SEI/ANATEL - 0164772

O GERENTE DE SUPORTE À FISCALIZAÇÃO DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das atribuições que lhe foram conferidas pelo art.190, I, do Regimento Interno da Anatel, aprovado pela Resolução nº 612, de 29 de abril de 2013, e

CONSIDERANDO as definições previstas no art. 3º, XII e XX, do Regulamento de Fiscalização, aprovado pela Resolução nº 596, de 6 de agosto de 2012; bem como as regras fixadas nos arts. 8º a 11º do referido Regulamento;

CONSIDERANDO a necessidade de estabelecer os procedimentos de fiscalização a serem adotados nas atividades de fiscalização relativas à Segurança das Infraestruturas Críticas de Telecomunicações – SIEC;

CONSIDERANDO as contribuições recebidas em decorrência da Consulta Interna nº 682/2015, realizada no período de 21 a 30 de outubro de 2015;

Art. 1º Aprovar o Procedimento de Fiscalização para Acompanhamento dos Compromissos relativos à Segurança das Infraestruturas Críticas de Telecomunicações – SIEC - no que tange ao fornecimento de informações integrais e fidedignas pelas prestadoras de serviços, na forma do Anexo a esta Portaria.

Art. 2º Esta Portaria entra em vigor na data de sua publicação no Boletim de Serviço Eletrônico.

Documento assinado eletronicamente por Elmano Rodrigues Pinheiro Filho, Gerente de Suporte à Fiscalização, Substituto(a), em 23/12/2015, às 17:07, conforme horário oficial de Brasília, com fundamento no art. 30, II, da Portaria nº 1.476/2014 da Anatel.

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 0164772 e o código CRC 927BB687.

PROCEDIMENTO DE FISCALIZAÇÃO para acompanhamento DOS COMPROMISSOS RELATIVOS À Segurança das Infraestruturas Críticas de Telecomunicações – SIEC

O presente Procedimento de Fiscalização estabelece diretrizes utilizadas para verificação do cumprimento dos compromissos de responsabilidade das prestadoras de serviços de telecomunicações, relativos à Segurança das Infraestruturas Críticas de Telecomunicações – SIEC.

Este Procedimento de Fiscalização é aplicável às prestadoras de serviços de telecomunicações de interesse coletivo, ressalvadas as de Pequeno Porte, nos termos da regulamentação.

Para fins deste Procedimento de Fiscalização, são aplicáveis os seguintes documentos:

Lei nº 9.472, de 16 de julho de 1997 (Lei Geral de Telecomunicações – LGT);

Regulamento dos Serviços de Telecomunicações (RST), aprovado pela Resolução nº 073/98, de 25 de novembro de 1998, alterado pela Resolução nº 343, de 17 de julho de 2003;

Regulamento de Fiscalização, aprovado pela Resolução nº 596, de 06 de agosto de 2012;

Regulamento sobre Gestão de Risco das Redes de Telecomunicações e Uso de Serviços de Telecomunicações em Desastres, Situações de Emergência e Estado de Calamidade Pública, aprovado pela Resolução nº 656 de 17 de agosto de 2015.

Para efeitos deste Procedimento de Fiscalização são adotadas as definições constantes dos documentos referenciados no item anterior e as seguintes:

AUDITORIA DOCUMENTAL: trata-se de forma de fiscalização, de forma centralizada, que se utiliza de análise e auditoria documental para aferir a veracidade das respostas dadas nos questionários do SIEC.

FISCALIZAÇÃO PRESENCIAL: trata-se de forma de fiscalização em que se compara presencialmente e fisicamente, nas estações e sites objetos de fiscalização, indicados pelo órgão demandante, o conteúdo das respostas das prestadoras dadas nos questionários do SIEC com a real situação presente e instalada.

FISCALIZAÇÃO TÉCNICA CENTRALIZADA: trata-se de forma de fiscalização em que se busca, de forma centralizada, em centros de gerenciamento de rede ou outra unidade de supervisão técnica da prestadora, as informações, testes e simulações necessárias para aferir a veracidade das respostas dadas nos questionários do SIEC.

INFRAESTRUTURAS CRÍTICAS DE TELECOMUNICAÇÕES: instalações, serviços, bens e sistemas, afetos à prestação de serviços de telecomunicações, que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade.

ITEM DE VERIFICAÇÃO: item a ser aferido para verificar o cumprimento das obrigações assumidas pelas prestadoras dos serviços de telecomunicações.

SEGURANÇA DAS INFRAESTRUTURAS CRÍTICAS DE TELECOMUNICAÇÕES (SIEC): sistema de gerenciamento de dados físicos, lógicos e operacionais acerca da infraestrutura crítica das prestadoras de serviços de telecomunicações de interesse coletivo e de acompanhamento do desempenho de suas redes.

Este documento é composto pela descrição dos procedimentos para a fiscalização do cumprimento, pelas prestadoras, da obrigação de fornecimento de dados ao SIEC.

O presente método prevê a coleta, análise e avaliação das informações fornecidas ou disponibilizadas pelas prestadoras, assim como a coleta em outras possíveis fontes de dados e observações em campo, nos locais físicos onde se encontram instalados os equipamentos ou elementos de rede que compõem a infraestrutura crítica das prestadoras.

Durante a fase de elaboração do Plano Anual de Fiscalização, as áreas responsáveis pelos temas envolvidos neste Procedimento definirão, em conjunto, o direcionamento dos trabalhos de fiscalização às necessidades específicas.

A análise e avaliação das informações disponibilizadas pelas prestadoras, por meio do preenchimento de questionários específicos integrantes do SIEC, têm o objetivo de verificar como a infraestrutura está sendo administrada, se há inconsistência ou omissão em algum dado.

A coleta de dados por meio de outras fontes e observações em campo tem o objetivo de possibilitar a detecção de eventuais incompatibilidades entre o que é informado pela prestadora e a realidade de campo.

Os procedimentos de verificação em campo estão descritos ao longo do item 6, deste documento.

Os registros das atividades de fiscalização devem ser informados de forma individualizada, para cada item verificado, de forma a facilitar a aferição de seu cumprimento pela prestadora, assim como deve ser anexada toda documentação ou comprovação que contribuiu para caracterização das divergências porventura constatadas.

Compete ao Agente de Fiscalização adotar as providências adicionais a este Procedimento, necessárias à obtenção de provas adequadas e suficientes para sustentar suas constatações, promovendo o pleno convencimento acerca da verificação, buscando sempre obter a verdade sobre os atos e fatos fiscalizados.

A fiscalização a que trata este procedimento deve, prioritariamente, ser realizada de forma centralizada, no termos da Norma Sobre Realização de Fiscalização Centralizada, aprovada pela Portaria Nº 422, de 17 de junho de 2009, ou outra que a suceda, objetivando a otimização de recursos e uniformização dos procedimentos de fiscalização e interpretações inerentes à atividade.

A fiscalização também poderá ser realizada de forma pontual e específica, quando assim demandada e definida pela superintendência responsável, Superintendência de Controle de Obrigações (SCO).

A SCO, na qualidade de órgão gestor do SIEC e competente para definições acerca do assunto “infraestrutura crítica”, ficará responsável por receber, tratar e esclarecer eventuais questionamentos sobre o conteúdo e interpretação de itens específicos dos questionários, podendo fazê-lo em conjunto com as equipes de coordenação de fiscalização ou supervisão regional.

Caberá à SCO a definição das localidades, estações ou elementos de rede que serão objetos de fiscalização, assim como o encaminhamento às equipes de fiscalização dos questionários com informações oriundas das prestadoras e que serão objeto das confirmações no decorrer dos trabalhos promovidos por elas.

A SCO também poderá optar por deixar a cargo da fiscalização a definição a que trata o dispositivo anterior, desde que o faça de forma expressa, na descrição da demanda de fiscalização.

Na hipótese prevista no item 5.9.1, a equipe de fiscalização deverá utilizar o método descrito no item 5.11, quanto à definição dos objetos de fiscalização.

A definição a que se refere o item 5.9 estará, obrigatoriamente, vinculada a um serviço de telecomunicações, o que significa que deverão ser fiscalizados questionários por serviço e por endereço definido para fiscalização.

Poderá haver a fiscalização de mais de um serviço, ou questionário, por endereço, desde que assim definido na demanda.

Também poderá haver a fiscalização de parte específica de um questionário de um endereço/serviço, desde que assim definido na demanda.

Quaisquer eventuais dúvidas ou questionamentos sobre a interpretação das perguntas do questionário, ou quanto ao processo de cálculo ou elaboração adequada das respostas, deverão ser encaminhados ao coordenador centralizado da atividade que, por sua vez, as direcionará à SCO para esclarecimentos.

Algumas verificações que envolvem uma grande quantidade de elementos a serem analisados (população finita de tamanho N_UNIVERSO) podem tornar-se impraticáveis. Nesses casos, deve-se obter uma amostra de tamanho n_amostra de tal forma que, com nível de confiança e margem de erro pré-estabelecidos, pode-se realizar a verificação das n_amostra de elementos e inferir o resultado para o número total de N_UNIVERSO elementos.

Assim, tem-se que os métodos amostrais são utilizados com vistas a possibilitar a realização de inferências sobre um universo a partir da averiguação de informações contidas em uma parcela desse universo.

No curso da atividade de fiscalização, havendo necessidade de se usar técnicas amostrais, devem ser observados os conceitos e procedimentos descritos na Instrução de Fiscalização sobre a utilização de Métodos Amostrais nas Ações de Fiscalização, aprovada pela Portaria nº 959, de 19 de novembro de 2012, ou outra que vier a substituí-la.

Sempre que utilizados métodos amostrais nas atividades de fiscalização, informar no Relatório de Fiscalização, juntamente com o resultado obtido acerca da regularidade das amostras fiscalizadas, o intervalo de confiança estimado obtido, dado este fornecido pela planilha de amostragem.

O registro das atividades de verificação nas localidades é efetuado por meio de “Fichas de Campo”, que constituem, em conteúdo, às mesmas informações preenchidas pelas prestadoras em resposta aos questionários do SIEC, acrescidas do parecer dos fiscais, com base nas verificações efetuadas, para cada item de forma individualizada.

O responsável pela avaliação e análise deverá fornecer, caso aplicável, as informações adicionais por ele julgadas importantes para subsidiar a análise final, como, por exemplo, as causas de eventuais divergências.

Para efeitos deste Procedimento de Fiscalização, os itens de verificação foram distribuídos conforme a forma que serão fiscalizados, a saber:

A classificação dos itens dos questionários a serem fiscalizados, conforme as opções descritas no item 6.1, incisos “I” a “III”, deverá ser realizada pelo coordenador centralizado da atividade de fiscalização, mediante consulta ou reunião prévia com a prestadora fiscalizada, a quem caberá informar onde e como estará disponível à fiscalização cada uma das informações relevantes para o trabalho.

A classificação a que se refere o item anterior deverá ser realizada de forma individualizada para cada prestadora e ação de fiscalização, considerando as peculiaridades de cada caso e situação.

Caso algum item possa ser fiscalizado de mais de uma forma dentre as previstas no item 6.1, incisos “I” a “III”, deverá ser dada preferência para os métodos centralizados, em detrimento aos procedimentos presenciais, em campo.

As averiguações classificadas como passíveis de fiscalização exclusivamente em campo, por meio de ações presenciais nas estações e sites das prestadoras, deverão ser objeto de demandas parciais, elaboradas pelo coordenador centralizado da fiscalização, e encaminhados aos executores regionais.

Enquadram-se nessa forma de fiscalização aspectos como infraestrutura predial, controle de acesso físico, segurança, proteção contra descargas atmosféricas, sistema de combate a incêndio, monitoramento por câmeras, compartilhamento de infraestruturas, climatização, limpeza e equipamentos, dentre outros possíveis.

A preparação para o processo de fiscalização consiste, basicamente, na identificação das estações e sites a serem fiscalizados, informado pelo demandante, obtenção dos questionários respondidos pelas prestadoras fiscalizadas, para cada um destes locais e serviços neles prestados, e identificação, fornecida pelo coordenador da fiscalização centralizada, dos itens dos questionários que deverão ser fiscalizados presencialmente.

Deve-se buscar comparar as respostas dadas pelas prestadoras nos questionários com a situação observada in loco, tomando nota de possíveis divergências.

No presente processo de fiscalização, deve-se buscar caracterizar a situação observada, especialmente os casos em que foram observadas divergências nos dados informados nos questionários, preferencialmente utilizando-se de registros fotográficos ou outros elementos comprobatórios disponíveis.

As possíveis divergências devem ser motivadas, materializadas e detalhadas pela fiscalização.

O Relatório de Fiscalização deverá identificar os itens dos questionários verificados, para cada estação/site e serviço, ou conforme granularidade em que tenha sido elaborado o questionário, destacando para cada item se houve divergência em relação ao observado in loco, e, para os casos com divergência, fornecer o detalhamento e os elementos comprobatórios correspondentes.

Enquadram-se nessa forma de fiscalização aspectos como tráfego cursado, quantidade de usuários atendidos, abrangência geográfica e pontos relevantes ou estratégicos atendidos, tecnologias utilizadas, ocorrências de falhas, interrupções e/ou incidentes, planos de contingência, controle de acesso lógico, monitoração remota de equipamentos e elementos de rede, topologia de rede e programação de rotas e enlaces, interconexão (existência e capacidade), compartilhamento com outras prestadoras, proteção de dados e metadados, infraestrutura de TI/Datacenters, implementação de QoS e demais características associadas ao core IP, dispositivos para inspeção de pacotes, existência e aspectos de PTT (pontos de troca de tráfego ou peering de trânsito) e DNS, dentre outros possíveis.

A preparação para o processo de fiscalização consiste, basicamente, na identificação das estações e sites a serem fiscalizados, informados pelo demandante, obtenção dos questionários respondidos pelas prestadoras fiscalizadas, para cada um destes locais e serviços neles prestados, e identificação, fornecida pelo coordenador da fiscalização centralizada, dos itens dos questionários que deverão ser fiscalizados por meio de análise técnica centralizada.

Previamente à atividade de fiscalização técnica centralizada, pode-se solicitar à prestadora, informações adicionais sobre os dados contidos nos questionários, de forma a facilitar a verificação da veracidade das respostas.

Nessa situação, a fiscalização centralizada na unidade de gerenciamento técnico será utilizada para a validação e confirmação dos dados informados, processamento e resultados obtidos pela fiscalização quando da análise desses dados.

A solicitação de dados a que se refere o item 6.7.2.2 poderá se dar por meio formal (Requerimento de Informações ou Ofício), ou substituída por formas de acesso remoto a dados e sistemas da prestadora, quando tecnicamente viável.

Deve-se buscar comparar as respostas dadas pelas prestadoras nos questionários com a situação observada na análise prévia das informações fornecidas pela prestadora, caso aplicável, ou observações in loco, nas unidades técnicas/gerenciais centralizadas, tomando nota de possíveis divergências.

As possíveis divergências devem ser motivadas, materializadas e detalhadas pela fiscalização.

Enquadram-se nessa forma de fiscalização aspectos como registros e contratos de manutenção preventiva e corretiva, de elementos de rede e equipamentos nas estações, política de segurança de rede e acesso às estações, inventário para controle de ativos nas estações, contratos e registros de limpeza, contratos associados ao abastecimento e manutenção do GMG - Grupo Motor Gerador, dentre outros possíveis.

Os documentos necessários à atividade de fiscalização podem ser solicitados formalmente à prestadora, por meio de Requerimento de Informações ou Ofício, ou obtidos presencialmente na unidade administrativa da prestadora responsável pela gestão dos itens ora fiscalizados, de forma a possibilitar a definição sobre a veracidade das respostas dos questionários.

No caso de solicitação de documentos do Requerimento de Informações ou Ofício, a fiscalização centralizada presencial na unidade administrativa da prestadora poderá ser utilizada para a validação, esclarecimentos e confirmação das informações documentais que se fizerem necessárias.

Deve-se buscar comparar as respostas dadas pelas prestadoras nos questionários com a situação observada na análise documental, tomando nota de possíveis divergências.

No presente processo de fiscalização, deve-se buscar caracterizar a situação observada, especialmente os casos em que foram observadas divergências nos dados informados nos questionários, preferencialmente utilizando-se de documentos, relatórios, imagens, registros ou outros elementos comprobatórios disponíveis.

As possíveis divergências devem ser motivadas, materializadas e detalhadas pela fiscalização.

O Relatório de Fiscalização deverá identificar os itens dos questionários verificados, para cada estação/site e serviço, ou conforme granularidade em que tenha sido elaborado o questionário, destacando para cada item se houve divergência em relação ao observado pela fiscalização, e, para os casos com divergência, fornecer o detalhamento e os elementos comprobatórios correspondentes.

As informações que envolvem infraestruturas críticas, sobretudo aquelas relacionadas a vulnerabilidades, impactos, fragilidades e medidas de resposta, devem ser classificadas, nos termos da Lei n° 12.527, de 18 de novembro de 2011, como sigilosas, incluindo os documentos advindos das atividades de fiscalização.

Compete à SCO, unidade gestora do SIEC, esclarecer dúvidas conceituais acerca das perguntas contidas nos questionários do sistema.

A extração dos questionários do SIEC, contendo as respostas das prestadoras, para posterior averiguação pela fiscalização, deve se dar considerando os dados mais recentes, ou de acordo com orientações da SCO, a fim de evitar distorções motivadas por atualizações reais de rede e seus elementos, e outros dados impactantes no SIEC.

Esse procedimento, atualmente voltado somente à parte de Gestão de Risco do SIEC, poderá ser futuramente complementado para a fiscalização/auditoria dos dados enviados pelas prestadoras, por meio de vetores, para o Monitoramento das Redes de Telecomunicações, também processo do SIEC.