Ir direto para menu de acessibilidade.


Portaria nº 10, de 2 de janeiro de 2019

Publicado: Sexta, 24 Março 2023 10:10 | Última atualização: Sexta, 24 Março 2023 10:14 | Acessos: 235
 

Dispõe sobre as regras gerais de controle de acesso lógico e uso da rede de computadores da Anatel.

 

Observação: Este texto não substitui o publicado no Boletim de Serviço Eletrônico em 28/2/2019.

 

PRESIDENTE DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das competências que lhe conferem o art. 136, inciso I, do Regimento Interno da Agência Nacional de Telecomunicações - Anatel, aprovado pela Resolução nº 612, de 29 de abril de 2013, e o Art. 5º da Portaria nº 1016, de 25 de julho de 2017, que aprova a Política de Segurança de Informação e Comunicações da Anatel (POSIC/Anatel), e

CONSIDERANDO os princípios, objetivos e diretrizes referentes à Política de Segurança da Informação e Comunicações da Anatel (POSIC/Anatel), aprovada pela Portaria nº 1016, de 25 de julho de 2017;

CONSIDERANDO a responsabilidade da Comissão de Segurança da Informação e Comunicações da Anatel (CSIC/Anatel) de propor normas e procedimentos inerentes à Segurança da Informação e Comunicações;

CONSIDERANDO a necessidade de preservar a confidencialidade, integridade, disponibilidade e autenticidade das informações produzidas e custodiadas pela Anatel;

CONSIDERANDO a necessidade de estabelecer e aprimorar os procedimentos relacionados com o controle de acesso lógico aos ativos de informação da Anatel;

CONSIDERANDO o constante dos autos do Processo nº 53500.031673/2016-11;

CONSIDERANDO o constante dos autos do Processo nº 53500.024589/2016-32,

RESOLVE:

Art.  1º  Aprovar a Norma de Segurança para Controle de Acesso Lógico e Uso da Rede de Computadores da Anatel.

Art.  2º  Esta Portaria entra em vigor na data de sua publicação.

.

LEONARDO EULER DE MORAIS
Presidente da Anatel

 

ANEXO

NORMA DE SEGURANÇA PARA CONTROLE DE ACESSO LÓGICO E USO DA REDE DE COMPUTADORES DA ANATEL

CAPÍTULO I
DAS DISPOSIÇÕES GERAIS

Art.  1º  As regras gerais de controle de acesso lógico e uso da rede de computadores da Anatel obedecem ao disposto nesta Norma, observada a legislação vigente.
Parágrafo único. Esta Norma de segurança integra a Política de Segurança da Informação e Comunicações da Agência Nacional de Telecomunicações (POSIC/Anatel), aprovada pela Portaria nº 1016, de 25 de julho de 2017.

Art.  2º  Todo usuário da rede de computadores da Anatel é responsável pela segurança da informação que manipular, bem como dos recursos computacionais que utilizar, observadas as disposições da POSIC/Anatel e suas normas de segurança específicas. 

CAPÍTULO II

DOS CONCEITOS E DEFINIÇÕES

Art.  3º  As credenciais de acesso à rede de computadores, os recursos computacionais, bem como as informações e os dados disponibilizados devem ser utilizados para assuntos de interesse da Agência, em conformidade com a legislação em vigor e de acordo com as normas de segurança integrantes da POSIC/Anatel.

Art.  4º  Para os fins desta Norma, entende-se por:

I -  acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem como o uso dos ativos de informação da Anatel, nos quais se inserem inclusive os sistemas da Agência;

II -  bloqueio de acesso: processo que tem por finalidade suspender o acesso;

III -  contas de serviço: contas de acesso à rede de computadores necessárias a um procedimento automático (aplicação, script, etc.);

IV -  controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder, bloquear ou desativar o acesso;

V -  credenciais ou contas de acesso: permissões, concedidas por autoridade competente após o processo de credenciamento, que habilitam determinada pessoa, sistema ou organização ao acesso;

VI -  credenciamento: processo pelo qual o usuário recebe credenciais que concederão o acesso, incluindo a identificação, a autenticação, o cadastramento de código de identificação e a definição do perfil de acesso em função da autorização prévia e da necessidade de conhecer;

VII -  desativação de acesso: processo que tem por finalidade suspender definitivamente o acesso, incluindo o cancelamento do código de identificação e do perfil de acesso;

VIII -  gestor de solução de TI: servidor da Anatel responsável pela definição das diretrizes e dos requisitos de negócio referentes ao controle de acesso lógico às soluções de TI da Agência sob sua responsabilidade;

IX -  necessidade de conhecer ou necessidade de trabalho: condição pessoal, inerente ao efetivo exercício de cargo, função, emprego ou atividade, indispensável para o usuário ter acesso à informação, especialmente se for sigilosa, bem como o acesso aos ativos de informação;

X -  perfil de acesso: conjunto de atributos de cada usuário, definidos previamente como necessários para a credencial de acesso;

XI -  prestador de serviço: pessoa envolvida com o desenvolvimento de atividades, de caráter temporário ou eventual, exclusivamente para o interesse do serviço, que poderão receber credencial de acesso;

XII - princípio do menor privilégio: princípio segundo o qual devem ser delegados, aos colaboradores ou elementos, apenas os privilégios necessários para realizar sua função na organização;

XIII -  sistema de controle de acesso: é um conjunto de ferramentas que se destina a controlar, conceder ou revogar a permissão de acesso a pessoas, locais, informações ou sistemas, bem como monitorar e registrar os acessos realizados, de acordo com as regras definidas pela unidade gestora ou pelo gestor de solução de TI; e

XIV -  unidade gestora: unidade subordinada à Superintendência de Gestão Interna da Informação (SGI) responsável pela definição de diretrizes e requisitos de negócio para controle de acesso lógico e físico à rede de computadores e às bases de dados da Anatel, bem como de regras para acessá-la.

CAPÍTULO III

DA UNIDADE GESTORA

Art.  5º  Compete à unidade gestora:

I -  gerir o sistema de controle de acesso da Agência;

II -  zelar pelo atendimento aos princípios da segurança, integridade, sigilo e disponibilidade dos serviços e dados transmitidos por meio da rede de computadores;

III -  prover meios tecnológicos necessários à adequada utilização da rede de computadores;

IV -  manter em local seguro e restrito os registros de eventos e dados de auditoria acerca da utilização da rede de computadores;

V -  implementar mecanismos de segurança adequados;

VI -  implementar mecanismos de complexidade e alteração periódica das senhas das credenciais de acesso;

VII -  criar e administrar as contas de acesso, bem como definir os perfis de acesso adequados para a utilização da rede de computadores e às bases de dados da Anatel;

VIII -  disponibilizar ao usuário, que não exerce funções de administração da rede local, somente uma única conta institucional de acesso, pessoal e intransferível;

IX -  garantir que a utilização de conta de acesso no perfil de administrador seja realizada somente por usuários cadastrados para execução de tarefas específicas na administração de ativos de informação;

X -  definir as regras de criação e de administração de conta de serviço vinculada a um processo automatizado;

XI -  definir as regras para credenciamento, revisão, bloqueio e desativação de contas de acesso de seus usuários, incluindo os ambientes de desenvolvimento e homologação;

XII -  realizar o credenciamento, a revisão, o bloqueio e a desativação do acesso de credencias à rede de computadores e às bases de dados da Anatel, mediante solicitação formalizada pela área de recursos humanos ou pela chefia imediata do usuário;

XIII -  utilizar mecanismos automáticos para inibir que equipamentos não autorizados se conectem na rede de computadores da Agência;

XIV -  respeitar o princípio do menor privilégio ao configurar as credenciais ou contas de acesso dos usuários aos ativos de informação; e

XV -  segregar a rede de computadores em diferentes domínios lógicos de acordo com os grupos de serviços de informação, usuários, sistemas de informação e criticidade, dentre outros, visando a garantia das propriedades de segurança dos ativos de informação da Agência.

Art.  6º  A unidade gestora manterá registros de eventos relacionados ao funcionamento e operação da rede de computadores da Anatel pelo prazo mínimo estipulado em legislação e normativos específicos, a contar da data do acesso.

Art.  7º  As alterações e paralisações dos serviços de rede para manutenção preventiva, que impactarem nas atividades da Agência, serão realizadas preferencialmente fora do horário de expediente da Agência e deverão ser previamente comunicadas pela unidade gestora a todos os usuários,.

Art.  8º  Caberá à unidade gestora comunicar aos usuários da rede de computadores da Anatel, assim que possível, os casos de indisponibilidade não programada.

CAPÍTULO IV

DA CONCESSÃO, REVISÃO, BLOQUEIO E DESATIVAÇÃO DAS CREDENCIAIS DE ACESSO

Art.  9º  As regras para credenciamento, revisão, bloqueio e desativação de contas de acesso e de criação e administração de contas de serviço, definidas pela unidade gestora, devem observar as diretrizes dispostas na POSIC/Anatel e em suas normas de segurança específicas, bem como as regras gerais aplicáveis à segurança da informação e comunicações.

§  1º  Para as soluções de tecnologia da informação, cujas informações e operações exijam acesso restrito a servidores por questões de sigilo, nos termos da legislação aplicável, é vedada a concessão de perfil de acesso para profissionais de empresas contratadas e estagiários.

§  2º As contas de acesso para profissionais de empresas contratadas e estagiários devem ter prazo de validade máximo igual ao período de vigência do contrato ou período de duração de suas atividades, momento em que deverão ser imediatamente desativadas.

§  3º  É vedada a concessão de perfil de acesso que não seja compatível com as atividades do usuário e sua respectiva necessidade de trabalho.

§  4º  Caso o usuário verifique que o seu perfil de acesso seja superior às suas necessidades de trabalho, ele deverá informar à chefia imediata, que solicitará a adequação do referido perfil à unidade gestora.

§  5º  A concessão de perfil de acesso específico às funcionalidades de cada solução de TI da Agência é de responsabilidade do gestor da respectiva solução, em conformidade com o estabelecido na Norma de Segurança para Acesso às Soluções de TI da Anatel.

§  6º  A criação de conta de acesso deve ser precedida da assinatura do Termo de Responsabilidade, em conformidade com o modelo anexo à Norma de Segurança para Acesso às Soluções de TI.

Art.  10.  As credenciais de acesso serão bloqueadas quando:

I -  solicitado pelo usuário;

II -  solicitado formalmente pela corregedoria;

III - solicitado pela chefia imediata;

IV -  solicitado pela área de recursos humanos;

V - alcançado o número máximo de tentativas de acesso incorretas, definido pela unidade gestora;

VI -  não forem utilizadas por período superior a 90 (noventa) dias;

VII -  o usuário for cedido ou requisitado à outro órgão público; e

VIII -  o usuário estiver sob licença para tratamento de assuntos particulares, para prestação de serviço militar ou para exercício de atividade política.

Parágrafo único.  Compete à área de Recursos Humanos da Anatel notificar à unidade gestora a data de cessão ou de licença concedida ao servidor.

Art.  11.  As credenciais de acesso serão desativadas:

I -  imediatamente, após exoneração ou encerramento do contrato de prestação de serviço ou do termo de compromisso de estágio; e

II -  90 (noventa) dias após a aposentadoria do usuário, período em que terá acesso somente ao serviço de correio eletrônico.

§  1º  Compete à área de Recursos Humanos da Anatel notificar à unidade gestora a data de exoneração ou aposentadoria do servidor ou de interrupção de vínculo com estagiário. 

§  2º  No caso de colaborador terceirizado, compete à unidade fiscalizadora do contrato notificar imediatamente à unidade gestora a cessação dos serviços prestados pelo usuário.

CAPÍTULO V

DAS RESPONSABILIDADES

Art.  12.  Compete ao titular, ou substituto, da área solicitante do perfil de acesso, dar ciência aos servidores, profissionais de empresas contratadas e estagiários das regras contidas na POSIC/Anatel e nas normas de segurança específicas que a integram.

Art.  13.  A senha associada à conta de usuário para acesso à rede de computadores da Anatel é pessoal, intransferível e o devido sigilo é de responsabilidade exclusiva do titular da conta.

CAPÍTULO VI

DO USO

Art.  14.  A rede de computadores e os demais recursos de TI colocados à disposição dos usuários devem ser usados de modo compatível com o exercício do cargo e de forma que não comprometa a segurança da informação e a eficiência do ambiente computacional da Anatel, podendo ocorrer por parte da Anatel análises e monitoramento sobre:

I - os arquivos armazenados no ambiente computacional da Anatel;

II - as mensagens ocorridas nas caixas postais do serviço de correio eletrônico da Anatel; e

III - o tráfego de rede de computadores.

Parágrafo único. Nas análises e monitoramentos são asseguradas a inviolabilidade da intimidade no que se refere a outras formas privadas de comunicação não institucionais, por exemplo, o acesso a conta de e-mail não corporativo.

Art.  15.  O acesso à rede de computadores da Anatel deverá ser realizado apenas por meio de equipamentos disponibilizados ou autorizados pela unidade gestora.

§  1º  Entende-se por equipamentos disponibilizados ou autorizados pela unidade gestora aqueles pertencentes à Agência, que integrem contratos de prestação de serviços, ou particulares, desde que seu uso seja autorizado.

§  2º  Os equipamentos devem atender às normas de segurança e possuir apenas programas licenciados e autorizados pela unidade gestora.

§  3º  A unidade gestora definirá os requisitos mínimos de segurança necessários para a realização de trabalho remoto autorizado pela Agência.

CAPÍTULO VII

DOS DISPOSITIVOS MÓVEIS E DA REDE SEM FIO

Art.  16.  Aplicam-se à rede sem fio todas as disposições e procedimentos de acesso definidos nesta Norma.

Art.  17.  A conexão de dispositivo móvel à rede de computadores da Anatel deve seguir procedimentos específicos definidos pela unidade gestora.

Parágrafo único. No caso de dispositivo móvel particular, a conexão direta à rede de computadores da Anatel, quando permitida, fica restrita ao acesso à internet por meio de rede sem fio, salvo os dispositivos autorizados pela unidade gestora.

Art.  18.  A unidade gestora deve divulgar os requisitos de compatibilidade e de configuração de dispositivo móvel para conexão à rede sem fio da Agência.

Parágrafo único. A configuração de dispositivo móvel particular para acesso à rede sem fio da Anatel é de responsabilidade do usuário.

Art.  19  A Superintendência de Gestão Interna da Informação (SGI) não é responsável pela resolução de problemas na utilização da rede sem fio da Anatel por dispositivos móveis particulares ou pela resolução de problemas relativos a acesso de dispositivos móveis da Agência a redes sem fio de terceiros.

Art.  20.  A concessão de acesso à rede sem fio da Agência para visitantes é precedida da identificação e do registro das informações pessoais, do credenciamento, e da assinatura do Termo de Responsabilidade para Acesso às Soluções de TI em livro ata específico e, consequentemente, da devida ciência da POSIC/Anatel e das suas normas de segurança específicas.

CAPÍTULO VIII

DO REGISTRO DE EVENTOS

Art.  21.  Os ativos de informação devem ser configurados de forma a registrar no mínimo todos os eventos relevantes de Segurança da Informação e Comunicações (SIC) em conformidade com as disposições da legislação e normativos específicos, que estabelecerem as diretrizes para o registro de eventos, coleta e preservação de evidências de incidentes de segurança em redes nos órgãos e entidades da administração pública federal, direta e indireta.

Art.  22.  Os registros dos eventos relevantes definidos no Art.  21 poderão ser utilizados:

I -  pela unidade gestora nos casos previstos nas normas internas de segurança integrantes da POSIC/Anatel e para investigação de eventos e incidentes de segurança da informação e comunicações;

II -  pela unidade gestora para geração de relatórios e verificação periódica, de modo a identificar ocorrências de acessos indevidos ou indícios de uso inadequado da rede de computadores da Agência;

III -  para atender demanda da Corregedoria, de Comissões de Sindicância e de Processo Administrativo Disciplinar formalmente constituídas;

IV -  para atender solicitação judicial; e

V -  cumprimento da legislação em vigor que regula o acesso a informações no Governo Federal e no âmbito da Anatel, respeitando a classificação das informações e o art. 5º da Constituição Federal.

CAPÍTULO IX

DAS DISPOSIÇÕES FINAIS

Art.  23.  As suspeitas de infração, os incidentes que afetem a segurança da informação e comunicações e o descumprimento das regras previstas nesta Norma devem ser imediatamente notificados à Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais da Anatel (ETIR/Anatel) por meio da caixa corporativa “CC - ETIR”: etir@anatel.gov.br.

Parágrafo único. A ETIR/Anatel poderá bloquear, temporariamente, sem aviso prévio, o acesso individual ou coletivo às soluções de TI, a fim de coletar evidências ou minimizar os riscos à segurança da informação e comunicações.

Art.  24.  Os casos omissos serão dirimidos pela Comissão de Segurança da Informação e Comunicações da Anatel (CSIC/Anatel).

Art.  25.  A inobservância aos dispositivos da presente Norma poderá ensejar a aplicação, isolada ou cumulativa, de sanções administrativas, civis e penais.

Nós protegemos seus dados

Para melhorar a sua experiência na plataforma e prover serviços personalizados, utilizamos cookies. Saiba como usamos seus dados em nosso Aviso de Privacidade. Ao clicar em “Aceitar cookies”, você concorda com os Termos de Serviço e a Política de Privacidade da Anatel e terá acesso a todas as funcionalidades do site.