AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES

Portaria Anatel nº 2839, de 01 de julho de 2024

O PRESIDENTE DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das atribuições que lhe confere o art. 133, do Regimento Interno da Agência, aprovado pela Resolução nº 612, de 29 de abril de 2013;

CONSIDERANDO a Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD);

CONSIDERANDO o Programa de Privacidade e Segurança da Informação (PPSI), aprovado pela Portaria SGD/MGI nº 852, de de 28 de março de 2023;

CONSIDERANDO a Instrução Normativa GSI nº 1, de 27 de maio de 2020, que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da administração pública federal;

CONSIDERANDO a Instrução Normativa GSI/PR nº 3, de 28 de maio de 2021, que dispõe sobre os processos relacionados à gestão de segurança da informação nos órgãos e nas entidades da administração pública federal;

CONSIDERANDO a necessidade de tratar da Gestão de Registros (Logs) de Auditoria no âmbito da Anatel, em observância ao Guia do Framework de Privacidade e Segurança da Informação disponibilizado pela SGD/MGI e às diretrizes  contidas no Modelo de Política de Gestão de Registros (Logs) de Auditoria disponibilizado pela SGD/MGI;

CONSIDERANDO a necessidade de aprimorar o Processo Gerir Serviços de TI;

CONSIDERANDO a Política de Segurança da Informação e Comunicações da Agência Nacional de Telecomunicações (POSIC/Anatel), aprovada por meio da Resolução Interna nº 17, de 18 de maio de 2021;

CONSIDERANDO o constante dos autos do Processo nº 53500.083851/2023-18,

                          RESOLVE:

Art. 1º Aprovar a Norma de Segurança para Gestão de Registros (Logs) de Auditoria da Agência Nacional de Telecomunicações, na forma do anexo a esta Portaria.

Art. 2º Esta portaria entra em vigor na data de sua publicação.

ANEXO

NORMA DE SEGURANÇA PARA GESTÃO DE REGISTROS (LOGS) DE AUDITORIA NO ÂMBITO DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES

CAPÍTULO I

OBJETIVOS E ESCOPO

Art. 1º Esta norma tem como objetivo definir as regras para gestão de registros de auditoria para os ativos de informação da Anatel.

Art. 2º Os registros de auditoria devem ser gerados, selecionados e armazenados para os eventos que envolvam os ativos de informação priorizados pela Comissão de Segurança da Informação da Anatel.

CAPÍTULO II

CONCEITOS E DEFINIÇÕES

Art. 3º Os conceitos e as definições utilizados nesta norma estão contidos no Glossário de Segurança da Informação, aprovado pelo Gabinete de Segurança Institucional da Presidência da República por meio da Portaria GSI/PF nº 93, de 18 de outubro de 2021, e suas atualizações.

CAPÍTULO III

RESPONSABILIDADES

Art. 4º A Superintendência de Gestão da Informação é responsável pela gestão dos registros de auditoria relativamente aos ativos de informação da Anatel, inclusive no que diz respeito à seleção de eventos, suas características de uso e os tempos de guarda, documentando eventuais exceções.

Art. 5º A Superintendência de Gestão da Informação deve atuar com os seguintes princípios, além daqueles previstos na Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD):

I - independência;

II - autonomia;

III - imparcialidade;

IV - zelo;

V - integridade; e

VI - ética profissional.

Art. 6º A equipe responsável pela realização da auditoria:

I - pode obter assessoramento de equipe especializada para subsidiar as atividades de auditoria, quando necessário;

II - deve possuir acesso às informações, ambientes e ativos de informação necessários à realização da auditoria; e

III - deve reportar o resultado da auditoria para o Gestor de Segurança da Informação.

CAPÍTULO IV

REGRAS GERAIS PARA REGISTROS DE AUDITORIA

Art. 7º Os ativos de informação devem estar com as informações de data e hora sincronizadas.

§1º Pelo menos duas fontes de tempo devem ser configuradas para sincronizar o tempo dos ativos de informação, onde houver suporte.

§2º Os ativos de informação devem ser configurados de forma a sincronizar data e hora via protocolo NTP (Network Time Protocol), onde houver suporte.

Art. 8º Devem ser mapeados os ativos de informação que podem ter suas configurações de registros de auditoria mais detalhadas, tais como:

I - identificação de usuário de acesso;

II - endereço IP do ativo de informação;

III - data, hora e fuso horário; e

IV - acessos de usuários privilegiados.

Parágrafo único. Devem ser mapeados também os ativos de informação que, por qualquer motivo, não possam apresentar dados detalhados conforme o caput.

Art. 9º Além de eventos em ativos de informação, podem ser registrados eventos de segurança da informação, tais como:

I -  utilização de usuários, perfis e grupos privilegiados;

II -  acoplamento e desacoplamento de dispositivos de hardware, principalmente mídias removíveis;

III - inicialização, suspensão e reinicialização de serviços;

IV - criação, modificação e exclusão de grupos ou listas de grupos com acessos privilegiados;

V - atualização das regras da política de senhas de usuários;

VI - criação, acesso e modificação de arquivos de sistemas considerados críticos; e

VII - qualquer evento realizado nos ativos de informação de segurança existentes.

Art. 10. Em caso de incidentes de segurança da informação, ou quaisquer outros eventos de segurança, devem ser coletados e preservados todos os registros de eventos citados no art. 9º e as mídias de armazenamento dos ativos de informação afetados pelo evento.

Art. 11. Caso não seja possível cumprir com as diretrizes apontadas no art. 9º, em razão do restabelecimento dos sistemas e dos serviços afetados de forma rápida, devem ser coletados e armazenados as cópias dos registros e os arquivos afetados pelo incidente de segurança, tais como:

I - registros de auditoria;

II - arquivos de sistema operacional;

III - configurações do sistema operacional; e

IV - demais arquivos e registros que foram necessários para reestabelecimento do serviço ou sistema.

Art. 12. Deve ser mantida a estrutura original de diretórios além dos metadados destes arquivos, tais como:

I - data;

II - hora de criação e atualização; e

III - permissões.

Art. 13. Em caso de impossibilidade de preservar as evidências do evento de segurança, deve ser justificada a falta destas evidências.

Art. 14. As ações para o restabelecimento do serviço e do sistema afetados pelo evento de segurança não devem impossibilitar a coleta, a preservação e a disponibilidade das evidências de forma íntegra, sempre que possível.

Art. 15. Devem ser promovidas ações para a preservação dos arquivos coletados.

CAPÍTULO V

FASES DA GESTÃO DE REGISTROS DE AUDITORIA

Seção I

Coleta

Art. 16. A geração de registros de auditoria deve estar habilitada nos ativos de informação priorizados.

Art. 17. Os registros de auditoria de ativos de informação devem:

I - ser criados e retidos na medida necessária para permitir o monitoramento, a análise, a investigação e o relatório de atividades ilegais ou não autorizadas;

II - ser coletados em um ou mais repositórios centrais;

III - ter coleta assegurada quanto aos ativos de informação priorizados, nos termos do art. 2º.

Art. 18. Usuários e componentes dos ativos de informação devem ser monitorados continuamente em busca de comportamento anômalo ou suspeito.

Art. 19. Os ativos de informação devem gerar registros de auditoria para eventos relevantes de segurança da informação que permitam ser auditados.

Art. 20. Devem ser registrados os eventos de:

I - tentativas de logon (do sistema ou domínio) bem-sucedidas e malsucedidas;

II - gerenciamento de contas de usuários;

III - acesso ao serviço de diretório;

IV - uso privilegiado;

V - acompanhamento de processos;

VI - sistema;

VII - eliminação de arquivo de registros de auditoria; e

VIII - consultas DNS e URL, quando apropriado.

§ 1º Em casos de incidentes cibernéticos os dados devem ser coletados utilizando-se procedimentos de forense digital.

§ 2º Os eventos do caput podem ser coletados quando executados em linhas de comando (CLI), tais como PowerShell, BASH e terminais administrativos remotos.

§ 3º Os eventos dos prestadores de serviços terceirizados devem ser coletados quando priorizados, nos termos do art. 2º.

Art. 21. Podem ser registradas, de forma classificada e personalizada, entradas de trilha de auditoria para componentes do sistema, contendo:

I - identificação do usuário;

II - tipo de evento;

III - data e horário;

IV - indicação de sucesso ou falha;

V - origem do evento; e

VI - a identidade ou o nome dos dados afetados, componentes do sistema ou recurso.

Art. 22. Ativos de informação que contêm dados pessoais sensíveis devem possuir registro de auditoria detalhado, incluindo, mas não se limitando a, elementos úteis que possam ajudar em uma eventual investigação forense, tais como:

I - origem do evento;

II - data e horário do evento;

III - identificação de usuário; e

IV - endereços de origem e destino.

Seção II

Armazenamento

Art. 23. Registros de auditoria devem ser retidos pelo período definido em legislação específica.

§ 1º Nos casos em que não houver período definido em legislação específica, os registros de auditoria devem ser retidos pelo período mínimo de 90 (noventa) dias corridos.

§ 2º Uma vez que o período mínimo de retenção tenha sido atingido, os registros de auditoria poderão ser eliminados, exceto se houver necessidade para fins administrativos, legais, de auditoria ou outros fins operacionais.

§ 3º No caso em que os registros de auditoria armazenados contiverem dados pessoais, deve-se observar o previsto pelo art. 16 da LGPD, a fim de avaliar se os registros devem ser eliminados ou preservados após o término do tratamento dos dados pessoais.

Art. 24. Os registros de auditoria e outros registros de eventos de segurança devem ser analisados e retidos de forma segura.

Art. 25. A capacidade de armazenamento dos registros de auditoria deve ser constantemente verificada.

Art. 26. Os registros de auditoria devem ser correlacionados quando houver mais de um repositório ou forem coletados de várias fontes.

Art. 27. As cópias de segurança (backups) dos arquivos das trilhas de auditoria devem ser armazenadas de forma segura, preferencialmente separadas física ou logicamente e em local não acessível pela rede externa.

Seção III

Uso

Art. 28. As análises dos registros de auditoria devem ter periodicidade, escopo e profundidade adequados que permitam:

I - a investigação, o monitoramento e a resposta a atividades ilegais, não autorizadas, suspeitas ou incomuns; e 

II - detectar anomalias ou eventos anormais que possam indicar uma ameaça potencial ou incidentes de segurança.

Art. 29. Medidas técnicas devem ser implementadas para reporte, preferencialmente automatizado, de anomalias e falhas identificadas pelo monitoramento e para notificação imediata ao responsável.

Art. 30. O comportamento dos ativos de informação deve ser analisado para detectar e mitigar a execução de comandos e scripts que possam indicar ações maliciosas.

Art. 31. O acesso por terceiros aos ativos de informação priorizados, nos termos do art. 2º, deve ser monitorado visando à identificação de atividades não autorizadas ou incomuns, quando possível.

Seção IV

Eliminação

Art. 32. Quando não forem mais necessários, os registros de auditoria devem ser eliminados da forma mais segura disponível na Anatel.

Art. 33. Devem ser implementadas medidas técnicas para impedir que os administradores e os operadores dos sistemas relacionados ao objeto auditado tenham permissão de eliminação ou de desativação dos registros de suas próprias atividades.

Art. 34. A eliminação dos registros de auditoria deve ser feita de modo a assegurar a irrecuperabilidade dos dados, destruindo, se existentes, as cópias em mídias digitais ou impressas.

Parágrafo único. No caso em que a eliminação dos registros de auditoria por meio de terceiro consistir na destruição das cópias em mídias digitais ou impressas, deverá ser designado servidor para acompanhar e registrar todo o processo até sua conclusão.

Art. 35. Mídias digitais de armazenamento podem ser reutilizadas, desde que seja realizada a sobrescrição de dados.

CAPÍTULO VI

DISPOSIÇÕES FINAIS

Art. 36. Os casos não previstos nesta norma serão analisados e decididos pela Comissão de Segurança da Informação da Anatel.

---

Documento assinado eletronicamente por Carlos Manuel Baigorri, Presidente, em 05/08/2024, às 10:02, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

---

A autenticidade deste documento pode ser conferida em https://www.anatel.gov.br/autenticidade, informando o código verificador 12214804 e o código CRC 640121BF.

---