SEI/ANATEL - 3670812

O PRESIDENTE DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das competências que lhe conferem o art. 136, inciso I, do Regimento Interno da Agência Nacional de Telecomunicações - Anatel, aprovado pela Resolução nº 612, de 29 de abril de 2013, e o Art. 5º da Portaria nº 1016, de 25 de julho de 2017, que aprova a Política de Segurança de Informação e Comunicações da Anatel (POSIC/Anatel), e

CONSIDERANDO os princípios, objetivos e diretrizes referentes à Política de Segurança da Informação e Comunicações da Anatel (POSIC/Anatel), aprovada pela Portaria nº 1016, de 25 de julho de 2017;

CONSIDERANDO a responsabilidade da Comissão de Segurança da Informação e Comunicações da Anatel (CSIC/Anatel) de propor normas e procedimentos inerentes à Segurança da Informação e Comunicações;

CONSIDERANDO a necessidade de preservar a confidencialidade, integridade, disponibilidade e autenticidade das informações produzidas e custodiadas pela Anatel;

CONSIDERANDO a necessidade de estabelecer e aprimorar os procedimentos relacionados com o controle de acesso lógico aos ativos de informação da Anatel;

Art. 1º Aprovar a Norma de Segurança para Controle de Acesso Lógico e Uso da Rede de Computadores da Anatel.

Documento assinado eletronicamente por Leonardo Euler de Morais, Presidente, em 28/02/2019, às 15:23, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 3670812 e o código CRC 1BEB0EDB.

NORMA DE SEGURANÇA PARA CONTROLE DE ACESSO LÓGICO E USO DA REDE DE COMPUTADORES DA ANATEL

Art. 1º As regras gerais de controle de acesso lógico e uso da rede de computadores da Anatel obedecem ao disposto nesta Norma, observada a legislação vigente.
Parágrafo único. Esta Norma de segurança integra a Política de Segurança da Informação e Comunicações da Agência Nacional de Telecomunicações (POSIC/Anatel), aprovada pela Portaria nº 1016, de 25 de julho de 2017.

Art. 2º Todo usuário da rede de computadores da Anatel é responsável pela segurança da informação que manipular, bem como dos recursos computacionais que utilizar, observadas as disposições da POSIC/Anatel e suas normas de segurança específicas.

Art. 3º As credenciais de acesso à rede de computadores, os recursos computacionais, bem como as informações e os dados disponibilizados devem ser utilizados para assuntos de interesse da Agência, em conformidade com a legislação em vigor e de acordo com as normas de segurança integrantes da POSIC/Anatel.

I - acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem como o uso dos ativos de informação da Anatel, nos quais se inserem inclusive os sistemas da Agência;

III - contas de serviço: contas de acesso à rede de computadores necessárias a um procedimento automático (aplicação, script, etc.);

IV - controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder, bloquear ou desativar o acesso;

V - credenciais ou contas de acesso: permissões, concedidas por autoridade competente após o processo de credenciamento, que habilitam determinada pessoa, sistema ou organização ao acesso;

VI - credenciamento: processo pelo qual o usuário recebe credenciais que concederão o acesso, incluindo a identificação, a autenticação, o cadastramento de código de identificação e a definição do perfil de acesso em função da autorização prévia e da necessidade de conhecer;

VII - desativação de acesso: processo que tem por finalidade suspender definitivamente o acesso, incluindo o cancelamento do código de identificação e do perfil de acesso;

VIII - gestor de solução de TI: servidor da Anatel responsável pela definição das diretrizes e dos requisitos de negócio referentes ao controle de acesso lógico às soluções de TI da Agência sob sua responsabilidade;

IX - necessidade de conhecer ou necessidade de trabalho: condição pessoal, inerente ao efetivo exercício de cargo, função, emprego ou atividade, indispensável para o usuário ter acesso à informação, especialmente se for sigilosa, bem como o acesso aos ativos de informação;

X - perfil de acesso: conjunto de atributos de cada usuário, definidos previamente como necessários para a credencial de acesso;

XI - prestador de serviço: pessoa envolvida com o desenvolvimento de atividades, de caráter temporário ou eventual, exclusivamente para o interesse do serviço, que poderão receber credencial de acesso;

XII - princípio do menor privilégio: princípio segundo o qual devem ser delegados, aos colaboradores ou elementos, apenas os privilégios necessários para realizar sua função na organização;

XIII - sistema de controle de acesso: é um conjunto de ferramentas que se destina a controlar, conceder ou revogar a permissão de acesso a pessoas, locais, informações ou sistemas, bem como monitorar e registrar os acessos realizados, de acordo com as regras definidas pela unidade gestora ou pelo gestor de solução de TI; e

XIV - unidade gestora: unidade subordinada à Superintendência de Gestão Interna da Informação (SGI) responsável pela definição de diretrizes e requisitos de negócio para controle de acesso lógico e físico à rede de computadores e às bases de dados da Anatel, bem como de regras para acessá-la.

II - zelar pelo atendimento aos princípios da segurança, integridade, sigilo e disponibilidade dos serviços e dados transmitidos por meio da rede de computadores;

III - prover meios tecnológicos necessários à adequada utilização da rede de computadores;

IV - manter em local seguro e restrito os registros de eventos e dados de auditoria acerca da utilização da rede de computadores;

VI - implementar mecanismos de complexidade e alteração periódica das senhas das credenciais de acesso;

VII - criar e administrar as contas de acesso, bem como definir os perfis de acesso adequados para a utilização da rede de computadores e às bases de dados da Anatel;

VIII - disponibilizar ao usuário, que não exerce funções de administração da rede local, somente uma única conta institucional de acesso, pessoal e intransferível;

IX - garantir que a utilização de conta de acesso no perfil de administrador seja realizada somente por usuários cadastrados para execução de tarefas específicas na administração de ativos de informação;

X - definir as regras de criação e de administração de conta de serviço vinculada a um processo automatizado;

XI - definir as regras para credenciamento, revisão, bloqueio e desativação de contas de acesso de seus usuários, incluindo os ambientes de desenvolvimento e homologação;

XII - realizar o credenciamento, a revisão, o bloqueio e a desativação do acesso de credencias à rede de computadores e às bases de dados da Anatel, mediante solicitação formalizada pela área de recursos humanos ou pela chefia imediata do usuário;

XIII - utilizar mecanismos automáticos para inibir que equipamentos não autorizados se conectem na rede de computadores da Agência;

XIV - respeitar o princípio do menor privilégio ao configurar as credenciais ou contas de acesso dos usuários aos ativos de informação; e

XV - segregar a rede de computadores em diferentes domínios lógicos de acordo com os grupos de serviços de informação, usuários, sistemas de informação e criticidade, dentre outros, visando a garantia das propriedades de segurança dos ativos de informação da Agência.

Art. 6º A unidade gestora manterá registros de eventos relacionados ao funcionamento e operação da rede de computadores da Anatel pelo prazo mínimo estipulado em legislação e normativos específicos, a contar da data do acesso.

Art. 7º As alterações e paralisações dos serviços de rede para manutenção preventiva, que impactarem nas atividades da Agência, serão realizadas preferencialmente fora do horário de expediente da Agência e deverão ser previamente comunicadas pela unidade gestora a todos os usuários,.

Art. 8º Caberá à unidade gestora comunicar aos usuários da rede de computadores da Anatel, assim que possível, os casos de indisponibilidade não programada.

Art. 9º As regras para credenciamento, revisão, bloqueio e desativação de contas de acesso e de criação e administração de contas de serviço, definidas pela unidade gestora, devem observar as diretrizes dispostas na POSIC/Anatel e em suas normas de segurança específicas, bem como as regras gerais aplicáveis à segurança da informação e comunicações.

§ 1º Para as soluções de tecnologia da informação, cujas informações e operações exijam acesso restrito a servidores por questões de sigilo, nos termos da legislação aplicável, é vedada a concessão de perfil de acesso para profissionais de empresas contratadas e estagiários.

§ 2º As contas de acesso para profissionais de empresas contratadas e estagiários devem ter prazo de validade máximo igual ao período de vigência do contrato ou período de duração de suas atividades, momento em que deverão ser imediatamente desativadas.

§ 3º É vedada a concessão de perfil de acesso que não seja compatível com as atividades do usuário e sua respectiva necessidade de trabalho.

§ 4º Caso o usuário verifique que o seu perfil de acesso seja superior às suas necessidades de trabalho, ele deverá informar à chefia imediata, que solicitará a adequação do referido perfil à unidade gestora.

§ 5º A concessão de perfil de acesso específico às funcionalidades de cada solução de TI da Agência é de responsabilidade do gestor da respectiva solução, em conformidade com o estabelecido na Norma de Segurança para Acesso às Soluções de TI da Anatel.

§ 6º A criação de conta de acesso deve ser precedida da assinatura do Termo de Responsabilidade, em conformidade com o modelo anexo à Norma de Segurança para Acesso às Soluções de TI.

V - alcançado o número máximo de tentativas de acesso incorretas, definido pela unidade gestora;

VIII - o usuário estiver sob licença para tratamento de assuntos particulares, para prestação de serviço militar ou para exercício de atividade política.

Parágrafo único. Compete à área de Recursos Humanos da Anatel notificar à unidade gestora a data de cessão ou de licença concedida ao servidor.

I - imediatamente, após exoneração ou encerramento do contrato de prestação de serviço ou do termo de compromisso de estágio; e

II - 90 (noventa) dias após a aposentadoria do usuário, período em que terá acesso somente ao serviço de correio eletrônico.

§ 1º Compete à área de Recursos Humanos da Anatel notificar à unidade gestora a data de exoneração ou aposentadoria do servidor ou de interrupção de vínculo com estagiário.

§ 2º No caso de colaborador terceirizado, compete à unidade fiscalizadora do contrato notificar imediatamente à unidade gestora a cessação dos serviços prestados pelo usuário.

Art. 12. Compete ao titular, ou substituto, da área solicitante do perfil de acesso, dar ciência aos servidores, profissionais de empresas contratadas e estagiários das regras contidas na POSIC/Anatel e nas normas de segurança específicas que a integram.

Art. 13. A senha associada à conta de usuário para acesso à rede de computadores da Anatel é pessoal, intransferível e o devido sigilo é de responsabilidade exclusiva do titular da conta.

Art. 14. A rede de computadores e os demais recursos de TI colocados à disposição dos usuários devem ser usados de modo compatível com o exercício do cargo e de forma que não comprometa a segurança da informação e a eficiência do ambiente computacional da Anatel, podendo ocorrer por parte da Anatel análises e monitoramento sobre:

II - as mensagens ocorridas nas caixas postais do serviço de correio eletrônico da Anatel; e

Parágrafo único. Nas análises e monitoramentos são asseguradas a inviolabilidade da intimidade no que se refere a outras formas privadas de comunicação não institucionais, por exemplo, o acesso a conta de e-mail não corporativo.

Art. 15. O acesso à rede de computadores da Anatel deverá ser realizado apenas por meio de equipamentos disponibilizados ou autorizados pela unidade gestora.

§ 1º Entende-se por equipamentos disponibilizados ou autorizados pela unidade gestora aqueles pertencentes à Agência, que integrem contratos de prestação de serviços, ou particulares, desde que seu uso seja autorizado.

§ 2º Os equipamentos devem atender às normas de segurança e possuir apenas programas licenciados e autorizados pela unidade gestora.

§ 3º A unidade gestora definirá os requisitos mínimos de segurança necessários para a realização de trabalho remoto autorizado pela Agência.

Art. 16. Aplicam-se à rede sem fio todas as disposições e procedimentos de acesso definidos nesta Norma.

Art. 17. A conexão de dispositivo móvel à rede de computadores da Anatel deve seguir procedimentos específicos definidos pela unidade gestora.

Parágrafo único. No caso de dispositivo móvel particular, a conexão direta à rede de computadores da Anatel, quando permitida, fica restrita ao acesso à internet por meio de rede sem fio, salvo os dispositivos autorizados pela unidade gestora.

Art. 18. A unidade gestora deve divulgar os requisitos de compatibilidade e de configuração de dispositivo móvel para conexão à rede sem fio da Agência.

Parágrafo único. A configuração de dispositivo móvel particular para acesso à rede sem fio da Anatel é de responsabilidade do usuário.

Art. 19 A Superintendência de Gestão Interna da Informação (SGI) não é responsável pela resolução de problemas na utilização da rede sem fio da Anatel por dispositivos móveis particulares ou pela resolução de problemas relativos a acesso de dispositivos móveis da Agência a redes sem fio de terceiros.

Art. 20. A concessão de acesso à rede sem fio da Agência para visitantes é precedida da identificação e do registro das informações pessoais, do credenciamento, e da assinatura do Termo de Responsabilidade para Acesso às Soluções de TI em livro ata específico e, consequentemente, da devida ciência da POSIC/Anatel e das suas normas de segurança específicas.

Art. 21. Os ativos de informação devem ser configurados de forma a registrar no mínimo todos os eventos relevantes de Segurança da Informação e Comunicações (SIC) em conformidade com as disposições da legislação e normativos específicos, que estabelecerem as diretrizes para o registro de eventos, coleta e preservação de evidências de incidentes de segurança em redes nos órgãos e entidades da administração pública federal, direta e indireta.

Art. 22. Os registros dos eventos relevantes definidos no Art. 21 poderão ser utilizados:

I - pela unidade gestora nos casos previstos nas normas internas de segurança integrantes da POSIC/Anatel e para investigação de eventos e incidentes de segurança da informação e comunicações;

II - pela unidade gestora para geração de relatórios e verificação periódica, de modo a identificar ocorrências de acessos indevidos ou indícios de uso inadequado da rede de computadores da Agência;

III - para atender demanda da Corregedoria, de Comissões de Sindicância e de Processo Administrativo Disciplinar formalmente constituídas;

V - cumprimento da legislação em vigor que regula o acesso a informações no Governo Federal e no âmbito da Anatel, respeitando a classificação das informações e o art. 5º da Constituição Federal.

Art. 23. As suspeitas de infração, os incidentes que afetem a segurança da informação e comunicações e o descumprimento das regras previstas nesta Norma devem ser imediatamente notificados à Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais da Anatel (ETIR/Anatel) por meio da caixa corporativa “CC - ETIR”: etir@anatel.gov.br.

Parágrafo único. A ETIR/Anatel poderá bloquear, temporariamente, sem aviso prévio, o acesso individual ou coletivo às soluções de TI, a fim de coletar evidências ou minimizar os riscos à segurança da informação e comunicações.

Art. 24. Os casos omissos serão dirimidos pela Comissão de Segurança da Informação e Comunicações da Anatel (CSIC/Anatel).

Art. 25. A inobservância aos dispositivos da presente Norma poderá ensejar a aplicação, isolada ou cumulativa, de sanções administrativas, civis e penais.