Boletim de Serviço Eletrônico em 28/02/2019

  

  

AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES

  

Portaria nº 10, de 02 de janeiro de 2019

  

Dispõe sobre as regras gerais de controle de acesso lógico e uso da rede de computadores da Anatel

O PRESIDENTE DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das competências que lhe conferem o art. 136, inciso I, do Regimento Interno da Agência Nacional de Telecomunicações - Anatel, aprovado pela Resolução nº 612, de 29 de abril de 2013, e o Art. 5º da Portaria nº 1016, de 25 de julho de 2017, que aprova a Política de Segurança de Informação e Comunicações da Anatel (POSIC/Anatel), e

CONSIDERANDO os princípios, objetivos e diretrizes referentes à Política de Segurança da Informação e Comunicações da Anatel (POSIC/Anatel), aprovada pela Portaria nº 1016, de 25 de julho de 2017;

CONSIDERANDO a responsabilidade da Comissão de Segurança da Informação e Comunicações da Anatel (CSIC/Anatel) de propor normas e procedimentos inerentes à Segurança da Informação e Comunicações;

CONSIDERANDO a necessidade de preservar a confidencialidade, integridade, disponibilidade e autenticidade das informações produzidas e custodiadas pela Anatel;

CONSIDERANDO a necessidade de estabelecer e aprimorar os procedimentos relacionados com o controle de acesso lógico aos ativos de informação da Anatel;

CONSIDERANDO o constante dos autos do Processo nº 53500.031673/2016-11;

CONSIDERANDO o constante dos autos do Processo nº 53500.024589/2016-32,

RESOLVE:

Art.  1º  Aprovar a Norma de Segurança para Controle de Acesso Lógico e Uso da Rede de Computadores da Anatel.

Art.  2º  Esta Portaria entra em vigor na data de sua publicação.


LEONARDO EULER DE MORAIS
Presidente da Anatel


logotipo

Documento assinado eletronicamente por Leonardo Euler de Morais, Presidente, em 28/02/2019, às 15:23, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.


QRCode Assinatura

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 3670812 e o código CRC 1BEB0EDB.



anexo

NORMA DE SEGURANÇA PARA CONTROLE DE ACESSO LÓGICO E USO DA REDE DE COMPUTADORES DA ANATEL

CAPÍTULO I
DAS DISPOSIÇÕES GERAIS

Art.  1º  As regras gerais de controle de acesso lógico e uso da rede de computadores da Anatel obedecem ao disposto nesta Norma, observada a legislação vigente.
Parágrafo único. Esta Norma de segurança integra a Política de Segurança da Informação e Comunicações da Agência Nacional de Telecomunicações (POSIC/Anatel), aprovada pela Portaria nº 1016, de 25 de julho de 2017.

Art.  2º  Todo usuário da rede de computadores da Anatel é responsável pela segurança da informação que manipular, bem como dos recursos computacionais que utilizar, observadas as disposições da POSIC/Anatel e suas normas de segurança específicas. 

CAPÍTULO II

DOS CONCEITOS E DEFINIÇÕES

Art.  3º  As credenciais de acesso à rede de computadores, os recursos computacionais, bem como as informações e os dados disponibilizados devem ser utilizados para assuntos de interesse da Agência, em conformidade com a legislação em vigor e de acordo com as normas de segurança integrantes da POSIC/Anatel.

Art.  4º  Para os fins desta Norma, entende-se por:

I -  acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem como o uso dos ativos de informação da Anatel, nos quais se inserem inclusive os sistemas da Agência;

II -  bloqueio de acesso: processo que tem por finalidade suspender o acesso;

III -  contas de serviço: contas de acesso à rede de computadores necessárias a um procedimento automático (aplicação, script, etc.);

IV -  controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder, bloquear ou desativar o acesso;

V -  credenciais ou contas de acesso: permissões, concedidas por autoridade competente após o processo de credenciamento, que habilitam determinada pessoa, sistema ou organização ao acesso;

VI -  credenciamento: processo pelo qual o usuário recebe credenciais que concederão o acesso, incluindo a identificação, a autenticação, o cadastramento de código de identificação e a definição do perfil de acesso em função da autorização prévia e da necessidade de conhecer;

VII -  desativação de acesso: processo que tem por finalidade suspender definitivamente o acesso, incluindo o cancelamento do código de identificação e do perfil de acesso;

VIII -  gestor de solução de TI: servidor da Anatel responsável pela definição das diretrizes e dos requisitos de negócio referentes ao controle de acesso lógico às soluções de TI da Agência sob sua responsabilidade;

IX -  necessidade de conhecer ou necessidade de trabalho: condição pessoal, inerente ao efetivo exercício de cargo, função, emprego ou atividade, indispensável para o usuário ter acesso à informação, especialmente se for sigilosa, bem como o acesso aos ativos de informação;

X -  perfil de acesso: conjunto de atributos de cada usuário, definidos previamente como necessários para a credencial de acesso;

XI -  prestador de serviço: pessoa envolvida com o desenvolvimento de atividades, de caráter temporário ou eventual, exclusivamente para o interesse do serviço, que poderão receber credencial de acesso;

XII - princípio do menor privilégio: princípio segundo o qual devem ser delegados, aos colaboradores ou elementos, apenas os privilégios necessários para realizar sua função na organização;

XIII -  sistema de controle de acesso: é um conjunto de ferramentas que se destina a controlar, conceder ou revogar a permissão de acesso a pessoas, locais, informações ou sistemas, bem como monitorar e registrar os acessos realizados, de acordo com as regras definidas pela unidade gestora ou pelo gestor de solução de TI; e

XIV -  unidade gestora: unidade subordinada à Superintendência de Gestão Interna da Informação (SGI) responsável pela definição de diretrizes e requisitos de negócio para controle de acesso lógico e físico à rede de computadores e às bases de dados da Anatel, bem como de regras para acessá-la.

CAPÍTULO III

DA UNIDADE GESTORA

Art.  5º  Compete à unidade gestora:

I -  gerir o sistema de controle de acesso da Agência;

II -  zelar pelo atendimento aos princípios da segurança, integridade, sigilo e disponibilidade dos serviços e dados transmitidos por meio da rede de computadores;

III -  prover meios tecnológicos necessários à adequada utilização da rede de computadores;

IV -  manter em local seguro e restrito os registros de eventos e dados de auditoria acerca da utilização da rede de computadores;

V -  implementar mecanismos de segurança adequados;

VI -  implementar mecanismos de complexidade e alteração periódica das senhas das credenciais de acesso;

VII -  criar e administrar as contas de acesso, bem como definir os perfis de acesso adequados para a utilização da rede de computadores e às bases de dados da Anatel;

VIII -  disponibilizar ao usuário, que não exerce funções de administração da rede local, somente uma única conta institucional de acesso, pessoal e intransferível;

IX -  garantir que a utilização de conta de acesso no perfil de administrador seja realizada somente por usuários cadastrados para execução de tarefas específicas na administração de ativos de informação;

X -  definir as regras de criação e de administração de conta de serviço vinculada a um processo automatizado;

XI -  definir as regras para credenciamento, revisão, bloqueio e desativação de contas de acesso de seus usuários, incluindo os ambientes de desenvolvimento e homologação;

XII -  realizar o credenciamento, a revisão, o bloqueio e a desativação do acesso de credencias à rede de computadores e às bases de dados da Anatel, mediante solicitação formalizada pela área de recursos humanos ou pela chefia imediata do usuário;

XIII -  utilizar mecanismos automáticos para inibir que equipamentos não autorizados se conectem na rede de computadores da Agência;

XIV -  respeitar o princípio do menor privilégio ao configurar as credenciais ou contas de acesso dos usuários aos ativos de informação; e

XV -  segregar a rede de computadores em diferentes domínios lógicos de acordo com os grupos de serviços de informação, usuários, sistemas de informação e criticidade, dentre outros, visando a garantia das propriedades de segurança dos ativos de informação da Agência.

Art.  6º  A unidade gestora manterá registros de eventos relacionados ao funcionamento e operação da rede de computadores da Anatel pelo prazo mínimo estipulado em legislação e normativos específicos, a contar da data do acesso.

Art.  7º  As alterações e paralisações dos serviços de rede para manutenção preventiva, que impactarem nas atividades da Agência, serão realizadas preferencialmente fora do horário de expediente da Agência e deverão ser previamente comunicadas pela unidade gestora a todos os usuários,.

Art.  8º  Caberá à unidade gestora comunicar aos usuários da rede de computadores da Anatel, assim que possível, os casos de indisponibilidade não programada.

CAPÍTULO IV

DA CONCESSÃO, REVISÃO, BLOQUEIO E DESATIVAÇÃO DAS CREDENCIAIS DE ACESSO

Art.  9º  As regras para credenciamento, revisão, bloqueio e desativação de contas de acesso e de criação e administração de contas de serviço, definidas pela unidade gestora, devem observar as diretrizes dispostas na POSIC/Anatel e em suas normas de segurança específicas, bem como as regras gerais aplicáveis à segurança da informação e comunicações.

§  1º  Para as soluções de tecnologia da informação, cujas informações e operações exijam acesso restrito a servidores por questões de sigilo, nos termos da legislação aplicável, é vedada a concessão de perfil de acesso para profissionais de empresas contratadas e estagiários.

§  2º As contas de acesso para profissionais de empresas contratadas e estagiários devem ter prazo de validade máximo igual ao período de vigência do contrato ou período de duração de suas atividades, momento em que deverão ser imediatamente desativadas.

§  3º  É vedada a concessão de perfil de acesso que não seja compatível com as atividades do usuário e sua respectiva necessidade de trabalho.

§  4º  Caso o usuário verifique que o seu perfil de acesso seja superior às suas necessidades de trabalho, ele deverá informar à chefia imediata, que solicitará a adequação do referido perfil à unidade gestora.

§  5º  A concessão de perfil de acesso específico às funcionalidades de cada solução de TI da Agência é de responsabilidade do gestor da respectiva solução, em conformidade com o estabelecido na Norma de Segurança para Acesso às Soluções de TI da Anatel.

§  6º  A criação de conta de acesso deve ser precedida da assinatura do Termo de Responsabilidade, em conformidade com o modelo anexo à Norma de Segurança para Acesso às Soluções de TI.

Art.  10.  As credenciais de acesso serão bloqueadas quando:

I -  solicitado pelo usuário;

II -  solicitado formalmente pela corregedoria;

III - solicitado pela chefia imediata;

IV -  solicitado pela área de recursos humanos;

V - alcançado o número máximo de tentativas de acesso incorretas, definido pela unidade gestora;

VI -  não forem utilizadas por período superior a 90 (noventa) dias;

VII -  o usuário for cedido ou requisitado à outro órgão público; e

VIII -  o usuário estiver sob licença para tratamento de assuntos particulares, para prestação de serviço militar ou para exercício de atividade política.

Parágrafo único.  Compete à área de Recursos Humanos da Anatel notificar à unidade gestora a data de cessão ou de licença concedida ao servidor.

Art.  11.  As credenciais de acesso serão desativadas:

I -  imediatamente, após exoneração ou encerramento do contrato de prestação de serviço ou do termo de compromisso de estágio; e

II -  90 (noventa) dias após a aposentadoria do usuário, período em que terá acesso somente ao serviço de correio eletrônico.

§  1º  Compete à área de Recursos Humanos da Anatel notificar à unidade gestora a data de exoneração ou aposentadoria do servidor ou de interrupção de vínculo com estagiário. 

§  2º  No caso de colaborador terceirizado, compete à unidade fiscalizadora do contrato notificar imediatamente à unidade gestora a cessação dos serviços prestados pelo usuário.

CAPÍTULO V

DAS RESPONSABILIDADES

Art.  12.  Compete ao titular, ou substituto, da área solicitante do perfil de acesso, dar ciência aos servidores, profissionais de empresas contratadas e estagiários das regras contidas na POSIC/Anatel e nas normas de segurança específicas que a integram.

Art.  13.  A senha associada à conta de usuário para acesso à rede de computadores da Anatel é pessoal, intransferível e o devido sigilo é de responsabilidade exclusiva do titular da conta.

CAPÍTULO VI

DO USO

 

Art.  14.  A rede de computadores e os demais recursos de TI colocados à disposição dos usuários devem ser usados de modo compatível com o exercício do cargo e de forma que não comprometa a segurança da informação e a eficiência do ambiente computacional da Anatel, podendo ocorrer por parte da Anatel análises e monitoramento sobre:

I - os arquivos armazenados no ambiente computacional da Anatel;

II - as mensagens ocorridas nas caixas postais do serviço de correio eletrônico da Anatel; e

III - o tráfego de rede de computadores.

Parágrafo único. Nas análises e monitoramentos são asseguradas a inviolabilidade da intimidade no que se refere a outras formas privadas de comunicação não institucionais, por exemplo, o acesso a conta de e-mail não corporativo.

Art.  15.  O acesso à rede de computadores da Anatel deverá ser realizado apenas por meio de equipamentos disponibilizados ou autorizados pela unidade gestora.

§  1º  Entende-se por equipamentos disponibilizados ou autorizados pela unidade gestora aqueles pertencentes à Agência, que integrem contratos de prestação de serviços, ou particulares, desde que seu uso seja autorizado.

§  2º  Os equipamentos devem atender às normas de segurança e possuir apenas programas licenciados e autorizados pela unidade gestora.

§  3º  A unidade gestora definirá os requisitos mínimos de segurança necessários para a realização de trabalho remoto autorizado pela Agência.

CAPÍTULO VII

DOS DISPOSITIVOS MÓVEIS E DA REDE SEM FIO

Art.  16.  Aplicam-se à rede sem fio todas as disposições e procedimentos de acesso definidos nesta Norma.

Art.  17.  A conexão de dispositivo móvel à rede de computadores da Anatel deve seguir procedimentos específicos definidos pela unidade gestora.

Parágrafo único. No caso de dispositivo móvel particular, a conexão direta à rede de computadores da Anatel, quando permitida, fica restrita ao acesso à internet por meio de rede sem fio, salvo os dispositivos autorizados pela unidade gestora.

Art.  18.  A unidade gestora deve divulgar os requisitos de compatibilidade e de configuração de dispositivo móvel para conexão à rede sem fio da Agência.

Parágrafo único. A configuração de dispositivo móvel particular para acesso à rede sem fio da Anatel é de responsabilidade do usuário.

Art.  19  A Superintendência de Gestão Interna da Informação (SGI) não é responsável pela resolução de problemas na utilização da rede sem fio da Anatel por dispositivos móveis particulares ou pela resolução de problemas relativos a acesso de dispositivos móveis da Agência a redes sem fio de terceiros.

Art.  20.  A concessão de acesso à rede sem fio da Agência para visitantes é precedida da identificação e do registro das informações pessoais, do credenciamento, e da assinatura do Termo de Responsabilidade para Acesso às Soluções de TI em livro ata específico e, consequentemente, da devida ciência da POSIC/Anatel e das suas normas de segurança específicas.

CAPÍTULO VIII

DO REGISTRO DE EVENTOS

Art.  21.  Os ativos de informação devem ser configurados de forma a registrar no mínimo todos os eventos relevantes de Segurança da Informação e Comunicações (SIC) em conformidade com as disposições da legislação e normativos específicos, que estabelecerem as diretrizes para o registro de eventos, coleta e preservação de evidências de incidentes de segurança em redes nos órgãos e entidades da administração pública federal, direta e indireta.

Art.  22.  Os registros dos eventos relevantes definidos no Art.  21 poderão ser utilizados:

I -  pela unidade gestora nos casos previstos nas normas internas de segurança integrantes da POSIC/Anatel e para investigação de eventos e incidentes de segurança da informação e comunicações;

II -  pela unidade gestora para geração de relatórios e verificação periódica, de modo a identificar ocorrências de acessos indevidos ou indícios de uso inadequado da rede de computadores da Agência;

III -  para atender demanda da Corregedoria, de Comissões de Sindicância e de Processo Administrativo Disciplinar formalmente constituídas;

IV -  para atender solicitação judicial; e

V -  cumprimento da legislação em vigor que regula o acesso a informações no Governo Federal e no âmbito da Anatel, respeitando a classificação das informações e o art. 5º da Constituição Federal.

CAPÍTULO IX

DAS DISPOSIÇÕES FINAIS

Art.  23.  As suspeitas de infração, os incidentes que afetem a segurança da informação e comunicações e o descumprimento das regras previstas nesta Norma devem ser imediatamente notificados à Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais da Anatel (ETIR/Anatel) por meio da caixa corporativa “CC - ETIR”: etir@anatel.gov.br.

Parágrafo único. A ETIR/Anatel poderá bloquear, temporariamente, sem aviso prévio, o acesso individual ou coletivo às soluções de TI, a fim de coletar evidências ou minimizar os riscos à segurança da informação e comunicações.

Art.  24.  Os casos omissos serão dirimidos pela Comissão de Segurança da Informação e Comunicações da Anatel (CSIC/Anatel).

Art.  25.  A inobservância aos dispositivos da presente Norma poderá ensejar a aplicação, isolada ou cumulativa, de sanções administrativas, civis e penais.

 


Referência: Processo nº 53500.024589/2016-32 SEI nº 3670812