AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES
Resolução Interna Anatel nº 463, de 16 de julho de 2025
|
Aprova a Política de Segurança da Informação da Agência Nacional de Telecomunicações - POSIN. |
O CONSELHO DIRETOR DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das atribuições que lhe foram conferidas pelo art. 133 do Regimento Interno da Anatel, aprovado pela Resolução nº 612, de 29 de abril de 2013, tendo em vista a deliberação tomada por meio do Circuito Deliberativo nº 162, de 16 de julho de 2025, e o constante dos autos do Processo nº 53500.047798/2023-83,
RESOLVE:
Art. 1º Aprovar a Política de Segurança da Informação da Agência Nacional de Telecomunicações - POSIN, na forma do Anexo a esta Resolução Interna.
Art. 2º Alterar o art. 11, § 1º, da Política de Governança, Gestão Executiva e Responsabilidade Socioambiental da Agência Nacional de Telecomunicações - PGGR, aprovada pela Resolução Interna Anatel nº 38, de 9 de agosto de 2021, que passa a vigorar com as seguintes modificações:
“Art. 11. .........................................................
§ 1º A CGE atuará como instância deliberativa na gestão de riscos e controles internos, governança de tecnologia da informação e comunicação, governança de dados, governança digital, inteligência, fiscalização regulatória, segurança da informação, dentre outras temáticas definidas pelo Conselho Diretor." (NR)
Art. 3º Alterar o Anexo III da Resolução Interna Anatel nº 38, de 9 de agosto de 2021, que passa a vigorar com as seguintes alterações:
Art. 4º Revogar as seguintes normas:
I - Resolução Interna Anatel nº 17, de 18 de maio de 2021, que aprova a Política de Segurança da Informação e Comunicações da Agência Nacional de Telecomunicações - POSIC/Anatel;
II - Resolução Interna nº 24, de 7 de junho de 2021, que estabelece a Política de Proteção de Dados Pessoais da Anatel;
III - Resolução Interna nº 206, de 16 de maio de 2023, que dispõe sobre a instituição e composição da Comissão de Segurança da Informação e Comunicações da Anatel - CSIC e define outras providências.
IV - Portaria Anatel nº 2.754, de 22 de dezembro de 2023 (SEI nº 11305610), que dispõe sobre a constituição e Regimento Interno da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR/Anatel.
Art. 5º Esta Resolução Interna entra em vigor na data de sua publicação.
 | Documento assinado eletronicamente por Vicente Bandeira de Aquino Neto, Presidente, Substituto, em 16/07/2025, às 19:50, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel. |
 | A autenticidade deste documento pode ser conferida em https://www.anatel.gov.br/autenticidade, informando o código verificador 14023119 e o código CRC 04E2F373. |
ANEXO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 1º A Política de Segurança da Informação da Anatel - POSIN tem por escopo assegurar a disponibilidade, integridade, confidencialidade, autenticidade e privacidade da informação, bem como estabelecer diretrizes, responsabilidades, competências e subsídios para a gestão da segurança da informação no âmbito da Agência.
Parágrafo único. A POSIN, seus princípios, diretrizes e a regulamentação dela decorrente devem ser observadas por todos os agentes públicos, colaboradores, fornecedores, prestadores de serviço e visitantes que tenham acesso às instalações, ambientes computacionais ou ativos de informação pertencentes ou sob custódia da Anatel, bem como devem ser aplicadas a todos os sistemas e soluções de tecnologia da informação, processos corporativos e relacionamentos firmados entre a Anatel e outros órgãos e entidades públicas e privadas.
Art. 2º Toda e qualquer informação produzida ou recebida pelos agentes públicos, colaboradores, fornecedores e prestadores de serviço em resultado do exercício de função ou atividade profissional contratada é considerada ativo de informação da Anatel, salvo os casos em que a instituição atue como depositária de informação alheia ou outras exceções devidamente formalizadas.
Parágrafo único. O uso das informações deverá ser feito apenas para o desempenho das atividades no âmbito da Agência.
Art. 3º Todos os contratos, convênios e congêneres celebrados com a Anatel devem conter cláusulas que determinem a observância da POSIN, bem como a privacidade e proteção das informações com restrição de acesso, durante e após sua vigência.
Art. 4º Para cada uma das diretrizes gerais desta POSIN poderão ser elaboradas normas, metodologias ou procedimentos de segurança da informação para complementar esta política.
§ 1º As normas complementares e planos destinados à implantação das diretrizes gerais previstas nesta política são aprovadas pelo Presidente da Anatel.
§ 2º As metodologias ou procedimentos destinados à operacionalização das diretrizes previstas nesta política ou em suas normas complementares são aprovadas pelo Superintendente de Gestão Interna da Informação.
CAPÍTULO II
CONCEITOS E DEFINIÇÕES
Art. 5º No âmbito da POSIN serão consideradas as definições apresentadas na Portaria GSI/PR nº 93, de 18 de outubro de 2021, e na Lei nº 13.709, de 14 de agosto de 2018.
CAPÍTULO III
PRINCÍPIOS
Art. 6º São princípios a serem observados na implementação da POSIN:
I - Alinhamento à missão institucional;
II - Proteção da imagem da Anatel;
III - Garantia da disponibilidade, integridade, confidencialidade, autenticidade e privacidade das informações;
IV - Transparência das informações de interesse público;
V - Proteção das informações custodiadas pela Anatel;
VI - Uso de melhores práticas e atualização tecnológica na proteção dos ativos de informação;
VII – Gerenciamento dos riscos associados aos ativos de informação;
VIII - Responsabilidade individual na utilização dos ativos de informação;
IX - Integração com o ciclo de vida dos dados e dos processos organizacionais, bem como com a gestão e a cultura organizacional da Anatel; e,
X - Manutenção da conformidade legal e normativa dos procedimentos relacionados à segurança da informação.
CAPÍTULO IV
Diretrizes Gerais
Art. 7º São diretrizes gerais para o tratamento e classificação da informação:
I - Manutenção de inventário e classificação de ativos de informação;
II - Guarda de documentos corporativos em dispositivos de armazenamento corporativo;
III - Realização de backup (cópias de segurança) dos arquivos armazenados em bases de dados corporativas;
IV - Proibição de armazenamento de arquivos não pertinentes às atividades laborais em dispositivos de armazenamento corporativo;
V - Controle e monitoramento do uso de ativos de informação; e,
VI - Proibição de acesso, guarda ou encaminhamento de material discriminatório, malicioso, não ético, obsceno ou ilegal por meio de quaisquer recursos de tecnologia da informação disponibilizados pela Anatel.
Art. 8º São diretrizes gerais para proteção dos dados:
I - Manutenção de processo de gestão de dados;
II - Manutenção de catálogo de dados (inventário);
III - Manutenção de controle de acesso aos dados;
IV - Uso de criptografia em dados utilizados em mídia removível e, sempre que possível, em dados pessoais;
V - Utilização, sempre que possível, de técnicas de anonimização ou pseudonimização em dados pessoais;
VI - Utilização de solução de prevenção contra perda de dados, se possível, por meio de ferramenta automatizada; e,
VII - Registro das operações de tratamento de dados pessoais.
Art. 9º São diretrizes gerais para segurança física e do ambiente cibernético:
I - Monitoramento e controle do acesso físico ao ambiente cibernético para assegurar que somente pessoas autorizadas tenham acesso;
II - Identificação dos agentes públicos, colaboradores, fornecedores, prestadores de serviço e visitantes por meio de uso de crachá;
III - Implementação de perímetros de segurança que garantam proteção e separação entre ambientes internos e externos;
IV - Exclusão de servidores e prestadores de serviço desligados da lista de pessoas autorizadas a acessar as dependências da Anatel; e,
V - Estabelecimento de locais de acesso restrito, com controle de entrada, para a proteção de arquivos físicos e digitais.
Art. 10. São diretrizes gerais para gestão de incidentes:
I - Designação de responsáveis para gerenciar o tratamento de incidentes;
II - Manutenção de processo de gestão de incidentes de Segurança da Informação;
III – Manutenção de Plano de Resposta a Incidentes;
IV - Condução de exercícios de resposta a incidentes;
V - Realização de análises pós-incidente; e,
VI - Elaboração de Relatório de Tratamento de Incidente.
Art. 11. São diretrizes gerais para gestão de ativos institucionais:
I - Manutenção de inventário dos ativos institucionais que armazenam ou processam dados;
II – Utilização de ferramentas que identifiquem os ativos conectados à rede e atualizem o inventário, sempre que possível, automaticamente; e,
III – Gerenciamento de ativos não autorizados para negar sua conexão à rede, removê-los da rede ou colocá-los em quarentena.
Art. 12. São diretrizes gerais para gestão de ativos de software:
I - Manutenção de inventário dos softwares instalados nos ativos institucionais;
II - Utilização de ferramentas que identifiquem os softwares instalados nos ativos institucionais e atualizem o inventário, sempre que possível, automaticamente;
III - Utilização de softwares suportados pelo fabricante;
IV - Utilização de softwares, bibliotecas ou scripts com permissão para serem executados, revisando-se periodicamente as listas de permissões; e,
V - Remoção de softwares não autorizados dos ativos institucionais ou estabelecimento de exceção documentada.
Art. 13. São diretrizes gerais para configuração segura de ativos institucionais e software:
I - Manutenção de processo de configuração segura para ativos institucionais, software e infraestrutura de rede;
II - Bloqueio automático de sessão, quando possível, nos ativos após um período definido de inatividade;
III - Configuração de servidores de Domain Name System (DNS) confiáveis nos ativos;
IV - Implementação e gerenciamento de firewall nos servidores e nos dispositivos de usuário final;
V - Gerenciamento seguro dos ativos institucionais e software;
VI - Gerenciamento de contas administrativas nos ativos institucionais e software;
VII - Desinstalação ou desativação dos serviços desnecessários nos ativos e software;
VIII - Imposição da capacidade de limpeza remota nos dispositivos portáteis do usuário final, quando suportado;
IX - Separação dos espaços de trabalho nos dispositivos móveis de usuário final, quando suportado, com isolamento de aplicações e dados institucionais de aplicações e dados pessoais; e,
X - Imposição de bloqueio automático dos dispositivos portáteis do usuário final quando houver um número pré-definido de tentativas de autenticação com falha, quando suportado.
Art. 14. São diretrizes gerais para gestão de contas:
I - Manutenção de inventário de todas as contas gerenciadas no órgão;
II - Manutenção de inventário de contas de serviço;
III - Utilização de senhas exclusivas para todos os ativos institucionais;
IV - Utilização de contas de administrador apenas para tarefas específicas de administração; e,
V - Centralização da gestão de contas e desabilitação de quaisquer contas inativas.
Art. 15. São diretrizes gerais para gestão do controle de acesso:
I - Manutenção de inventário dos sistemas de autenticação e autorização;
II - Manutenção de processo de concessão e revogação de acesso, se possível, de forma automatizada;
III - Utilização de Múltiplos Fatores de Autenticação (MFA) para, pelo menos, aplicações expostas externamente, acesso remoto à rede e contas de acesso administrativo;
IV - Centralização do controle de acesso para todos os ativos institucionais; e,
V - Manutenção do controle de acesso baseado em funções, documentando os direitos de acesso necessários para cada função na Anatel.
Art. 16. São diretrizes gerais para gestão contínua de vulnerabilidades:
I - Manutenção de processo de gestão de vulnerabilidades, incluindo a etapa de remediação para implementar ações corretivas para eliminar ou mitigar as vulnerabilidades;
II - Realização de varreduras automatizadas de vulnerabilidades em ativos institucionais; e,
III - Gestão automatizada de patches (correções) de sistema operacional e de aplicações.
Art. 17. São diretrizes gerais para gestão de riscos de segurança da informação:
I – Manutenção de processo de gestão de riscos que monitore, identifique, avalie, dê tratamento adequado e comunique os riscos relacionados à segurança da informação, considerando os relatórios de impacto à proteção de dados pessoais, quando aplicável; e,
II - Alinhamento do processo de gestão de riscos de segurança da informação ao plano de gestão de riscos da Anatel e as melhores práticas sobre o tema.
Art. 18. São diretrizes gerais para gestão de continuidade de negócios em segurança da informação:
I - Manutenção de processo de gestão de continuidade de negócios em segurança da informação alinhado ao processo de gestão de continuidade de negócios da Anatel; e,
II - Manutenção de plano de continuidade de negócios em segurança da informação.
Art. 19. São diretrizes gerais para gestão de registros de auditoria:
I - Manutenção de processo de gestão de registro de auditoria;
II - Centralização da coleta e retenção dos registros de auditoria;
III - Armazenamento adequado dos registros de auditoria;
IV - Padronização da sincronização de tempo com pelo menos duas fontes;
V - Coleta de registros de auditoria detalhados para ativos institucionais que contenham dados pessoais sensíveis; e,
VI - Coleta de registros de auditoria de consulta DNS, requisição de URL (Localizador Uniforme de Recursos, do inglês Uniform Resource Locator), linha de comando e provedores de serviços.
Art. 20. São diretrizes gerais para gestão de uso de recursos operacionais e de comunicações:
I - Utilização de navegadores e clientes de e-mail permitidos, restringindo extensões de cliente de e-mail e navegadores não autorizados;
II - Uso de serviços de filtragem de DNS nos ativos institucionais;
III - Manutenção de filtros de URL baseados em rede nos ativos institucionais;
IV - Implementação de verificação Domain-based Message Authentication Reporting and Conformance (DMARC);
V - Bloqueio de tipos de arquivos não autorizados no servidor de e-mail; e,
VI - Manutenção de proteções antimalware no servidor de e-mail.
Art. 21. São diretrizes gerais para defesas contra malware:
I - Manutenção de software antimalware baseado em comportamento e gerenciado de maneira centralizada;
II - Configuração de atualizações automáticas de assinatura antimalware e de varredura antimalware automática de mídia removível;
III - Aplicação de proteções antiexploração; e,
IV - Desabilitação da execução e reprodução automática para mídias removíveis.
Art. 22. São diretrizes gerais para recuperação de dados:
I - Manutenção de processo de recuperação de dados;
II - Proteção dos dados de recuperação por meio de segurança física ou criptografia quando são armazenados ou movidos pela rede;
III - Execução automatizada de cópias de segurança com realização de testes regulares de integridade dos dados; e,
IV - Manutenção das cópias de segurança em local diferente e independente dos dados originais (instância isolada).
Art. 23. São diretrizes gerais para gestão da infraestrutura de rede:
I - Manutenção de diagramas da arquitetura de rede;
II - Atualização periódica das versões de software da infraestrutura de rede;
III - Gestão da infraestrutura de rede com segurança;
IV - Utilização de autenticação, autorização e auditoria de rede (AAA) centralizada;
V - Utilização de protocolos de comunicação e gestão de rede seguros;
VI - Garantia de que os dispositivos remotos utilizem uma VPN (Rede Virtual Privada, do inglês Virtual Private Network) e se conectem em uma infraestrutura AAA segura; e,
VII - Utilização e manutenção de recursos cibernéticos dedicados para administração da rede.
Art. 24. São diretrizes gerais para monitoramento e defesa da rede:
I - Realização de filtragem de tráfego entre os segmentos de rede;
II - Gerenciamento de controle de acesso em ativos que se conectam à rede, inclusive os dispositivos particulares;
III - Utilização de sistemas de detecção de intrusão (IDS) baseados em dispositivo (host) e em rede;
IV - Utilização de controle de acesso a nível de porta;
V - Uso de filtragem de camada de aplicação para análise e controle do tráfego de dados;
VI - Centralização de alertas de eventos de segurança em ativos institucionais para correlação de eventos e análise dos registros; e,
VII - Coleta de registros de fluxo e tráfego de rede.
Art. 25. São diretrizes gerais para conscientização e treinamento sobre segurança da informação:
I - Inclusão no Plano de Desenvolvimento de Pessoas (PDP) de necessidades de capacitação em segurança da informação; e,
II - Realização de campanhas para conscientização em segurança da informação.
Art. 26. São diretrizes gerais para gestão de prestadores de serviços:
I - Manutenção de inventário contendo no mínimo classificação, avaliação, monitoramento e descomissionamento de prestadores de serviço;
II - Inserção de requisitos mínimos de segurança da informação e de privacidade nos contratos dos prestadores de serviços; e,
III - Descomissionamento com segurança dos prestadores de serviços.
Parágrafo único. O descomissionamento de prestador de serviço envolve notificação de encerramento do contrato, planejamento da transição de serviços, transferência segura de dados, revogação de acessos, desativação de recursos tecnológicos e documentação do processo.
Art. 27. São diretrizes gerais para segurança de aplicações:
I - Manutenção de processo de desenvolvimento seguro de aplicações;
II - Manutenção de processo de gestão de vulnerabilidades de aplicações;
III - Manutenção de ambientes separados para sistemas de produção e não produção;
IV - Realização de teste de invasão de aplicações; e,
V - Desenvolvimento com bases em princípios de privacidade e segurança por padrão e desde a concepção.
Art. 28. São diretrizes gerais para testes de intrusão:
I – Realização periódica de testes de intrusão;
II - Correção das vulnerabilidades descobertas nos testes de intrusão; e,
III - Validação das medidas de segurança após testes de intrusão.
Art. 29. São diretrizes gerais para privacidade de dados:
I – Mapeamento e revisão periódica dos fluxos de dados pessoais;
II – Limitação da coleta e do tratamento de dados pessoais ao mínimo necessário para a finalidade específica; e,
III – Implementação de medidas de segurança para proteger dados pessoais alinhadas com a Lei nº 13.709, de 14 de agosto de 2018 e as melhores práticas.
CAPÍTULO V
ESTRUTURA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Seção I
Composição
Art. 30. A estrutura de gestão da Segurança da Informação da Anatel é composta pela Comissão de Gestão Executiva - CGE, pelo Gestor de Segurança da Informação e pela Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR.
§ 1º A Comissão de Gestão Executiva - CGE exerce as atribuições de Comissão de Segurança da Informação dispostas na Instrução Normativa nº 1, de 27 de maio de 2020, do Gabinete de Segurança Institucional da Presidência da República.
§ 2º O Superintendente de Gestão Interna da Informação exerce as atribuições de Gestor de Segurança da Informação dispostas na Instrução Normativa nº 1, de 27 de maio de 2020, do Gabinete de Segurança Institucional da Presidência da República.
§ 3º Cabe ao Gestor de Segurança da Informação designar os integrantes da ETIR.
Seção II
Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR
Art. 31. A ETIR é responsável pela coordenação das atividades de prevenção, tratamento e resposta a incidentes cibernéticos e pelo recebimento de comunicação de qualquer evento adverso confirmado ou sob suspeita relacionado à segurança cibernética.
§ 1º A ETIR se reporta ao Gestor de Segurança da Informação.
§ 2º A ETIR se relaciona com o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo - CTIR Gov, outros CSIRTs (Computer Security Incident Response Teams) e outras equipes similares da Rede Federal de Gestão de Incidentes Cibernéticos - REGIC.
Art. 32. São atribuições da ETIR:
I - Adotar as providências de emergência pertinentes imediatamente após detecção ou conhecimento de incidentes de segurança da informação no âmbito da Anatel;
II - Adotar todas as ações de segurança necessárias, tais como acessar e bloquear temporariamente, sem aviso prévio, os ativos de informação, o acesso individual ou coletivo às soluções de tecnologia da informação, a fim de coletar evidências ou minimizar os riscos à segurança da informação, mediante autorização do Gestor de Segurança da Informação;
III - Analisar os incidentes de segurança da informação e encaminhar relatório à CGE quando o incidente registrado tiver o potencial de impactar a continuidade de negócios da Anatel; e,
IV - Prover as informações disponíveis ao encarregado para subsidiar a comunicação com a Autoridade Nacional de Proteção de Dados (ANPD) e com os titulares de dados pessoais quando da ocorrência de incidentes de segurança da informação envolvendo risco ou dano aos titulares desses dados.
Art. 33. São atribuições do coordenador da ETIR:
I - Chefiar e gerenciar a equipe;
II - Criar os procedimentos internos, caso necessário;
III - Distribuir e gerenciar as atividades e tarefas da ETIR; e,
IV - Ser a interface com o CTIR Gov.
Parágrafo único. As atribuições do agente responsável previstas na Norma Complementar nº 05/IN01/DSIC/GSIPR, de 14 de agosto de 2009, serão desempenhadas pelo coordenador da ETIR.
CAPÍTULO VI
APOIO À ESTRUTURA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Art. 34. São atribuições da Superintendência de Gestão Interna da Informação - SGI:
I - Prestar apoio técnico e administrativo às atividades da CGE;
II - Propor à CGE a atualização da POSIN, das normas e dos procedimentos de segurança da informação, sempre que houver alteração no ambiente computacional ou atualizações tecnológicas, a fim de promover a melhoria contínua do nível de segurança;
III - Apresentar os relatórios do processo de Gestão de Riscos de Segurança da Informação à CGE;
IV - Definir as soluções técnicas necessárias para a implantação e adequação do ambiente da Anatel à POSIN e suas normas integrantes;
V - Disponibilizar recursos tecnológicos necessários à implementação das ações de segurança da informação;
VI - Coordenar o tratamento de vulnerabilidades; e,
VII - Disseminar informações, alertas e advertências relacionadas à segurança da informação.
Art. 35. Cabe aos usuários e custodiantes dos ativos de informação:
I - Conhecer e cumprir a POSIN, bem como os demais instrumentos normativos relacionados;
II - Proteger as informações em meio físico ou eletrônico em sua posse contra acessos, modificação, destruição ou divulgação não autorizados;
III - Usar os ativos de informação para as finalidades que foram estabelecidas;
IV - Não discutir assuntos de trabalho que envolvam informações de acesso restrito obtidas em virtude das atividades desempenhadas na Anatel em ambientes públicos ou em áreas expostas, incluindo a emissão de comentários e opiniões pessoais na mídia e na Internet em nome da Anatel;
V - Assegurar que ativos de informação pessoais ou não, que sejam utilizados para a realização de atividades da Agência e que não estejam sendo monitorados pelas ferramentas e soluções de segurança da Anatel, possuam a proteção adequada, visando atender os princípios de segurança da informação definidos nesta Política;
VI - Solicitar autorização para uso de dispositivos particulares que se conectem à rede corporativa;
VII - Assegurar que os dispositivos particulares autorizados a se conectarem à rede cumpram os requisitos de segurança estabelecidos; e,
VIII - Comunicar imediatamente a ETIR qualquer incidente ou suspeita de incidente, bem como a existência de vulnerabilidade ou ameaça à segurança da informação da Agência.
CAPÍTULO VII
PENALIDADES
Art. 36. A violação da POSIN e suas normas complementares ou a quebra de segurança poderão acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados o contraditório e a ampla defesa.
CAPÍTULO VIII
POLÍTICA DE ATUALIZAÇÃO
Art. 37. A POSIN e suas normas complementares devem ser revisadas periodicamente ou caso ocorram eventos ou fatos relevantes que exijam uma revisão extraordinária, nos termos dos normativos emitidos pelas autoridades competentes.
| Referência: Processo nº 53500.047798/2023-83 | SEI nº 14023119 |