MINISTÉRIO DA INFRAESTRUTURA
AGÊNCIA NACIONAL DE TRANSPORTES TERRESTRES
SUPERINTENDÊNCIA DE TECNOLOGIA DA INFORMAÇÃO
COMITÊ DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES
PORTARIA Nº 3, DE 31 DE MAIO DE 2019
Dispõe sobre a instituição da Política de Continuidade de Negócios (PCN) da Agência Nacional de Transportes Terrestres (ANTT).
O Coordenador do Comitê de Segurança da Informação e Comunicações (CSIC), por meio da Superintendência de Tecnologia da Informação (SUTEC), da Agência Nacional de Transporte Terrestres (ANTT), no uso de suas atribuições legais e regimentais, conforme Resolução nº 5.810, de 3 de maio de 2018, que aprova o Regimento Interno da Agência Nacional de Transporte Terrestre (ANTT);
Considerando a Política de Segurança da Informação e Comunicações da ANTT - Deliberação nº 364/2013 - DG, de 19 de dezembro de 2013 ou outra que venha a substituí-la;
Considerando o Decreto nº 7.724, de 16 de maio de 2012, que regulamenta a Lei nº 12.527, que dispõe sobre o acesso a informações previsto no inciso XXXIII do caput do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição;
Considerando o Decreto nº 7.845, de 14 de novembro de 2012, que regulamenta procedimentos para credenciamento de segurança e tratamento de informação classificada em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento;
Considerando o Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação, e altera o Decreto nº 2.295, de 4 de agosto de 1997, que regulamenta o disposto no art. 24, caput, inciso IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação nos casos que possam comprometer a segurança nacional;
Considerando a Instrução Normativa nº 01, de 13 de junho de 2008, do Gabinete de Segurança Institucional da Presidência da República, que disciplina a gestão de segurança da informação e comunicações na Administração Pública Federal, direta e indireta e dá providencias, e suas respectivas normas complementares;
Considerando a Instrução Normativa nº 02, de 5 de fevereiro de 2013, do Gabinete de Segurança Institucional da Presidência da República, que dispõe sobre o credenciamento de segurança para o tratamento de informação classificada, em qualquer grau de sigilo, no âmbito do Poder Executivo Federal; e suas respectivas normas complementares;
Considerando a Lei nº 9.962, de 22 de fevereiro de 2000, que disciplina o regime de emprego público do pessoal da Administração Federal Direta, Autárquica e Fundacional, e dá outras providências;
Considerando a Lei nº 12.527, de 18 de novembro de 2011, que regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal;
Considerando a Norma ABNT ISO/IEC 15999-1:2007 - Gestão de Continuidade de Negócios - Parte 1: Código de prática;
Considerando a Norma Complementar nº 06, de 11 de novembro de 2009, do Gabinete de Segurança Institucional da Presidência da República, que dispõe sobre as diretrizes para Gestão de Continuidade de Negócios em Segurança da Informação e Comunicações nos órgãos ou entidades da Administração Pública Federal direta e indireta; e
Considerando a necessidade de implementar e publicar a Política de Continuidade de Negócios (PCN) na Agência Nacional de Transporte Terrestres (ANTT), resolve:
Art. 1º Instituir a Política de Continuidade de Negócios (PCN) da Agência Nacional de Transportes Terrestres (ANTT) que objetiva estabelecer padrões a serem observados e seguidos por todas as Unidades Organizacionais e definir diretrizes que contribuam, de forma organizada para alcançar a resiliência para a Gestão de Continuidade de Negócios dos ativos de informação.
Art. 2º Esta PCN está em conformidade com os controles definidos na NC06/IN01/DSIC/GSIPR, visa fornecer subsídios para o planejamento e respostas a incidentes de redes computacionais, a fim de prover a continuidade das operações de negócios em um nível aceitável e pré-definido com os gestores dos ativos de informação da Agência.
Art. 3º Esta PCN e as Normas e Procedimentos Complementares, aplicam-se a todas as unidades da estrutura organizacional da ANTT, incluindo as Unidades Regionais, bem como a servidores, prestadores de serviço, colaboradores, fornecedores, estagiários, consultores externos e a quem, de alguma forma, execute atividades para a Agência.
Art. 4º Os contratos, convênios, acordos, termos de cooperação e outros instrumentos congêneres celebrados pela ANTT devem atender aos preceitos desta PCN.
Art. 5º Esta PCN também se aplica, no que couber, ao relacionamento da ANTT com outros órgãos e entidades públicas ou privadas.
Art. 6º Todos são responsáveis e devem estar comprometidos com a Gestão de Continuidade de Negócios da Agência.
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 7º Para fins desta PCN, considera-se:
I - Ameaça: Conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização;
II - Análise de riscos: Uso sistemático de informações para identificar fontes e estimar o risco;
III - Ativo de informação: qualquer componente (humano, tecnológico, físico ou lógico) que sustenta um ou mais processos de negócio de uma Unidade Organizacional. Inclui meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso;
IV - Comitê de Segurança da Informação e Comunicações (CSIC): grupo de servidores com a responsabilidade de assessorar na implementação e acompanhamento das ações de segurança da informação e comunicações no âmbito da ANTT;
V - Confidencialidade: propriedade pela qual se assegura que a informação não esteja disponível ou não seja revelada a pessoa, sistema, órgão ou entidade não autorizado nem credenciado;
VI - Continuidade de Negócios: capacidade estratégica e tática de um órgão ou entidade de se planejar e responder a incidentes e interrupções de negócios, minimizando seus impactos e recuperando perdas de ativos da informação das atividades críticas, de forma a manter suas operações em um nível aceitável, previamente definido;
VII - Controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso.
VIII - Desastre: Evento repentino e não planejado que causa perda para toda ou parte da organização e gera sérios impactos em sua capacidade de entregar serviços essenciais ou críticos por um período de tempo superior ao tempo objetivo de recuperação;
IX - Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR): grupo de servidores com a responsabilidade de receber, analisar e responder notificações e atividades relacionadas a incidentes na rede computacional da ANTT que afetem a segurança da informação e comunicações;
X - Estratégia de Continuidade de Negócios: abordagem de um órgão ou entidade que garante a recuperação dos ativos de informação e a continuidade das atividades críticas ao se defrontar com um desastre, uma interrupção ou outro incidente maior;
XI - Gestão de Continuidade: processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio, caso estas ameaças se concretizem. Este processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das partes interessadas, a reputação e a marca da organização, e suas atividades de valor agregado;
XII - Gestão de Riscos: atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos;
XIII - Impacto: Mudança adversa que afeta os objetivos de um determinado negócio;
XIV - Incidentes de Segurança da Informação e Comunicações: ocorrências indesejadas ou inesperadas, que tenham uma grande probabilidade de comprometer a continuidade das operações do negócio e ameaçar a segurança da informação e comunicações;
XV - Informação: dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;
XVI - Informação Classificada: informação sigilosa em poder dos órgãos e entidades públicas, observado o seu teor e em razão de sua imprescindibilidade à segurança da sociedade ou do Estado, a qual é classificada como ultrassecreta, secreta ou reservada;
XVII - Incerteza: Incapacidade de saber com antecedência a real probabilidade ou impacto de eventos futuros;
XVIII - Mensuração de riscos: significa estimar a importância de um risco e calcular a probabilidade e o impacto de sua ocorrência;
XIX - Plano de Continuidade de Negócios: documentação dos procedimentos e informações necessárias para que os órgãos ou entidades da APF mantenham seus ativos de informação críticos e a continuidade de suas atividades críticas em local alternativo num nível previamente definido, em casos de incidentes;
XX - Plano de Gerenciamento de Incidentes: plano de ação claramente definido e documentado, para ser usado quando ocorrer um incidente que basicamente cubra as principais pessoas, recursos, serviços e outras ações que sejam necessárias para implementar o processo de gerenciamento de incidentes;
XXI - Plano de Recuperação de Negócios: documentação dos procedimentos e informações necessárias para que o órgão ou entidade da APF operacionalize o retorno das atividades críticas a normalidade;
XXII - Programa de Gestão de Continuidade de Negócios: processo contínuo de gestão e governança suportado pela alta direção e que recebe recursos apropriados para garantir que os passos necessários estão sendo tomados de forma a identificar o impacto de perdas em potencial, manter estratégias e planos de recuperação viáveis e garantir a continuidade de fornecimento de produtos e serviços por intermédio análises críticas, testes, treinamentos e manutenção;
XXIII - Política de Segurança da Informação e Comunicações (PoSIC): documento aprovado pela Diretoria Geral da ANTT, com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes à implementação da segurança da informação e comunicações;
XXIV - Tempo Objetivo de Recuperação: é o tempo pré-definido no qual uma atividade deverá estar disponível após uma interrupção ou incidente;
XXV - Quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento das propriedades de segurança da informação e comunicações;
XXVI - Resiliência: poder de recuperação ou capacidade de uma organização resistir aos efeitos de um desastre.
XXVII - Risco: o efeito da incerteza sobre o objetivo; e
XXVII - Risco em segurança da informação: potencial dano para uma organização que uma ameaça pode gerar ao explorar vulnerabilidades de um dado ativo de informação.
Art. 8º Esta PCN obedece aos princípios constitucionais, administrativos e ao arcabouço normativo vigente que rege a Segurança da Informação e Comunicações no âmbito da Administração Pública Federal, além de manter o alinhamento com os objetivos institucionais e com a Política de Segurança da Informação e Comunicações da Agência.
Art. 9º As ações para a Gestão de Continuidade de Negócios dos sistemas críticos devem ser incorporadas no processo de Gestão de Mudanças.
Art. 10º O desenvolvimento e a aquisição de sistemas devem assegurar que contenham mecanismos de Segurança da Informação e Comunicações que levem em consideração o balanceamento dos seguintes aspectos: risco, tecnologia, custo, qualidade, velocidade, impacto no negócio e continuidade operacional.
Art. 11º A Gestão de Riscos e a análise dos impactos sobre os negócios deve entender que as ameaças podem tornar indisponíveis os ativos de informação.
Art. 12º O Gestor de Segurança da Informação e Comunicações deve envolver a alta direção na implementação do Programa de Gestão de Continuidade de Negócios.
Art. 13º O Comitê de Segurança da Informação e Comunicações deve viabilizar a disseminação da Continuidade de Negócios, apoiando o Gestor de Segurança da Informação e Comunicações na busca de recursos que assegurem a execução do Programa de Gestão de Continuidade de Negócios.
Art. 14º O Gestor de Segurança da Informação e Comunicações deve planejar cenários para realizar exercícios e testes que viabilizem a revisão dos planos de gerenciamento de incidentes e de desastres.
Art. 15º A Gestão de Riscos deve fornecer os seus resultados atualizados anualmente ou sempre que se julgar necessário, de forma a contribuir para a Continuidade dos Negócios.
Art. 16º A elaboração de campanhas de conscientização é um fator de extrema importância para que os gestores dos ativos de informação conheçam os processos de negócios e seus respectivos planos que irão assegurar a Continuidade das Operações dos Negócios da Agência.
CAPÍTULO II
DA GESTÃO DE CONTINUIDADE DOS NEGÓCIOS
Seção I - Da Análise do impacto nos negócios
Art. 17º Visando manter a conformidade com a NC06/IN01/DSIC/GSIPR, a Política de Continuidade de Negócios deve seguir os princípios do processo de melhoria contínua abaixo, determinar e documentar o impacto qualitativo e/ou quantitativo da interrupção das atividades que suportam os serviços críticos através da execução de Análises de Impacto nos Negócios (BIA - Business Impact Analysis).
I. Planejar:
a) Nesta etapa o Gestor de Segurança da Informação e Comunicações deve elaborar o plano de ação de SIC.
II. Definições preliminares:
a) Nesta etapa deve ser avaliado o escopo e os limites da gestão de continuidade de negócios, a estrutura, os recursos necessários, as responsabilidades, as partes interessadas e as diretrizes para implementação da PCN;
b) O escopo se refere aos ativos de informação que comporão a GCN e qual o Tempo Objetivo de Recuperação que se deseja atender.
Seção II - Do Tratamento dos Riscos
Art. 18º O Gestor de Segurança da Informação e Comunicações deve tratar os riscos, juntamente com o Comitê de Segurança a Informação e Comunicações e com a alta direção, levando em consideração a Metodologia de Gestão de Riscos de Segurança da Informação e Comunicações.
Seção III - Da Estratégia de Continuidade de Negócios
Art. 19º Os resultados da análise de impacto nos negócios e os da análise de riscos devem ser documentados, de forma a assegurar que os planos produzidos apresentem soluções corretas para as respostas aos incidentes ou desastres que venham a afetar a continuidade das operações dos negócios.
Art. 20º As soluções dos planos devem estar em conformidade com o Tempo de Recuperação desejado.
Seção IV - Da Comunicação do Incidente
Art. 21º Os incidentes devem ser imediatamente comunicados para o Gestor de Segurança da Informação e Comunicações, o qual deverá tomar as providências cabíveis através do acionamento dos respectivos planos desenvolvidos.
Parágrafo Único. O canal de comunicação deve ser eficiente, autônomo e funcionar em tempo integral, para atendimento e orientação nos casos de incidentes que possam ocasionar a quebra de segurança da informação e comunicações.
Seção V - Da Resposta e Operações de Emergência
Art. 22º Deverá ser implementado procedimentos de resposta e estabilização da situação após um incidente ou desastre, por meio de planos; incluindo o estabelecimento e gerenciamento de um Centro de Comando de Operações para ser utilizado durante o período da emergência instalada na Agência.
Seção VI - Do Programa de Continuidade de Negócios
Art. 23º Os planos da Gestão de Continuidade de Negócios que compõem o Programa de Continuidade de Negócios devem ser elaborados para todos os serviços críticos que foram identificados com a Análise de Impactos no Negócio.
Parágrafo Único. Os planos podem ser invocados total ou parcialmente em qualquer estágio da resposta ao incidente.
Art. 24º A Equipe de Tratamento e Resposta a Incidentes deve ser mobilizada para participar das soluções dos planos.
Art. 25º O Gestor de Segurança da Informação e Comunicações deve prever nos planos a participação dos parceiros internos (servidores e colaboradores) e externos (usuários e fornecedores) e a mídia (jornal, rádio, televisão e redes sociais), quando for o caso.
Seção VII - Dos Testes de Continuidade de Negócios
Art. 26º Os planos devem ser consolidados por meio de testes e os exercícios devem incluir cenários que permitam a antecipação de uma crise que validem a estratégia adotada e os procedimentos descritos.
Parágrafo Único. Os planos devem ser testados semestralmente e devem apresentar os resultados com as evidências dos procedimentos executados.
Seção VIII - Do Programa de Treinamento da Continuidade de Negócios
Art. 27º Um programa de conscientização deve ser elaborado para assegurar que a alta direção, o Comitê de Segurança da Informação e os Gestores dos ativos da informação sejam sensibilizados das ameaças e das preocupações que possam intervir na continuidade dos negócios.
Art. 28º Esta Portaria entra em vigor na data de sua publicação.
Francisco José Marques
Publicado Internamente pela ANTT em 03/06/2019