a execução das competências da EAF dispostas nas alíneas a), m) e n) do item 14, do Anexo IV-A, do Edital.

Para fins destas Diretrizes, além das definições constantes na legislação e regulamentação, aplicam-se as definições a seguir:

Rede Fixa: infraestrutura de redes de transporte e acesso através de meios ópticos, fornecendo serviços tais como: links MPLS, acesso à internet e serviços de banda dedicados. Essa rede será de uso exclusivo dos órgãos de governo, terá segurança utilizando encriptadores com algoritmos exclusivos de estado que garantirão confidencialidade ao tráfego.

Rede SD-WAN (Software-Defined Wide Area Network): abordagem moderna para gerenciar redes WAN, trazendo diversos benefícios, atendendo, mas não se limitando, aos critérios de otimização do tráfego, segurança, gestão otimizada da rede, redução de custos, com Implementação simples e centralizada.

Rede de Transporte: composta de roteadores e switch para viabilizar o escoamento do tráfego entre os elementos da rede fixa de acesso e o backbone de dados da TELEBRAS, atendendo, mas não se limitando, aos critérios de segurança, qualidade de serviço, sincronismo, capacidade e latência, em conformidade com às necessidades dos clientes da rede fixa.

Encriptadores de Enlace: elementos responsáveis pela criptografia da camada de rede. Consiste em criptografar dados à medida que são enviados de um nó e descriptografá-los na chegada em outro. Por requerimento do Edital, o algoritmo utilizado deve ser de origem proprietária do governo brasileiro.

Segurança Cibernética: conjunto de processos, melhores práticas e soluções tecnológicas que ajudam a proteger sistemas críticos e a rede contra ataques digitais.

SIEM (Security Information and Event Management): ferramenta para gerenciamento de eventos e informações de segurança. Auxilia na detecção de ameaças de segurança.

SOAR (Security Orchestration Automation and Response): ferramenta de Orquestração, Automação e Resposta de Segurança. Trata-se de uma coleção de soluções e ferramentas de software de segurança para navegar e coletar dados de várias fontes. As soluções SOAR usam uma combinação de aprendizado humano e de máquina para analisar esses diversos dados para compreender e priorizar as ações de resposta a incidentes.

PAM (Privileged Access Management): solução de segurança de identidade que ajuda a proteger as organizações contra ameaças cibernéticas monitorando, detectando e impedindo o acesso privilegiado não autorizado a recursos críticos.

O Edital de Licitação nº 1/2021 estabeleceu, conforme item 1.4 do Anexo IV-A, a obrigação de implantação de uma Rede Privativa de Comunicação da Administração Pública Federal, composta, dentre outras, por Rede Fixa de Dados em âmbito nacional.

Cabe à Entidade Administradora da Faixa de 3,5 GHz (EAF) operacionalizar, de forma isonômica e não discriminatória, todos os procedimentos relativos às atividades para implantação da Rede Fixa de Dados da Administração Pública Federal, doravante denominada Rede Fixa Privativa.

As características e especificações mínimas da Rede Fixa Privativa estão descritas no item 5 do Anexo IV-B do Edital, reproduzido abaixo:

5. A Rede Fixa de que trata o item 3.2 deste Anexo consiste na implantação de redes terrestres ópticas, complementares à rede de governo já existente, e deve observar os seguintes requisitos:

a) ser composta por backhauls, redes metropolitanas, redes de acesso, pontos de presença de rede e equipamentos terminais para atendimento aos pontos de governo (Consumer Premisses Equipment – CPE);

b) ser dimensionada para atender pelo menos 6.500 pontos de governo, dos quais ao menos 80% por meio de redes de acesso óptica a serem implantadas, e os demais podendo ser atendidos com a utilização de redes de terceiros, devendo, neste caso, ser viabilizados os pontos de interconexão;

c) a aquisição e instalação de unidade Core SD-WAN (Software-Defined Wide Area Network), que será responsável pela gerência, orquestração e controle centralizado das CPE SDWAN dos pontos de governo.

5.1. Em cada ponto de governo deve ser disponibilizado link com capacidade mínima de 10 Mbps de conexão simétrica à Internet e 10 Mbps de conexão de rede privativa (Multi Protocol Label Switching – MPLS), bem como equipamento terminal de acesso (CPE) do tipo SD-WAN para gerenciamento e engenharia de tráfego.

5.2. Em cada ponto de governo deve ser garantido disponibilidade (Service Level Agreement – SLA) de 99,5%, considerando tanto a conexão à Internet quanto de rede privativa (MPLS).

5.3. Em pontos de governo com demanda de capacidade de tráfego de rede privativa igual ou superior a 1 Gbps deve ser garantido dupla abordagem de rede para conexão de rede privativa (MPLS).

5.4. As redes metropolitanas devem ser implantadas em topologia de anel, e possuir interconexão com pontos de presença da rede de governo já existente.

c) ar-condicionado redundante com controle de umidade e comando remoto programável;

d) sistema de alarmes de contatos secos e telecomandos capazes de monitorar a abertura de portas e falhas de energia e a temperatura interna; e e) sistema de vigilância por vídeo, com câmeras para captação das imagens internas e externas da estação.

As características e especificações mínimas de criptografia estão descritas no item 6 do Anexo IV-B do Edital, reproduzido abaixo:

6. A Funcionalidade de Criptografia de que trata o item 3.3 deste Anexo consiste no provimento de segurança de enlaces para a Rede Privativa de Comunicação da Administração Pública Federal, a partir do desenvolvimento e disponibilização de:

a) até 80.000 (oitenta mil) dispositivo de criptografia de dados para usuários da Rede Fixa e para sites da Rede Móvel; e

6.1. A Funcionalidade de Criptografia deve ser basear em algoritmos criptográficos definidos por órgãos de segurança da administração pública federal.

6.2. O dispositivo de criptografia deve poder ser conectado diretamente ao terminal de usuário ou ao equipamento terminal de ponto de governo da Rede Fixa, bem como aos sites da Rede Móvel.

6.3. A plataforma de orquestração, controle e gerência de criptografia será responsável pelo provisionamento, controle e gerência de toda a Funcionalidade de Criptografia e deve operar em configuração de redundância.

b) ser independente do provedor do serviço de telecomunicações, e agnóstica em relação ao tráfego transportado, tais como, rede IP ou rede MPLS, transmissão satelital ou terrestre;

c) ser composta pelos elementos cifradores de enlace, Autoridade Certificadora de Equipamentos para sigilo, módulos de segurança em hardware, ferramentas de embarque de algoritmos criptográficos e console de gestão;

d) permitir o embarque de suíte de algoritmos criptográficos definidos por órgão(s) de segurança da administração pública federal e o uso simultâneo de suítes;

e) a geração de números aleatórios deve ser realizada por meio de gerador baseado em efeitos físicos aprovado por órgãos de segurança da administração pública federal;

f) todo o processo de desenvolvimento e de fabricação da Funcionalidade deve ser acompanhado por órgãos de segurança da administração pública federal;

g) todos os arquivos de descrição de hardware, esquemático elétrico e códigos fonte de software e firmware devem ser disponibilizados para verificação por órgão(s) de segurança da administração pública federal;

h) o processo de montagem mecânica do hardware e de resinagem dos componentes criptográficos dos cifradores deve ser passível de acompanhamento por órgão(s) de segurança da administração pública federal; e

i) permitir a realização de auditoria de segurança de seus elementos de hardware, software e firmware integralmente no Brasil, em laboratórios especializados credenciados.

A EAF poderá propor, de forma motivada, revisão das especificações da Rede Fixa Privativa previstas no Anexo IV-B do Edital, condicionada à aprovação pelo GAISPI, desde que não implique em aumento de custos.

A EAF, no uso de suas atribuições, poderá adotar soluções técnicas que permitam o melhor aproveitamento dos recursos para implantação da Rede Fixa Privativa, inclusive definindo especificações e critérios técnicos adicionais, mantendo o GAISPI informado.

A EAF deverá elaborar processo de aquisição de equipamentos e serviços em observância às diretrizes contidas no presente documento, além de manter os pertinentes registros necessários para garantir que o processo seja auditado a qualquer tempo.

A rede fixa terá atendimento de 6.500 pontos em dupla abordagem, com capacidade definida conforme a necessidade de banda do usuário, por exemplo, 100Mb/s, 1Gb/s, 10Gb/s, ou outras taxas de transmissão, utilizando as interfaces ETHERNET, GPON e XGS-PON, ou outra que se demonstre mais adequada. A rede fixa será implementada em todas as 26 capitais do Brasil e o Distrito Federal, utilizando o backbone da TELEBRAS bem como a estrutura de fibra óptica já lançada nas capitais pela administração pública (na medida do possível, nas esferas nacional, estadual e municipal), sendo esta nova rede um complemento da rede existente.

A topologia dos Anéis Secundários será definida após a manifestação do Ministério das Comunicações (MCOM) sobre a demanda referente aos pontos de governo.

A rede de transporte será formada por roteadores e switches interconectados em anéis redundantes de fibra óptica, a fim de prover a comunicação entre a rede fixa de acesso e o backbone de dados da TELEBRAS.

A rede SD-WAN será formada utilizando elementos da rede de transmissão implementada pela EAF e/ou rede de transmissão existentes de outras operadoras, como redes móveis (4G/5G), satélite, rede fixa etc. Tais elementos serão gerenciados por um elemento orquestrador de hierarquia superior instalado em um datacenter centralizado visando prover o uso mais eficiente dos recursos disponíveis da rede.

Figura 2 - Arquitetura da Rede SD-WAN exemplificando a utilização dos up-links

Para as soluções de Segurança Cibernéticas, serão adotadas as seguintes soluções:

Encriptadores de enlaces MPLS utilizando algoritmo criptográfico definido por órgão de segurança da administração pública federal. Esses encriptadores deverão inserir baixa latência e suportar taxas de 1 Gbps ou 10 Gbps, não se limitando a estas bandas, dependendo da necessidade do link.

Ferramentas de Segurança Cibernética para deteção, reação e prevenção de incidentes (ex.: SIEM e SOAR);

Ferramenta de Segurança Cibernética para controle/rastreabilidade de acesso em elementos críticos de rede (ex.: PAM).

A rede de segurança será desenhada de forma a atender diferentes níveis de necessidade dos órgãos governamentais.

A EAF deverá elaborar cronograma para o projeto da Rede Fixa Privativa, incluindo todas as etapas e prazos estimados, e submetê-lo para avaliação e aprovação do GAISPI.

O cronograma elaborado pela EAF poderá ser alterado mediante determinação do GAISPI.

A EAF deverá comunicar ao GAISPI eventual necessidade de alteração do cronograma aprovado, indicando as alterações necessárias.

A EAF deverá informar ao GAISPI, quinzenalmente, o andamento das ações previstas no cronograma do projeto, sem prejuízo da disponibilização de relatórios eletrônicos quando solicitado.

A EAF ficará responsável pelo licenciamento e atendimento das legislações locais necessárias à operacionalização da rede e/ou que impactem sua execução.

A EAF deverá manter registro eletrônico detalhado sobre o andamento do projeto, atualizado quinzenalmente, disponível aos membros do GAISPI e participantes dos grupos técnicos de assessoramento, e que permitam o acompanhamento do planejamento e execução de todas as atividades da EAF definidas no presente documento.

A EAF deverá disponibilizar, em seu site na internet, relatório contendo informações públicas, atualizadas quinzenalmente, que permitam o acompanhamento das atividades definidas no presente documento por qualquer interessado.

A EAF poderá propor ao GAISPI, a qualquer momento, a revisão do disposto neste documento visando otimizar a consecução de suas atribuições.