Portaria nº 494, de 24 de junho de 2014

Observação: Este texto não substitui o publicado no Boletim de Serviço de 24/6/2014.

O CONSELHO DIRETOR DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das competências que lhe conferem o art. 133, inciso XXII, do Regimento Interno da Agência Nacional de Telecomunicações – Anatel, aprovado pela Resolução nº 612, de 29 de abril de 2013, e o art. 6º da Portaria nº 559, de 3 de julho de 2013, que aprova a Política de Segurança de Informação e Comunicações da Anatel - POSIC/Anatel,

CONSIDERANDO o constante dos autos do Processo nº 53500.024990/2010;

CONSIDERANDO os princípios, objetivos e diretrizes referentes à Política de Segurança da Informação e Comunicações da Anatel (POSIC/Anatel), aprovada pela Portaria nº 559, de 3 de julho de 2013;

CONSIDERANDO a responsabilidade do Comitê de Segurança da Informação e Comunicações da Anatel (CSIC/Anatel) de propor normas e procedimentos inerentes à Segurança da Informação e Comunicações;

CONSIDERANDO a necessidade de preservar a confidencialidade, integridade, disponibilidade e autenticidade das informações produzidas e custodiadas pela Anatel;

CONSIDERANDO a necessidade de otimizar o uso dos recursos de tecnologia da informação em favor da melhoria dos resultados dos processos de trabalho;

CONSIDERANDO que o uso indevido das soluções de tecnologia da informação pode comprometer a segurança das informações produzidas ou custodiadas pela Anatel;

CONSIDERANDO a necessidade de estabelecer regras gerais para uso adequado das soluções de tecnologia da informação disponíveis na rede de computadores da Anatel e aprimorar os mecanismos de proteção às informações transmitidas,

RESOLVE:

Art. 1º Aprovar a Norma de Segurança para Acesso às Soluções de Tecnologia da Informação (TI) da Anatel anexa a esta Portaria.

Art. 2º Esta Portaria entra em vigor na data de sua publicação.

JARBAS JOSÉ VALENTE
Presidente Substituto

ANEXO À PORTARIA Nº 494, DE 24 DE JUNHO DE 2014

NORMA DE SEGURANÇA PARA ACESSO ÀS SOLUÇÕES DE TECNOLOGIA DA INFORMAÇÃO DA ANATEL

CAPÍTULO I

DAS DISPOSIÇÕES GERAIS

Art. 1º As regras gerais para acesso às soluções de Tecnologia da Informação (TI) para usuários da rede de computadores da Anatel obedecem ao disposto nesta Norma, observada a legislação vigente.

Parágrafo único. Esta Norma de segurança integra a Política de Segurança da Informação e Comunicações da Agência Nacional de Telecomunicações (POSIC/Anatel), aprovada pela Portaria nº 559, de 3 de julho de 2013.

CAPÍTULO II

DOS CONCEITOS E DEFINIÇÕES

Art. 2º As soluções de TI devem ser utilizadas para assuntos de interesse da Agência, em conformidade com a legislação em vigor e de acordo com as normas de segurança integrantes da POSIC/Anatel.

Art. 3º Para os fins desta Norma, entende-se por:

I. solução de tecnologia da informação: conjunto de bens e serviços de TI e automação que se integram para o alcance dos objetivos de uma organização; e,

II. unidade gestora de uma solução de TI: unidade responsável pela definição de diretrizes e requisitos de negócio para a referida solução, bem como de regras para acessá-la.

Art. 4º Todo usuário da rede de computadores da Anatel é responsável pela segurança da informação que manipular, bem como dos recursos computacionais que utilizar, observadas as disposições da POSIC/Anatel e suas normas de segurança específicas.

CAPÍTULO III

DA UNIDADE GESTORA

Art. 5º Cabe à unidade gestora de cada solução de TI, com base nas regras mínimas estabelecidas pela Superintendência de Gestão Interna da Informação (SGI), definir as regras para concessão dos perfis de acesso a que se refere esta Norma.

§ 1º As regras de concessão definidas pelas unidades gestoras devem observar as diretrizes dispostas na POSIC/Anatel e em suas normas de segurança específicas, bem como as regras gerais aplicáveis à segurança da informação e comunicações e ao uso de soluções de TI.

§ 2º É vedada a concessão de perfil de acesso a recursos e soluções de TI para profissionais de empresas contratadas e estagiários, cujas informações e operações exijam acesso restrito a servidores por questões de sigilo de informações, nos termos da legislação aplicável.

§ 3º É vedada a concessão de perfil que não seja compatível com as atividades do usuário.

§ 4º A SGI deve, gradativamente e mediante avaliação do esforço de manutenção das soluções de TI, implementar procedimentos que possibilitem a revogação automática dos perfis de acesso, quando ocorrerem os motivos para sua revogação, sem prejuízo das responsabilidades definidas no art. 6º desta Norma, relativas ao titular ou substituto da área onde serão executadas as atividades dos profissionais de empresas contratadas e dos estagiários.

Art. 6º Cabe à unidade gestora da solução de TI a concessão, a revisão e a revogação de perfis, mediante solicitação formulada em consonância com o art. 7º desta Norma e com as regras para concessão a serem definidas nos termos do artigo anterior.

CAPÍTULO IV

DA CONCESSÃO, REVISÃO E REVOGAÇÃO DE PERFIS DE ACESSO

Art. 7º A concessão de perfil a que se refere esta Norma, bem como a revisão e revogação de novos perfis, em função de alteração de área onde serão executadas as atividades, devem ser solicitadas junto ao gestor de cada solução de tecnologia da informação, pelo titular ou substituto da área onde as atividades serão executadas e, além disso, deve ser precedida de cadastramento de usuário na rede da Anatel e assinatura do Termo de Responsabilidade para Acesso às Soluções de TI anexo a esta Norma.

§ 1º A solicitação da concessão do perfil deverá conter justificativa clara e deverá estar estritamente alinhada às necessidades da área solicitante quanto às atividades a serem executadas, limitando-se o acesso ao atendimento dessa finalidade.

§ 2º Cessado o motivo da concessão do perfil, o titular ou substituto responsável pela área deverá requerer imediatamente a revogação do perfil do usuário ao gestor da solução de tecnologia da informação.

§ 3º Nos casos de desligamento do servidor, deverá a área de Recursos Humanos da Anatel requerer às unidades gestoras de cada solução de tecnologia da informação a revogação dos repectivos acessos.

CAPÍTULO V

DAS RESPONSABILIDADES

Art. 8º A coleta das assinaturas do Termo de Responsabilidade para Acesso às Soluções de TI e a guarda deste documento obedecem às seguintes disposições:

I. no caso de usuário servidor, compete à área de Recursos Humanos da Sede, Gerências Regionais ou Unidades Operacionais da Anatel coletar a assinatura do servidor, bem como guardar este documento;

II. no caso de usuário profissional de empresa contratada pela Anatel, compete à empresa coletar a assinatura do profissional, juntamente com a assinatura do respectivo preposto, e remetê-lo à área da Anatel fiscalizadora do contrato, para que seja juntado ao pertinente processo de fiscalização do contrato; e,

III. no caso de usuário estagiário, compete à área de Recursos Humanos da Sede, Gerências Regionais ou Unidades Operacionais da Anatel coletar a assinatura do estagiário, do seu respectivo supervisor e do responsável legal pelo estagiário, quando este for menor de idade, bem como guardar este documento.

Parágrafo único. Na aplicação dos incisos I, II e III, deve ser entregue, no ato da assinatura do Termo de Responsabilidade, mediante recibo, cópia das normas de segurança integrantes da POSIC/Anatel ou informativo indicando repositório eletrônico onde estas estão disponíveis.

Art. 9º Compete ao titular, ou substituto, da área solicitante do perfil de acesso a ciência aos servidores, profissionais de empresas contratadas e estagiários das regras contidas na POSIC/Anatel e nas normas de segurança específicas que a integram, bem como o acompanhamento e supervisão das ações que sejam por eles executadas a partir do perfil concedido, incluindo aquelas relativas à carga de processos e de documentos que tenham recebido aceite por estes colaboradores.

Art. 10 No caso de eventuais danos causados à Anatel, a seus servidores ou a terceiros, advindos do uso indevido do acesso concedido, respondem perante este órgão, conforme o caso:

I. o servidor responsável pela prática do ato irregular, na forma prevista no Termo de Responsabilidade anexo a esta Norma, conforme disposto na legislação pertinente;

II. o profissional terceirizado responsável pela prática do ato irregular, na forma prevista no Termo de Responsabilidade anexo a esta Norma, bem como a empresa à qual este se encontra vinculado, por força do que dispõe o art. 70 da Lei nº 8.666, de 21 de junho de 1993;

III. o estagiário responsável pela prática do ato irregular, na forma prevista no Termo de Responsabilidade anexo a esta Norma;

IV. o servidor responsável pela solicitação do acesso, na medida em que tenha concorrido para a consumação do ato irregular, de forma dolosa ou culposa; e,

V. qualquer outro usuário que tenha concorrido para a consumação do ato irregular, de forma dolosa ou culposa.

§ 1º A responsabilidade a que se refere o caput deste artigo deve ser apurada mediante processo administrativo instaurado para este fim, notificando-se os possíveis envolvidos a oferecer defesa específica, com plena observância aos princípios do devido processo legal, do contraditório e da ampla defesa.

§ 2º Havendo indícios de que a infração administrativa tenha sido praticada por incapaz, deve este ser notificado para apresentar defesa no processo administrativo a que se refere o parágrafo anterior, indiciando-se seu responsável legal no auto de infração, que será cientificado de todos os atos processuais para, querendo, manifestar-se nos autos.

CAPÍTULO VI

DO USO

Art. 11 A fim de preservar a confidencialidade, disponibilidade, integridade e autenticidade das informações suportadas pelas soluções de TI, ficam vedadas as seguintes condutas por parte do usuário:

I. alterar as configurações dos equipamentos e sistemas corporativos, bem como instalar programas ou dispositivos sem anuência da unidade gestora;

II. criar falsa identidade ou assumir, sem autorização, a identidade de outro usuário;

III. contornar ou tentar contornar os serviços e políticas de segurança implementados por mecanismos de segurança definidos pela unidade gestora;

IV. disponibilizar ativo de informação classificado como restrito ou sigiloso, por meio de correio eletrônico, grupos ou listas de discussão, sistemas de mensageria, bate-papo, blogs, microblogs ou ferramentas semelhantes, em conformidade com a legislação aplicável;

V. acessar, descarregar ou armazenar, em qualquer meio computacional, material considerado ilegal, obsceno, impróprio, ofensivo, desrespeitoso ou em desacordo com o Código de Ética Profissional do Servidor Público Civil do Poder Executivo Federal, com o Código de Ética dos Servidores da Anatel ou com a POSIC/Anatel e suas normas de segurança específicas; e,

VI. utilizar as soluções de TI para, de qualquer modo, reproduzir ou infringir direitos de terceiros, sejam imagens, áudio, fotografias, vídeos, programas ou qualquer material protegido por leis de propriedade intelectual, incluindo leis de direitos autorais, marcas ou patentes, a menos que o usuário tenha as licenças necessárias para fazê-lo ou seja o titular de tais direitos.

CAPÍTULO VII

DAS DISPOSIÇÕES FINAIS

Art. 12 As suspeitas de infração, os incidentes que afetem a segurança da informação e comunicações e o descumprimento das regras previstas nesta Norma devem ser imediatamente notificados à Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais da Anatel (ETIR/Anatel) por meio da caixa corporativa “CC - ETIR”: O endereço de e-mail address está sendo protegido de spambots. Você precisa ativar o JavaScript enabled para vê-lo..

Parágrafo único. A ETIR/Anatel poderá bloquear, temporariamente, sem aviso prévio, o acesso individual ou coletivo às soluções de TI, a fim de coletar evidências ou minimizar os riscos à segurança da informação e comunicações.

Art. 13 Os casos omissos serão dirimidos pelo Comitê de Segurança da Informação e Comunicações da Anatel (CSIC/Anatel).

Art. 14 A inobservância aos dispositivos da presente Norma poderá ensejar a aplicação, isolada ou cumulativa, de sanções administrativas, civis e penais.