Institui a Política de Segurança da Informação e Comunicações (POSIC) da Agência
Nacional de Mineração.
A DIRETORIA COLEGIADA DA AGÊNCIA NACIONAL DE MINERAÇÃO, no uso das
atribuições que lhe confere o art. 11, § 1º, inciso I, da Lei nº 13.575, de
26 de dezembro de 2017, o art. 9º, inciso I, do Anexo I da Estrutura
Regimental da Agência Nacional de Mineração, aprovada pelo Decreto nº 9.587,
de 27 de novembro de 2018, e no art. 10, inciso I, do Anexo II da Resolução
nº 2, de 12 de dezembro de 2018, e
CONSIDERANDO a Instrução Normativa nº 1
GSI/PR, de 13 de junho de 2008, e suas respectivas Normas Complementares,
que disciplinam a Gestão de Segurança da Informação e Comunicações na
Administração Pública Federal, direta e indireta, e dá outras providências;
CONSIDERANDO o
Decreto nº 9.637, de 26 de dezembro de 2018, que instituiu a Política
Nacional de Segurança da Informação, resolve:
Art. 1º
Instituir a Política de Segurança da Informação e Comunicações - POSIC, que
fornece as diretrizes e critérios e define o suporte administrativo para o
tratamento a ser dado às informações produzidas, processadas, transmitidas e
armazenadas no ambiente convencional ou tecnológico no âmbito da Agência
Nacional de Mineração.
CAPÍTULO I
DO ESCOPO
Art. 2º O escopo da POSIC abrange os
servidores, colaboradores, consultores externos e demais agentes públicos ou
particulares que, por força de convênios, protocolos, acordos de cooperação
e instrumentos congêneres, executem atividades vinculadas à ANM.
CAPÍTULO II
DOS CONCEITOS E DEFINIÇÕES
Art. 3º Para fins
desta Resolução, entende-se por:
I - POSIC: sigla utilizada para o documento aprovado pela autoridade
responsável da ANM, com o objetivo de fornecer diretrizes, critérios e
suporte administrativo suficientes à implementação da segurança da
informação e comunicações na Autarquia;
II - Segurança da informação e comunicações: proteção dos sistemas de
informação contra a negação de serviço a usuários autorizados, assim
como contra a intrusão, e a modificação ou divulgação desautorizada de
dados ou informações, armazenados, em processamento ou em trânsito,
abrangendo, inclusive, a segurança dos recursos humanos, da documentação
e do material, das áreas e instalações das comunicações e computacional,
assim como as destinadas a prevenir, detectar, deter e documentar
eventuais ameaças a seu desenvolvimento, com a implementação de ações
que objetivam viabilizar e assegurar a disponibilidade, a integridade, a
confidencialidade e a autenticidade das informações;
III - Comunicação: conjunto de recursos tecnológicos destinados a
transmitir ou replicar informações;
IV - Disponibilidade: propriedade de que a informação esteja acessível e
utilizável sob demanda por uma pessoa física ou determinado sistema,
órgão ou entidade;
V - Integridade: propriedade de que a informação não foi modificada,
inclusive quanto à origem e ao destino, ou destruída de maneira não
autorizada ou acidental;
VI - Confidencialidade: propriedade de que a informação classificada
quanto ao grau de sigilo, ou de acesso restrito, não esteja disponível
ou revelada à pessoa física, sistema, órgão ou entidade não autorizado e
credenciado;
VII - Autenticidade: propriedade de que a informação foi produzida,
expedida, modificada ou destruída por determinada pessoa física, ou por
determinado sistema, órgão ou entidade;
VIII - Gestão de segurança da informação e comunicações: ações e métodos
que visam à integração das atividades de gestão de riscos, gestão de
continuidade do negócio, tratamento de incidentes, tratamento da
informação, conformidade, credenciamento, segurança cibernética,
segurança física, segurança lógica, segurança orgânica e segurança
organizacional aos processos institucionais, não se limitando, portanto,
à tecnologia da informação e comunicações;
IX - Tratamento da informação: recepção, produção, reprodução,
utilização, acesso, transporte, transmissão, distribuição,
armazenamento, eliminação e controle da informação, inclusive das
classificadas quanto ao grau de sigilo;
X - Quebra de segurança: ação ou omissão, intencional ou acidental, que
resulta no comprometimento da segurança da informação e das
comunicações; e
XI - Ativos de informação: compreende os meios de armazenamento,
transmissão e processamento da informação, os equipamentos necessários a
isso, os sistemas utilizados para tal, os locais onde se encontram esses
meios e os recursos humanos que a eles têm acesso.
CAPÍTULO III
DOS PRINCÍPIOS
Art. 4º As ações relacionadas com
a Segurança da Informação e Comunicações na ANM serão norteadas pelos
seguintes princípios:
I - Responsabilidade: todos mencionados no art. 2º são responsáveis
pelo tratamento da informação e pelo cumprimento das normas de segurança
da informação e comunicações;
II - Conhecimento: os servidores, os colaboradores, os consultores
externos, os estagiários e os prestadores de serviço na ANM tomarão
ciência de todas as normas de segurança da informação e comunicações,
para o pleno desempenho de suas atribuições;
III - Legalidade: as ações de segurança da informação e comunicações
levarão em consideração as leis, as políticas e as normas
organizacionais, administrativas, técnicas e operacionais da ANM,
formalmente estabelecidas;
IV - Proporcionalidade: o nível, a complexidade e os custos das ações de
segurança da informação e comunicações na ANM serão adequados ao
entendimento administrativo e ao valor do ativo a proteger; e
V - Proatividade: todas as unidades da ANM devem manter processo de
gestão de continuidade das suas atividades e serviços, evitando a
interrupção em caso de incidente de segurança, ou devido a caso fortuito
ou de força maior, e assegurar a sua retomada em tempo hábil, quando for
o caso.
CAPÍTULO IV
DAS DIRETRIZES GERAIS
Art. 5º A alta direção da
ANM deve manter postura exemplar em relação à segurança da informação e
comunicação, bem como propiciar os recursos necessários para divulgações,
capacitações e cumprimentos das normas e procedimentos.
Art. 6º Cada colaborador ou servidor ativo na ANM deverá manter os
processos sob sua responsabilidade aderentes às políticas, normas e
procedimentos específicos de Segurança da Informação e Comunicações da ANM,
tomando as ações necessárias para cumprir tal responsabilidade.
Art. 7º Para uma efetiva implementação da POSIC
deverão ser previstas ações de divulgação, conscientização e educação quanto
ao conteúdo do normativo, entre todos os colaboradores e servidores da ANM.
Art. 8º São valores e diretrizes gerais da POSIC:
I - Segurança focada na instituição: garantir segurança tanto aos
sistemas no ambiente de computação quanto aos meios convencionais de
processamento, comunicação e armazenamento em papel;
II - Informação é
patrimônio: considerar que toda e qualquer informação gerada, adquirida,
utilizada ou armazenada pela ANM é patrimônio da instituição e deve ser
protegida quanto aos aspectos de confidencialidade, autenticidade,
integridade e disponibilidade;
III - Proteção compatível com riscos:
dimensionar e aplicar os investimentos necessários em medidas de
segurança, segundo o valor do ativo que está sendo protegido e de acordo
com a identificação de risco de potenciais prejuízos e de impacto na
reputação para o negócio, a atividade fim e os objetivos institucionais;
IV - Tratamento conforme classificação: tratar todas as informações a
partir da classificação de segurança, aplicada de maneira a serem
adequadamente protegidas quanto ao seu acesso e uso;
V -
Responsabilização baseada na credencial: responsabilizar, com base no
uso da credencial, que se caracteriza por ser pessoal e intransferível,
qualificando aquele que se encontra formalmente associado a ela como
responsável por todas as atividades desenvolvidas em seu uso, sendo
pré-requisito para a liberação da credencial o preenchimento de um termo
de responsabilidade;
VI - Utilização restrita às atividades:
administrar o acesso e o uso da informação e dos ativos de informação de
acordo com as atribuições necessárias para o cumprimento das atividades
institucionais. Qualquer outra forma de uso necessitará de prévia
autorização;
VII - Utilização orientada à segurança: permitir somente
o uso de ativos de informação homologados e autorizados pela ANM, desde
que sejam identificados de forma individual, protegidos, inventariados,
com documentação atualizada e estando de acordo com a legislação em
vigor;
VIII - Autorização definida pelos gestores: definir acessos e
cancelar acessos aos recursos e aos locais restritos com base na
solicitação do gestor de cada Unidade Organizacional - UORG, que também
é responsável pelos ativos disponibilizados para uso;
IX - Segregação
de funções: segregar a administração e execução de funções ou áreas de
responsabilidade críticas para o negócio, evitando o controle de um
processo na sua totalidade, visando à redução do risco de mau uso
acidental ou deliberado;
X - Educação: promover continuamente ações
educativas sobre segurança da informação e comunicações aos servidores e
colaboradores para que realizem suas atividades na instituição de forma
segura, utilizando procedimentos que minimizem os riscos e que
possibilitem o uso correto dos ativos e ferramentas de informação, com
destaque para os serviços de correio eletrônico e acesso à internet;
XI - Auditoria: monitorar e auditar, pela área competente da ANM, a
implementação e o cumprimento da Política de Segurança da Informação e
Comunicações. Consultorias externas especializadas poderão ser
utilizadas para avaliação da POSIC e de seu cumprimento;
XII -
Continuidade aplicada aos serviços: planejar e definir estratégias para
reduzir a um nível aceitável a possibilidade de interrupção causada por
desastres ou falhas nos recursos que suportam os processos de trabalho.
O resultado desse planejamento deve ser documentado, testado e revisado
conforme a necessidade, assegurados os recursos necessários à sua
implementação;
XIII - Notificação imediata de incidentes: notificar o
incidente imediatamente ao superior hierárquico que, sem prejuízo dos
encaminhamentos necessários à apuração de responsabilidades, dará
ciência do fato à Equipe de Tratamento e Resposta a Incidentes em Redes
Computacionais - ETIR;
XIV - Monitoramento contínuo de segurança: a
infraestrutura de TI e os sistemas aplicativos serão monitorados
continuamente quanto a atividades suspeitas e possíveis violações de
segurança; e
XV - Uso apropriado: todos os usuários da infraestrutura
e dos sistemas da ANM estarão sujeitos às políticas e requisitos de uso
apropriados da informação e seus ativos.
CAPÍTULO V
DAS NORMAS E PROCEDIMENTOS ESPECÍFICOS
Art. 9º
As normas e procedimentos específicos, necessários à implementação da POSIC,
serão sugeridas pelo Comitê de Governança Digital - CGD da ANM (instituído
pela Portaria nº 8 de 03 de janeiro 2020), e posteriormente aprovadas pela
Diretoria Colegiada da ANM.
Parágrafo único. Para cada um dos princípios e diretrizes relacionadas nesta
política devem ser observadas a pertinência na elaboração de procedimentos,
orientações e/ou manuais que disciplinem ou facilitem o entendimento da
POSIC.
CAPÍTULO VI
DAS COMPETÊNCIAS E RESPONSABILIDADES
Seção I
Do Comitê de Governança Digital
Art. 10º O Comitê
de Governança Digital (CGD/ANM), instituído pela PORTARIA Nº 8, DE 03 DE
JANEIRO DE 2020 da ANM, é o órgão de caráter consultivo e deliberativo
vinculado à Diretoria Colegiada, de atuação permanente, que tem por objetivo
o estabelecimento de políticas e diretrizes estratégicas transversais
relativas à Governança de Tecnologia da Informação e Comunicação (TIC) e à
Segurança da Informação e Comunicação (SIC).
Art. 11º
São competências do CGD/ANM dentre outras:
I - aprovar, monitorar e manter a Política de Segurança da Informação
(POSIC) da ANM e as normas internas de segurança da informação,
observadas as disposições do
art. 15 do Decreto nº 9.637, de 26 de dezembro de 2018, e as normas
de segurança da informação editadas pelo Gabinete de Segurança
Institucional da Presidência da República;
II - assessorar na
implementação das ações de segurança da informação; e
III - propor
alterações na política de segurança da informação interna.
Seção II
Do Gestor de Segurança da Informação e Comunicações
Art. 12º Compete ao Gestor de Segurança da Informação e Comunicações da
ANM:
I - promover cultura de segurança da informação e comunicações;
II
- acompanhar as investigações e as avaliações dos danos decorrentes de
quebras de segurança;
III - realizar e acompanhar estudos de novas
tecnologias quanto a possíveis impactos na segurança da informação e
comunicação da organização; e
IV - manter contato direto com o
Departamento de Segurança da Informação e Comunicações (DSIC/GSI/PR)
para o trato de assuntos relativos à segurança da informação e
comunicações.
Art. 13º O Gestor de Segurança da Informação e
Comunicações da ANM e o seu substituto serão designados em portaria ou
resolução específica.
Seção III
Dos usuários
Art. 14º Compete aos usuários da ANM:
I - cumprir fielmente as políticas, normas, os procedimentos e as
orientações de segurança da informação e comunicações da ANM;
II -
buscar orientação do superior hierárquico imediato em caso de dúvidas
relacionadas à segurança da informação;
III - assinar o Termo de
Responsabilidade, formalizando a ciência e o aceite da POSIC, bem como
assumindo a responsabilidade por seu cumprimento;
IV - proteger as
informações contra acesso, modificação, destruição ou divulgação não
autorizadas pela ANM; e
V - assegurar que os recursos tecnológicos à
sua disposição no local de trabalho sejam utilizados apenas para as
finalidades da Agência.
CAPÍTULO VII
DAS PENALIDADES
Art. 15º A não observância
desta política e/ou de seus documentos complementares, bem como a quebra de
controles de segurança da informação e comunicações, poderá acarretar,
isolada ou cumulativamente, nos termos da legislação aplicável, sanções
administrativas, civis e penais, assegurados aos envolvidos o contraditório
e a ampla defesa.
CAPÍTULO VIII
DA REVISÃO E ATUALIZAÇÃO
Art. 16º Esta
política, bem como o conjunto de instrumentos normativos gerados a partir
dela, serão revisados de forma periódica ou sempre que se fizer necessário,
não excedendo o período máximo de 02 (dois) anos.
Art. 17º Esta Resolução
entra em vigor na data de sua publicação.
