MINISTÉRIO DOS TRANSPORTES
AGÊNCIA NACIONAL DE TRANSPORTES TERRESTRES
DIRETORIA COLEGIADA
RESOLUÇÃO Nº 6.029, DE 7 DE DEZEMBRO DE 2023
Aprova a Política de Segurança da Informação - PoSIN da ANTT.
A Diretoria Colegiada da Agência Nacional de Transportes Terrestres - ANTT, no uso de suas das atribuições que lhe confere o inciso III do art. 11 do Regimento Interno, aprovado pela Resolução nº 5.976, de 7 de abril de 2022, fundamentada no Voto DG - 064, de 7 de dezembro de 2023, e no que consta do processo nº 50500.308343/2023-51, resolve:
Art. 1º Aprovar a Política de Segurança da Informação - PoSIN da Agência Nacional de Transportes Terrestres - ANTT, nos termos desta Resolução.
CAPÍTULO I
DO ESCOPO
Seção I
Do objetivo
Art. 2º A Política de Segurança da Informação - PoSIN da ANTT observará os princípios, objetivos e diretrizes estabelecidos nesta Resolução e nas disposições constitucionais, legais e regimentais vigentes, a fim de assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações produzidas ou custodiadas pela Agência, independentemente da forma ou meio em que sejam apresentadas ou compartilhadas.
Art. 3º Esta PoSIN define competências e responsabilidades relativas ao processo de tratamento da informação em conformidade com a legislação vigente, as normas técnicas pertinentes, os valores éticos e com as melhores práticas de Segurança da Informação.
Art. 4º Integram a PoSIN as normas gerais e específicas relativas à segurança da informação no âmbito da administração pública federal, com ênfase:
I - no Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação (PNSI);
II - na Lei nº 12.527, de 18 de novembro de 2011, Lei de Acesso à Informação (LAI);
III - na Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD);
IV - na Portaria SGD/MGI nº 852, de 28 de março de 2023, que dispõe sobre o Programa de Privacidade e Segurança da Informação (PPSI); e
V - nas instruções normativas e suas respectivas normas complementares editadas pelo Gabinete de Segurança Institucional da Presidência da República (GSI/PR).
Art. 5º Para fins desta PoSIN, a Segurança da Informação abrange os seguintes temas:
I - a segurança cibernética;
II - a segurança física e a proteção de dados organizacionais; e
III - as ações destinadas a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação.
Seção II
Da abrangência
Art. 6º Esta PoSIN e as normas e procedimentos complementares, aplicam-se a todas as unidades da estrutura organizacional da ANTT, incluindo as Coordenações Regionais, bem como a servidores, a prestadores de serviço, a colaboradores, a fornecedores, a estagiários, a consultores externos e a quem, de alguma forma, execute atividades para a Agência.
§ 1º Os contratos, convênios, acordos, termos de cooperação e outros instrumentos congêneres celebrados pela ANTT devem atender aos preceitos desta PoSIN.
§ 2º Esta PoSIN também se aplica, no que couber, ao relacionamento da ANTT com outros órgãos e entidades públicas ou privadas.
CAPÍTULO II
DOS CONCEITOS E DEFINIÇÕES
Art. 7º Para os fins desta PoSIN entende-se por:
I - Agente Público: todo aquele que exerce, ainda que transitoriamente ou sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função nos órgãos e entidades da administração pública federal, direta e indireta;
II - Algoritmo de Estado: função matemática utilizada na cifração e na decifração, desenvolvido pelo Estado, para uso exclusivo em interesse do serviço de órgãos ou entidades da APF, direta e indireta, não comercializável;
III - Ativos de Informação: meios de armazenamento, transmissão e processamento da informação, equipamentos necessários a isso, sistemas utilizados para tal, locais onde se encontram esses meios, recursos humanos que a eles têm acesso e conhecimento ou dado que tem valor para um indivíduo ou organização;
IV - Autenticidade: propriedade pela qual se assegura que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, órgão ou entidade;
V - Certificações Profissionais: processo negociado pelas representações dos setores especializados, pelo qual se identifica, avalia, e valida formalmente os conhecimentos, saberes, competências, habilidades e aptidões profissionais desenvolvidos em programas educacionais ou na experiência de trabalho, com o objetivo de promover o acesso, a permanência e a progressão no mundo do trabalho e o prosseguimento ou conclusão de estudos;
VI - Coleta de evidências de segurança em redes computacionais: Processo de obtenção de itens físicos que contém uma potencial evidência, mediante a utilização de metodologia e ferramentas adequadas que inclui a aquisição, ou seja, a geração das cópias das mídias, ou coleção de dados que contenham evidências do incidente;
VII - Comitê de Segurança da Informação - CSI: grupo de pessoas com a responsabilidade de assessorar a implementação das ações de segurança da informação no âmbito da ANTT, do órgão ou entidade da administração pública federal;
VIII - Computação em Nuvem: modelo de fornecimento e entrega de tecnologia de informação que permite acesso conveniente e sob demanda a um conjunto de recursos computacionais configuráveis, sendo que tais recursos podem ser provisionados e liberados com mínimo gerenciamento ou interação com o provedor do serviço de nuvem (PSN);
IX - Confidencialidade: propriedade pela qual se assegura que a informação não esteja disponível ou não seja revelada a pessoa, ao sistema, ao órgão ou à entidade não autorizados nem credenciados;
X - Controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso ao uso de recursos físicos ou computacionais. Via de regra, requer procedimentos de autenticação;
XI - Disponibilidade: propriedade pela qual se assegura que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados;
XII - Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR: grupo de servidores com a responsabilidade de receber, analisar e responder notificações e atividades relacionadas aos incidentes na rede computacional da ANTT que afetem a segurança da informação;
XIII - Evidência digital: informação ou dado, armazenado ou transmitido eletronicamente, em modo binário, que pode ser reconhecido como parte de um evento;
XIV - Gestão de Riscos: atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos;
XV - Incidentes de Segurança da Informação: ocorrências indesejadas ou inesperadas, que tenham uma grande probabilidade de comprometer a continuidade das operações do negócio e ameaçar a segurança da informação;
XVI - Informação: dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;
XVII - Informação Classificada: informação sigilosa em poder dos órgãos e entidades públicas, observado o seu teor e em razão de sua imprescindibilidade à segurança da sociedade ou do Estado, a qual é classificada como ultrassecreta, secreta ou reservada;
XVIII - Informação Pessoal: informação relacionada a pessoa natural identificada ou identificável;
XIX - Informação Sigilosa: aquela submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado;
XX - Infraestruturas Críticas: instalações, serviços, bens e sistemas cujas informações, se forem alvo de acesso, modificação, destruição ou divulgação não autorizada, resultarão em impactos na adequada prestação dos serviços públicos de transportes terrestres, e aquelas abrangidas pelas demais hipóteses legais de sigilo;
XXI - Integridade da Informação: propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;
XXII - Material de Acesso Restrito: material sigiloso em poder dos órgãos e entidades públicas, observado o seu teor e em razão de sua imprescindibilidade à segurança da sociedade ou do Estado, classificado como ultrassecreto, secreto ou reservado;
XXIII - Metadados: conjunto de dados estruturados que descrevem informação primária;
XXIV - Plano de Continuidade de Negócios - PCN: documentação dos procedimentos e informações necessárias para que os órgãos ou entidades da APF mantenham seus ativos de informação críticos e a continuidade de suas atividades críticas em local alternativo em um nível previamente definido, em casos de incidentes;
XXV - Política de Segurança da Informação - PoSIN: documento aprovado pela Diretoria Colegiada da ANTT, com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes à implementação da segurança da informação;
XXVI - Preservação de Evidências de Incidentes em redes computacionais: processo que compreende a salvaguarda das evidências e dos dispositivos, de modo a garantir que os dados ou metadados não sofram alteração, preservando-se a integridade e a confidencialidade das informações;
XXVII - Proteção de Dados Pessoais: ações que visam proteger direitos e liberdades fundamentais das pessoas naturais, entre eles a sua privacidade, inclusive em meios digitais;
XXVIII - Programa de Privacidade e Segurança da Informação - PPSI: conjunto de projetos e processos distribuídos nas áreas temáticas de governança, maturidade, metodologia, pessoas e tecnologia, com o objetivo de elevar a maturidade e a resiliência dos órgãos e entidades, em termos de privacidade e segurança da informação;
XXIX - Quebra de Segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento das propriedades de segurança da informação;
XXX - Recursos Computacionais: recursos que processam, armazenam e/ou transmitem informações, tais como: aplicações, sistemas de informação, computadores, notebooks, servidores de rede, equipamentos de conectividade e infraestrutura;
XXXI - Segurança Orgânica: toda ação, cautelas e medidas de proteção adotadas pelos órgãos ou entidades da APF que podem ser estendidas a grande número de colaboradores;
XXXII - Sistemas Estruturantes: sistemas com suporte de tecnologia da informação fundamental e imprescindível ao planejamento, à coordenação, à execução, à descentralização, à delegação de competência, ao controle ou à auditoria das ações do Estado, além de outras atividades auxiliares, desde que comum a dois ou mais órgãos da Administração e que necessitem de coordenação central;
XXXIII - Termo de Responsabilidade: termo assinado pelo usuário concordando em contribuir com a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações que tiver acesso, bem como assumir responsabilidades decorrentes de tal acesso;
XXXIV - Tratamento da Informação: conjunto de ações referentes à produção, à recepção, à classificação, à utilização, ao acesso, à reprodução, ao transporte, à transmissão, à distribuição, ao arquivamento, ao armazenamento, à eliminação, à avaliação, à destinação ou ao controle da informação; e
XXXV - Usuário: servidores, terceirizados, colaboradores, consultores, auditores e estagiários que obtiveram autorização do responsável pela área interessada para acesso aos Ativos de Informação de um órgão ou entidade da administração pública federal, formalizada por meio da assinatura do Termo de Responsabilidade.
CAPÍTULO III
DOS PRINCÍPIOS
Art. 8º Esta PoSIN obedece aos princípios constitucionais, administrativos e ao arcabouço normativo vigente que rege a segurança da informação no âmbito da administração pública federal.
Parágrafo único. São princípios da PoSIN na ANTT:
I - respeito e promoção dos direitos humanos e das garantias fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação;
II - visão abrangente e sistêmica da segurança da informação;
III - intercâmbio científico e tecnológico relacionado à segurança da informação entre os órgãos e as entidades da administração pública federal;
IV - educação como alicerce fundamental para o fomento da cultura em segurança da informação;
V - orientação à gestão de riscos e à gestão da segurança da informação;
VI - prevenção e tratamento de incidentes de segurança da informação;
VII - articulação entre as ações de segurança cibernética e de proteção de dados e ativos da informação;
VIII - obrigação dos órgãos, das entidades e dos agentes públicos de garantir o sigilo das informações imprescindíveis à segurança da sociedade e do Estado e a inviolabilidade da intimidade da vida privada, da honra e da imagem das pessoas;
IX - atenção para a necessidade de conhecer para a concessão de acesso à informação sigilosa, nos termos da legislação;
X - cooperação entre os órgãos de investigação e os órgãos e as entidades públicas no processo de credenciamento de pessoas para acesso às informações sigilosas; e
XI - integração e cooperação entre o Poder Público, o setor empresarial, a sociedade e as instituições acadêmicas.
CAPÍTULO IV
DAS DIRETRIZES GERAIS
Art. 9º As ações de Segurança da Informação estabelecidas por esta PoSIN e seus normativos complementares estarão alinhadas com as iniciativas estratégicas da ANTT.
Art. 10. As diretrizes de Segurança da Informação descritas nesta Política devem ser observadas por todos os usuários que executem atividades vinculadas à ANTT durante todas as etapas do tratamento da informação, a saber: produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação.
Art. 11. Instrumentos normativos e procedimentos complementares serão elaborados para a implantação e operacionalização das diretrizes previstas nos art. 12 a 52 desta Resolução, cuja proposição competirá ao Comitê de Segurança da Informação (CSI).
Seção I
Da Gestão da Segurança da Informação
Art. 12. A gestão da Segurança da Informação compreende ações e métodos que visam a integração das atividades de gestão de riscos, a gestão de continuidade do negócio, o tratamento de incidentes, o tratamento da informação, a conformidade, o credenciamento, a segurança cibernética, a segurança física, a segurança lógica, a segurança orgânica e a segurança organizacional dos processos institucionais estratégicos, operacionais e táticos.
Seção II
Do Tratamento da Informação
Art. 13. Toda informação produzida, recebida, utilizada, acessada, reproduzida, transportada, transmitida, distribuída, arquivada, armazenada e descartada no âmbito da ANTT será avaliada, se for o caso, classificada e protegida adequadamente, de acordo com a legislação vigente.
Art. 14. A informação utilizada pela ANTT será protegida, cuidada e gerenciada adequadamente com o objetivo de garantir a sua disponibilidade, integridade, confidencialidade e autenticidade, independentemente do meio de armazenamento, processamento ou transmissão que esteja sendo utilizado.
Art. 15. O tratamento da informação ao longo de seu ciclo de vida deve ser realizado de modo ético e responsável por todos agentes públicos da ANTT.
Art. 16. Os ativos de informação serão inventariados e mapeados de acordo com o arcabouço normativo vigente.
Art. 17. Será estabelecido procedimento para o tratamento da informação em ambiente de Computação em Nuvem de acordo com os requisitos exigidos no arcabouço normativo vigente.
Parágrafo único. As informações tratadas em ambiente de computação em nuvem devem passar por um processo de Gestão de Riscos.
Seção III
Da Informação Sigilosa, Pessoal e do Material de Acesso Restrito
Art. 18. Será estabelecido procedimento de acesso às áreas, às instalações e aos materiais que contenham informação sigilosa, classificada ou não, informação pessoal ou material de acesso restrito.
Art. 19. As áreas e as instalações que contenham documento com informação classificada em qualquer grau de sigilo, ou que, por sua utilização ou finalidade, demandarem proteção, terão seu acesso restrito às pessoas autorizadas pela ANTT.
Parágrafo único. O acesso à informação classificada em qualquer grau de sigilo à pessoa não credenciada ou não autorizada por legislação poderá, excepcionalmente, ser permitido mediante assinatura de Termo de Compromisso de Manutenção de Sigilo - TCMS, conforme Anexo I do Decreto nº 7.845, de 14 de novembro de 2012, pelo qual a pessoa se obrigará a manter o sigilo da informação, sob pena de responsabilidade penal, civil e administrativa, na forma da Lei.
Seção IV
Da Privacidade dos Dados
Art. 20. As normas estabelecidas no âmbito da ANTT para a adoção de ações voltadas à privacidade de dados pessoais e a informações sensíveis, observarão os normativos federais vigentes, em especial à Lei Federal nº 13.709, de 2018.
Seção V
Do Tratamento de Incidentes
Art. 21. Para o tratamento de incidentes de rede computacional deve ser instituída e mantida uma Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR), com objetivo de registrar, analisar e tratar incidentes de segurança de informação por meio da coleta de evidências, de investigação de ataques, de provimento de assistência local e remota e de intermediação da comunicação entre as partes envolvidas, em conformidade com as Normas Complementares nº 05 e 08/IN01/DSI/GSIPR.
Art. 22. A ETIR estabelecerá um plano de ação de resposta aos incidentes de segurança da informação com o objetivo de interromper ou mitigar os impactos deles decorrentes.
Seção VI
Da Gestão de Riscos
Art. 23. O Gestor de Segurança da Informação implementará e manterá um processo de gestão de riscos com vistas a minimizar possíveis impactos associados aos ativos de informação, reduzir as vulnerabilidades e evitar ameaças.
Parágrafo único. Os ativos de informação a serem protegidos serão priorizados, bem como a definição e implantação de controles para a identificação e tratamento de problemas de segurança.
Seção VII
Da Gestão de Continuidade de Negócios
Art. 24. O processo de gestão da continuidade de negócios será implementado, mantido e testado periodicamente visando reduzir, para um nível aceitável, o tempo de interrupção causado por incidentes e acidentes de segurança que afetem os ativos de informação.
Art. 25. O Gestor de Segurança da Informação elaborará e implementará o Programa de Gestão de Continuidade de Negócios, no qual deverá englobar, no mínimo, o plano de gestão de continuidade, que permita identificar ameaças e possíveis impactos na continuidade dos processos e serviços digitais que sejam essenciais para o funcionamento da ANTT.
Seção VIII
Auditoria e Conformidade
Art. 26. O Gestor de Segurança da Informação elaborará e implementará mecanismos de auditoria e conformidade dos controles das normas mandatórias de Segurança de Informação, com o objetivo de garantir a exatidão dos registros de acesso aos ativos de informação e avaliar sua conformidade com as normas vigentes sobre a matéria.
Seção IX
Das Infraestruturas Críticas
Art. 27. As informações referentes às infraestruturas críticas, tais como: Plano de Continuidade de Negócios (PCN), Programa de Gerenciamento de Riscos (PGR) e as demais informações que possam comprometer a adequada prestação dos serviços públicos de transportes terrestres devem ser identificadas, classificadas e tratadas de forma a serem preservadas, e ter seu uso restrito às pessoas e áreas credenciadas.
Seção X
Dos Controles de Acesso
Art. 28. O uso de ativos de informação deve ser controlado e monitorado pela ANTT, respeitados os princípios legais, para garantir a utilização estrita e correta desses recursos, bem como minimizar riscos às atividades, aos serviços e à imagem institucional da Agência.
Art. 29. Devem ser adotados mecanismos que controlem a entrada e saída de visitantes, pessoal interno, equipamentos e mídias.
Art. 30. Estabelecer perímetros de segurança e habilitar o acesso apenas de pessoal autorizado.
Art. 31. Para os sistemas críticos, convém que sejam criados ambientes reservados, de uso exclusivo, para abrigá-los.
Art. 32. Os computadores e sistemas da ANTT devem possuir controle de acesso de modo a assegurar o uso apenas a usuários ou processos autorizados.
Seção XI
Do uso de e-mail
Art. 33. O uso de e-mail institucional no ambiente de trabalho deverá se dar para atender as necessidades de serviço, cabendo à ANTT definir regras claras e precisas para sua utilização.
Parágrafo único. As regras de que trata o caput devem ter o objetivo de evitar a utilização do e-mail institucional para fins particulares, abuso de direito ou violação à imagem da agência.
Seção XII
Do acesso à Internet
Art. 34. O acesso à internet deve se limitar à esfera profissional, com conteúdo relacionado às atividades desempenhadas pelos servidores e colaboradores da ANTT, observando-se sempre a conduta compatível com os princípios definidos nesta PoSIN.
Seção XIII
Do Uso das Redes Sociais
Art. 35. O uso seguro das redes sociais deve ter como referência os objetivos estratégicos da ANTT.
Parágrafo único. Também devem ser considerados os critérios, as limitações, a estratégia de comunicação, os processos de gestão de conteúdo e as responsabilidades na gestão do uso, bem como as ferramentas de comunicação interna e a política de comunicação com os usuários dos serviços da ANTT.
Seção XIV
Do Uso de Dispositivos Móveis
Art. 36. Devem ser adotados mecanismos que proporcionem o controle de acesso e uso de dispositivos móveis corporativos ou particulares utilizados pelos servidores, colaboradores e visitantes da ANTT.
Art. 37. Devem ser adotados controles que registrem as conexões de dispositivos móveis à rede de visitantes da ANTT.
Seção XV
Do patrimônio intelectual
Art. 38. As informações, os sistemas e os métodos criados pelos servidores da ANTT ou por prestadores de serviço e colaboradores, no exercício de suas funções, são patrimônios intelectuais da instituição, não cabendo a seus criadores qualquer forma de direito autoral.
§ 1º A utilização das informações, sistemas e métodos de que trata o caput em eventos de interesse exclusivo do servidor, como apresentações em seminários, workshops e fóruns de forma geral, contará com a autorização do chefe da unidade organizacional pela gestão desses ativos.
§ 2º Em caso de negativa à autorização indicada no § 1º, o servidor poderá recorrer ao Comitê de Segurança da Informação (CSI).
Seção XVI
Gestão de ativos de informação
Art. 39. O processo de inventário e mapeamento de ativos de informação deve considerar, prioritariamente, os objetivos estratégicos da ANTT, os processos de negócios críticos e as informações classificadas conforme os requisitos legais.
Parágrafo único. As ações previstas no caput devem proporcionar a identificação clara dos responsáveis pelos ativos de informação, como também do conjunto completo de informações básicas sobre os requisitos de segurança da informação de cada um desses ativos e da identificação de seu valor para a ANTT.
Seção XVII
Segurança física e do Ambiente
Art. 40. As instalações físicas que armazenam e processam as informações classificadas devem ser preservadas contra o acesso não autorizado e mantidas em áreas seguras, protegidas por perímetros de segurança, com barreiras e controles de acesso apropriados, visando manter a integridade dos bancos de dados.
Art. 41. O acesso aos bancos de dados será controlado e registrado para fins de auditoria.
Seção XVIII
Segurança em recursos humanos
Art. 42. A segurança dos recursos humanos, quanto ao uso das ferramentas computacionais, deve ser executada e consolidada por meio de ações que promovam a cultura de segurança da informação no âmbito da ANTT.
Seção XIX
Gestão de operações e comunicações
Art. 43. A gestão de operações e comunicações deve manter conformidade com a metodologia de processo de gestão de mudanças definido na Norma Complementar nº 13/IN01/DSIC/GSI/PR, de 2012, do Departamento de Segurança da Informação e Comunicações vinculado ao Gabinete de Segurança Institucional da Presidência da República.
Seção XX
Criptografia
Art. 44. O uso de recursos criptográficos deve ter, no mínimo, parâmetros e padrões dos algoritmos de Estado definidos na Norma Complementar nº 09/IN01/DSIC/GSI/PR, de 2014, para todas as informações que tenham sido classificadas em qualquer grau de sigilo, inclusive nos entendimentos, contratos, termos ou acordos de aquisição e manutenção de equipamentos, dispositivos móveis, sistemas, aplicativos ou serviços que disporão desses recursos.
Seção XXI
Desenvolvimento seguro de software
Art. 45. O processo de desenvolvimento de software deve conter regras que permitam a segurança das aplicações, no que diz respeito aos acordos de licenciamento, propriedade dos códigos e direitos de propriedade intelectual, bem como os requisitos de documentação específicos de segurança para as aplicações a serem adquiridas ou desenvolvidas interna ou externamente.
Seção XXII
Dos Profissionais da Área de Segurança da Informação
Art. 46. Os servidores serão continuamente capacitados para o desenvolvimento de habilidades e competências em segurança da informação, a fim de manter a gestão e todos os processos dessa natureza na ANTT.
Art. 47. Os servidores devem participar e contribuir na busca e no compartilhamento do conhecimento e certificações, bem como na troca de experiências com outras entidades do governo, atuando em grupos de trabalho, listas de discussões e eventos que abordem o tema segurança da informação.
Seção XXIII
Dos Padrões Mínimos de Segurança da Informação para os Sistemas Estruturantes
Art. 48. As demandas de planejamento, concepção e manutenção de sistemas estruturantes deverão seguir processo formal de Gestão de Riscos de Segurança da Informação.
Art. 49. Preferencialmente, os sistemas estruturantes devem optar por ativos de informação constituídos por arquiteturas que permitam auditar seus respectivos projetos e códigos, conforme legislação em vigor.
Seção XXIX
Do Registro de Eventos, Coleta e Preservação de Evidências de Incidentes de Segurança da Informação
Art. 50. Em caso de quebra de segurança da informação, as ações de restabelecimento dos serviços não devem comprometer a coleta, e preservação da integridade das evidências.
Art. 51. Todo material coletado será lacrado e custodiado pelo agente responsável pela ETIR, o qual deve preencher Termo de Custódia dos Ativos de Informação relacionados ao incidente de segurança.
Seção XXV
Do Termo de Responsabilidade
Art. 52. Todo Agente Público em exercício na ANTT assinará o Termo de Responsabilidade, que deve relacionar os compromissos de:
I - tratar o ativo de informação como patrimônio da ANTT;
II - utilizar as informações em qualquer suporte sob sua custódia, exclusivamente no interesse do serviço da ANTT;
III - contribuir para assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações, conforme descrito no arcabouço normativo sobre segurança da informação; e
IV - utilizar as credenciais, as contas de acesso e os ativos de informação em conformidade com a legislação vigente e normas específicas da ANTT, respondendo pelo seu uso indevido.
Art. 53. Os contratos, convênios, acordos de cooperação e outros instrumentos congêneres celebrados, que necessitem ter informações da Agência, devem conter cláusulas que determinem a observância desta PoSIN e seus documentos complementares, bem como que estabeleçam o comprometimento de tratá-las de acordo com o Termo de Responsabilidade de que trata o art. 52.
CAPÍTULO V
DA ESTRUTURA DE GESTÃO E DAS COMPETÊNCIAS E RESPONSABILIDADES
Art. 54. A Gestão de Segurança da Informação na ANTT será realizada com a seguinte estrutura:
I - Diretoria Colegiada da ANTT;
II - Comitê de Segurança da Informação (CSI); e
III - Gestor de Segurança da Informação.
Seção I
Da Composição do CSI
Art. 55. O Comitê de Segurança da Informação (CSI) será composto pelos representantes titulares ou seus substitutos, das seguintes unidades organizacionais:
I - Assessoria Especial de Comunicação (AESCOM);
II - Coordenação de Gestão Documental e Processo Eletrônico (CGDOC);
III - Corregedoria (COREG);
IV - Ouvidoria (OUVID);
V - Procuradoria Federal junto à ANTT (PF/ANTT); e
VI - Superintendências de Processos Organizacionais.
Parágrafo único. Os membros do Comitê de Segurança da Informação poderão ser representados por outros servidores, desde que esses sejam ocupantes de cargo em comissão ou função de confiança de nível 5 ou superior do Grupo-Direção e Assessoramento Superiores ou equivalente, preferencialmente em cargo de gerência.
Seção II
Da Organização do CSI
Art. 56. A reunião inicial de instalação do Comitê de Segurança da Informação (CSI) deverá deliberar e aprovar seu regimento interno.
Parágrafo único. O regimento interno do CSI deverá dispor, no mínimo, sobre:
I - periodicidade das reuniões ordinárias e regras para convocação de reuniões extraordinárias;
II - regras para deliberação do Comitê, incluindo o quórum mínimo para votação e eventuais casos de empate; e
III - funcionamento dos grupos de trabalho de que trata o inciso III do art. 58.
Seção III
Das Competências e Responsabilidades
Art. 57. Compete à Diretoria Colegiada da ANTT:
I - aprovar a Política de Segurança da Informação (PoSIN), suas atualizações e as normas e procedimentos relativos à matéria no âmbito da ANTT; e
II - instituir o Comitê de Segurança da Informação (CSI).
Art. 58. Compete ao Comitê de Segurança da Informação (CSI):
I - aprovar seu regimento interno;
II - assessorar na implementação das ações de Segurança da Informação na ANTT;
III - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre Segurança da Informação;
IV - propor normas e procedimentos relativos à Segurança da Informação, em conformidade com a legislação existente sobre o tema;
V - monitorar e avaliar periodicamente as práticas de segurança da informação adotadas pela ANTT;
VI - revisar e analisar periodicamente as diretrizes e normas estabelecidas nesta política visando a sua aderência aos objetivos estratégicos da ANTT e à legislação vigente; e
VII - articular entre as ações de Segurança Cibernética e de Proteção de Dados e ativos da informação.
Art. 59. O Gerente de Infraestrutura Tecnológica exercerá a função de Gestor de Segurança da Informação, ao qual compete:
I - coordenar o Comitê de Segurança da Informação e a Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos;
II - promover a cultura de segurança da informação;
III - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;
IV - propor programa orçamentário específico para as ações de Segurança da Informação;
V - realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na Segurança da Informação;
VI - propor normas e procedimentos relativos à Segurança da Informação; e
VII - manter contato permanente e estreito com o Departamento de Segurança Cibernética e o Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República para o trato de assuntos relativos à segurança da informação.
Art. 60. Compete à Superintendência de Tecnologia da Informação (SUTEC):
I - elaborar e implementar normas e procedimentos complementares, no âmbito da ANTT, em conformidade com as demais normas legais vigentes, devendo:
a) instituir a Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR), conforme a diretrizes contidas na Norma Complementar nº 05/IN01/DSIC/GSI/PR, de 2009;
b) prestar apoio técnico, administrativo ao CSI, sempre que houver ações preventivas e corretivas na Segurança da Informação da ANTT;
c) propor ao CSI as alterações nas normas e nos procedimentos de Segurança da Informação, sempre que houver alteração no ambiente computacional ou atualizações tecnológicas, a fim de manter e melhorar o nível de segurança;
d) avaliar o nível de segurança alcançado, emitindo relatórios periódicos de Análise de Riscos ao CSI; e
e) definir as soluções técnicas necessárias para a implantação e adequação do ambiente da ANTT à PoSIN e garantir a disponibilidade de recursos tecnológicos necessários à implementação das ações de segurança da informação.
Art. 61. Compete às demais unidades organizacionais da ANTT:
I - propor ao Comitê de Segurança da Informação normas e procedimentos complementares em seu âmbito de atuação; e
II - implementar esta PoSIN e demais normas legais vigentes.
Art. 62. Compete ao Agente Público:
I - preservar a imagem institucional da ANTT;
II - comunicar ao Gestor de Segurança da Informação os incidentes que afetem a segurança dos ativos de informação ou o descumprimento desta PoSIN; e
III - comunicar à ETIR os incidentes cibernéticos ocorridos na rede de computadores.
CAPÍTULO VI
DAS PENALIDADES
Art. 63. O desrespeito ou violação dos termos contidos nesta PoSIN será apurado em processo administrativo disciplinar, podendo resultar em:
I - suspensão temporária ou permanente de privilégios de acesso aos recursos que estiverem disponíveis;
II - penas e sanções legais impostas por meio de medidas administrativas, sem prejuízo das demais medidas penais e/ou cíveis;
III - aplicação do disposto no Código de Ética da ANTT; e
IV - aplicação das penalidades previstas na Lei nº 8.112, de 11 de dezembro de 1990.
CAPÍTULO VII
DAS DISPOSIÇÕES FINAIS
Art. 64. Todos os instrumentos normativos gerados a partir da aprovação desta PoSIN, bem como a própria política, devem ser revisados sempre que se fizer necessário, não devendo exceder o período máximo de 3 (três) anos, contados a partir da publicação.
Art. 65. As dúvidas ou casos omissos relativos a esta PoSIN serão reportados ao Comitê de Segurança da Informação - CSI, que deverá esclarecê-los de forma célere.
Art. 66. Fica revogada a Resolução nº 5.854, de 10 de setembro de 2019.
Art. 67. Esta Resolução entra em vigor em 2 de janeiro de 2024.
RAFAEL VITALE RODRIGUES
Diretor-Geral
Publicado Internamente pela ANTT em 07/12/2023