Exportar:
Word Excel PDF
Lista de Itens
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:1/141
CONSULTA PÚBLICA Nº 13
 Item:  MINUTA DE ATO

O SUPERINTENDENTE DE OUTORGA E RECURSOS À PRESTAÇÃO - ANATEL, no uso das atribuições que lhe foram conferidas pela Resolução n.º 715, de 23 de outubro de 2019, e

CONSIDERANDO a competência dada pelos Incisos XIII e XIV do Art. 19 da Lei n.º 9.472/97 – Lei Geral de Telecomunicações;

CONSIDERANDO o Art. 22 do Regulamento para Avaliação da Conformidade e Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019;

CONSIDERANDO a Estratégia Nacional de Segurança Cibernética, aprovada por meio do Decreto nº 10.222, de 5 de fevereiro de 2020; e

CONSIDERANDO o constante dos autos do processo nº 53500.026122/2019-70,

RESOLVE:

Art. 1º Aprovar os requisitos mínimos de segurança cibernética para equipamentos para telecomunicações, nos moldes do Anexo a este Ato.

Art. 2º Este Ato entra em vigor 180 (cento e oitenta) dias após a data de sua publicação no Boletim de Serviços Eletrônico da Anatel.

ID da Contribuição: 92568
Autor da Contribuição: LUIZ GUSTAVO DE MORAIS
Entidade: GENERAL MOTORS DO BRASIL LTDA
Área de Atuação: OUTRO
Contribuição:

Sugestões referentes ao Art#2:

Art. 2º Este Ato entra em vigor 180 (cento e oitenta) 365 (trezentos e sessenta e cinco) dias após a data de sua publicação no Boletim de Serviços Eletrônico da Anatel para Novas Famílias de produtos homologados. Para as Famílias de produtos com certificados de homologação validos, este Ato entra em vigor no processo de renovação do certificado, quando houver modificações no produto, 730 (setecentos e trinta) dias apos a data de sua publicação no Boletim de Serviços Eletrônico da Anatel.

Justificativa:

Propõe-se  uma abordagem semelhante a adotada pelo DENATRAN, já que os produtos cobertos por essa regulamentação podem estar inseridos dentro dos veículos, onde as novas regulamentações permitem um prazo diferenciado entre as Novas Famílias de produtos (novos produtos ainda sem uma homologação vigente) e as Famílias de produtos existentes (produtos existentes que possuem certificados validos e que serão submetidos a processos de renovação de certificados no futuro).

Esta contribuição objetiva proporcionar um prazo de adequação minimamente adequado para modificações de produto aos novos requisitos, cobrindo todo o ciclo de alteração de produtos embarcados em veículos (projeto, aprovação, desenvolvimento, validação, liberação, implementação, logística e efetivação da modificação nas linhas de produção do fornecedor e montagem final).

Entende-se que os produtos com certificados de homologação validos e que não tenham sofrido modificações, conforme definições em Procedimento Operacional especifico, não serão submetidos aos requisitos deste Ato, uma vez tratarem-se de produtos que não possuem recursos alocados para modificações, muitas vezes não estarem sendo aplicados em produtos sendo comercializados mas sim fornecimento para reposição (atendendo prazo legal de fornecimento após produto sair de linha de produção).

Comentário da Anatel
Classificação: Não aceita
Data do Comentário: 23/04/2021
Comentário: Contribuição não acatada. Considera-se o prazo de 180 dias suficientes para adequação do mercado, uma vez que os requisitos são declaratórios, ou seja, o interessado na homologação informará a quais requisitos do conjunto de requisitos seu produto atende, não sendo necessário, portanto, implementar alterações nos produtos. Com relação aos produto já homologados, a regulamentação vigente já define que aqueles produtos já homologados que forem impactados por atualizações em requisitos e procedimentos de ensaio poderão se adequadar às novas regras no momento da manutenção de seus certificados. Por fim, os produtos já comercializados pelo detentor da homologação não sofrerão impactos com a publicação desta proposta de Ato.
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:2/141
CONSULTA PÚBLICA Nº 13
 Item:  MINUTA DE ATO

O SUPERINTENDENTE DE OUTORGA E RECURSOS À PRESTAÇÃO - ANATEL, no uso das atribuições que lhe foram conferidas pela Resolução n.º 715, de 23 de outubro de 2019, e

CONSIDERANDO a competência dada pelos Incisos XIII e XIV do Art. 19 da Lei n.º 9.472/97 – Lei Geral de Telecomunicações;

CONSIDERANDO o Art. 22 do Regulamento para Avaliação da Conformidade e Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019;

CONSIDERANDO a Estratégia Nacional de Segurança Cibernética, aprovada por meio do Decreto nº 10.222, de 5 de fevereiro de 2020; e

CONSIDERANDO o constante dos autos do processo nº 53500.026122/2019-70,

RESOLVE:

Art. 1º Aprovar os requisitos mínimos de segurança cibernética para equipamentos para telecomunicações, nos moldes do Anexo a este Ato.

Art. 2º Este Ato entra em vigor 180 (cento e oitenta) dias após a data de sua publicação no Boletim de Serviços Eletrônico da Anatel.

ID da Contribuição: 92610
Autor da Contribuição: MICHELLE MACHADO CALDEIRA
Entidade: SES TELECOMUNICACOES DO BRASIL LTDA.
Área de Atuação: PRESTADOR DE SERVIÇO DE TELECOMUNICAÇÕES, ASSOCIAÇÃO OU SINDICATO
Contribuição:

No contexto de Consulta Pública promovida por esta r. ANATEL, por meio de sua Superintendência de Outorga e Recursos à Prestação (“SOR”), relacionada a requisitos mínimos de segurança cibernética para equipamentos terminais que se conectem à Internet e para equipamentos de infraestrutura de redes de telecomunicações, a SES TELECOMUNICAÇÕES DO BRASIL LTDA., (doravante apenas “SES”), vem manifestar-se da forma que segue.

 

Inicialmente, a SES expressa sua concordância com o diagnóstico de que a expansão do uso de tecnologias da informação e comunicação (TICs), com a massificação do acesso à Internet, resulta no incremento de ameaças cibernéticas, o que requer a adoção de medidas por todos os stakeholders e agentes envolvidos neste ecossistema, cabendo ao Poder Público coordenar tais ações, na linha recentemente proposta na Estratégia Nacional de Segurança Cibernética (“E-Ciber”), aprovada pelo Decreto n.º 10.222/2020.

 

Nesse sentido, reconhecendo a relevância do tema, a SES pondera que qualquer abordagem regulatória sobre a questão deve partir do reconhecimento da dinamicidade dos mercados em questão e da complexidade das tecnologias envolvidas, sendo essencial, por este motivo, que as normas relacionadas à segurança cibernética tenham, sempre que possível, um caráter geral e principiológico, na mesma linha adotada, por exemplo, com relação ao Marco Civil da Internet (Lei n.º 12.965/2014) e à Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709/2018), de maneira a evitar restrições e entraves ao desenvolvimento tecnológico e à inovação. Sobre o tema, o i. Conselheiro Moisés Queiroz Moreira, ao analisar proposta de regulamentação de segurança cibernética aplicável a serviços de telecomunicações, já ponderou que “o estabelecimento de requisitos técnicos em regulamentos ou instrumentos de rigidez similar não é a abordagem mais adequada”.[1]

 

Mais do que permitir convivência harmoniosa do direito e da tecnologia, e a observância de princípios estabelecidos na legislação em vigor que buscam incentivar a inovação e o desenvolvimento do mercado de tecnologia no país, a regulamentação sobre segurança cibernética não pode perder de vista que a confiabilidade dos equipamentos, serviços e aplicações é cada vez mais uma demanda do consumidor, motivo pelo qual o próprio mercado têm incentivos para adotar melhores práticas visando garanti-la em seus produtos e serviços ofertados.

 

É nessa linha, por exemplo, que se vê com certa preocupação a proposta ora em Consulta Pública, na tentativa de padronizar requisitos mínimos de segurança cibernética, sem, no entanto, abrir uma porta para eventuais flexibilizações à vista de especificidades dos equipamentos envolvidos.

 

Chama-se a atenção, em particular, à obrigação estabelecida no subitem 6.1.6 (“[d]isponibilizar um canal público de suporte, por meio de página na internet em língua portuguesa [...]”), que na forma proposta parece alcançar todos “[o]s fornecedores de equipamentos terminais que se conectam à Internet e de equipamentos de infraestrutura de redes de telecomunicações” (cf. item 6.1).

 

A ratio de referida obrigação encontra-se exposta no Informe que serve de motivação à Consulta Pública. Nele, a SOR anota que “[o] Anexo 6.1 apresenta uma proposta de requisitos mínimos de segurança cibernética para manutenção da homologação de terminais que se conectam à Internet e para equipamentos de infraestrutura de redes de telecomunicações. A aplicação de cada requisito contido na proposta deve levar em consideração as diferentes características técnicas (quantidade de memória, capacidade de processamento de dados, interfaces para usuário, interfaces de comunicação, etc.) de cada equipamento e os fins a que se destinam”.

 

Da forma como consta da proposta em discussão, a obrigação estabelecida no subitem 6.1.6 impõe onerosidade excessiva no caso de operações em escala global, que não tenham por alvo o mercado brasileiro. Em que pese a relevante finalidade por detrás da norma proposta, fato é que a preocupação do regulador poderia ser endereçada por outros meios menos onerosos e igualmente eficazes, a exemplo da obrigação de fornecimento de manuais em língua portuguesa.

 

Como consignado na recém editada Declaração de Direitos de Liberdade Econômica (Lei n.º 13.784/2019), não deve o Estado regulador agir de maneira a impedir ou retardar “a inovação e a adoção de novas tecnologias, processos ou modelos de negócios(cf. artigo 4º, IV), motivo pelo qual a intervenção regulatória ex-ante não deve servir para criação de estrutura de desincentivo a investimentos no mercado nacional.

 

Além disso, a SES vê com alguma preocupação o risco de pulverização e de fragmentação das normas jurídicas voltadas à segurança cibernética, o que pode levar à insegurança jurídica para realização de investimentos no setor.

 

No âmbito da já referida E-Ciber, ponderou-se sobre “a falta de um alinhamento normativo, estratégico e operacional, o que frequentemente gera retrabalho ou resulta na constituição de forças-tarefas para ações pontuais, que prejudicam a absorção de lições aprendidas e colocam em risco a eficácia prolongada dessas ações”. Nesse aspecto, chama-se a atenção ao fato de o Gabinete de Segurança Institucional da Presidência da República (GSI), órgão responsável pelo planejamento, coordenação e supervisão da segurança cibernética no âmbito da administração pública federal, ter recentemente editado diretrizes com relação à segurança das redes 5G (Instrução Normativa GSI n.º 4/2020), estabelecendo princípios específicos a serem observados na prestação de serviços de telecomunicações.

 

Trata-se, para todos os efeitos, de uma sobreposição de atos normativos que não foi considerada pela r. ANATEL na elaboração da proposta ora submetida a Consulta Pública, circunstância esta que deveria ser objeto de nova reflexão pela Agência, inclusive para avaliar a conveniência e oportunidade do ato que se pretende editar.

 

Sendo o que nos cumpria para o momento, a SES renova seus votos de elevada estima e consideração.

 

 


[1] Item 4.69. da Análise n.º 31/2020/MM, disponibilizada nos autos do Processo SEI nº 53500.078752/2017-68.

Justificativa:

Vide contribuição.

Comentário da Anatel
Classificação: Não aceita
Data do Comentário: 23/04/2021
Comentário: Contribuição não acatada. Ressaltamos que os requisitos propostos em consutal pública serão publicados por meio de Ato da superintendência responsável. Os Atos, por serem documentos normativos aprovados no âmbito de superintendência são instrumentos que permitem atualização de forma ágil, o que permite célere adaptação do texto ante às constantes mudanças tecnológicas e do mercado. Cabe esclarecer que os requisitos disponibilizados em consulta pública não são obrigatórios à certificação dos equipamentos abrangidos por seu escopo, sendo recomendações e boas práticas balizadoras do setor. Os requerentes à homologação deverão declarar a quais requisitos seu produto atende não sendo realizado nenhum teste comprobatório de atendimento aos requisitos de segurança cibernética no ato de homologação do equipamento.
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:3/141
CONSULTA PÚBLICA Nº 13
 Item:  MINUTA DE ATO

O SUPERINTENDENTE DE OUTORGA E RECURSOS À PRESTAÇÃO - ANATEL, no uso das atribuições que lhe foram conferidas pela Resolução n.º 715, de 23 de outubro de 2019, e

CONSIDERANDO a competência dada pelos Incisos XIII e XIV do Art. 19 da Lei n.º 9.472/97 – Lei Geral de Telecomunicações;

CONSIDERANDO o Art. 22 do Regulamento para Avaliação da Conformidade e Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019;

CONSIDERANDO a Estratégia Nacional de Segurança Cibernética, aprovada por meio do Decreto nº 10.222, de 5 de fevereiro de 2020; e

CONSIDERANDO o constante dos autos do processo nº 53500.026122/2019-70,

RESOLVE:

Art. 1º Aprovar os requisitos mínimos de segurança cibernética para equipamentos para telecomunicações, nos moldes do Anexo a este Ato.

Art. 2º Este Ato entra em vigor 180 (cento e oitenta) dias após a data de sua publicação no Boletim de Serviços Eletrônico da Anatel.

ID da Contribuição: 92611
Autor da Contribuição: Gilberto Martins de Almeida Filho
Entidade: Associacao Nacional Dos Fabricantes De Veiculos Automotores - Anfavea
Área de Atuação: PRESTADOR DE SERVIÇO DE TELECOMUNICAÇÕES, ASSOCIAÇÃO OU SINDICATO
Contribuição:

Alterar o Art. 1º e 2º

I - "Art. 1º Aprovar os requisitos e recomendações mínimas os de segurança cibernética para equipamentos para telecomunicações, nos moldes do Anexo a este Ato."

II - "Art. 2º Este Ato entra em vigor 180 (cento e oitenta) 365 (trezentos e sessenta e cinco) dias após a data de sua publicação no Boletim de Serviços Eletrônico da Anatel "

Justificativa:

I - Conforme referências apresentadas nesta Consulta Pública, não há registro de agências de telecomunicações internacionais que implementaram tais requisitos de segurança, mas sim, recomendações de organismos internacionais de telecomunicações.

II - Sugere-se seguir uma abordagem semelhante a adotada pelo DENATRAN, onde as novas regulamentações permitem um prazo diferenciado entre as Novas Famílias de produtos (novos produtos ainda sem uma homologação vigente) e as Famílias de produtos existentes (produtos existentes que possuem certificados validos e que serão submetidos a processos de renovação de certificados no futuro).
Esta contribuição objetiva proporcionar um prazo de adequação razoável para modificações de produto aos novos requisitos, cobrindo todo o ciclo de alteração do produto (projeto, aprovação, desenvolvimento, validação, liberação, implementação, logística e efetivação da modificação nas linhas de produção do fornecedor e montagem final).

Comentário da Anatel
Classificação: Não aceita
Data do Comentário: 23/04/2021
Comentário: Contribuição não acatada. Considera-se o prazo de 180 dias suficientes para adequação do mercado, uma vez que os requisitos são declaratórios, ou seja, o interessado na homologação informará a quais requisitos do conjunto de requisitos seu produto atende, não sendo necessário, portanto, implementar alterações nos produtos. Com relação aos produto já homologados, a regulamentação vigente já define que aqueles produtos já homologados que forem impactados por atualizações em requisitos e procedimentos de ensaio poderão se adequadar às novas regras no momento da manutenção de seus certificados. Por fim, os produtos já comercializados pelo detentor da homologação não sofrerão impactos com a publicação desta proposta de Ato.
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:4/141
CONSULTA PÚBLICA Nº 13
 Item:  MINUTA DE ATO

O SUPERINTENDENTE DE OUTORGA E RECURSOS À PRESTAÇÃO - ANATEL, no uso das atribuições que lhe foram conferidas pela Resolução n.º 715, de 23 de outubro de 2019, e

CONSIDERANDO a competência dada pelos Incisos XIII e XIV do Art. 19 da Lei n.º 9.472/97 – Lei Geral de Telecomunicações;

CONSIDERANDO o Art. 22 do Regulamento para Avaliação da Conformidade e Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019;

CONSIDERANDO a Estratégia Nacional de Segurança Cibernética, aprovada por meio do Decreto nº 10.222, de 5 de fevereiro de 2020; e

CONSIDERANDO o constante dos autos do processo nº 53500.026122/2019-70,

RESOLVE:

Art. 1º Aprovar os requisitos mínimos de segurança cibernética para equipamentos para telecomunicações, nos moldes do Anexo a este Ato.

Art. 2º Este Ato entra em vigor 180 (cento e oitenta) dias após a data de sua publicação no Boletim de Serviços Eletrônico da Anatel.

ID da Contribuição: 92631
Autor da Contribuição: Mariana Giostri M. Oliveira
Entidade: --
Área de Atuação: --
Contribuição:

COMENTÁRIOS À CONSULTA PÚBLICA No 13 REFERENTE AOS REQUISITOS MÍNIMOS DE SEGURANÇA PARA EQUIPAMENTOS DE TELECOMUNICAÇÕES DA ANATEL

 

Maio de 2020

Justificativa:

A Brasscom, Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação (TIC), entidade que congrega empresas fornecedoras de software, soluções e serviços de TIC e que tem como missão trabalhar em prol do desenvolvimento do setor, disseminando seu alcance e potencializando seus efeitos sobre a economia e o bem-estar social, parabeniza a ANATEL pela iniciativa de submeter à Consulta Pública a minuta de ato sobre requisitos mínimos de segurança para equipamentos de telecomunicações.

A garantia da segurança cibernética de um país está no cerne das medidas estruturantes que geram vantagens competitivas para incentivar a inovação e o desenvolvimento tecnológico de forma sustentável e crescente e é neste cenário que o Brasil necessita inserir-se.

Para promover abordagens de security by design and default é fundamental que se respeite a natureza de tais conceitos, ou seja, a preocupação de segurança como conceito estruturante do próprio desenvolvimento do produto e/ou serviço, evitando-se regimes de padronização e certificação prescritivos para a cibersegurança. Certificações e padronizações obrigatórias de segurança para o mercado podem inadvertidamente encorajar as empresas a investir apenas no cumprimento de padrões ou práticas estáticas definidas em norma ou processo determinado de certificação e que podem – em virtude da dinamicidade do setor de tecnologia – ficar desatualizadas em breves espaços de tempo.

Preocupa o olhar da regulamentação no sentido de certificar todo e qualquer equipamento utilizado pelo ecossistema com vistas específicas ao cumprimento de premissas de segurança cibernética na medida em que nessa temática, o objetivo é se ter um ecossistema seguro como um todo, não sendo a consideração da segurança de cada elemento desse conjunto de maneira individual a melhor maneira de se garantir a segurança cibernética sistêmica.

Uma abordagem de gerenciamento de risco equilibrada é essencial, honrando e encorajando os atores que já estão envolvidos com as melhores práticas adotadas pelo mercado para segurança, focando na construção de conhecimento e encorajando as melhores práticas para os atores que ainda estão evoluindo neste tema em suas organizações. Nesse sentido, a Brasscom defende ser fundamental que discussões relacionadas a requisitos mínimos de segurança, e à gestão de riscos relacionados à cibersegurança, são melhor endereçadas por meio de padrões flexíveis, globais, induzidos pelas relações de mercado e fomentados pela indústria, justamente pela sua natureza consensual e baseada nas melhores práticas.

Ademais, é importante ressaltar que existem diversas variáveis que podem direta ou indiretamente afetar os requisitos mínimos necessários. Por exemplo, o tipo de equipamento e seus recursos, a finalidade de uso e o contexto no qual ele será implementado podem exigir requisitos mínimos diferentes, dependendo de uma vulnerabilidade específica, complexidade de um equipamento específico em toda a rede, capacidade da própria rede de fornecer determinadas proteções de segurança cibernética. Ou seja, entendemos que as discussões sejam norteadas pelo princípio de que abordagens prescritivas de “tamanho único” não necessariamente serão eficazes em endereçar todas as questões atreladas à temática de segurança cibernética.

Nesse sentido, sugerimos que a Agência segmente a edição de regulamentação específica sobre requisitos mínimos de segurança cibernética de modo a respeitar as características distintas de grupos de elementos de rede e dispositivos a ela conectados, para o objetivo maior da segurança seja atingido, sem a imposição de um ônus regulatório e de custo desnecessário e desproporcional a certos dispositivos cuja função e papel na rede é, na prática, de menor complexidade.

Sendo assim, a Brasscom agradece novamente a oportunidade de apresentar comentários à consulta pública e, abaixo, apresenta considerações específicas aos itens de discussão, bem como algumas alterações na minuta de ato, a fim de refletir a abordagem sobre o tema que mencionamos acima:

Comentário da Anatel
Classificação: Não aceita
Data do Comentário: 23/04/2021
Comentário: Contribuição não acatada. Os requisitos contidos na proposta não são aplicáveis à certificação e homologação dos equipamentos. Os solicitantes à homologação deverão declarar a quais requisitos seu produto atende e, a qualquer momento, a Anatel poderá efetuar uma avaliação quanto ao atendimento. Caso o produto não esteja em conformidade com o declarado, a Agência poderá adotar medidas de suspenção ou cancelamento da homologação, a depender dos casos. Conforme consta no item 4.2 da prosposta, o escopo da declaração deve considerar as diferentes características técnicas dos equipamentos (quantidade de memória, capacidade de processamento de dados, interfaces do usuário, interfaces de comunicação, etc.) e os fins a que se destinam, apontando quais requisitos são atendidos. Os equipamentos sob homologação não necessitam declarar que implementam todos os itens da lista de requisitos. Consta, também, na proposta item informando que o documento está sujeito a atualizações, a fim de acompanhar o desenvolvimento tecnológico do setor.
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:5/141
CONSULTA PÚBLICA Nº 13
 Item:  MINUTA DE ATO

O SUPERINTENDENTE DE OUTORGA E RECURSOS À PRESTAÇÃO - ANATEL, no uso das atribuições que lhe foram conferidas pela Resolução n.º 715, de 23 de outubro de 2019, e

CONSIDERANDO a competência dada pelos Incisos XIII e XIV do Art. 19 da Lei n.º 9.472/97 – Lei Geral de Telecomunicações;

CONSIDERANDO o Art. 22 do Regulamento para Avaliação da Conformidade e Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019;

CONSIDERANDO a Estratégia Nacional de Segurança Cibernética, aprovada por meio do Decreto nº 10.222, de 5 de fevereiro de 2020; e

CONSIDERANDO o constante dos autos do processo nº 53500.026122/2019-70,

RESOLVE:

Art. 1º Aprovar os requisitos mínimos de segurança cibernética para equipamentos para telecomunicações, nos moldes do Anexo a este Ato.

Art. 2º Este Ato entra em vigor 180 (cento e oitenta) dias após a data de sua publicação no Boletim de Serviços Eletrônico da Anatel.

ID da Contribuição: 92639
Autor da Contribuição: Mariana Giostri M. Oliveira
Entidade: BRASSCOM , ASSOCIAÇÃO BRASILEIRA DAS EMPRESAS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO
Área de Atuação: OUTRO
Contribuição:

Art. 2º Este Ato entra em vigor 365 (trezentos e sessenta e cinco) 180 (cento e oitenta) dias após a data de sua publicação no Boletim de Serviços Eletrônico da Anatel.

Justificativa:

A Brasscom convida a Anatel a revisar o prazo de entrada em vigor do ato, e alterá-lo para 365 dias, para que as fabricantes de equipamentos possam adotar todas medidas necessárias para estarem em conformidade com o ato. Além disso, sugere que esses requisitos mínimos sejam discutidos recorrentemente, em parceria com a indústria, para garantir que estejam em consonância com as melhores práticas globais, a evolução tecnológica e o estado da arte.

Comentário da Anatel
Classificação: Não aceita
Data do Comentário: 23/04/2021
Comentário: Contribuição não acatada. Considera-se o prazo de 180 dias suficientes para adequação do mercado, uma vez que os requisitos são declaratórios, ou seja, o interessado na homologação informará a quais requisitos do conjunto de requisitos seu produto atende, não sendo necessário, portanto, implementar alterações nos produtos. Com relação aos produto já homologados, a regulamentação vigente já define que aqueles produtos já homologados que forem impactados por atualizações em requisitos e procedimentos de ensaio poderão se adequadar às novas regras no momento da manutenção de seus certificados. Por fim, os produtos já comercializados pelo detentor da homologação não sofrerão impactos com a publicação desta proposta de Ato.
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:6/141
CONSULTA PÚBLICA Nº 13
 Item:  MINUTA DE ATO

O SUPERINTENDENTE DE OUTORGA E RECURSOS À PRESTAÇÃO - ANATEL, no uso das atribuições que lhe foram conferidas pela Resolução n.º 715, de 23 de outubro de 2019, e

CONSIDERANDO a competência dada pelos Incisos XIII e XIV do Art. 19 da Lei n.º 9.472/97 – Lei Geral de Telecomunicações;

CONSIDERANDO o Art. 22 do Regulamento para Avaliação da Conformidade e Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019;

CONSIDERANDO a Estratégia Nacional de Segurança Cibernética, aprovada por meio do Decreto nº 10.222, de 5 de fevereiro de 2020; e

CONSIDERANDO o constante dos autos do processo nº 53500.026122/2019-70,

RESOLVE:

Art. 1º Aprovar os requisitos mínimos de segurança cibernética para equipamentos para telecomunicações, nos moldes do Anexo a este Ato.

Art. 2º Este Ato entra em vigor 180 (cento e oitenta) dias após a data de sua publicação no Boletim de Serviços Eletrônico da Anatel.

ID da Contribuição: 92641
Autor da Contribuição: LUCIMARA DESIDERA
Entidade: --
Área de Atuação: --
Contribuição:

Incluir consideração à Lei 13.709 de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais.

Justificativa:

Necessidade de adotar medidas de segurança e privacidade desde a concepção dos produtos.

 

Comentário da Anatel
Classificação: Aceita totalmente
Data do Comentário: 23/04/2021
Comentário: Contribuição acatada. Foi inserida a seguinte frase à prospota de Ato: "CONSIDERANDO a Lei Geral de Proteção de Dados Pessoais, aprovada pela Lei nº 13.709, de 14 de agosto de 2018".
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:7/141
CONSULTA PÚBLICA Nº 13
 Item:  MINUTA DE ATO

O SUPERINTENDENTE DE OUTORGA E RECURSOS À PRESTAÇÃO - ANATEL, no uso das atribuições que lhe foram conferidas pela Resolução n.º 715, de 23 de outubro de 2019, e

CONSIDERANDO a competência dada pelos Incisos XIII e XIV do Art. 19 da Lei n.º 9.472/97 – Lei Geral de Telecomunicações;

CONSIDERANDO o Art. 22 do Regulamento para Avaliação da Conformidade e Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019;

CONSIDERANDO a Estratégia Nacional de Segurança Cibernética, aprovada por meio do Decreto nº 10.222, de 5 de fevereiro de 2020; e

CONSIDERANDO o constante dos autos do processo nº 53500.026122/2019-70,

RESOLVE:

Art. 1º Aprovar os requisitos mínimos de segurança cibernética para equipamentos para telecomunicações, nos moldes do Anexo a este Ato.

Art. 2º Este Ato entra em vigor 180 (cento e oitenta) dias após a data de sua publicação no Boletim de Serviços Eletrônico da Anatel.

ID da Contribuição: 92652
Autor da Contribuição: Telma do Carmo Canotilho
Entidade: --
Área de Atuação: --
Contribuição:

Esta contribuição esta sendo realizada em nome da ABRAC - Associação Brasileira de Avaliação da Conformidade

Justificativa:

Não foi possivel vincular esse perfil a entidade ABRAC, não conseguimos cadastrar a associação, por gentileza considerar as contribuições abaixo como sendo da Associação ABRAC

Comentário da Anatel
Classificação: Fora de escopo
Data do Comentário: 23/04/2021
Comentário: Contribuição não apresenta proposta de alterações à minuta de Ato.
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:8/141
CONSULTA PÚBLICA Nº 13
 Item:  MINUTA DE ATO

O SUPERINTENDENTE DE OUTORGA E RECURSOS À PRESTAÇÃO - ANATEL, no uso das atribuições que lhe foram conferidas pela Resolução n.º 715, de 23 de outubro de 2019, e

CONSIDERANDO a competência dada pelos Incisos XIII e XIV do Art. 19 da Lei n.º 9.472/97 – Lei Geral de Telecomunicações;

CONSIDERANDO o Art. 22 do Regulamento para Avaliação da Conformidade e Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019;

CONSIDERANDO a Estratégia Nacional de Segurança Cibernética, aprovada por meio do Decreto nº 10.222, de 5 de fevereiro de 2020; e

CONSIDERANDO o constante dos autos do processo nº 53500.026122/2019-70,

RESOLVE:

Art. 1º Aprovar os requisitos mínimos de segurança cibernética para equipamentos para telecomunicações, nos moldes do Anexo a este Ato.

Art. 2º Este Ato entra em vigor 180 (cento e oitenta) dias após a data de sua publicação no Boletim de Serviços Eletrônico da Anatel.

ID da Contribuição: 92681
Autor da Contribuição: Karla Menandro Pacheco da Silva
Entidade: --
Área de Atuação: --
Contribuição:

Art. 2º Este Ato entra em vigor 24 (vinte e quatro) meses após a data de sua publicação no Boletim de Serviços Eletrônico da Anatel para novas famílias e 48 (quarenta e oito) meses após a data de sua publicação no Boletim de Serviços Eletrônico da Anatel para famílias existentes.   

Justificativa:

Sugere-se seguir uma abordagem semelhante a adotada pelo DENATRAN, onde as novas regulamentações permitem um prazo diferenciado entre as Novas Famílias de produtos (novos produtos ainda sem uma homologação vigente) e as Famílias de produtos existentes (produtos existentes que possuem certificados validos e que serão submetidos a processos de renovação de certificados no futuro).
Esta contribuição objetiva proporcionar um prazo de adequação razoável para modificações de produto aos novos requisitos, cobrindo todo o ciclo de alteração do produto (projeto, aprovação, desenvolvimento, validação, liberação, implementação, logística e efetivação da modificação nas linhas de produção do fornecedor e montagem final). 

Comentário da Anatel
Classificação: Não aceita
Data do Comentário: 23/04/2021
Comentário: Contribuição não acatada. Considera-se o prazo de 180 dias suficientes para adequação do mercado, uma vez que os requisitos são declaratórios, ou seja, o interessado na homologação informará a quais requisitos do conjunto de requisitos seu produto atende, não sendo necessário, portanto, implementar alterações nos produtos. Com relação aos produto já homologados, a regulamentação vigente já define que aqueles produtos já homologados que forem impactados por atualizações em requisitos e procedimentos de ensaio poderão se adequadar às novas regras no momento da manutenção de seus certificados. Por fim, os produtos já comercializados pelo detentor da homologação não sofrerão impactos com a alteração dos requisitos.
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:9/141
CONSULTA PÚBLICA Nº 13
 Item:  MINUTA DE ATO

O SUPERINTENDENTE DE OUTORGA E RECURSOS À PRESTAÇÃO - ANATEL, no uso das atribuições que lhe foram conferidas pela Resolução n.º 715, de 23 de outubro de 2019, e

CONSIDERANDO a competência dada pelos Incisos XIII e XIV do Art. 19 da Lei n.º 9.472/97 – Lei Geral de Telecomunicações;

CONSIDERANDO o Art. 22 do Regulamento para Avaliação da Conformidade e Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019;

CONSIDERANDO a Estratégia Nacional de Segurança Cibernética, aprovada por meio do Decreto nº 10.222, de 5 de fevereiro de 2020; e

CONSIDERANDO o constante dos autos do processo nº 53500.026122/2019-70,

RESOLVE:

Art. 1º Aprovar os requisitos mínimos de segurança cibernética para equipamentos para telecomunicações, nos moldes do Anexo a este Ato.

Art. 2º Este Ato entra em vigor 180 (cento e oitenta) dias após a data de sua publicação no Boletim de Serviços Eletrônico da Anatel.

ID da Contribuição: 92704
Autor da Contribuição: Sergio Mauro da Silva Maia
Entidade: HUGHES TELECOMUNICACOES DO BRASIL LTDA
Área de Atuação: PRESTADOR DE SERVIÇO DE TELECOMUNICAÇÕES, ASSOCIAÇÃO OU SINDICATO
Contribuição:
A Hughes Telecomunicações do Brasil Ltda (Hughes), empresa autorizada a prestar o Serviço de Comunicação Multimídia (SCM) desde 2003 através do ATO N.º 32.895/2003, emitido pela Agência Nacional de Telecomunicações (ANATEL), apoia a iniciativa da Agência em convidar à Sociedade civil e empresas da Indústria Brasileira de Telecomunicações a participarem desta Consulta Pública (CP 13) referente à aprovação dos  requisitos mínimos de segurança cibernética para equipamentos de telecomunicações.

Contribuição: Sugerir que o texto desta Consulta Pública contemple apenas os produtos fabricados após 2019, ano em que foi publicado o documento de diretiva LAC-BCOP-1 emitido por LACNOG.

Contribuição: Discordamos. Este prazo de  180 dias é um período muito curto para a    adaptação a vários dos itens propostos por esta CP,sugerimos o período de 1 ano. Além disso, as exceções devem ser consideradas, com base em justificativa plausível , para prorrogações adicionais.
Justificativa:
Justificativa:  Para os produtos comercializados antes de 2019 e ainda em operação, os novos requisitos propostos por esta Consulta Pública poderiam acarretar a substituição compulsória de parte signigficativa do parque instalado, gerando prejuízo financeiro para as prestadoras, acarretando um desequilibrio financeiro nos contratos vigentes em função deste custo. O direito já adquirido  nessas situações é apropriado.
Justificativa : As empresas que possuem equipamentos certificados pela Anatel provenientes de diversos fabricantes, poderão ser prejudicadas caso estes não se   adaptem às  mudanças propostas   neste prazo  de 180 dias.   O prazo de um ano nos parece um período razoável para o atendimento à este requisitos.
Comentário da Anatel
Classificação: Não aceita
Data do Comentário: 23/04/2021
Comentário: Contribuição não acatada. Considera-se o prazo de 180 dias suficientes para adequação do mercado, uma vez que os requisitos são declaratórios, ou seja, o interessado na homologação informará a quais requisitos do conjunto de requisitos seu produto atende, não sendo necessário, portanto, implementar alterações nos produtos. Com relação aos produto já homologados, a regulamentação vigente já define que aqueles produtos já homologados que forem impactados por atualizações em requisitos e procedimentos de ensaio poderão se adequadar às novas regras no momento da manutenção de seus certificados. Por fim, os produtos já comercializados pelo detentor da homologação não sofrerão impactos com a publicação desta proposta de Ato.
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:10/141
CONSULTA PÚBLICA Nº 13
 Item:  ANEXO

REQUISITOS MÍNIMOS DE SEGURANÇA CIBERNÉTICA PARA EQUIPAMENTO DE TELECOMUNICAÇÕES

ID da Contribuição: 92653
Autor da Contribuição: Telma do Carmo Canotilho
Entidade: --
Área de Atuação: --
Contribuição:

 

CONTRIBUIÇÃO DA ABRAC  CT-TELECOM

 

14/05/2020

 

CONSULTA PÚBLICA Nº 13 - MINUTA DE ATO
 

 

O SUPERINTENDENTE DE OUTORGA E RECURSOS À PRESTAÇÃO - ANATEL, no uso das
atribuições que lhe foram conferidas pela Resolução n.º 715, de 23 de outubro de 2019, e CONSIDERANDO a competência dada pelos Incisos XIII e XIV do Art. 19 da Lei n.º 9.472/97 – Lei Geral de Telecomunicações;
CONSIDERANDO o Art. 22 do Regulamento para Avaliação da Conformidade e Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019;
CONSIDERANDO a Estratégia Nacional de Segurança Cibernética, aprovada por meio do Decreto nº
10.222, de 5 de fevereiro de 2020; e
CONSIDERANDO o constante dos autos do processo nº 53500.026122/2019-70,
RESOLVE:

 

Art. 1º Aprovar os requisitos mínimos de segurança cibernética para equipamentos para telecomunicações, nos moldes do Anexo a este Ato.

 

Art. 2º Este Ato entra em vigor 180 (cento e oitenta) dias após a data de sua publicação no Boletim de
Serviços Eletrônico da Anatel.
 

 

ANEXO
REQUISITOS MÍNIMOS DE SEGURANÇA CIBERNÉTICA PARA EQUIPAMENTO DE TELECOMUNICAÇÕES
 

 

1. OBJETIVO
1.1.Estabelecer requisitos mínimos de segurança cibernética para equipamentos terminais que se
conectam à Internet e para equipamentos de infraestrutura de redes de telecomunicações, visando
minimizar vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações e em seus mecanismos de gerenciamento remoto.

 

1.2. Atender aos requisitos de segurança cibernetica para os produtos do item 1.1 contidos na Instrução Normativa Nº 4, DE 26 DE MARÇO DE 2020 do GSI.  

 

 

 

Justificativa – incluir item 1,2,  -  Considerando que a Instrução Nortativa 5 da GSI foi publicada apos a CP13 entende,ps que e importante a sua referencia e atendimento.

 


2. REFERÊNCIAS
2.1.Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações,
aprovado pela Resolução n.º 715, de 23 de outubro de 2019.
2.2.OECD - Enhancing the Digital Security of Products - Draft Scoping Paper (November 2019).
2.3.IEEE Internet Technology Policy Community White Paper - Internet of Things (IoT) Security Best
Practices (February 2017).
2.4.IETF - Internet of Things (IoT) Security: State of the Art and Challenges - RFC 8576.
2.5.LAC-BCOP-1 (May/2019) – Best Current Operational Practices on Minimum Security Requirements for Customer Premises Equipment (CPE) Acquisition.
2.6.ENISA - Baseline Security Recommendations for IoT in the Context of Critical Information
Infrastructures (November 2017).
2.7.GSMA IoT Security Guidelines – Complete Document Set.

 

Justificativa – Incluir a referencia publicada após a consulta e utilizada na contribuição

 

2.8. Instrução Normativa número 4 de 26/03/2020 - Gabinete de Segurança Institucional

 


3. DEFINIÇÕES
3.1.Backdoor: mecanismo não documentado contido no software/firmware do produto que possibilita
acesso não autorizado ao equipamento. A presença de backdoors pode ser intencional ou acidental,
podendo ser decorrente de erros de programação.
3.2.Customer Premise Equipment (CPE): equipamento utilizado para conectar assinantes à rede do
provedor de serviços de telecomunicações.
3.3.Firmware: software ou conjunto de softwares programados em um hardware de propósito específico e
que fornecem controle de baixo nível.
3.4.Hashing: algoritmo matemático que mapeia dados de comprimento variável na entrada de uma função
para um conjunto de dados de comprimento fixo na saída da função. O resultado da função hash possui
muito pouca correlação com os dados de entrada da função, impossibilitando a obtenção do valor inicial de entrada a partir do resultado da operação da função.
3.5.Métodos adequados de criptografia, autenticação e integridade: protocolos ou algoritmos de
criptografia, autenticação e integridade, em suas versões atualizadas. A implementação deve permitir a
seleção de conjuntos de criptografia e tamanhos de chave atualizados.
 

 

4. REQUISITOS GERAIS
4.1.O interessado na homologação deve demonstrar conformidade do produto por meio de declaração
afirmando:
a) que o equipamento e seu fornecedor atendem os requisitos contidos neste documento; e
b) estar ciente que este documento está sujeito a atualizações.
4.2.O escopo da declaração de conformidade deve considerar as diferentes características técnicas dos
equipamentos (quantidade de memória, capacidade de processamento de dados, interfaces do usuário,
interfaces de comunicação, etc.) e os fins a que se destinam, apontando quais requisitos são atendidos.
4.2.1.Para produtos enquadrados na definição de CPE, a declaração de conformidade deve orientar-se, adicionalmente, pelo conjunto de requisitos contidos na referência 2.5.
4.3.Nas atividades de supervisão de mercado, a Agência poderá avaliar os requisitos contidos neste
documento por meio de procedimentos de ensaios orientados pelas melhores práticas, padronizadas
internacionalmente, para avaliação de vulnerabilidades.

 

(Acréscimo de novo item – Justificativa: Dada a complexidade da avaliação das características relativas a Ciber Security em conjunto com  a necessidade de ser uma ação preventiva anterior a homologação do produto, é primordial a OCD e laboratório como agentes para dar o devido dinamismo ao processo sem comprometimento temporal da disponibilização das soluções.)

 

4.x. Nas atividades de avaliação da conformidade referente a declaração do solicitante  e da validação de relatórios de ensaios  de produtos para telecomunicações e segurança cibernética  devem ser usados os Organismos de Certificação  Designados – OCD e os Laboratórios de Ensaio tecnicamente capacitados e devidamente habilitados. Acrescentando qualificação para as atividades de segurança cibernética - Art. 6º Resolução 715

 


4.4.Identificada, no produto homologado, qualquer vulnerabilidade relacionada a um ou mais requisitos de segurança cibernética, a Agência notificará o responsável pela homologação a sana-la, indicando prazo
adequado para esse fim, considerando-se o grau de risco da vulnerabilidade.
4.4.1.Decorrido o prazo sem que se verifique as adaptações necessárias ou a justificativa aceita pela Anatel para sua não implementação, a Agência suspenderá a homologação do produto, podendo indicar o
recolhimento ou substituição do mesmo no mercado, garantidas as demais previsões regulamentares
referentes ao direito do consumidor.
4.4.2.A suspensão da homologação do equipamento será mantida até que as vulnerabilidades apontadas
sejam sanadas ou até que o potencial risco à segurança dos serviços para telecomunicações seja mitigado,
considerando-se o prazo máximo estabelecido na regulamentação vigente.
4.4.3.Após o prazo máximo determinado para sua suspensão, a homologação será cancelada, caso a
vulnerabilidade não seja solucionada.
 

 

5. REQUISITOS DE SEGURANÇA CIBERNÉTICA DOS EQUIPAMENTOS PARA
TELECOMUNICAÇÕES
5.1.Equipamentos terminais que se conectam à Internet e equipamentos de infraestrutura de redes de
telecomunicações, em suas versões finais destinadas à comercialização, devem:
5.1.1.Quanto à atualização de software/firmware:
a) Possuir mecanismos periódicos, seguros e automatizados para atualização de software/firmware que
empregam métodos adequados de criptografia, autenticação e integridade.
b) Permitir que os usuários verifiquem, de forma não automatizada, a disponibilidade de atualizações de
software/firmware.

 

((Acréscimo de novas alíneas Justificativa: Funcionalidades relevantes referente a atualização)

 

c) Possuir mecanismos para identificar se o software/firmware foi atualizado de acordo com as recomendações do fabricante, evitando atualização que possam incluir backdoors

 

d) Possuir mecanismos para permitir retornar as configurações anteriores em caso de detecção de não conformidade com as configurações do fabricante.

 

e) Possuir mecanismos de informar notificações sobre alterações de segurança devido às atualizações.

 

f) Se identificado uma vulnerabilidade no software/firmware garantir que o equipamento seja atualizado.

 

g) Possuir os mesmos mecanismos de segurança para softwares/firmwares em modelo Beta ou versão não final.

 


5.1.2.Quanto à instalação e à operação:
a) Implementar rotinas simplificadas para sua instalação e configuração, evitando potenciais falhas de
segurança não intencionais.
b) Realizar verificação da integridade do software/firmware durante a inicialização do sistema, sendo capaz de alertar ao usuário nos casos de comprometimento de sua integridade.
c) Possuir mecanismo de monitoramento de comportamentos não usuais do software/firmware, alertando
o usuário ou reiniciando-se automaticamente caso um comportamento suspeito seja detectado.

 

d) Implementar ferramenta de registro de atividades (logs) relacionadas à autenticação de usuários,
alteração de configurações do sistema e funcionamento do sistema.
e) Quando fornecido com documentação, esta deverá conter o nome, a versão, a data de lançamento e as
funcionalidades do software/firmware e/ou sistema operacional utilizado.

 

(Acréscimo de novas alíneas – Justificativa: acréscimo de funcionalidades consideradas relevantes)

 

f) Realizar verificação da integridade do software/firmware durante a inicialização do sistema, sendo capaz de alertar ao usuário nos casos de comprometimento de sua integridade e em caso de versões beta e versões não final, alertar sobre o modelo atual.

 

g) Possuir mecanismo de monitoramento de comportamentos não usuais do software/firmware, alertando o usuário ou reiniciando-se automaticamente caso um comportamento suspeito seja detectado e permitindo o usuário a escolha de uma inicialização com os parâmetros de segurança de fábrica.

 

h) Quando fornecido com documentação, esta deverá conter o nome, a versão, a data de lançamento e as funcionalidades do software/firmware e/ou sistema operacional utilizado e também as release Betas ou versões não finais.

 

i) Permitir rastrear todo o tráfego da rede e realizar o controle de acessos para que pessoas má intencionadas não tenham acesso a dados confidencias  (acesso baseada em confiança zero),

 

j) Permitir a re-autenticação do dispositivo quando ele se mover entre diferentes redes de acesso, com a implementação do SEAF ( SECURITY ANCHOR FUNCTION).

 

l) Permitir a utilização de identificação oculta até que o equipamento que faz acesso a rede seja autenticado, garantindo que depois dessa operação seja divulgada a identificação do usuário

 


5.1.3.Quanto ao acesso ao equipamento:
a) Não utilizar credenciais e senhas iniciais para acesso às suas configurações que sejam iguais entre todos os dispositivos produzidos.
b) Não utilizar senhas que sejam derivadas de informações de fácil obtenção por métodos de
escaneamento de tráfego de dados em rede, tal com endereços MAC - Media Access Control.
c) Forçar, na primeira utilização, a alteração da senha de acesso à configuração do equipamento.
d) Não permitir o uso de senhas em branco ou senhas fracas.
e) Possuir mecanismos de defesa contra tentativas exaustivas de acesso não autorizado (ataques de
autenticação por força bruta).
f) Garantir que os mecanismos de recuperação de senha sejam robustos contra tentativas de roubo de
credenciais.
g) Não utilizar credenciais e senhas definidas no próprio código fonte do software/firmware e que não
podem ser alteradas (hard-coded).
h) Proteger senhas, chaves de acesso e credenciais armazenadas ou transmitidas utilizando métodos
adequados de criptografia ou hashing.

 

(Acréscimo de nova alínea – Justificativa: Para enfatizar que são características para todas versões)

 

i) Garantir todos os itens mencionados acima para qualquer versão de software/firmware (beta e versões não final) 

 

5.1.4.Quanto às interfaces/portas de comunicação:
a) Estar desprovido de qualquer ferramenta de teste ou backdoor intencional utilizados nos processos de
desenvolvimento do produto e desnecessários à sua operação usual.
b) Estar desprovido de qualquer forma de comunicação intencional não documentada, incluindo aquelas
para envio de informações de perfil de uso do equipamento para fabricantes ou para terceiros.
c) Ser fornecidos com serviços de transmissão de dados (portas de comunicação) não essenciais
desabilitados, reduzindo sua superfície de ataque.
d) Facultar ao usuário a possibilidade de desabilitar funcionalidades, serviços e portas de comunicação não essenciais à operação ou ao gerenciamento do equipamento.

 


5.1.5.Quanto aos dados sensíveis e informações pessoais:
a) Possibilitar a utilização de métodos adequados de criptografia para transmissão e armazenamento de
dados sensíveis, incluindo informações pessoais.
b) Permitir que os usuários deletem facilmente seus dados pessoais armazenados, possibilitando o
descarte ou a substituição do equipamento sem riscos de exposição de informações pessoais.

 


5.1.6.Quanto à capacidade de mitigar ataques:
a) Possuir mecanismo para limitação da taxa de transmissão de dados de saída (upload), além do
usualmente necessário, a fim de minimizar sua utilização como vetores em ataques a outros equipamentos
ou sistemas (ataque de negação de serviço).
b) Ser projetados para mitigar os efeitos de ataques de negação de serviço em andamento, sendo
resistentes a um número excessivo de tentativas de autenticação, por meio de, por exemplo: priorização
de sua capacidade de processamento às sessões de comunicação já estabelecidas e autenticadas; e
limitação do número de sessões de autenticação concorrentes, descartando tentativas de estabelecimento
de novas sessões quando superado limite estabelecido.
 

 

6. REQUISITOS PARA FORNECEDORES DE EQUIPAMENTOS PARA TELECOMUNICAÇÕES
6.1.Os fornecedores de equipamentos terminais que se conectam à Internet e de equipamentos de
infraestrutura de redes de telecomunicações, devem:
6.1.1.Ter uma política clara de suporte ao produto, especialmente em relação à disponibilização de
atualizações de software/firmware para correção de vulnerabilidades de segurança.
6.1.2.Deixar claro para o consumidor até quando serão providas atualizações de segurança para o
equipamento e com que frequência ocorrerão.
6.1.3.Garantir que os processos de atualização automática de software/firmware sejam realizadas em fases
a fim de evitar que erros não intencionais da nova versão de software/firmware sejam distribuídos a todos
os equipamentos sob atualização de uma só vez.
6.1.4.Prover atualizações de segurança por, no mínimo, 2 (dois) anos após o lançamento do produto ou
enquanto o equipamento estiver sendo distribuído ao mercado consumidor, sendo aplicável a opção que
mais se estender.
6.1.5.Disponibilizar um canal de comunicação que possibilite aos seus clientes, usuários finais e terceiros
reportarem vulnerabilidades de segurança identificadas nos produtos.
6.1.6.Disponibilizar um canal público de suporte, por meio de página na internet em língua portuguesa, 
para:
a) Informar sobre novas vulnerabilidades identificadas em seus produtos, medidas de mitigação e
correções de segurança associadas;
b) Manter histórico de: vulnerabilidades identificadas, medidas de mitigação e correções de segurança;
c) Permitir acesso a correções de segurança e/ou novas versões de software/firmware para seus produtos;
e
d) Fornecer manuais e outros materiais com orientações relativas à configuração, atualização e uso seguro
dos equipamentos.

 

(Acréscimo de novo item. Justificativa: impedir que versões ultrapassadas estejam em uso)

 

6.1.7 Garantir que a versão Beta ou versão não final do software/firmware deixe de funcionar após o lançamento da versão oficial.

 

(Acréscimo de um novo item 7.  Justificativa: Adequação do texto da consulta à Instrução Normativa 4)

 

7.x, REQUISITOS RETIRADOS DA Instrução Normativa número 4 - Segurança Cibernética QUE DEVEM SER ADOTADOS PARA OS EQUIPAMENTOS UTILIZADOS NAS REDES 5G.

 

7.1. Garantir que os serviços prestados e os equipamentos utilizados cumpram os protocolos de comunicação e as especificações técnicas de infraestrutura reconhecidos pela Agência Nacional de Telecomunicações ou, na sua ausência, aqueles estabelecidos pela Associação Brasileira de Normas Técnicas (ABNT) ou reconhecidos internacionalmente;

 

7.2. Garantir que, está disponível nos equipamentos a serem utilizados pela empresa provedora de serviços , ao menos os padrões nos moldes do SEC009 (Multi-tenant hosting management security) e do SEC002x (Security feature management of open source software), definidos pela ETSI (European Telecommunications.

 

7.3. Garantir que se utiliza o protocolo IPV6, a fim de se evitar o tráfego de dados forjados, sem prejuízo da proteção da origem dos dados trafegados.

 

7.4. Deixar claro se os softwares utilizados nos equipamentos de infraestrutura de redes 5G são abertos e se são passíveis de auditoria em termos de segurança.

 

7.5. Garantir que o produto / Sistema passou por um processo de auditoria que assegurem a segurança cibernética dos produtos / sistemas utilizados na rede 5G, podendo ser fornecidos de forma conjunta com as prestadoras de serviços e empresas interessadas em fornecer tecnologia 5G;

 

7.6. Garantir que o equipamento não afeta os requisitos de segurança da informação, quais sejam: disponibilidade, integridade, e confidencialidade na atividade de tráfego na rede 5G.

 

7.7 Deixar claro se os equipamentos dispõem de mecanismos que possibilitem inspeção, inclusive a sua auditoria, em equipamentos em produção, até mesmo com a retirada de hardware  para avaliação em laboratório;

 

7.8. Garantir que o equipamento dispõe de facilidade para  registrar o estado de configuração dos equipamentos de sua rede (resultado do gerenciamento de configuração), contendo informações como topologia de rede, versões de hardware e de software dos equipamentos, a fim de auxiliar a atividade de auditoria.

 

 

 

8. DISPOSIÇÕES FINAIS (Alteração da numeração do item 7 original)

 

8.1.Considerando as ininterruptas evoluções tecnológicas do setor de telecomunicações e o incessante
surgimento de novas ameaças à segurança cibernética para equipamentos de telecomunicações, este
documento está sujeito a periódicas atualizações a fim de manter-se alinhado ao estado da arte do setor.
Imprimir

 

 

 

(Acréscimo de item 9 – Justificativa: Contribuição necessário para dar maior objetividade na avaliação da característica de ciber segurança fornecido pelo produto)

 

9. MODELO DE RELATORIO COM  LISTA DE VERIFICAÇÃO E AVALIAÇÃO DO PRODUTO APRESETADO

 

Ferramenta para evidenciar conformidade do Produto/Sistema apresentado pelo SOLICITANTE aos requisitos da Anatel especificados na tabela abaixo.

 

Previsto determinar o grau de atendimento a estes requisitos básicos de segurança cibernética.

 

 

 

MODELO DE RELATÓRIO DE AVALIAÇÃO DE CONFORMIDADE 

 

1.           OBJETIVO

 

Ferramenta para evidenciar conformidade do Produto/Sistema apresentado pelo SOLICITANTE aos requisitos da Anatel especificados na tabela abaixo.

 

Previsto determinar o grau de atendimento a estes requisitos básicos de segurança cibernética.

 

 

 

2.           IDENTIFICAÇÃO DO PRODUTO

 

SISTEMA:

xxxxx

 

PRODUTO:

MODELOS:

Xxxxx

xxxxxx

ZZZZZZZ 

 

3.           CARACTERÍSTICAS TÉCNICAS DOS PRODUTOS

 

O Produto/Sistema  apresentado pelo solicitante é composto hardware contidos na lista anexa bem como de software.

 

Descrição de como funciona o produto/Sistema e as condições de contorno utilizadas no seu projeto.

 

Em particular descrever/declarar a política de segurança cibernética projetada e implementada.

 

 

 

4.           REFERÊNCIAS TÉCNICAS

 

Nota: Listar as referências técnicas utilizadas no projeto do seu produto de preferência com normas e melhores práticas internacionais.

 

4.1.           Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019.

 

4.2.           OECD - Enhancing the Digital Security of Products - Draft Scoping Paper (November 2019).

 

4.3.           IEEE Internet Technology Policy Community White Paper - Internet of Things (IoT) Security Best Practices (February 2017).

 

4.4.           IETF - Internet of Things (IoT) Security: State of the Art and Challenges - RFC 8576.

 

4.5.           LAC-BCOP-1 (May/2019) – Best Current Operational Practices on Minimum Security Requirements for Customer Premises Equipment (CPE) Acquisition.

 

4.6.           ENISA - Baseline Security Recommendations for IoT in the Context of Critical Information Infrastructures (November 2017).

 

4.7.           GSMA IoT Security Guidelines – Complete Document Set.

 

4.8.           Instrução Normativa número 4 de 26/03/2020 - Gabinete de Segurança Institucional

 

 

 

5.        RELAÇÃO DE DOCUMENTOS APRESENTADOS

 

Manual/Especificações Técnicas; Declaração do fabricante

 

Fotos – Diagramas  -  Certificações

 

 

 

6.       AVALIAÇÃO DOS REQUISITOS BÁSICOS DE SEGURANÇA CIBERNÉTICA E O GRAU DE ATENDIMENTO EVIDENCIADO.

 

 

 

Requisitos mínimos de segurança cibernética para equipamentos de telecomunicações

1          

Ser Produto/Sistema  de terminal que se conectam à Internet e para produtos/ Sistemas de infraestrutura de redes de telecomunicações, com facilidades construídas visando minimizar vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações e em seus mecanismos de gerenciamento remoto.

 

Grau

0

4

8

10

 

 

 

 

 

 

 

 

Requisitos  Gerais

 

2          

Analise e Avaliação dos documentos fornecidos e da declaração de conformidade para evidenciar consistência com produto e modelos abrangidos considera as diferentes características técnicas dos equipamentos (quantidade de memória, capacidade de processamento de dados, interfaces do usuário, interfaces de comunicação, etc.) e os fins a que se destinam. O que foi declarado/evidenciado e o que será comercializado?
 

Grau

0

4

8

10

 

 

 

 

 

3          

Evidenciar que para produtos enquadrados na definição de CPE (Customer Premises Equipment) , a declaração de conformidade deve orientar-se, adicionalmente, pelo conjunto de requisitos contidos na referência :- LAC-BCOP-1 (May/2019) – Best Current Operational Practices on Minimum Security Requirements for Customer Premises Equipment (CPE) Acquisition.

 

Grau

0

4

8

10

 

 

 

 

 

4          

Identificar/declarar vulnerabilidades relacionadas a um ou mais requisitos de segurança cibernética e o grau de risco da vulnerabilidade. Validar análise de risco e garantir que será informado aos usuários e demais interessados.

Grau

0

4

8

10

 

 

 

 

 

5          

Evidenciar/avaliar que possui mecanismos periódicos, seguros e automatizados para atualização de software/firmware que empregam métodos adequados de confidencialidade, integridade, disponibilidade e autenticidade.

Grau

0

4

8

10

 

 

 

 

 

6          

Deve garantir que as informações trafegadas estão suportadas por um protocolo de segurança, criptografia e algoritmos de segurança e métodos de verificação de integridade, provendo a confidencialidade e inviolabilidade dos dados.

Grau

0

4

8

10

 

 

 

 

 

7          

Evidenciar/avaliar que os usuários verifiquem, de forma não automatizada, a disponibilidade de atualizações de software/firmware.

Grau

0

4

8

10

 

 

 

 

 

 

 

 

 

8          

Evidenciar/avaliar  que se identificado uma vulnerabilidade no software/firmware é garantido que o equipamento seja atualizado/ação corretiva.

Grau

0

4

8

10

 

 

 

 

 

9          

Evidenciar/avaliar que possuir os mesmos mecanismos de segurança para softwares/firmwares em modelo Beta ou versão não final (quando utilizadas).

Grau

0

4

8

10

 

 

 

 

 

10       

Evidenciar/avaliar se estão implementadas rotinas simplificadas para sua instalação e configuração, evitando potenciais falhas de segurança não intencionais.

Grau

0

4

8

10

 

 

 

 

 

11       

Evidenciar/avaliar se e realizada verificação da integridade do software/firmware durante a inicialização do sistema, sendo capaz de alertar ao usuário nos casos de comprometimento de sua integridade.

Grau

0

4

8

10

 

 

 

 

 

12       

Evidenciar/avaliar se possui mecanismo de monitoramento de comportamentos não usuais do software/firmware, alertando o usuário ou reiniciando-se automaticamente caso um comportamento suspeito seja detectado.

Grau

0

4

8

10

 

 

 

 

 

13       

Evidenciar/avaliar  se esta implementada ferramenta de registro de atividades (logs) relacionadas à autenticação de usuários, alteração de configurações do sistema e funcionamento do sistema.

Grau

0

4

8

10

 

 

 

 

 

14       

Evidenciar/avaliar que a documentação fornecida deverá conter o nome, a versão, a data de lançamento e as funcionalidades do software/firmware e/ou sistema operacional utilizado.

Grau

0

4

8

10

 

 

 

 

 

15       

Evidenciar/avaliar que é realizada verificação da integridade do software/firmware durante a inicialização do sistema, sendo capaz de alertar ao usuário nos casos de comprometimento de sua integridade e em caso de versões beta e versões não final, alertar sobre o modelo atual.

 

Grau

0

4

8

10

 

 

 

 

 

16       

Evidenciar/avaliar se possui mecanismo de monitoramento de comportamentos não usuais do software/firmware, alertando o usuário ou reiniciando-se automaticamente caso um comportamento suspeito seja detectado e permitindo o usuário a escolha de uma inicialização com os parâmetros de segurança de fábrica.

 

Grau

0

4

8

10

 

 

 

 

 

17       

Evidenciar/avaliar  Quando fornecido com documentação, esta deverá conter o nome, a versão, a data de lançamento e as funcionalidades do software/firmware e/ou sistema operacional utilizado e também as releases Betas ou versões não finais.

Grau

0

4

8

10

 

 

 

 

 

 

 

 

18       

Evidenciar/avaliar  que não são utilizadas credenciais e senhas iniciais para acesso às suas configurações que sejam iguais entre todos os dispositivos produzidos.

Grau

0

4

8

10

 

 

 

 

 

19       

Evidenciar/avaliar  que não são utilizadas senhas que sejam derivadas de informações de fácil obtenção por métodos de escaneamento de tráfego de dados em rede, tal com endereços MAC - Media Access Control.

 

Grau

0

4

8

10

 

 

 

 

 

20       

Evidenciar/avaliar que seja forçada, na primeira utilização, a alteração da senha de acesso à configuração do equipamento.

Grau

0

4

8

10

 

 

 

 

 

21       

Evidenciar/avaliar  que não é permitido o uso de senhas em branco ou senhas fracas.

Grau

0

4

8

10

 

 

 

 

 

22       

Evidenciar/avaliar  se possui mecanismos de defesa contra tentativas exaustivas de acesso não autorizado (ataques de autenticação por força bruta).

Grau

0

4

8

10

 

 

 

 

 

23       

Evidenciar/avaliar utilização de mecanismos de autenticação baseados em 2 fatores.

Grau

0

4

8

10

 

 

 

 

 

24       

Evidenciar/avaliar solicitar novas confirmações periódicas para os meios utilizados em autenticação baseada em 2 fatores.

Grau

0

4

8

10

 

 

 

 

 

25       

Evidenciar/avaliar  se não é utilizado credenciais e senhas definidas no próprio código fonte do software/firmware e que não podem ser alteradas (hard-code).
 

Grau

0

4

8

10

 

 

 

 

 

26       

Evidenciar/avaliar que mecanismos de segurança devam ser aplicados também para portas físicas de serviço.

Grau

0

4

8

10

 

 

 

 

 

27       

Evidenciar/avaliar se são protegidas as senhas, chaves de acesso e credenciais armazenadas ou transmitidas utilizando métodos adequados de criptografia ou hashing.

Grau

0

4

8

10

 

 

 

 

 

28       

Evidenciar/avaliar que tem garantia que os mecanismos de recuperação de senha sejam robustos contra tentativas de roubo de credenciais.

Grau

0

4

8

10

 

 

 

 

 

29       

Evidenciar/avaliar que em caso de comportamento não padrão durante telas de login solicitar testes de CAPTCHA .

Grau

0

4

8

10

 

 

 

 

 

 

30       

Evidenciar/avaliar que após tentativas seguidas de acesso sem sucesso, seja gerado um bloqueio temporário a novas tentativas.

Grau

0

4

8

10

 

 

 

 

 

31       

Evidenciar/avaliar que seja garantido os itens mencionados acima para qualquer versão de software/firmware (beta e versões não finais).

Grau

0

4

8

10

 

 

 

 

 

32       

Evidenciar/avaliar que está desprovido de qualquer ferramenta de teste ou backdoor intencional utilizados nos processos de desenvolvimento do produto e desnecessários à sua operação usual.

Grau

0

4

8

10

 

 

 

 

 

33       

Evidenciar/avaliar que  não sejam fornecidas portas de comunicação não essenciais, reduzindo sua superfície de ataque.

Grau

0

4

8

10

 

 

 

 

 

34       

Evidenciar/avaliar que é facultar ao usuário a possibilidade de desabilitar funcionalidades, serviços e portas de comunicação não essenciais à operação ou ao gerenciamento do equipamento.

Grau

0

4

8

10

 

 

 

 

 

35       

Evidenciar/avaliar a utilização de métodos adequados de criptografia para transmissão e armazenamento de dados sensíveis, incluindo informações pessoais.

 

Grau

0

4

8

10

 

 

 

 

 

36       

Evidenciar/avaliar que os usuários deletem facilmente seus dados pessoais armazenados, possibilitando o descarte ou a substituição do equipamento sem riscos de exposição de informações pessoais.

Grau

0

4

8

10

 

 

 

 

 

37       

Evidenciar/avaliar que possuir mecanismo para limitação da taxa de transmissão de dados de saída (upload), além do usualmente necessário, a fim de minimizar sua utilização como vetores em ataques a outros equipamentos ou sistemas (ataque de negação de serviço).

 

Grau

0

4

8

10

 

 

 

 

 

38       

Evidenciar/avaliar se são projetados para mitigar os efeitos de ataques de negação de serviço em andamento, sendo resistentes a um número excessivo de tentativas de autenticação, por meio de, por exemplo: priorização de sua capacidade de processamento às sessões de comunicação já estabelecidas e autenticadas; e
limitação do número de sessões de autenticação concorrentes, descartando tentativas de estabelecimento de novas sessões quando superado limite estabelecido.

 

Grau

0

4

8

10

 

 

 

 

 

 

 

 

REQUISITOS PARA FORNECEDORES DE EQUIPAMENTOS PARA TELECOMUNICAÇÕES

Os fornecedores de equipamentos terminais que se conectam à Internet e de equipamentos de infraestrutura de redes de telecomunicações, devem :

39       

Evidenciar/Avaliar que tem uma política clara de suporte ao produto, especialmente em relação à disponibilização de atualizações de software/firmware para correção de vulnerabilidades de segurança.

Grau

0

4

8

10

 

 

 

 

 

40       

Evidenciar/Avaliar  que .Deixa claro para o consumidor até quando serão providas atualizações de segurança para o equipamento e com que frequência ocorrerão.
reportarem vulnerabilidades de segurança identificadas nos produtos.

Grau

0

4

8

10

 

 

 

 

 

41       

Evidenciar/Avaliar como está garantido que os processos de atualização automática de software/firmware sejam realizados em fases a fim de evitar que erros não intencionais da nova versão de software/firmware sejam distribuídos a todos os equipamentos sob atualização de uma só vez.

 

Grau

0

4

8

10

 

 

 

 

 

42       

Evidenciar/Avaliar se e como são providas as atualizações de segurança por, no mínimo, 2 (dois) anos após o lançamento do produto ou enquanto o equipamento estiver sendo distribuído ao mercado consumidor, sendo aplicável a opção que mais se estender.

 

Grau

0

4

8

10

 

 

 

 

 

43       

Evidenciar/Avaliar  se está disponibilizado um canal de comunicação que possibilite aos seus clientes, usuários finais e terceiros reportarem vulnerabilidades de segurança identificadas nos produtos

Grau

0

4

8

10

 

 

 

 

 

44       

Evidenciar/Avaliar que está a garantir que a versão Beta ou não final do software/firmware deixe de funcionar após o lançamento da versão oficial.

 

Grau

0

4

8

10

 

 

 

 

 

45       

Evidenciar/Avaliar que uma versão antigas/anteriores de firmware (desde que versões oficiais e não betas) só deverão funcionar em caso de bug ou problemas identificados na versão final pelo fabricante/fornecedor.

Grau

0

4

8

10

 

 

 

 

 

46       

Evidenciar/Avaliar que está a garantir que seja mínimo o impacto nas atividades dos clientes, usuários finais e terceiros durante uma atualização, sugerindo que esta seja feita durante inatividade do equipamento ou via agendamento proposto pelo usuário.

 

Grau

0

4

8

10

 

 

 

 

 

47       

Evidenciar/Avaliar estabelecer um prazo máximo para que todos os equipamentos estejam atualizados após o lançamento de uma nova versão de software/firmware, podendo em alguns casos não depender de intervenções de usuário para essa atualização.

 

Grau

0

4

8

10

 

 

 

 

 

 

 

 

48       

Evidenciar/Avaliar que caso algum problema ocorra durante a atualização de firmware/software o equipamento seja capaz de restaurar as ultimas configurações válidas garantindo o seu correto funcionamento.

 

Grau

0

4

8

10

 

 

 

 

 

Disponibilizar um canal público de suporte, por meio de página na internet em língua portuguesa, 
para: 

49       

Evidenciar/Avaliar que está disponível como informar sobre novas vulnerabilidades identificadas em seus produtos, medidas de mitigação e correções de segurança associadas.

Grau

0

4

8

10

 

 

 

 

 

50       

Evidenciar/Avaliar que está disponível  e mantido histórico de: vulnerabilidades identificadas, medidas de mitigação e correções de segurança.

Grau

0

4

8

10

 

 

 

 

 

51       

Evidenciar/Avaliar que está disponível e permitido acesso a correções de segurança e/ou novas versões de software/firmware para seus produtos.

Grau

0

4

8

10

 

 

 

 

 

52       

Evidenciar/Avaliar que está disponível os manuais e outros materiais com orientações relativas à configuração, atualização e uso seguro dos equipamentos.

Grau

0

4

8

10

 

 

 

 

 

 

 

 

Requisitos  da Instrução Normativa número 4 - Segurança Cibernética que devem ser adotados no estabelecimento para os equipamentos utilizados nas redes 5G.

53       

Evidenciar / Avaliar que os serviços prestados e os equipamentos utilizados cumpram os protocolos de comunicação e as especificações técnicas de infraestrutura reconhecidos pela Agência Nacional de Telecomunicações ou, na sua ausência, aqueles estabelecidos pela Associação Brasileira de Normas Técnicas (ABNT) ou reconhecidos internacionalmente;
 

Grau

0

4

8

10

 

 

 

 

 

54       

Evidenciar / Avaliar se está disponível nos equipamentos a serem utilizados pela empresa provedora de serviços  ao menos os padrões nos moldes do SEC009 (Multi-tenant hosting management security) e do SEC002x (Security feature management of open source software), definidos pela ETSI (European Telecommunications

 

Grau

0

4

8

10

 

 

 

 

 

55       

Evidenciar / Avaliar se utiliza o protocolo IPV6, a fim de se evitar o tráfego de dados forjados, sem prejuízo da proteção da origem dos dados trafegados

Grau

0

4

8

10

 

 

 

 

 

 

56       

Evidenciar / Avaliar se os softwares utilizados nos equipamentos de infraestrutura de redes 5G são abertos e se são passíveis de auditoria em termos de segurança;

 

Grau

0

4

8

10

 

 

 

 

 

57       

Evidenciar / Avaliar se o produto / Sistema passou por um processo de auditoria que assegurem a segurança cibernética dos produtos / sistemas utilizados na rede 5G, podendo ser fornecidos de forma conjunta com as prestadoras de serviços e empresas interessadas em fornecer tecnologia 5G;

Grau

0

4

8

10

 

 

 

 

 

58       

Evidenciar / Avaliar se o equipamento não afeta os requisitos de segurança da informação, quais sejam: disponibilidade, integridade, e confidencialidade na atividade de tráfego na rede 5G.

 

Grau

0

4

8

10

 

 

 

 

 

59       

Evidenciar / Avaliar se os equipamentos dispõem de mecanismos que possibilitem inspeção, inclusive a sua auditoria, em equipamentos em produção, até mesmo com a retirada de hardware  para avaliação em laboratório;

Grau

0

4

8

10

 

 

 

 

 

60       

Evidenciar / Avaliar se o equipamento dispõe de facilidade para  registrar o estado de configuração dos equipamentos de sua rede (resultado do gerenciamento de configuração), contendo informações como topologia de rede, versões de hardware e de software dos equipamentos, a fim de auxiliar a atividade de auditoria

 

Grau

0

4

8

10

 

 

 

 

 

 

 

 

CRITÉRIO DE AVALIAÇÃO

0 (zero) pontos

INACEITÁVEL

não apresentou os requisitos mínimos.

4 (quatro) pontos

INSUFICIENTE

apresentou os requisitos mínimos, mas contendo erros ou omissões que caracterizam conhecimento insuficiente dos assuntos , não satisfazendo adequadamente às funcionalidades exigidas;

8 (oito) pontos

BOM

apresentou os requisitos mínimos e conhecimento suficiente dos assuntos, satisfazendo adequadamente às funcionalidades exigidas;

10 (dez) pontos

EXCELENTE

apresentou os requisitos mínimos e conhecimento aprofundado, demonstrando evidências em atuar com desempenho sólido e segurança na melhoria das funcionalidades exigidas. Funções que apesar de não requeridas agregam valor aos requisitos específicos,

 

 

 

Nota:- Coma soma destes pontos pode ser criado critérios para comparação dos  produtos

 

 

 

Contribuição da ABRAC CT-TELECOM

 

Esclarecimentos adicionais:-

 

A declaração de conformidade deve ser analisada e ter uma avaliação de conformidade do produtos / software x versus documentos apresentados. Deve ser feito por organismos credenciados no INMETRO / Anatel e com escopo adequado a esta atividade.

 

ENTREGAVEL:- Relatório Garantindo que o produto / serviço esta devidamente avaliado quanto a SEGURANÇA CIBERNETICA . Requisitos mínimos especificados pela Anatel.

 

 

 

RECEBIMENTO / ACEITAÇÃO DE AUTO DECLARAÇÃO DE PRODUTOS E SERVIÇOS

 

1)      Utilizar organismo com escopo para este trabalho técnico  no ANATEL / INMETRO

 

2)      Empresa Solicitante com autorização legal na atividade que especifica a sua declaração de conformidade.

 

3)      Profissional Especialista com acervo  no seu conselho – atuação profissional coberto pela lei

 

4)      Analise da consistência dos documentos técnicos apresentados para suportar sua Declaração de Conformidade e se o produto ensaiado são idêntico ao que pretende ser comercializar no Brasil .

 

5)      VALIDAR A AUTO DECLARAÇÃO PARA ANATEL

  

Justificativa:

Considerando que não consegui anexar item por item, anexamos toda a contribuição por inteiro no item acima:  anexo

Comentário da Anatel
Classificação: Aceita parcialmente
Data do Comentário: 23/04/2021
Comentário: Contribuição parcialmente acatada. A respeito da Instrução Normativa 4/2020 do SGI, foi incluída a seguinte frese na proposta de Ato: "CONSIDERANDO os requisitos mínimos de Segurança Cibernética que devem ser adotados no estabelecimento das redes 5G, aprovados pela Instrução Normativa nº 4, de 26 de MARÇO de 2020 do Gabinete de Segurança Institucional da Presidência da República". A respeito da inclusão do item 4.x, a contribuição não foi acatada, uma vez que a regulamentação vigente já prevê que as atividades de avaliação da conformidade devem ser realizadas por Organismos de Certificação Designados pela Anatel e por laboratórios acreditados pelo INMETRO ou avaliados pela Agência, respeitando-se as demais regras e condições previstas no regulamento aprovado pela Resolução 715 de 23 de outubro de 2019. A respeito das propostas de inserção de requisitos ao item 5.1.1 (Quanto à atualização de software/firmware), foi acrescentado o seguinte requisito: "d) Possuir mecanismos para notificar o usuário das alterações de software/firmware implementadas devido às atualizações, especialmente sobre as alterações de segurança". Quanto aos demais itens propostos, considera-se que eles já estão abrangidos pelos requisitos já contidos no item 5.1.1 ou em demais itens requisitos do documento. A respeito das propostas de inserção de requisitos ao item 5.1.2 (Quanto à instalação e à operação), ressaltamos que o ovjetivo do documento é estabelecer orientações mínimas de seguraça sem definir quais tipos de protocolos ou técnicas de seguraça podem ser implementadas. Sobre a proposta de especificar que os requisitos se aplicam a versões beta, esclarecemos que os requisitos são aplicáveis aos equipamentos na forma em que serão disponibilizados ao mercado consumidor, independentemente da versão do software/firmware. Foi incluída a seguinte frase ao final do item 5.1.2.c) "... .Após reinicialização deverá ser ofertada ao usuário a opção de restauração do equipamento com os padrões de fábrica". A respeito da prosposta de inserção de requisitos ao item 6 (REQUISITOS PARA FORNECEDORES DE EQUIPAMENTOS PARA TELECOMUNICAÇÕES) esclarecemos que os requisitos são aplicáveis aos equipamentos na forma em que serão disponibilizados ao mercado consumidor, independentemente da versão do software/firmware. A respeito das propostas de inserção de requisitos ao item 5.1.3 (Quanto ao acesso ao equipamento), ressaltamos que os requisitos são aplicáveis aos equipamentos na forma em que serão disponibilizados ao mercado consumidor, independentemente da versão do software/firmware. A respeito da inserção de um novo item 7, destacamos que não cabe replicar a Instrução Normativa 4/2020 do SGI nos requisitos. A presente proposta de Ato foi ajustada para considerar a referida IN 4. Ademais, a IN 4 apresenta regras para arquitetura e operacionalização das redes de telecom e para as operadoras. O foco deste requisitos são características dos equipamentos. A respeito da inseção de um novo item 9 com modelo de lista de verificação foi acatada, contudo, em formato diferente do proposto na contribuição.
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:11/141
CONSULTA PÚBLICA Nº 13
 Item:  ANEXO

REQUISITOS MÍNIMOS DE SEGURANÇA CIBERNÉTICA PARA EQUIPAMENTO DE TELECOMUNICAÇÕES

ID da Contribuição: 92667
Autor da Contribuição: Telma do Carmo Canotilho
Entidade: --
Área de Atuação: --
Contribuição:

 

CONTRIBUIÇÃO DA ABRAC  CT-TELECOM

 

14/05/2020

 

CONSULTA PÚBLICA Nº 13 - MINUTA DE ATO
 

 

O SUPERINTENDENTE DE OUTORGA E RECURSOS À PRESTAÇÃO - ANATEL, no uso das
atribuições que lhe foram conferidas pela Resolução n.º 715, de 23 de outubro de 2019, e CONSIDERANDO a competência dada pelos Incisos XIII e XIV do Art. 19 da Lei n.º 9.472/97 – Lei Geral de Telecomunicações;
CONSIDERANDO o Art. 22 do Regulamento para Avaliação da Conformidade e Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019;
CONSIDERANDO a Estratégia Nacional de Segurança Cibernética, aprovada por meio do Decreto nº
10.222, de 5 de fevereiro de 2020; e
CONSIDERANDO o constante dos autos do processo nº
53500.026122/2019-70,
RESOLVE:

 

Art. 1º Aprovar os requisitos mínimos de segurança cibernética para equipamentos para telecomunicações, nos moldes do Anexo a este Ato.

 

Art. 2º Este Ato entra em vigor 180 (cento e oitenta) dias após a data de sua publicação no Boletim de
Serviços Eletrônico da Anatel.

 

 

ANEXO
REQUISITOS MÍNIMOS DE SEGURANÇA CIBERNÉTICA PARA EQUIPAMENTO DE TELECOMUNICAÇÕES
 

 

1. OBJETIVO
1.1.Estabelecer requisitos mínimos de segurança cibernética para equipamentos terminais que se
conectam à Internet e para equipamentos de infraestrutura de redes de telecomunicações, visando
minimizar vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações e em seus mecanismos de gerenciamento remoto.

 

1.2. Atender aos requisitos de segurança cibernetica para os produtos do item 1.1 contidos na Instrução Normativa Nº 4, DE 26 DE MARÇO DE 2020 do GSI.  

 

 

 

Justificativa – incluir item 1,2,  -  Considerando que a Instrução Nortativa 5 da GSI foi publicada apos a CP13 entende,ps que e importante a sua referencia e atendimento.

 


2. REFERÊNCIAS
2.1.Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações,
aprovado pela Resolução n.º 715, de 23 de outubro de 2019.

2.2.OECD - Enhancing the Digital Security of Products - Draft Scoping Paper (November 2019).
2.3.IEEE Internet Technology Policy Community White Paper - Internet of Things (IoT) Security Best
Practices (February 2017).
2.4.IETF - Internet of Things (IoT) Security: State of the Art and Challenges - RFC 8576.
2.5.LAC-BCOP-1 (May/2019) – Best Current Operational Practices on Minimum Security Requirements for Customer Premises Equipment (CPE) Acquisition.
2.6.ENISA - Baseline Security Recommendations for IoT in the Context of Critical Information
Infrastructures (November 2017).

2.7.GSMA IoT Security Guidelines – Complete Document Set.

 

Justificativa – Incluir a referencia publicada após a consulta e utilizada na contribuição

 

2.8. Instrução Normativa número 4 de 26/03/2020 - Gabinete de Segurança Institucional

 


3. DEFINIÇÕES
3.1.Backdoor: mecanismo não documentado contido no software/firmware do produto que possibilita
acesso não autorizado ao equipamento. A presença de backdoors pode ser intencional ou acidental,
podendo ser decorrente de erros de programação.
3.2.Customer Premise Equipment (CPE): equipamento utilizado para conectar assinantes à rede do
provedor de serviços de telecomunicações.
3.3.Firmware: software ou conjunto de softwares programados em um hardware de propósito específico e
que fornecem controle de baixo nível.
3.4.Hashing: algoritmo matemático que mapeia dados de comprimento variável na entrada de uma função
para um conjunto de dados de comprimento fixo na saída da função. O resultado da função hash possui
muito pouca correlação com os dados de entrada da função, impossibilitando a obtenção do valor inicial de entrada a partir do resultado da operação da função.
3.5.Métodos adequados de criptografia, autenticação e integridade: protocolos ou algoritmos de
criptografia, autenticação e integridade, em suas versões atualizadas. A implementação deve permitir a
seleção de conjuntos de criptografia e tamanhos de chave atualizados.

 

 

4. REQUISITOS GERAIS
4.1.O interessado na homologação deve demonstrar conformidade do produto por meio de declaração
afirmando:
a) que o equipamento e seu fornecedor atendem os requisitos contidos neste documento; e
b) estar ciente que este documento está sujeito a atualizações.
4.2.O escopo da declaração de conformidade deve considerar as diferentes características técnicas dos
equipamentos (quantidade de memória, capacidade de processamento de dados, interfaces do usuário,
interfaces de comunicação, etc.) e os fins a que se destinam, apontando quais requisitos são atendidos.
4.2.1.Para produtos enquadrados na definição de CPE, a declaração de conformidade deve orientar-se, adicionalmente, pelo conjunto de requisitos contidos na referência 2.5.
4.3.Nas atividades de supervisão de mercado, a Agência poderá avaliar os requisitos contidos neste
documento por meio de procedimentos de ensaios orientados pelas melhores práticas, padronizadas
internacionalmente, para avaliação de vulnerabilidades.

 

(Acréscimo de novo item – Justificativa: Dada a complexidade da avaliação das características relativas a Ciber Security em conjunto com  a necessidade de ser uma ação preventiva anterior a homologação do produto, é primordial a OCD e laboratório como agentes para dar o devido dinamismo ao processo sem comprometimento temporal da disponibilização das soluções.)

 

4.x. Nas atividades de avaliação da conformidade referente a declaração do solicitante  e da validação de relatórios de ensaios  de produtos para telecomunicações e segurança cibernética  devem ser usados os Organismos de Certificação  Designados – OCD e os Laboratórios de Ensaio tecnicamente capacitados e devidamente habilitados. Acrescentando qualificação para as atividades de segurança cibernética - Art. 6º Resolução 715

 


4.4.Identificada, no produto homologado, qualquer vulnerabilidade relacionada a um ou mais requisitos de segurança cibernética, a Agência notificará o responsável pela homologação a sana-la, indicando prazo
adequado para esse fim, considerando-se o grau de risco da vulnerabilidade.
4.4.1.Decorrido o prazo sem que se verifique as adaptações necessárias ou a justificativa aceita pela Anatel para sua não implementação, a Agência suspenderá a homologação do produto, podendo indicar o
recolhimento ou substituição do mesmo no mercado, garantidas as demais previsões regulamentares
referentes ao direito do consumidor.
4.4.2.A suspensão da homologação do equipamento será mantida até que as vulnerabilidades apontadas
sejam sanadas ou até que o potencial risco à segurança dos serviços para telecomunicações seja mitigado,
considerando-se o prazo máximo estabelecido na regulamentação vigente.
4.4.3.Após o prazo máximo determinado para sua suspensão, a homologação será cancelada, caso a
vulnerabilidade não seja solucionada.

 

 

5. REQUISITOS DE SEGURANÇA CIBERNÉTICA DOS EQUIPAMENTOS PARA
TELECOMUNICAÇÕES

5.1.Equipamentos terminais que se conectam à Internet e equipamentos de infraestrutura de redes de
telecomunicações, em suas versões finais destinadas à comercialização, devem:

5.1.1.Quanto à atualização de software/firmware:
a) Possuir mecanismos periódicos, seguros e automatizados para atualização de software/firmware que
empregam métodos adequados de criptografia, autenticação e integridade.
b) Permitir que os usuários verifiquem, de forma não automatizada, a disponibilidade de atualizações de
software/firmware.

 

((Acréscimo de novas alíneas Justificativa: Funcionalidades relevantes referente a atualização)

 

c) Possuir mecanismos para identificar se o software/firmware foi atualizado de acordo com as recomendações do fabricante, evitando atualização que possam incluir backdoors

 

d) Possuir mecanismos para permitir retornar as configurações anteriores em caso de detecção de não conformidade com as configurações do fabricante.

 

e) Possuir mecanismos de informar notificações sobre alterações de segurança devido às atualizações.

 

f) Se identificado uma vulnerabilidade no software/firmware garantir que o equipamento seja atualizado.

 

g) Possuir os mesmos mecanismos de segurança para softwares/firmwares em modelo Beta ou versão não final.

 


5.1.2.Quanto à instalação e à operação:
a) Implementar rotinas simplificadas para sua instalação e configuração, evitando potenciais falhas de
segurança não intencionais.
b) Realizar verificação da integridade do software/firmware durante a inicialização do sistema, sendo capaz de alertar ao usuário nos casos de comprometimento de sua integridade.
c) Possuir mecanismo de monitoramento de comportamentos não usuais do software/firmware, alertando
o usuário ou reiniciando-se automaticamente caso um comportamento suspeito seja detectado.

 

d) Implementar ferramenta de registro de atividades (logs) relacionadas à autenticação de usuários,
alteração de configurações do sistema e funcionamento do sistema.
e) Quando fornecido com documentação, esta deverá conter o nome, a versão, a data de lançamento e as
funcionalidades do software/firmware e/ou sistema operacional utilizado.

 

(Acréscimo de novas alíneas – Justificativa: acréscimo de funcionalidades consideradas relevantes)

 

f) Realizar verificação da integridade do software/firmware durante a inicialização do sistema, sendo capaz de alertar ao usuário nos casos de comprometimento de sua integridade e em caso de versões beta e versões não final, alertar sobre o modelo atual.

 

g) Possuir mecanismo de monitoramento de comportamentos não usuais do software/firmware, alertando o usuário ou reiniciando-se automaticamente caso um comportamento suspeito seja detectado e permitindo o usuário a escolha de uma inicialização com os parâmetros de segurança de fábrica.

 

h) Quando fornecido com documentação, esta deverá conter o nome, a versão, a data de lançamento e as funcionalidades do software/firmware e/ou sistema operacional utilizado e também as release Betas ou versões não finais.

 

i) Permitir rastrear todo o tráfego da rede e realizar o controle de acessos para que pessoas má intencionadas não tenham acesso a dados confidencias  (acesso baseada em confiança zero),

 

j) Permitir a re-autenticação do dispositivo quando ele se mover entre diferentes redes de acesso, com a implementação do SEAF ( SECURITY ANCHOR FUNCTION).

 

l) Permitir a utilização de identificação oculta até que o equipamento que faz acesso a rede seja autenticado, garantindo que depois dessa operação seja divulgada a identificação do usuário

 


5.1.3.Quanto ao acesso ao equipamento:
a) Não utilizar credenciais e senhas iniciais para acesso às suas configurações que sejam iguais entre todos os dispositivos produzidos.
b) Não utilizar senhas que sejam derivadas de informações de fácil obtenção por métodos de
escaneamento de tráfego de dados em rede, tal com endereços MAC - Media Access Control.
c) Forçar, na primeira utilização, a alteração da senha de acesso à configuração do equipamento.
d) Não permitir o uso de senhas em branco ou senhas fracas.
e) Possuir mecanismos de defesa contra tentativas exaustivas de acesso não autorizado (ataques de
autenticação por força bruta).
f) Garantir que os mecanismos de recuperação de senha sejam robustos contra tentativas de roubo de
credenciais.
g) Não utilizar credenciais e senhas definidas no próprio código fonte do software/firmware e que não
podem ser alteradas (hard-coded).
h) Proteger senhas, chaves de acesso e credenciais armazenadas ou transmitidas utilizando métodos
adequados de criptografia ou hashing.

 

(Acréscimo de nova alínea – Justificativa: Para enfatizar que são características para todas versões)

 

i) Garantir todos os itens mencionados acima para qualquer versão de software/firmware (beta e versões não final) 

 

5.1.4.Quanto às interfaces/portas de comunicação:
a) Estar desprovido de qualquer ferramenta de teste ou backdoor intencional utilizados nos processos de
desenvolvimento do produto e desnecessários à sua operação usual.
b) Estar desprovido de qualquer forma de comunicação intencional não documentada, incluindo aquelas
para envio de informações de perfil de uso do equipamento para fabricantes ou para terceiros.
c) Ser fornecidos com serviços de transmissão de dados (portas de comunicação) não essenciais
desabilitados, reduzindo sua superfície de ataque.
d) Facultar ao usuário a possibilidade de desabilitar funcionalidades, serviços e portas de comunicação não essenciais à operação ou ao gerenciamento do equipamento.

 


5.1.5.Quanto aos dados sensíveis e informações pessoais:
a) Possibilitar a utilização de métodos adequados de criptografia para transmissão e armazenamento de
dados sensíveis, incluindo informações pessoais.
b) Permitir que os usuários deletem facilmente seus dados pessoais armazenados, possibilitando o
descarte ou a substituição do equipamento sem riscos de exposição de informações pessoais.

 


5.1.6.Quanto à capacidade de mitigar ataques:
a) Possuir mecanismo para limitação da taxa de transmissão de dados de saída (upload), além do
usualmente necessário, a fim de minimizar sua utilização como vetores em ataques a outros equipamentos
ou sistemas (ataque de negação de serviço).
b) Ser projetados para mitigar os efeitos de ataques de negação de serviço em andamento, sendo
resistentes a um número excessivo de tentativas de autenticação, por meio de, por exemplo: priorização
de sua capacidade de processamento às sessões de comunicação já estabelecidas e autenticadas; e
limitação do número de sessões de autenticação concorrentes, descartando tentativas de estabelecimento
de novas sessões quando superado limite estabelecido.

 

 

6. REQUISITOS PARA FORNECEDORES DE EQUIPAMENTOS PARA TELECOMUNICAÇÕES
6.1.Os fornecedores de equipamentos terminais que se conectam à Internet e de equipamentos de
infraestrutura de redes de telecomunicações, devem:
6.1.1.Ter uma política clara de suporte ao produto, especialmente em relação à disponibilização de
atualizações de software/firmware para correção de vulnerabilidades de segurança.
6.1.2.Deixar claro para o consumidor até quando serão providas atualizações de segurança para o
equipamento e com que frequência ocorrerão.
6.1.3.Garantir que os processos de atualização automática de software/firmware sejam realizadas em fases
a fim de evitar que erros não intencionais da nova versão de software/firmware sejam distribuídos a todos
os equipamentos sob atualização de uma só vez.
6.1.4.Prover atualizações de segurança por, no mínimo, 2 (dois) anos após o lançamento do produto ou
enquanto o equipamento estiver sendo distribuído ao mercado consumidor, sendo aplicável a opção que
mais se estender.
6.1.5.Disponibilizar um canal de comunicação que possibilite aos seus clientes, usuários finais e terceiros
reportarem vulnerabilidades de segurança identificadas nos produtos.
6.1.6.Disponibilizar um canal público de suporte, por meio de página na internet em língua portuguesa, 
para:
a) Informar sobre novas vulnerabilidades identificadas em seus produtos, medidas de mitigação e
correções de segurança associadas;
b) Manter histórico de: vulnerabilidades identificadas, medidas de mitigação e correções de segurança;
c) Permitir acesso a correções de segurança e/ou novas versões de software/firmware para seus produtos;
e
d) Fornecer manuais e outros materiais com orientações relativas à configuração, atualização e uso seguro
dos equipamentos.

 

(Acréscimo de novo item. Justificativa: impedir que versões ultrapassadas estejam em uso)

 

6.1.7 Garantir que a versão Beta ou versão não final do software/firmware deixe de funcionar após o lançamento da versão oficial.

 

(Acréscimo de um novo item 7.  Justificativa: Adequação do texto da consulta à Instrução Normativa 4)

 

7.x, REQUISITOS RETIRADOS DA Instrução Normativa número 4 - Segurança Cibernética QUE DEVEM SER ADOTADOS PARA OS EQUIPAMENTOS UTILIZADOS NAS REDES 5G.

 

7.1. Garantir que os serviços prestados e os equipamentos utilizados cumpram os protocolos de comunicação e as especificações técnicas de infraestrutura reconhecidos pela Agência Nacional de Telecomunicações ou, na sua ausência, aqueles estabelecidos pela Associação Brasileira de Normas Técnicas (ABNT) ou reconhecidos internacionalmente;

 

7.2. Garantir que, está disponível nos equipamentos a serem utilizados pela empresa provedora de serviços , ao menos os padrões nos moldes do SEC009 (Multi-tenant hosting management security) e do SEC002x (Security feature management of open source software), definidos pela ETSI (European Telecommunications.

 

7.3. Garantir que se utiliza o protocolo IPV6, a fim de se evitar o tráfego de dados forjados, sem prejuízo da proteção da origem dos dados trafegados.

 

7.4. Deixar claro se os softwares utilizados nos equipamentos de infraestrutura de redes 5G são abertos e se são passíveis de auditoria em termos de segurança.

 

7.5. Garantir que o produto / Sistema passou por um processo de auditoria que assegurem a segurança cibernética dos produtos / sistemas utilizados na rede 5G, podendo ser fornecidos de forma conjunta com as prestadoras de serviços e empresas interessadas em fornecer tecnologia 5G;

 

7.6. Garantir que o equipamento não afeta os requisitos de segurança da informação, quais sejam: disponibilidade, integridade, e confidencialidade na atividade de tráfego na rede 5G.

 

7.7 Deixar claro se os equipamentos dispõem de mecanismos que possibilitem inspeção, inclusive a sua auditoria, em equipamentos em produção, até mesmo com a retirada de hardware  para avaliação em laboratório;

 

7.8. Garantir que o equipamento dispõe de facilidade para  registrar o estado de configuração dos equipamentos de sua rede (resultado do gerenciamento de configuração), contendo informações como topologia de rede, versões de hardware e de software dos equipamentos, a fim de auxiliar a atividade de auditoria.

 

 

 

8. DISPOSIÇÕES FINAIS (Alteração da numeração do item 7 original)

 

8.1.Considerando as ininterruptas evoluções tecnológicas do setor de telecomunicações e o incessante
surgimento de novas ameaças à segurança cibernética para equipamentos de telecomunicações, este
documento está sujeito a periódicas atualizações a fim de manter-se alinhado ao estado da arte do setor.

Imprimir

 

 

 

(Acréscimo de item 9 – Justificativa: Contribuição necessário para dar maior objetividade na avaliação da característica de ciber segurança fornecido pelo produto)

 

9. MODELO DE RELATORIO COM  LISTA DE VERIFICAÇÃO E AVALIAÇÃO DO PRODUTO APRESETADO

 

Ferramenta para evidenciar conformidade do Produto/Sistema apresentado pelo SOLICITANTE aos requisitos da Anatel especificados na tabela abaixo.

 

Previsto determinar o grau de atendimento a estes requisitos básicos de segurança cibernética.

 

 

 

MODELO DE RELATÓRIO DE AVALIAÇÃO DE CONFORMIDADE 

 

1.           OBJETIVO

 

Ferramenta para evidenciar conformidade do Produto/Sistema apresentado pelo SOLICITANTE aos requisitos da Anatel especificados na tabela abaixo.

 

Previsto determinar o grau de atendimento a estes requisitos básicos de segurança cibernética.

 

 

 

2.           IDENTIFICAÇÃO DO PRODUTO

 

SISTEMA:

xxxxx

 

PRODUTO:

MODELOS:

Xxxxx

xxxxxx

ZZZZZZZ 

 

3.           CARACTERÍSTICAS TÉCNICAS DOS PRODUTOS

 

O Produto/Sistema  apresentado pelo solicitante é composto hardware contidos na lista anexa bem como de software.

 

Descrição de como funciona o produto/Sistema e as condições de contorno utilizadas no seu projeto.

 

Em particular descrever/declarar a política de segurança cibernética projetada e implementada.

 

 

 

4.           REFERÊNCIAS TÉCNICAS

 

Nota: Listar as referências técnicas utilizadas no projeto do seu produto de preferência com normas e melhores práticas internacionais.

 

4.1.           Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019.

 

4.2.           OECD - Enhancing the Digital Security of Products - Draft Scoping Paper (November 2019).

 

4.3.           IEEE Internet Technology Policy Community White Paper - Internet of Things (IoT) Security Best Practices (February 2017).

 

4.4.           IETF - Internet of Things (IoT) Security: State of the Art and Challenges - RFC 8576.

 

4.5.           LAC-BCOP-1 (May/2019) – Best Current Operational Practices on Minimum Security Requirements for Customer Premises Equipment (CPE) Acquisition.

 

4.6.           ENISA - Baseline Security Recommendations for IoT in the Context of Critical Information Infrastructures (November 2017).

 

4.7.           GSMA IoT Security Guidelines – Complete Document Set.

 

4.8.           Instrução Normativa número 4 de 26/03/2020 - Gabinete de Segurança Institucional

 

 

 

5.        RELAÇÃO DE DOCUMENTOS APRESENTADOS

 

Manual/Especificações Técnicas; Declaração do fabricante

 

Fotos – Diagramas  -  Certificações

 

 

 

6.       AVALIAÇÃO DOS REQUISITOS BÁSICOS DE SEGURANÇA CIBERNÉTICA E O GRAU DE ATENDIMENTO EVIDENCIADO.

 

 

 

Requisitos mínimos de segurança cibernética para equipamentos de telecomunicações

1          

Ser Produto/Sistema  de terminal que se conectam à Internet e para produtos/ Sistemas de infraestrutura de redes de telecomunicações, com facilidades construídas visando minimizar vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações e em seus mecanismos de gerenciamento remoto.

 

Grau

0

4

8

10

 

 

 

 

 

 

 

 

Requisitos  Gerais

 

2          

Analise e Avaliação dos documentos fornecidos e da declaração de conformidade para evidenciar consistência com produto e modelos abrangidos considera as diferentes características técnicas dos equipamentos (quantidade de memória, capacidade de processamento de dados, interfaces do usuário, interfaces de comunicação, etc.) e os fins a que se destinam. O que foi declarado/evidenciado e o que será comercializado?
 

Grau

0

4

8

10

 

 

 

 

 

3          

Evidenciar que para produtos enquadrados na definição de CPE (Customer Premises Equipment) , a declaração de conformidade deve orientar-se, adicionalmente, pelo conjunto de requisitos contidos na referência :- LAC-BCOP-1 (May/2019) – Best Current Operational Practices on Minimum Security Requirements for Customer Premises Equipment (CPE) Acquisition.

 

Grau

0

4

8

10

 

 

 

 

 

4          

Identificar/declarar vulnerabilidades relacionadas a um ou mais requisitos de segurança cibernética e o grau de risco da vulnerabilidade. Validar análise de risco e garantir que será informado aos usuários e demais interessados.

Grau

0

4

8

10

 

 

 

 

 

5          

Evidenciar/avaliar que possui mecanismos periódicos, seguros e automatizados para atualização de software/firmware que empregam métodos adequados de confidencialidade, integridade, disponibilidade e autenticidade.

Grau

0

4

8

10

 

 

 

 

 

6          

Deve garantir que as informações trafegadas estão suportadas por um protocolo de segurança, criptografia e algoritmos de segurança e métodos de verificação de integridade, provendo a confidencialidade e inviolabilidade dos dados.

Grau

0

4

8

10

 

 

 

 

 

7          

Evidenciar/avaliar que os usuários verifiquem, de forma não automatizada, a disponibilidade de atualizações de software/firmware.

Grau

0

4

8

10

 

 

 

 

 

 

 

 

 

8          

Evidenciar/avaliar  que se identificado uma vulnerabilidade no software/firmware é garantido que o equipamento seja atualizado/ação corretiva.

Grau

0

4

8

10

 

 

 

 

 

9          

Evidenciar/avaliar que possuir os mesmos mecanismos de segurança para softwares/firmwares em modelo Beta ou versão não final (quando utilizadas).

Grau

0

4

8

10

 

 

 

 

 

10       

Evidenciar/avaliar se estão implementadas rotinas simplificadas para sua instalação e configuração, evitando potenciais falhas de segurança não intencionais.

Grau

0

4

8

10

 

 

 

 

 

11       

Evidenciar/avaliar se e realizada verificação da integridade do software/firmware durante a inicialização do sistema, sendo capaz de alertar ao usuário nos casos de comprometimento de sua integridade.

Grau

0

4

8

10

 

 

 

 

 

12       

Evidenciar/avaliar se possui mecanismo de monitoramento de comportamentos não usuais do software/firmware, alertando o usuário ou reiniciando-se automaticamente caso um comportamento suspeito seja detectado.

Grau

0

4

8

10

 

 

 

 

 

13       

Evidenciar/avaliar  se esta implementada ferramenta de registro de atividades (logs) relacionadas à autenticação de usuários, alteração de configurações do sistema e funcionamento do sistema.

Grau

0

4

8

10

 

 

 

 

 

14       

Evidenciar/avaliar que a documentação fornecida deverá conter o nome, a versão, a data de lançamento e as funcionalidades do software/firmware e/ou sistema operacional utilizado.

Grau

0

4

8

10

 

 

 

 

 

15       

Evidenciar/avaliar que é realizada verificação da integridade do software/firmware durante a inicialização do sistema, sendo capaz de alertar ao usuário nos casos de comprometimento de sua integridade e em caso de versões beta e versões não final, alertar sobre o modelo atual.

 

Grau

0

4

8

10

 

 

 

 

 

16       

Evidenciar/avaliar se possui mecanismo de monitoramento de comportamentos não usuais do software/firmware, alertando o usuário ou reiniciando-se automaticamente caso um comportamento suspeito seja detectado e permitindo o usuário a escolha de uma inicialização com os parâmetros de segurança de fábrica.

 

Grau

0

4

8

10

 

 

 

 

 

17       

Evidenciar/avaliar  Quando fornecido com documentação, esta deverá conter o nome, a versão, a data de lançamento e as funcionalidades do software/firmware e/ou sistema operacional utilizado e também as releases Betas ou versões não finais.

Grau

0

4

8

10

 

 

 

 

 

 

 

 

18       

Evidenciar/avaliar  que não são utilizadas credenciais e senhas iniciais para acesso às suas configurações que sejam iguais entre todos os dispositivos produzidos.

Grau

0

4

8

10

 

 

 

 

 

19       

Evidenciar/avaliar  que não são utilizadas senhas que sejam derivadas de informações de fácil obtenção por métodos de escaneamento de tráfego de dados em rede, tal com endereços MAC - Media Access Control.

 

Grau

0

4

8

10

 

 

 

 

 

20       

Evidenciar/avaliar que seja forçada, na primeira utilização, a alteração da senha de acesso à configuração do equipamento.

Grau

0

4

8

10

 

 

 

 

 

21       

Evidenciar/avaliar  que não é permitido o uso de senhas em branco ou senhas fracas.

Grau

0

4

8

10

 

 

 

 

 

22       

Evidenciar/avaliar  se possui mecanismos de defesa contra tentativas exaustivas de acesso não autorizado (ataques de autenticação por força bruta).

Grau

0

4

8

10

 

 

 

 

 

23       

Evidenciar/avaliar utilização de mecanismos de autenticação baseados em 2 fatores.

Grau

0

4

8

10

 

 

 

 

 

24       

Evidenciar/avaliar solicitar novas confirmações periódicas para os meios utilizados em autenticação baseada em 2 fatores.

Grau

0

4

8

10

 

 

 

 

 

25       

Evidenciar/avaliar  se não é utilizado credenciais e senhas definidas no próprio código fonte do software/firmware e que não podem ser alteradas (hard-code).
 

Grau

0

4

8

10

 

 

 

 

 

26       

Evidenciar/avaliar que mecanismos de segurança devam ser aplicados também para portas físicas de serviço.

Grau

0

4

8

10

 

 

 

 

 

27       

Evidenciar/avaliar se são protegidas as senhas, chaves de acesso e credenciais armazenadas ou transmitidas utilizando métodos adequados de criptografia ou hashing.

Grau

0

4

8

10

 

 

 

 

 

28       

Evidenciar/avaliar que tem garantia que os mecanismos de recuperação de senha sejam robustos contra tentativas de roubo de credenciais.

Grau

0

4

8

10

 

 

 

 

 

29       

Evidenciar/avaliar que em caso de comportamento não padrão durante telas de login solicitar testes de CAPTCHA .

Grau

0

4

8

10

 

 

 

 

 

 

30       

Evidenciar/avaliar que após tentativas seguidas de acesso sem sucesso, seja gerado um bloqueio temporário a novas tentativas.

Grau

0

4

8

10

 

 

 

 

 

31       

Evidenciar/avaliar que seja garantido os itens mencionados acima para qualquer versão de software/firmware (beta e versões não finais).

Grau

0

4

8

10

 

 

 

 

 

32       

Evidenciar/avaliar que está desprovido de qualquer ferramenta de teste ou backdoor intencional utilizados nos processos de desenvolvimento do produto e desnecessários à sua operação usual.

Grau

0

4

8

10

 

 

 

 

 

33       

Evidenciar/avaliar que  não sejam fornecidas portas de comunicação não essenciais, reduzindo sua superfície de ataque.

Grau

0

4

8

10

 

 

 

 

 

34       

Evidenciar/avaliar que é facultar ao usuário a possibilidade de desabilitar funcionalidades, serviços e portas de comunicação não essenciais à operação ou ao gerenciamento do equipamento.

Grau

0

4

8

10

 

 

 

 

 

35       

Evidenciar/avaliar a utilização de métodos adequados de criptografia para transmissão e armazenamento de dados sensíveis, incluindo informações pessoais.

 

Grau

0

4

8

10

 

 

 

 

 

36       

Evidenciar/avaliar que os usuários deletem facilmente seus dados pessoais armazenados, possibilitando o descarte ou a substituição do equipamento sem riscos de exposição de informações pessoais.

Grau

0

4

8

10

 

 

 

 

 

37       

Evidenciar/avaliar que possuir mecanismo para limitação da taxa de transmissão de dados de saída (upload), além do usualmente necessário, a fim de minimizar sua utilização como vetores em ataques a outros equipamentos ou sistemas (ataque de negação de serviço).

 

Grau

0

4

8

10

 

 

 

 

 

38       

Evidenciar/avaliar se são projetados para mitigar os efeitos de ataques de negação de serviço em andamento, sendo resistentes a um número excessivo de tentativas de autenticação, por meio de, por exemplo: priorização de sua capacidade de processamento às sessões de comunicação já estabelecidas e autenticadas; e
limitação do número de sessões de autenticação concorrentes, descartando tentativas de estabelecimento de novas sessões quando superado limite estabelecido.

 

Grau

0

4

8

10

 

 

 

 

 

 

 

 

REQUISITOS PARA FORNECEDORES DE EQUIPAMENTOS PARA TELECOMUNICAÇÕES

Os fornecedores de equipamentos terminais que se conectam à Internet e de equipamentos de infraestrutura de redes de telecomunicações, devem :

39       

Evidenciar/Avaliar que tem uma política clara de suporte ao produto, especialmente em relação à disponibilização de atualizações de software/firmware para correção de vulnerabilidades de segurança.

Grau

0

4

8

10

 

 

 

 

 

40       

Evidenciar/Avaliar  que .Deixa claro para o consumidor até quando serão providas atualizações de segurança para o equipamento e com que frequência ocorrerão.
reportarem vulnerabilidades de segurança identificadas nos produtos.

Grau

0

4

8

10

 

 

 

 

 

41       

Evidenciar/Avaliar como está garantido que os processos de atualização automática de software/firmware sejam realizados em fases a fim de evitar que erros não intencionais da nova versão de software/firmware sejam distribuídos a todos os equipamentos sob atualização de uma só vez.

 

Grau

0

4

8

10

 

 

 

 

 

42       

Evidenciar/Avaliar se e como são providas as atualizações de segurança por, no mínimo, 2 (dois) anos após o lançamento do produto ou enquanto o equipamento estiver sendo distribuído ao mercado consumidor, sendo aplicável a opção que mais se estender.

 

Grau

0

4

8

10

 

 

 

 

 

43       

Evidenciar/Avaliar  se está disponibilizado um canal de comunicação que possibilite aos seus clientes, usuários finais e terceiros reportarem vulnerabilidades de segurança identificadas nos produtos

Grau

0

4

8

10

 

 

 

 

 

44       

Evidenciar/Avaliar que está a garantir que a versão Beta ou não final do software/firmware deixe de funcionar após o lançamento da versão oficial.

 

Grau

0

4

8

10

 

 

 

 

 

45       

Evidenciar/Avaliar que uma versão antigas/anteriores de firmware (desde que versões oficiais e não betas) só deverão funcionar em caso de bug ou problemas identificados na versão final pelo fabricante/fornecedor.

Grau

0

4

8

10

 

 

 

 

 

46       

Evidenciar/Avaliar que está a garantir que seja mínimo o impacto nas atividades dos clientes, usuários finais e terceiros durante uma atualização, sugerindo que esta seja feita durante inatividade do equipamento ou via agendamento proposto pelo usuário.

 

Grau

0

4

8

10

 

 

 

 

 

47       

Evidenciar/Avaliar estabelecer um prazo máximo para que todos os equipamentos estejam atualizados após o lançamento de uma nova versão de software/firmware, podendo em alguns casos não depender de intervenções de usuário para essa atualização.

 

Grau

0

4

8

10

 

 

 

 

 

 

 

 

48       

Evidenciar/Avaliar que caso algum problema ocorra durante a atualização de firmware/software o equipamento seja capaz de restaurar as ultimas configurações válidas garantindo o seu correto funcionamento.

 

Grau

0

4

8

10

 

 

 

 

 

Disponibilizar um canal público de suporte, por meio de página na internet em língua portuguesa, 
para: 

49       

Evidenciar/Avaliar que está disponível como informar sobre novas vulnerabilidades identificadas em seus produtos, medidas de mitigação e correções de segurança associadas.

Grau

0

4

8

10

 

 

 

 

 

50       

Evidenciar/Avaliar que está disponível  e mantido histórico de: vulnerabilidades identificadas, medidas de mitigação e correções de segurança.

Grau

0

4

8

10

 

 

 

 

 

51       

Evidenciar/Avaliar que está disponível e permitido acesso a correções de segurança e/ou novas versões de software/firmware para seus produtos.

Grau

0

4

8

10

 

 

 

 

 

52       

Evidenciar/Avaliar que está disponível os manuais e outros materiais com orientações relativas à configuração, atualização e uso seguro dos equipamentos.

Grau

0

4

8

10

 

 

 

 

 

 

 

 

Requisitos  da Instrução Normativa número 4 - Segurança Cibernética que devem ser adotados no estabelecimento para os equipamentos utilizados nas redes 5G.

53       

Evidenciar / Avaliar que os serviços prestados e os equipamentos utilizados cumpram os protocolos de comunicação e as especificações técnicas de infraestrutura reconhecidos pela Agência Nacional de Telecomunicações ou, na sua ausência, aqueles estabelecidos pela Associação Brasileira de Normas Técnicas (ABNT) ou reconhecidos internacionalmente;
 

Grau

0

4

8

10

 

 

 

 

 

54       

Evidenciar / Avaliar se está disponível nos equipamentos a serem utilizados pela empresa provedora de serviços  ao menos os padrões nos moldes do SEC009 (Multi-tenant hosting management security) e do SEC002x (Security feature management of open source software), definidos pela ETSI (European Telecommunications

 

Grau

0

4

8

10

 

 

 

 

 

55       

Evidenciar / Avaliar se utiliza o protocolo IPV6, a fim de se evitar o tráfego de dados forjados, sem prejuízo da proteção da origem dos dados trafegados

Grau

0

4

8

10

 

 

 

 

 

 

56       

Evidenciar / Avaliar se os softwares utilizados nos equipamentos de infraestrutura de redes 5G são abertos e se são passíveis de auditoria em termos de segurança;

 

Grau

0

4

8

10

 

 

 

 

 

57       

Evidenciar / Avaliar se o produto / Sistema passou por um processo de auditoria que assegurem a segurança cibernética dos produtos / sistemas utilizados na rede 5G, podendo ser fornecidos de forma conjunta com as prestadoras de serviços e empresas interessadas em fornecer tecnologia 5G;

Grau

0

4

8

10

 

 

 

 

 

58       

Evidenciar / Avaliar se o equipamento não afeta os requisitos de segurança da informação, quais sejam: disponibilidade, integridade, e confidencialidade na atividade de tráfego na rede 5G.

 

Grau

0

4

8

10

 

 

 

 

 

59       

Evidenciar / Avaliar se os equipamentos dispõem de mecanismos que possibilitem inspeção, inclusive a sua auditoria, em equipamentos em produção, até mesmo com a retirada de hardware  para avaliação em laboratório;

Grau

0

4

8

10

 

 

 

 

 

60       

Evidenciar / Avaliar se o equipamento dispõe de facilidade para  registrar o estado de configuração dos equipamentos de sua rede (resultado do gerenciamento de configuração), contendo informações como topologia de rede, versões de hardware e de software dos equipamentos, a fim de auxiliar a atividade de auditoria

 

Grau

0

4

8

10

 

 

 

 

 

 

 

 

CRITÉRIO DE AVALIAÇÃO

0 (zero) pontos

INACEITÁVEL

não apresentou os requisitos mínimos.

4 (quatro) pontos

INSUFICIENTE

apresentou os requisitos mínimos, mas contendo erros ou omissões que caracterizam conhecimento insuficiente dos assuntos , não satisfazendo adequadamente às funcionalidades exigidas;

8 (oito) pontos

BOM

apresentou os requisitos mínimos e conhecimento suficiente dos assuntos, satisfazendo adequadamente às funcionalidades exigidas;

10 (dez) pontos

EXCELENTE

apresentou os requisitos mínimos e conhecimento aprofundado, demonstrando evidências em atuar com desempenho sólido e segurança na melhoria das funcionalidades exigidas. Funções que apesar de não requeridas agregam valor aos requisitos específicos,

 

 

 

Nota:- Coma soma destes pontos pode ser criado critérios para comparação dos  produtos

 

 

 

Contribuição da ABRAC CT-TELECOM

 

Esclarecimentos adicionais:-

 

A declaração de conformidade deve ser analisada e ter uma avaliação de conformidade do produtos / software x versus documentos apresentados. Deve ser feito por organismos credenciados no INMETRO / Anatel e com escopo adequado a esta atividade.

 

ENTREGAVEL:- Relatório Garantindo que o produto / serviço esta devidamente avaliado quanto a SEGURANÇA CIBERNETICA . Requisitos mínimos especificados pela Anatel.

 

 

 

RECEBIMENTO / ACEITAÇÃO DE AUTO DECLARAÇÃO DE PRODUTOS E SERVIÇOS

 

1)      Utilizar organismo com escopo para este trabalho técnico  no ANATEL / INMETRO

 

2)      Empresa Solicitante com autorização legal na atividade que especifica a sua declaração de conformidade.

 

3)      Profissional Especialista com acervo  no seu conselho – atuação profissional coberto pela lei

 

4)      Analise da consistência dos documentos técnicos apresentados para suportar sua Declaração de Conformidade e se o produto ensaiado são idêntico ao que pretende ser comercializar no Brasil .

 

5)      VALIDAR A AUTO DECLARAÇÃO PARA ANATEL

  

Justificativa:

Não estamos conseguindo anexar os itens a itens então colocamoa toda a contribuição no anexo acima. em nome da ABRAC - Associação Brasileira de Avaliação da Conformidade

Comentário da Anatel
Classificação: Aceita parcialmente
Data do Comentário: 23/04/2021
Comentário: Contribuição parcialmente acatada. A respeito da Instrução Normativa 4/2020 do SGI, foi incluída a seguinte frese na proposta de Ato: "CONSIDERANDO os requisitos mínimos de Segurança Cibernética que devem ser adotados no estabelecimento das redes 5G, aprovados pela Instrução Normativa nº 4, de 26 de MARÇO de 2020 do Gabinete de Segurança Institucional da Presidência da República". A respeito da inclusão do item 4.x, a contribuição não foi acatada, uma vez que a regulamentação vigente já prevê que as atividades de avaliação da conformidade devem ser realizadas por Organismos de Certificação Designados pela Anatel e por laboratórios acreditados pelo INMETRO ou avaliados pela Agência, respeitando-se as demais regras e condições previstas no regulamento aprovado pela Resolução 715 de 23 de outubro de 2019. A respeito das propostas de inserção de requisitos ao item 5.1.1 (Quanto à atualização de software/firmware), foi acrescentado o seguinte requisito: "d) Possuir mecanismos para notificar o usuário das alterações de software/firmware implementadas devido às atualizações, especialmente sobre as alterações de segurança". Quanto aos demais itens propostos, considera-se que eles já estão abrangidos pelos requisitos já contidos no item 5.1.1 ou em demais itens requisitos do documento. A respeito das propostas de inserção de requisitos ao item 5.1.2 (Quanto à instalação e à operação), ressaltamos que o ovjetivo do documento é estabelecer orientações mínimas de seguraça sem definir quais tipos de protocolos ou técnicas de seguraça podem ser implementadas. Sobre a proposta de especificar que os requisitos se aplicam a versões beta, esclarecemos que os requisitos são aplicáveis aos equipamentos na forma em que serão disponibilizados ao mercado consumidor, independentemente da versão do software/firmware. Foi incluída a seguinte frase ao final do item 5.1.2.c) "... .Após reinicialização deverá ser ofertada ao usuário a opção de restauração do equipamento com os padrões de fábrica". A respeito da prosposta de inserção de requisitos ao item 6 (REQUISITOS PARA FORNECEDORES DE EQUIPAMENTOS PARA TELECOMUNICAÇÕES) esclarecemos que os requisitos são aplicáveis aos equipamentos na forma em que serão disponibilizados ao mercado consumidor, independentemente da versão do software/firmware. A respeito das propostas de inserção de requisitos ao item 5.1.3 (Quanto ao acesso ao equipamento), ressaltamos que os requisitos são aplicáveis aos equipamentos na forma em que serão disponibilizados ao mercado consumidor, independentemente da versão do software/firmware. A respeito da inserção de um novo item 7, destacamos que não cabe replicar a Instrução Normativa 4/2020 do SGI nos requisitos. A presente proposta de Ato foi ajustada para considerar a referida IN 4. Ademais, a IN 4 apresenta regras para arquitetura e operacionalização das redes de telecom e para as operadoras. O foco deste requisitos são características dos equipamentos. A respeito da inseção de um novo item 9 com modelo de lista de verificação foi acatada, contudo, em formato diferente do proposto na contribuição.
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:12/141
CONSULTA PÚBLICA Nº 13
 Item:  1. OBJETIVO

1.1.Estabelecer requisitos mínimos de segurança cibernética para equipamentos terminais que se conectam à Internet e para equipamentos de infraestrutura de redes de telecomunicações, visando minimizar vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações e em seus mecanismos de gerenciamento remoto.

ID da Contribuição: 92536
Autor da Contribuição: Grace Kelly de Cassia Caporalli
Entidade: --
Área de Atuação: --
Contribuição:

MANIFESTAÇÃO: Entendemos que os requisitos mínimos de segurança cibernética dispostos nessa minuta de ato devem ser aplicáveis somente aos equipamentos de infraestrutura de redes de telecomunicações, excluindo-se expressamente os terminais de acesso, bem como os dispositivos de IoT. Portanto, a redação do Item 1.1. deverá ser revista nesse sentido, sendo o mais precisa possível.

Ademais, quanto aos equipamentos de infraestrutura de redes de telecomunicações, sugerimos que a ANATEL considere também como adequados aqueles que estejam em conformidade com todas as disposições previstas no LAC-BCOP.

Justificativa:

JUSTIFICATIVA: A Abinee entende que iniciativas voltadas para o estabelecimento de requisitos mínimos de segurança devem ser desenvolvidas cautelosamente para evitar que sejam impostos os mais variáveis requisitos, muito dos quais inviáveis, nas diversas granularidades das redes de telecomunicações. Tal cenário poderia inadvertidamente frear o desenvolvimento tecnológico no país.

A sugestão de arcabouços normativos distintos para infraestrutura de redes de telecomunicações e para terminais e dispositivos na ponta é fundamental para a elaboração de uma política equilibrada, respeitando as naturezas distintas de tais produtos. As redes de telecomunicações são compostas por diferentes camadas de operação, fazendo com que a abordagem sobre requisitos mínimos de segurança cibernética mais apropriada seja aquela voltada a tratar das especificidades de cada uma delas, que por vezes, permitem de fato a implementação de alguns controles granulares por aquele que opera os produtos e em outras não.

Como exemplo, podemos citar dispositivos que, devido seu propósito único e/ou recursos limitados, como é o caso dos  medidores em redes Smartgrids para leitura de consumo de eletricidade  não dispõem de uma granularidade que possibilite os usuários finais a mexer em sua interface. O que não quer dizer que os equipamentos da rede smargrid não permitam, ao detentor da rede, implementar alguns controles nessa camada.

É fundamental que possíveis requisitos mínimos de segurança para dispositivos de IoT sejam desenvolvidos considerando as especificidades desse ecossistema, a fim de evitar que sejam criadas barreiras onerosas que indesejavelmente poderão inviabilizar a oferta de produtos, equipamentos e serviços baseados na oferta de conectividade máquina-a-máquina.

Neste cenário, a homologação de dispositivos IoT deve ter conformidade não somente com requisitos regulamentados de comunicação, mas considerando também novos requisitos em aspectos de segurança, que são principalmente de alerta/logging, autenticação, criptografia, segurança física e segurança de plataforma, levando em consideração seus propósitos e/ou recursos limitados. Para o contexto brasileiro, seria preferível que a regulamentação fizesse referência a adoção de boas práticas ou requisitos internacionalmente aceitos do que uma lista prescritiva de requisitos próprios e engessados no contexto de uma regulamentação.

Como referência internacional, citamos os EUA que para certificar requisitos de segurança, permite que diversos laboratórios acreditados ofereçam homologação de produtos IoT a partir de “pacote de testes” baseado em orientações emergentes de projetos de segurança e de alianças voltadas para IoT, compondo assim um pacote de requisitos oferecido e testado pelo laboratório acreditado. Como exemplo, cita-se o laboratório ICSA Lab [1] que se baseia em três diretrizes, a saber: do OWASP Open Web Application Security Project, do IIC Reference Architeture e da arquitetura do Online Trust Alliance. Todas essas diretrizes apresentam requisitos e testes considerados necessários para segurança em IoT.

[1] https://www.icsalabs.com/technology-program/iot-testing

 

Comentário da Anatel
Classificação: Não aceita
Data do Comentário: 23/04/2021
Comentário: Contribuição não acatada. Os requisitos contidos na proposta não são aplicáveis à certificação e homologação dos equipamentos. Os solicitantes à homologação deverão declarar a quais requisitos seu produto atende e, a qualquer momento, a Anatel poderá efetuar uma avaliação quanto ao atendimento. Caso o produto não esteja em conformidade com o declarado, a Agência poderá adotar medidas de suspenção ou cancelamento da homologação, a depender dos casos. Conforme consta no item 4.2 da prosposta, o escopo da declaração deve considerar as diferentes características técnicas dos equipamentos (quantidade de memória, capacidade de processamento de dados, interfaces do usuário, interfaces de comunicação, etc.) e os fins a que se destinam, apontando quais requisitos são atendidos. Os equipamentos sob homologação não necessitam declarar que implementam todos os itens da lista de requisitos. Consta, também, na proposta item informando que o documento está sujeito a atualizações, a fim de acompanhar o desenvolvimento tecnológico do setor.
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:13/141
CONSULTA PÚBLICA Nº 13
 Item:  1. OBJETIVO

1.1.Estabelecer requisitos mínimos de segurança cibernética para equipamentos terminais que se conectam à Internet e para equipamentos de infraestrutura de redes de telecomunicações, visando minimizar vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações e em seus mecanismos de gerenciamento remoto.

ID da Contribuição: 92564
Autor da Contribuição: JULIO RODRIGUES
Entidade: --
Área de Atuação: --
Contribuição:

SONY BRASIL LTDA 

Responsável por Conformidade de Produto

1) O documento deve esclarecer o escopo dos produtos abrangidos pela regulamentação. Ou seja equipamentos terminais que se conectam à Internet seriam aqueles definidos na lIsta de Referência de Produtos para Telecomunicação da Anatel, ou abrangeria outros produtos fora da Lista?

2) Os requisitos de segurança cibernética devem estar em harmonia com os regulamentos de outros países (Europa, USA, Japão, etc) caso contrário estaremos criando barreiras técnicas para importação e utilização de novos equipamentos / tecnologias

Justificativa:

1) Não está claro no documento que o escopo de produtos seriam aqueles definidos na Lista de Referência de Produtos para Telecom da Anatel ou abrangeria outros produtos / equipamentos fora da lista de referência. A abrangência de produtos deve estar claro na regulamentação.

2) Evitar barreiras técnicas.

Comentário da Anatel
Classificação: Aceita parcialmente
Data do Comentário: 23/04/2021
Comentário: Contribuição parcialmente acatada. A Agência entende como válida a proposta de definir melhor o escopo dos requisitos. Neste sentido, inseriu o item 1.2 com o seguinte texto: "1.2. Os requisitos contidos neste documento abrangem os equipamentos relacionados na Lista de Referência de Produtos para Telecomunicações publicada pela Agência Nacional de Telecomunicações". A respeito da alegação de que os requisitos proposto podem gerar barreiras técnicas, a Agência discorda, uma vez que os equisitos contidos na proposta não são aplicáveis à certificação e homologação dos equipamentos. Os solicitantes à homologação deverão declarar a quais requisitos seu produto atende e, a qualquer momento, a Anatel poderá efetuar uma avaliação quanto ao atendimento. Caso o produto não esteja em conformidade com o declarado, a Agência poderá adotar medidas de suspenção ou cancelamento da homologação, a depender dos casos. Conforme consta no item 4.2 da prosposta, o escopo da declaração deve considerar as diferentes características técnicas dos equipamentos (quantidade de memória, capacidade de processamento de dados, interfaces do usuário, interfaces de comunicação, etc.) e os fins a que se destinam, apontando quais requisitos são atendidos.
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:14/141
CONSULTA PÚBLICA Nº 13
 Item:  1. OBJETIVO

1.1.Estabelecer requisitos mínimos de segurança cibernética para equipamentos terminais que se conectam à Internet e para equipamentos de infraestrutura de redes de telecomunicações, visando minimizar vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações e em seus mecanismos de gerenciamento remoto.

ID da Contribuição: 92565
Autor da Contribuição: Fernando Capez
Entidade: --
Área de Atuação: --
Contribuição:

Prezados,

Entendemos oportuno apresentarmos preliminarmentes algumas ponderações  acerca da presente consulta pública.

A presente Consulta Pública, que trata de requisitos mínimos de segurança cibernética para equipamentos terminais que se conectam à internet e para equipamentos de infraestrutura de redes de telecomunicações, tem como objetivo minimizar vulnerabilidades, por intermédio de atualizações de software/firmware ou por recomendações em configurações e em seus mecanismos de gerenciamento remoto.

Segundo órgão regulador, a proposta está alinhada com as disposições do Decreto n.º 10.222, de 5 de fevereiro de 2020, que aprovou a Estratégia Nacional de Segurança Cibernética, e também pela Instrução Normativa nº 4, de 26 de março de 2020, que dispõe sobre os requisitos mínimos de Segurança Cibernética que devem ser adotados no estabelecimento das redes 5G.

Em relação a mitigação das vulnerabilidades dos equipamentos de telecomunicações pretendidas pelo instrumento regulatório, entendemos que os dispositivos conectados à internet, além da sua funcionalidade, devem proporcionar segurança, não só dos equipamentos, como também dos sistemas e dos dados dos usuários.

Continuando, o documento INFORME Nº 6/2020/ORCN/SOR que acompanha a Consulta Pública, em seu item 5.3. DA AVALIAÇÃO DE RISCOS, apresenta as seguintes opções de ação regulatória: a) Não estabelecimento de requisitos mínimos de segurança cibernética, mantendo o cenário atual; b) Estabelecimento de requisitos mínimos de segurança cibernética para certificação de produtos; e c) Estabelecimento de procedimento de declaração de conformidade a requisitos mínimos de segurança cibernética para produtos de telecomunicações.

Agência optou pelo item “c” – Declaração de Conformidade – para elaboração da Minuta do Normativo proposto, baseado em uma suposta harmonização entre prós e contras do método, com garantia da segurança das redes e dos usuários sem representar grandes barreiras técnicas e econômicas para colocação de novos produtos e tecnologias no país.

Salienta-se que, no contexto da Declaração de Conformidade, os produtos não serão submetidos a ensaios de certificação quanto aos requisitos de segurança cibernética, o que consideramos temerário, tendo em vista a possibilidade de colocação no mercado de consumo de produtos vulneráveis a ataques cibernéticos.

Quanto a isto, a ANATEL procura mitigar esta questão afirmando que, caso se evidencie a existência de equipamento que não esteja em conformidade com os requisitos técnicos, a Agência poderá suspender a homologação do equipamento até que as vulnerabilidades apontadas ou o potencial risco à segurança dos serviços para telecomunicações sejam sanadas.

Frisa-se que tal avaliação seria feita após um procedimento de fiscalização ou por denúncias de consumidores, ou seja, num momento posterior à colocação do produto no mercado, lapso de tempo em que os usuários ficariam expostos aos vícios do produto, a exemplo de abertura remota de fechaduras eletrônicas, hackeamento de computadores, invasão em Smart TV expondo a privacidade das pessoas. São problemas reais, com potencial de causar ao consumidor impactos materiais, patrimoniais e físicos, além da exposição dos seus dados privativos.

Ora, o Código de Defesa do Consumidor, em seu art. 6º, inciso I, dispõe que o consumidor possui o direito básico de proteção à sua vida, saúde e segurança contra os riscos provocados por práticas no fornecimento de produtos e serviços considerados perigosos ou nocivos. Esse direito reforça a proteção à vida, saúde e segurança, estabelecida pelo caput do art. 4º da lei.

Aliás, a proteção a vida, saúde e segurança são direitos fundamentais inalienáveis, indisponíveis e indissociáveis, previstos no art. 5º da Constituição Federal. O Código de Defesa do Consumidor estabelece tais disposições fundamentais para, de forma expressa, proteger o consumidor de práticas no fornecimento de produtos e serviços que possam lhe causar danos e / ou que abalem a sua integridade física.

Essas vulnerabilidades poderão resultar em um produto, processo ou serviço inseguro, ou seja, entendido como aquele que não oferece a segurança que dele razoavelmente se espera, de maneira que não poderiam ser colocados no mercado de consumo, justamente pelos riscos que possam causar ao usuário consumidor.

Vale dizer que o mesmo Diploma Legal, em seu art. 12, determina a responsabilidade objetiva dos fornecedores, ou seja, independente de culpa, bastando apenas que seja constatado a ocorrência de dano ao consumidor, resultando assim no dever do fornecedor em responder por todos os prejuízos causados ao consumidor.

Posto isto, entendemos que o estabelecimento de requisitos mínimos de segurança cibernética deverá ser feito através de certificação de produto, visando uma maior segurança aos consumidores, uma vez que o processo de avaliação da conformidade é baseado em ensaio de tipo, onde a certificação é realizada para modelos de equipamentos.

Conceitualmente, a Avaliação de Conformidade é um processo sistematizado, acompanhado e avaliado, de forma a propiciar adequado grau de confiança de que um produto, processo ou serviço, atende a requisitos pré-estabelecidos em normas e regulamentos técnicos.

Estas normas e regulamentos técnicos têm como escopo garantir à sociedade, meios eficazes para comprovar a qualidade dos produtos, processos e serviços utilizados, trazendo transparência nas relações estabelecidas entre fornecedores e seus consumidores.

Do ponto de vista consumerista, o processo de avaliação de conformidade é de suma importância pois assegura que a certificação e a homologação sejam feitas através requisitos pré-estabelecidos, permitindo que o consumidor realize à sua aquisição de produtos, processos e / ou serviços munido de informações claras, precisas, objetivas e ostensivas, para a sua correta e segura utilização, prevenindo-se de potenciais riscos.

Vale dizer que o próprio Código de Defesa do Consumidor, em seu art. 39, inciso VIII, proíbe o fornecedor de colocar no mercado de consumo, qualquer produto ou serviço em desacordo com as normas técnicas pertinentes e obrigatórias, expedidas por órgão competente, sujeitando seus infratores as sanções administrativas em caso de não observância da normatização.

Importante salientar, após o inicio da presente Consulta Pública, foi publicado o Ato nº 2220, de 20 de abril de 2020, que aprovou procedimento operacional que estabelece as regras e documentos para a avaliação da conformidade de produto para telecomunicações na modalidade de Certificação, conforme disposto no Regulamento de Avaliação da Conformidade e Homologação de Produtos para Telecomunicações.

Diante do exposto, a Fundação Procon / SP entende como fundamental que a Agência promova meios rígidos de certificação e homologação destes equipamentos, no que tange aos requisitos de segurança contra ataques cibernéticos.

Continuando, também entendemos por equivocado a obrigação de provimento de atualizações de segurança por, no mínimo, dois anos após o lançamento do produto ou enquanto o equipamento estiver sendo distribuído ao mercado consumidor, pois os

equipamentos de telecomunicações são bens duráveis, portanto, a sua permanência em uso pode-se perpetrar por longo período, não sendo razoável que em tão pouco tempo haja a descontinuidade de suporte para novas atualizações de segurança, o que colocaria o produto vulnerável a falhas de segurança por falta de atualização ou correção.

Nesse sentido, as atualizações de segurança devem ser disponibilizadas enquanto o bem estiver em distribuição no mercado de consumo, bem como a manutenção do procedimento por, no mínimo, 5 (cinco) anos, após cessada a sua comercialização, levando também em consideração a vida útil de cada equipamento, o que torna o dispositivo uma norma em aberto, possibilitando ao consumidor o reclamo dos seus direitos, caso esteja de posse de produto descontinuado, vulnerável à ataque cibernético.

Dessa forma, a Fundação Procon / SP, vem através da presente Manifestação Técnica, apresentar sua contribuição tendo como fundamento à aplicação do Código de Defesa do Consumidor e legislações correlatas, nas relações de consumo que envolvem produtos voltados aos meios de comunicação.

Justificativa:

a justificativa está contida na contribuição

Comentário da Anatel
Classificação: Não aceita
Data do Comentário: 23/04/2021
Comentário: Contribuição não acatada. Diante do ecossistema dinâmico no qual os equipamentos para telecomunicações estão inseridos em que a todo instante surgem novas ameças e novas vulnerabilidades são descobertas em equipamentos anteriormente avaliados como seguros, torna-se inviável a definição de uma programa de certificação definitiva de seguraça cibernética. Neste cenário, uma certificação de segurança cibernética que for emitida hoje pode ser invalidada por uma nova ameaça que emergir no ecossistema. Neste sentido, cabe aos órgão competentes realizar uma monitorição do ecossistema e, caso alguma nova falha ou vulnerabilidade seja identificada, agir no sentido de mitiga-las. Em complemento, imposições normativas que diferem de padrões adotados internacionalmente representam barreiras técnicas/comerciais à introdução de novos produtos e tecnologias. Ademais, entende-se a definição de recomendações e boas práticas de segurança cibernética aplicáveis a equipamentos para telecomunicações não afasta a necessidade do responsável pela homologação do produto quanto às regras de defesa do consumidor. O próprio texto da proposta aponta em tal direção, com o seguinte item: "Decorrido o prazo sem que se verifique as correções necessárias ou sem apresentação de justificativa aceita pela Anatel para não implementação das correções, a Agência poderá suspender a homologação do produto e indicar o recolhimento ou substituição do mesmo no mercado, garantidas as demais previsões regulamentares referentes ao direito do consumidor."
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:15/141
CONSULTA PÚBLICA Nº 13
 Item:  1. OBJETIVO

1.1.Estabelecer requisitos mínimos de segurança cibernética para equipamentos terminais que se conectam à Internet e para equipamentos de infraestrutura de redes de telecomunicações, visando minimizar vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações e em seus mecanismos de gerenciamento remoto.

ID da Contribuição: 92579
Autor da Contribuição: GUILHERME CARVALHO DE CAMARGO
Entidade: --
Área de Atuação: --
Contribuição:

A BSA | The Software Alliance[1] agradece a oportunidade de submeter comentários à Anatel em sua Consulta Pública nº 13 (doravante, a “consulta”), relativa aos requisitos mínimos de segurança cibernética propostos para terminais conectados à Internet e para equipamentos de infraestrutura de rede de telecomunicações. A BSA é a principal defensora da indústria global de software perante governos e no mercado internacional. O software capacita tecnologias que melhoram nossas vidas pessoais e negócios em todos os setores, e os membros da BSA estão na vanguarda da inovação habilitada por software, incluindo a Internet das Coisas, blockchain e inteligência artificial (IA). Além disso, os membros da BSA são pioneiros no campo da segurança de software, liderando o desenvolvimento de princípios relacionados ao ciclo de vida de desenvolvimento de software seguro (SDLC) e segurança por projeto.

A comunidade de software desenvolveu métodos e ferramentas para ajudar os desenvolvedores de software a abordar aspectos importantes da segurança de software, incluindo princípios de segurança, processos seguros do ciclo de vida do desenvolvimento e padrões reconhecidos internacionalmente, e os membros da BSA foram pioneiros em muitas das melhores práticas de segurança de software utilizadas na indústria hoje. A BSA reconhece que a segurança efetiva requer uma abordagem abrangente e informada sobre riscos, que combina considerações de segurança individuais em uma estrutura holística e ao longo do ciclo de vida. Consequentemente, a BSA desenvolveu e publicou o BSA Framework for Secure Software, uma ferramenta inédita para descrever e avaliar a segurança de software por meio de uma metodologia flexível, baseada em resultados e informada sobre riscos. A estrutura da BSA aborda os processos organizacionais e os recursos de segurança do produto para informar e avaliar a segurança do software durante todo o seu ciclo de vida.

A BSA desenvolveu essa estrutura porque nossos membros compartilham o compromisso da Anatel de melhorar as práticas de segurança em todo o setor de TI. No desenvolvimento da estrutura, um dos desafios mais significativos que enfrentamos foi contemplar como um conjunto comum de princípios de segurança poderia ser aplicado à enorme diversidade de produtos orientados por software, variando de aplicativos da Web simples a sistemas de controle industrial complexos. Esse desafio foi ampliado pelo reconhecimento de que, além de um espectro diversificado de funções e complexidade, os projetos de software também são desenvolvidos usando dezenas de diferentes linguagens de codificação e processos de desenvolvimento. Reconhecemos que a chave para abordar a segurança em um cenário tão diversificado é adequar as medidas de segurança a uma avaliação consciente dos riscos. Por esse motivo, desenvolvemos nossas diretrizes de segurança de software como uma estrutura baseada em riscos, orientada para resultados e orientada por flexibilidade suficiente para permitir decisões baseadas em riscos sobre como alcançar esses resultados.


Essa experiência contorna os comentários da BSA sobre os padrões de segurança cibernética propostos. A BSA congratula a Anatel pelo seu esforço em aprimorar a segurança no setor de tecnologia da informação (TI) e apoia muitos aspectos da proposta; no entanto, estamos preocupados que a proposta não tenha flexibilidade suficiente para abarcar a diversidade da indústria de tecnologia. Fornecemos os seguintes comentários como sugestões construtivas para melhorar os padrões de segurança cibernética com essa perspectiva em mente.

Os padrões de cibersegurança propostos na consulta se aplicariam a todos os "equipamentos terminais que se conectam aos equipamentos de infra-estrutura de redes de Internet e telecomunicações, em suas versões finais destinadas à comercialização". Esse aplicativo cobriria um escopo incrivelmente amplo de dispositivos de TI, incluindo dispositivos de Internet das Coisas (IoT) para consumidores e industriais, dispositivos de computação em geral, dispositivos móveis e sistemas de controle industrial. Esses dispositivos enfrentarão um amplo espectro de riscos, e estamos preocupados com o fato de que tratá-los da mesma forma imponha requisitos desnecessariamente onerosos em dispositivos de baixo risco e pode limitar a flexibilidade na abordagem da segurança em ambientes mais sofisticados

Para enfrentar esse desafio, recomendamos que a consulta seja alterada para distinguir entre grandes classes de dispositivos. Primeiro, os dispositivos IoT do consumidor devem ser tratados de maneira diferente da IoT industrial. Criar categorias separadas para a Internet das Coisas industrial e do consumidor permitiria abordagens de segurança mais adaptadas às características específicas de cada categoria. Por exemplo, dispositivos de IoT de consumidor comuns, como alto-falantes sem fio ou alarmes de incêndio, podem ter interfaces de usuário limitadas que tornam mais difíceis de incorporar medidas de segurança que exigem configurações implementáveis ​​pelo usuário. Em alguns casos, os dispositivos de IoT dos consumidores, como sensores, são tão básicos que podem nem incluir um sistema operacional; nesses casos, a implementação de requisitos de segurança considerados de outra forma (como exigir que o dispositivo seja detectável) pode realmente aumentar a superfície de ataque do dispositivo. Ao mesmo tempo, os dispositivos de IoT industriais podem exigir mais flexibilidade na implementação de medidas de segurança para dar conta dos ambientes complexos e interconectados nos quais eles costumam ser instalados.

Segundo, os dispositivos IoT devem ser tratados de maneira diferente dos dispositivos de computação em geral. Em muitos casos, os dispositivos de computação em geral terão a capacidade de executar mais e mais diversas operações sensíveis e armazenar e processar dados mais sensíveis do que os dispositivos da IoT, que geralmente serão limitados a um conjunto restrito de funções. Como tal, medidas de segurança que podem não ser apropriadas para dispositivos IoT podem ser altamente desejáveis ​​para dispositivos de computação em geral. Por exemplo, os dispositivos IoT de funcionalidade limitada podem não exigir nenhum tipo de controle de acesso, enquanto os dispositivos de computação geral podem exigir controles de acesso robustos, incluindo fortes recursos de gerenciamento de identidade e controles que segregam o acesso a diferentes funções no software do dispositivo.

 


[1] BSA’s members include:  Adobe, Akamai, Apple, Autodesk, Bentley Systems, Box, Cadence, CNC/Mastercam, DataStax, DocuSign, IBM, Informatica, MathWorks, Microsoft, Okta, Oracle, PTC, Salesforce, Siemens PLM Software, Slack, Splunk, Symantec, Trend Micro, Trimble Solutions Corporation, Twilio, and Workday.

Justificativa:

Em geral, a BSA recomenda que as definições técnicas da consulta sejam alinhadas ao máximo possível com as definições estabelecidas em padrões internacionalmente reconhecidos; por exemplo, a ISO / IEEE 24765 que cataloga definições técnicas de vários padrões relevantes.

Recomendamos que a consulta seja alterada para distinguir entre grandes classes de dispositivos. Primeiro, os dispositivos IoT do consumidor devem ser tratados de maneira diferente da IoT industrial. Criar categorias separadas para a Internet das Coisas industrial e do consumidor permitiria abordagens de segurança mais adaptadas às características específicas de cada categoria.

Os dispositivos IoT devem ser tratados de maneira diferente dos dispositivos de computação em geral. Em muitos casos, os dispositivos de computação em geral terão a capacidade de executar mais e mais diversas operações sensíveis e armazenar e processar dados mais sensíveis do que os dispositivos da IoT, que geralmente serão limitados a um conjunto restrito de funções

Comentário da Anatel
Classificação: Não aceita
Data do Comentário: 23/04/2021
Comentário: Contribuição não acatada. Os requisitos contidos na proposta não são aplicáveis à certificação e homologação dos equipamentos. Os solicitantes à homologação deverão declarar a quais requisitos seu produto atende e, a qualquer momento, a Anatel poderá efetuar uma avaliação quanto ao atendimento. Caso o produto não esteja em conformidade com o declarado, a Agência poderá adotar medidas de suspenção ou cancelamento da homologação, a depender dos casos. Conforme consta no item 4.2 da prosposta, o escopo da declaração deve considerar as diferentes características técnicas dos equipamentos (quantidade de memória, capacidade de processamento de dados, interfaces do usuário, interfaces de comunicação, etc.) e os fins a que se destinam, apontando quais requisitos são atendidos. Os equipamentos sob homologação não necessitam declarar que implementam todos os itens da lista de requisitos. Consta, também, na proposta item informando que o documento está sujeito a atualizações, a fim de acompanhar o desenvolvimento tecnológico do setor.
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:16/141
CONSULTA PÚBLICA Nº 13
 Item:  1. OBJETIVO

1.1.Estabelecer requisitos mínimos de segurança cibernética para equipamentos terminais que se conectam à Internet e para equipamentos de infraestrutura de redes de telecomunicações, visando minimizar vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações e em seus mecanismos de gerenciamento remoto.

ID da Contribuição: 92588
Autor da Contribuição: Wilson Cardoso
Entidade: --
Área de Atuação: --
Contribuição:

Agradecemos a possibilidade de participar nesta Consulta Pública, e a aprorveitamos a oportunidade mais que oportuna de explorar este tema que é fundamental para a segurança do estado, dos direitos dos utilizadores das rede brasileiras de telecomunicações, da soberaia nacional e com a introdução próxima do 5G das cadeias produtivas.

Entendemos que os requisitos mínimos de segurança cibernética, objeto desta CP, devem ser aplicáveis somente aos equipamentos de infraestrutura de redes de telecomunicações. Os equipamentos terminais apresentam uma multitude de aplicações desde simples sensores, passando por smartphones até complexas gateways de usuário, que apresentam normas internacionais que são atualizadas constantemente.

 

Justificativa:

Requisitos comuns para equipamentos de infraestrutura e para equipamentos terminais apresentam caracteristicas e dimensões completamente distintas. 

 

Comentário da Anatel
Classificação: Não aceita
Data do Comentário: 23/04/2021
Comentário: Contribuição não acatada. Os requisitos contidos na proposta não são aplicáveis à certificação e homologação dos equipamentos. Os solicitantes à homologação deverão declarar a quais requisitos seu produto atende e, a qualquer momento, a Anatel poderá efetuar uma avaliação quanto ao atendimento. Caso o produto não esteja em conformidade com o declarado, a Agência poderá adotar medidas de suspenção ou cancelamento da homologação, a depender dos casos. Conforme consta no item 4.2 da prosposta, o escopo da declaração deve considerar as diferentes características técnicas dos equipamentos (quantidade de memória, capacidade de processamento de dados, interfaces do usuário, interfaces de comunicação, etc.) e os fins a que se destinam, apontando quais requisitos são atendidos. Os equipamentos sob homologação não necessitam declarar que implementam todos os itens da lista de requisitos. Consta, também, na proposta item informando que o documento está sujeito a atualizações, a fim de acompanhar o desenvolvimento tecnológico do setor.
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:17/141
CONSULTA PÚBLICA Nº 13
 Item:  1. OBJETIVO

1.1.Estabelecer requisitos mínimos de segurança cibernética para equipamentos terminais que se conectam à Internet e para equipamentos de infraestrutura de redes de telecomunicações, visando minimizar vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações e em seus mecanismos de gerenciamento remoto.

ID da Contribuição: 92632
Autor da Contribuição: Mariana Giostri M. Oliveira
Entidade: BRASSCOM , ASSOCIAÇÃO BRASILEIRA DAS EMPRESAS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO
Área de Atuação: OUTRO
Contribuição:

Estabelecer requisitos mínimos de segurança cibernética para equipamentos terminais que se conectam à Internet e para equipamentos de infraestrutura de redes de telecomunicações, visando minimizar vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações e em seus mecanismos de gerenciamento remoto.

Justificativa:

Conforme explorado na parte introdutória de nossa contribuição, entendemos que a melhor política pública para garantir a segurança cibernética não é por meio da certificação individual de todo e qualquer elemento da rede, tendo em vista que tal abordagem poderá desconsiderar uma visão holística do funcionamento do sistema, e levar a imposição de custos muito altos em dispositivos de baixa complexidade.

Portanto, de modo a equacionar essa questão, sugerimos que o texto da proposta de regulamento seja revisto de modo a se limitar, exclusivamente,  a equipamentos de infraestrutura de rede de telecomunicações que possuam um papel com algum grau de complexidade na arquitetura da rede. Limitando o escopo de aplicação do ato em questão aos equipamentos de infraestrutura de redes de telecomunicações, vale ressaltar que essa camada da rede conta com uma enorme variedade de dispositivos, de diversos grupos e com funcionalidades diferentes.

Entendemos, ainda, legítima a preocupação da Agência  com a segurança do ecossistema como um todo.

Sendo assim, sugerimos a constituição de um grupo de trabalho, composto por membros da Agência e da indústria, para empenhar esforços na discussão de item por item dos requisitos futuramente estabelecidos, tendo mente uma abordagem de gestação de risco, os custos, o perfil de cada classe de equipamento e, consequentemente, a viabilidade da incorporação de tais mecanismos em cada uma delas.

Comentário da Anatel
Classificação: Não aceita
Data do Comentário: 23/04/2021
Comentário: Contribuição não acatada. Os requisitos contidos na proposta não são aplicáveis à certificação e homologação dos equipamentos. Os solicitantes à homologação deverão declarar a quais requisitos seu produto atende e, a qualquer momento, a Anatel poderá efetuar uma avaliação quanto ao atendimento. Caso o produto não esteja em conformidade com o declarado, a Agência poderá adotar medidas de suspenção ou cancelamento da homologação, a depender dos casos. Conforme consta no item 4.2 da prosposta, o escopo da declaração deve considerar as diferentes características técnicas dos equipamentos (quantidade de memória, capacidade de processamento de dados, interfaces do usuário, interfaces de comunicação, etc.) e os fins a que se destinam, apontando quais requisitos são atendidos. Os equipamentos sob homologação não necessitam declarar que implementam todos os itens da lista de requisitos. Consta, também, na proposta item informando que o documento está sujeito a atualizações, a fim de acompanhar o desenvolvimento tecnológico do setor. Foi inserido o seguinte item à proposta de requisito a fim de trazer mais clareza ao seu escopo: "1.2. Os requisitos contidos neste documento abrangem os equipamentos relacionados na Lista de Referência de Produtos para Telecomunicações publicada pela Agência Nacional de Telecomunicações".
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:18/141
CONSULTA PÚBLICA Nº 13
 Item:  1. OBJETIVO

1.1.Estabelecer requisitos mínimos de segurança cibernética para equipamentos terminais que se conectam à Internet e para equipamentos de infraestrutura de redes de telecomunicações, visando minimizar vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações e em seus mecanismos de gerenciamento remoto.

ID da Contribuição: 92654
Autor da Contribuição: Telma do Carmo Canotilho
Entidade: --
Área de Atuação: --
Contribuição:

   

1.2. Atender aos requisitos de segurança cibernetica para os produtos do item 1.1 contidos na Instrução Normativa Nº 4, DE 26 DE MARÇO DE 2020 do GSI.  

 

 

  

Justificativa:

Justificativa – incluir item 1,2,  -  Considerando que a Instrução Nortativa 5 da GSI foi publicada apos a CP13 entende,ps que e importante a sua referencia e atendimento 

Comentário da Anatel
Classificação: Aceita totalmente
Data do Comentário: 23/04/2021
Comentário: Contribuição acadata. Foi incluída a seguinte frese na proposta de Ato: "CONSIDERANDO os requisitos mínimos de Segurança Cibernética que devem ser adotados no estabelecimento das redes 5G, aprovados pela Instrução Normativa nº 4, de 26 de MARÇO de 2020 do Gabinete de Segurança Institucional da Presidência da República".
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:19/141
CONSULTA PÚBLICA Nº 13
 Item:  1. OBJETIVO

1.1.Estabelecer requisitos mínimos de segurança cibernética para equipamentos terminais que se conectam à Internet e para equipamentos de infraestrutura de redes de telecomunicações, visando minimizar vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações e em seus mecanismos de gerenciamento remoto.

ID da Contribuição: 92668
Autor da Contribuição: Telma do Carmo Canotilho
Entidade: --
Área de Atuação: --
Contribuição:

 

1.2. Atender aos requisitos de segurança cibernetica para os produtos do item 1.1 contidos na Instrução Normativa Nº 4, DE 26 DE MARÇO DE 2020 do GSI.  

  

Justificativa:

 

Justificativa – incluir item 1,2,  -  Considerando que a Instrução Nortativa 5 da GSI foi publicada apos a CP13 entende,ps que e importante a sua referencia e atendimento.

  

Comentário da Anatel
Classificação: Aceita totalmente
Data do Comentário: 23/04/2021
Comentário: Contribuição acadata. Foi incluída a seguinte frase na proposta de Ato: "CONSIDERANDO os requisitos mínimos de Segurança Cibernética que devem ser adotados no estabelecimento das redes 5G, aprovados pela Instrução Normativa nº 4, de 26 de MARÇO de 2020 do Gabinete de Segurança Institucional da Presidência da República".
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:20/141
CONSULTA PÚBLICA Nº 13
 Item:  1. OBJETIVO

1.1.Estabelecer requisitos mínimos de segurança cibernética para equipamentos terminais que se conectam à Internet e para equipamentos de infraestrutura de redes de telecomunicações, visando minimizar vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações e em seus mecanismos de gerenciamento remoto.

ID da Contribuição: 92676
Autor da Contribuição: EMILIO CARLOS REBOUCAS SANTANA LOURES
Entidade: --
Área de Atuação: --
Contribuição:

A Intel Semicondutores do Brasil Ltda. (Intel), subsidiária integral da Intel Corporation, agradece pela oportunidade de enviar comentários à Consulta Pública no 13 de 2020 da ANATEL sobre os requisitos mínimos de segurança cibernética para equipamentos de telecomunicações. Esperamos que a ANATEL mantenha o diálogo estreito entre os líderes do setor e a agência para fortalecer a segurança cibernética e nos colocamos disponíveis para quaisquer perguntas e discussões de acompanhamento.

A Intel está entre as líderes mundiais em computação e inovação tecnológica. A empresa projeta e constrói tecnologias essenciais que servem de base para produtos de consumo, sistemas comerciais e equipamentos de infraestrutura. A Intel também investe no desenvolvimento e adoção de padrões globais que permitiram avanços e interoperabilidade de produtos e sistemas em todo o mundo, inclusive na área de equipamentos terminais e comunicação.

Na busca por aprimorar a norma proposta, apresentamos à ANATEL os comentários abaixo:

Comentários gerais

A complexidade e a diversidade tecnológica dos sistemas, bem como os desafios de segurança, continuarão a evoluir rapidamente. Dessa forma, políticas e requisitos precisarão contar fortemente com princípios-chave adotados no campo da política de segurança, como promover a harmonização (evitar a fragmentação), a neutralidade tecnológica / design (regulamentação baseada em princípios) e a adoção de padrões internacionais abertos, garantindo flexibilidade para lidar com questões emergentes, evitando uma abordagem única e apoiando a inovação e as abordagens baseadas em avaliação de risco.

Oferecer incentivos para adoção voluntária de padrões amplamente adotados e melhores práticas internacionais, construídos por consenso, escaláveis, que são desenvolvidos com a indústria e contribuição de especialistas, rotineiramente atualizados – é um pilar fundamental das políticas de segurança, buscando enfrentar desafios complexos em um ecossistema em rápida evolução tecnológica.

Entendemos que a presente norma deveria focar-se exclusivamente nos equipmentos designados como CPE, conforme sua relação de definições. Em relação a IoT e outros ecossistemas, várias associações na área de tecnologia publicaram recomendações de princípios de políticas que devem ser considerados por formuladores de políticas que buscam estabelecer requisitos mínimos de segurança nessas áreas.

  • Recommendations for IoT Device Manufacturers: Foundational Activities and Core Device Cybersecurity Capability Baseline (2nd Draft) https://csrc.nist.gov/publications/detail/nistir/8259/draft.
  • The C2 Consensus on IoT Device Security Baseline Capabilities (in revision), https://securingdigitaleconomy.org/wp-content/uploads/2019/09/CSDE_IoT-C2-Consensus-Report_FINAL.pdf.
  • ISO/IEC 27402 (in process) (IoT security and privacy – Device baseline requirements).

Alguns desses recursos são relevantes para consideração, pois apresentam uma abordagem para definir os requisitos mínimos de segurança, mas se concentram em um setor diferente (ecossistema de IoT) do que entendemos ser objeto da presente norma. As referências a IoT deveriam ser retiradas da norma em consulta.

Utilizar padrões internacionais orientados por consenso e as melhores práticas de segurança existentes e evitar a fragmentação de definições e requisitos

Políticas e modelos podem utilizar e se referir a padrões internacionais amplamente adotados, orientados por consenso, e às melhores práticas, desenvolvidos com ampla contribuição da indústria e de especialistas - e são atualizados regularmente - em vez de descrever requisitos excessivamente prescritivos em normas que podem se tornar desatualizadas. Os padrões amplamente adotados podem facilitar a interoperabilidade entre os ecossistemas, promover o investimento e a concorrência, melhorar a colaboração internacional, promover a auto-atestação / certificação e permitir soluções escaláveis ​​e econômicas.

Neutralidade de design e abordagens baseadas em avaliação de risco

Nós encorajamos a ANATEL a considerar maior flexibilidade aos fabricantes na adotação de requisitos com base em normas internacionais estabelecidas / melhores práticas (promulgadas por organização de desenvolvimento de padrão global reconhecida pela indústria) em vez de delinear requerimentos específicos e regulação. Essa adoção pode se basear em uma avaliação de risco dos dispositivos em questão para determinar os recursos de segurança relevantes / necessários . A título de exemplo, as estruturas propostas atualmente (em padrões / melhores práticas), que estabelecem requisitos básicos de segurança em ambientes diferentes e distintos, como a IoT, partem de práticas estabelecidas em avaliações de riscos e padrões internacionais.

Essas normas / práticas recomendadas descrevem mais detalhadamente e explicam que a aplicabilidade de recursos / requisitos, incluindo recursos mínimos, depende de vários fatores [1]. Propostas atuais de regulação e legislação já em vigor no ecossistema da IoT especificamente evitam delineamentos prescritivos de requisitos e são baseadas em princípios. Recomendamos ainda que a norma proposta se concentre no equipamento terminal necessário para a infraestrutura das redes de telecomunicações, especificamente, no CPE (descrito abaixo), excluindo expressamente os dispositivos de IoT . Outras jurisdições, que consideraram os esforços semelhantes em padrões técnicos (em oposição a legislação) para equipamentos terminais, geralmente excluiram dispositivos IoT e se concentraram em princípios de alto nível[2]. Muitas das disposições propostas na presente consulta podem não ser apropriadas para todos os dispositivos no ecossistema da IoT, considerando-se várias práticas, estruturas e padrões construídos por consenso, desenvolvidos globalmente – especificamente no contexto de requisitos / capacidades de segurança básicos para IoT, além de divergir substancialmente de tais esforços [3]. Vários requisitos podem divergir ainda mais de padrões internacionais amplamente adotados sobre processos coordenados de divulgação e tratamento de vulnerabilidades, à exemplo do estabelecimento de prazos para o desenvolvimento da mitigação de vulnerabilidades[4].

É muito provável que regulamentos divergentes dos padrões internacionais prejudiquem a interoperabilidade e, em última análise, possam restringir a capacidade das empresas locais de competir nos mercados globais e prejudicar o objetivo que a legislação busca alcançar, ou seja, promover a segurança – dada a natureza global da cadeia de suprimentos do ecossistema de TI e processos coordenados de divulgação e enfrentamento das vulnerabilidades.

[1] O consenso C2 sobre os recursos da linha de base de segurança de dispositivos IoT, 8; Veja também NISTIR 8259 (Rascunho 2º ).

[2] Ver Japão, Diretrizes para certificação padrão de equipamentos terminais com base no Telecommunications Business Act (Primeira edição) (22 de abril de 2019).

[3] Recomendações para fabricantes de dispositivos IoT: atividades básicas e linha de base de capacidade de segurança cibernética de dispositivos principais (2º rascunho) https://csrc.nist.gov/publications/detail/nistir/8259/draft ; O consenso C2 sobre os recursos de linha de base de segurança de dispositivos IoT (em revisão), https://securingdigitaleconomy.org/wp-content/uploads/2019/09/CSDE_IoT-C2-Consensus-Report_FINAL.pdf ; ISO / IEC 27402 (em processo) (segurança e privacidade da Internet das coisas - requisitos da linha de base do dispositivo).

[4] ISO / IEC 29147 (2018) (divulgação de vulnerabilidades) e ISO / IEC 30111 (2019) (processos de tratamento de vulnerabilidades). A natureza global da tecnologia e a colaboração necessárias para esse processo são reconhecidas há muito tempo , bem como a importância da adoção de padrões internacionais. Consulte ENISA, Guia de Boas Práticas sobre Divulgação de Vulnerabilidades: Dos Desafios às Recomendações (2016), na p. 9, Governo do Reino Unido, DCMS, Código de Práticas de Segurança da IoT do Consumidor aos 18 anos e CISA do DHS dos EUA, Diretiva Operacional Vinculativa 20-01 27 de novembro de 2019 (rascunho), “Desenvolva e publique uma política de divulgação de vulnerabilidades”.

Justificativa:

Presente no corpo da contribuição.

Comentário da Anatel
Classificação: Não aceita
Data do Comentário: 23/04/2021
Comentário: Contribuição não acatada. Os requisitos contidos na proposta não são aplicáveis à certificação e homologação dos equipamentos. Os solicitantes à homologação deverão declarar a quais requisitos seu produto atende e, a qualquer momento, a Anatel poderá efetuar uma avaliação quanto ao atendimento. Caso o produto não esteja em conformidade com o declarado, a Agência poderá adotar medidas de suspenção ou cancelamento da homologação, a depender dos casos. Conforme consta no item 4.2 da prosposta, o escopo da declaração deve considerar as diferentes características técnicas dos equipamentos (quantidade de memória, capacidade de processamento de dados, interfaces do usuário, interfaces de comunicação, etc.) e os fins a que se destinam, apontando quais requisitos são atendidos. Os equipamentos sob homologação não necessitam declarar que implementam todos os itens da lista de requisitos. Consta, também, na proposta item informando que o documento está sujeito a atualizações, a fim de acompanhar o desenvolvimento tecnológico do setor. Foi inserido o seguinte item à proposta de requisito a fim de trazer mais clareza ao seu escopo: "1.2. Os requisitos contidos neste documento abrangem os equipamentos relacionados na Lista de Referência de Produtos para Telecomunicações publicada pela Agência Nacional de Telecomunicações".
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:21/141
CONSULTA PÚBLICA Nº 13
 Item:  1. OBJETIVO

1.1.Estabelecer requisitos mínimos de segurança cibernética para equipamentos terminais que se conectam à Internet e para equipamentos de infraestrutura de redes de telecomunicações, visando minimizar vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações e em seus mecanismos de gerenciamento remoto.

ID da Contribuição: 92682
Autor da Contribuição: Karla Menandro Pacheco da Silva
Entidade: --
Área de Atuação: --
Contribuição:

Excluir os componentes veiculares do escopo da certificação.

Justificativa:

A Volkswagen entende que esta certificação não deveria abranger os componentes veícular uma vez que os as montadoras possuem processos internos para garantir o cyber security do veículo completo, incluindo seus componentes e não somente aqueles que se conectam à internet.  

Comentário da Anatel
Classificação: Não aceita
Data do Comentário: 23/04/2021
Comentário: Contribuição não acatada. Os requisitos contidos na proposta não são aplicáveis à certificação e homologação dos equipamentos. Os solicitantes à homologação deverão declarar a quais requisitos seu produto atende e, a qualquer momento, a Anatel poderá efetuar uma avaliação quanto ao atendimento. Caso o produto não esteja em conformidade com o declarado, a Agência poderá adotar medidas de suspenção ou cancelamento da homologação, a depender dos casos. Conforme consta no item 4.2 da prosposta, o escopo da declaração deve considerar as diferentes características técnicas dos equipamentos (quantidade de memória, capacidade de processamento de dados, interfaces do usuário, interfaces de comunicação, etc.) e os fins a que se destinam, apontando quais requisitos são atendidos. Os equipamentos sob homologação não necessitam declarar que implementam todos os itens da lista de requisitos. Consta, também, na proposta item informando que o documento está sujeito a atualizações, a fim de acompanhar o desenvolvimento tecnológico do setor. Foi inserido o seguinte item à proposta de requisito a fim de trazer mais clareza ao seu escopo: "1.2. Os requisitos contidos neste documento abrangem os equipamentos relacionados na Lista de Referência de Produtos para Telecomunicações publicada pela Agência Nacional de Telecomunicações".
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:22/141
CONSULTA PÚBLICA Nº 13
 Item:  1. OBJETIVO

1.1.Estabelecer requisitos mínimos de segurança cibernética para equipamentos terminais que se conectam à Internet e para equipamentos de infraestrutura de redes de telecomunicações, visando minimizar vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações e em seus mecanismos de gerenciamento remoto.

ID da Contribuição: 92690
Autor da Contribuição: CARLOS JOSE LAURIA NUNES DA SILVA
Entidade: HUAWEI DO BRASIL TELECOMUNICACOES LTDA
Área de Atuação: FABRICANTE DE EQUIPAMENTOS DE TELECOMUNICAÇÕES, ASSOCIAÇÃO OU SINDICATO
Contribuição:

Prezados Senhores,
 
A Huawei do Brasil vem mui respeitosamente felicitar a Anatel pelo trabalho realizado na preparação desta Consulta Pública. Somos a empresa líder mundial no nosso segmento e que está no Brasil há 22 anos, gerando mais de 1.300 empregos diretos e cerca de 12.000 empregos indiretos. Instalamos uma grande parte das redes 3G, 4G e 4.5G atualmente em operação no país, bem como entregamos com sucesso mais de 600.000 ERBs 5G em todo o mundo. Destacamos também atuação da nossa unidade de Negócios Empresariais com produtos para empresas privadas e governamentais, a unidade de Serviços de Cloud e a unidade de Produtos de Consumo, esta última nos posicionando em segundo lugar global na fabricação de smartphones.

Ao longo desses 22 anos no Brasil temos colaborado sobremaneira com a Agência sempre que chamados a compartilhar a reconhecida experiência global de nossos experts. Dessa forma, entendemos que podemos oferecer ainda mais por meio das contribuições que enviamos em seguida, com o intuito de aprimorar o texto dessa Consulta Pública.

A segurança e confiabilidade de produtos e serviços é um antiga preocupação da Huawei, tratada sistematicamente desde as fases iniciais do projeto e desenvolvimento, passando por sua colocação no mercado e seguindo até o final de seu ciclo de vida. Temos estruturas formais internas, como comitês e departamentos, desde 1999 e nossos funcionários são frequentemente treinados e testados para que tenhamos garantia fim a fim de que atingimos os mais rigorosos requisitos. Trabalhamos globalmente com os principais organismos padronizadores destacando cuidados com Confidencialidade, Integridade, Disponibilidade e Rastreabilidade. 

Cyber security é uma questão tratada com seriedade e transparência pela Huawei e isso se reflete na confiança de nossos clientes e na ausência de eventos de segurança em nossos produtos nos mais de 170 países em que atuamos. 

Contribuições ao documento:

- Com base em todo esse histórico positivo gostaríamos de destacar a importância de adoção de padrões globais, como os desenvolvidos por 3GPP e GSMA NESAS (Network Equipment Security Assurance Scheme), por exemplo.

- Sugerimos também que seja avaliada a conveniência de segmentação desta regulamentação para CPEs, IoT e infraestrutura, por se tratar de produtos por demais diferentes, destinados a usos e usuários muito diversos para serem submetidos a regras comuns.

São nossas contribuições, as quais temos certeza de que serão levadas em consideração pela Anatel visando aprimorar o texto sob consulta.
 
Atenciosamente,
Carlos Lauria
Diretor de Relações Governamentais e Assuntos Regulatórios
HUAWEI DO BRASIL
 

Justificativa:

Conforme texto da Contribuição.

Comentário da Anatel
Classificação: Não aceita
Data do Comentário: 23/04/2021
Comentário: Contribuição não acatada. Considerando que o solicitante à homologação que irá declarar a quais requisitos da proposta de Ato seu produto atende, não observamos problemas em manter os requisitos organizados de forma geral (sem segmentação). Os requisitos contidos na proposta não são aplicáveis à certificação e homologação dos equipamentos. Os solicitantes à homologação deverão declarar a quais requisitos seu produto atende e, a qualquer momento, a Anatel poderá efetuar uma avaliação quanto ao atendimento. Caso o produto não esteja em conformidade com o declarado, a Agência poderá adotar medidas de suspenção ou cancelamento da homologação, a depender dos casos. Conforme consta no item 4.2 da prosposta, o escopo da declaração deve considerar as diferentes características técnicas dos equipamentos (quantidade de memória, capacidade de processamento de dados, interfaces do usuário, interfaces de comunicação, etc.) e os fins a que se destinam, apontando quais requisitos são atendidos. Os equipamentos sob homologação não necessitam declarar que implementam todos os itens da lista de requisitos. Consta, também, na proposta item informando que o documento está sujeito a atualizações, a fim de acompanhar o desenvolvimento tecnológico do setor. Foi inserido o seguinte item à proposta de requisito a fim de trazer mais clareza ao seu escopo: "1.2. Os requisitos contidos neste documento abrangem os equipamentos relacionados na Lista de Referência de Produtos para Telecomunicações publicada pela Agência Nacional de Telecomunicações".
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:23/141
CONSULTA PÚBLICA Nº 13
 Item:  1. OBJETIVO

1.1.Estabelecer requisitos mínimos de segurança cibernética para equipamentos terminais que se conectam à Internet e para equipamentos de infraestrutura de redes de telecomunicações, visando minimizar vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações e em seus mecanismos de gerenciamento remoto.

ID da Contribuição: 92694
Autor da Contribuição: Tiago Brocardo Machado
Entidade: ERICSSON TELECOMUNICACOES S.A.
Área de Atuação: FABRICANTE DE EQUIPAMENTOS DE TELECOMUNICAÇÕES, ASSOCIAÇÃO OU SINDICATO
Contribuição:

A Ericsson parabeniza a ANATEL pela iniciativa de apresentar propostas para os requisitos mínimos de segurança cibernética que os equipamentos destinados a telecomunicações devam apresentar. Suportamos a visão de que os requisitos mínimos de cibersegurança devam ser fragmentados por diferentes setores da indústria de telecomunicações visto que a existem diferenças graduais de complexidade entre os equipamentos utilizados por cada setor.

Ressaltamos a importância de que homologação e certificação e requisitos para tal sejam discutidos num contexto mais amplo, que enderece também padrões, requisitos de rede e de operação dos serviços de telecomunicações.

Propomos, por fim, cibersegurança seja discutido setorialmente como uma possibilidade de autorregulação, uma vez que é um interesse convergente do regulador, provedores de soluções, prestadores de serviços e consumidores finais.

Justificativa:

A Ericsson entende que o escopo de cibersegurança e a discussão relativa à certificação de conformidade de equipamentos de telecomunicações está presente em um contexto muito mais amplo que sua definição com impacto direto nos padrões de desenvolvimento, design e construção de redes de telecomunicações. Desta forma é necessário que exista uma política setorial e regulatória em compasso com a dinâmica do setor, visto que o assunto é de interesse comum do agente regulador, da indústria de infraestrutura, das operadoras de telecomunicações e do consumidor final. Levando isto em consideração sugere-se a criação de grupos de trabalho que consigam endereçar os pontos relativos à cibersegurança de acordo com a seguinte divisão sugerida: 1. Infraestrutura de acesso e transporte; 2. Core e 3. Terminais destinados ao consumidor final (Devices, smartphones, CPE’s, etc). Além disso, a discussão de cibersegurança não deve ficar restrita aos equipamentos, mas também incluir padrões, design e construção de redes e operação de serviços de telecomunicações.

Por se tratar de um tema de interesse comum entre os diferentes atores do mercado, desde o agente regulador até o consumidor final, verifica-se a possibilidade que o tema de cibersegurança possa ser um espaço propício para autorregulação setorial, tema que deve ser amplamente discutido dentro dos grupos de trabalho obedecendo à segmentação acima.

A Ericsson entende que ao preparar uma regulamentação de alcance tão amplo, a ANATEL possa levar o ecossistema brasileiro a um cenário regulatório que é muito leve em certas partes e muito pesado em outras e que. Desta forma recomenda-se a adoção de guideiines que não restringem a inovação em um setor que apresenta  constante inovação, disrupção tecnológica, em vez disso, promova discussões em torno dele em outra oportunidade, priorizando a harmonização global e seguindo estreitamente as discussões internacionais para apoiar um consenso voluntário e orientado pelo setor sobre os principais recursos da linha de base para a cibersegurança baseada em padrões globais.

 Mais informações podem ser consultadas em https://www.ericsson.com/en/security/a-guide-to-5g-network-security

Comentário da Anatel
Classificação: Não aceita
Data do Comentário: 23/04/2021
Comentário: Contribuição não acatada. Considerando que o solicitante à homologação que irá declarar a quais requisitos da proposta de Ato seu produto atende, não observamos problemas em manter os requisitos organizados de forma geral (sem segmentação). Os requisitos contidos na proposta não são aplicáveis à certificação e homologação dos equipamentos. Os solicitantes à homologação deverão declarar a quais requisitos seu produto atende e, a qualquer momento, a Anatel poderá efetuar uma avaliação quanto ao atendimento. Caso o produto não esteja em conformidade com o declarado, a Agência poderá adotar medidas de suspenção ou cancelamento da homologação, a depender dos casos. Conforme consta no item 4.2 da prosposta, o escopo da declaração deve considerar as diferentes características técnicas dos equipamentos (quantidade de memória, capacidade de processamento de dados, interfaces do usuário, interfaces de comunicação, etc.) e os fins a que se destinam, apontando quais requisitos são atendidos. Os equipamentos sob homologação não necessitam declarar que implementam todos os itens da lista de requisitos. Consta, também, na proposta item informando que o documento está sujeito a atualizações, a fim de acompanhar o desenvolvimento tecnológico do setor. Foi inserido o seguinte item à proposta de requisito a fim de trazer mais clareza ao seu escopo: "1.2. Os requisitos contidos neste documento abrangem os equipamentos relacionados na Lista de Referência de Produtos para Telecomunicações publicada pela Agência Nacional de Telecomunicações".
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:24/141
CONSULTA PÚBLICA Nº 13
 Item:  1. OBJETIVO

1.1.Estabelecer requisitos mínimos de segurança cibernética para equipamentos terminais que se conectam à Internet e para equipamentos de infraestrutura de redes de telecomunicações, visando minimizar vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações e em seus mecanismos de gerenciamento remoto.

ID da Contribuição: 92705
Autor da Contribuição: Sergio Mauro da Silva Maia
Entidade: HUGHES TELECOMUNICACOES DO BRASIL LTDA
Área de Atuação: PRESTADOR DE SERVIÇO DE TELECOMUNICAÇÕES, ASSOCIAÇÃO OU SINDICATO
Contribuição:
Contribuição: Acrescentar ao texto, “desde que os requisitos mínimos não infrijam a legislação brasileira que regula as atividades de tratamento de dados e o uso da Internet no Brasil por meio da previsão de princípios, garantias, direitos e deveres para quem usa a rede”.

 
Justificativa:

Justificativa: Na proposta deste caput, a expressão “recomendações em configurações” pode ser interpretada como uma operação de filtragem e análise de pacotes de dados, o que vai contra ao previsto no Art.9, § 3º da Lei 12.965 (Marco Civil da Internet).

Comentário da Anatel
Classificação: Aceita parcialmente
Data do Comentário: 23/04/2021
Comentário: Contribuição parcialmente acatada. Foi inserido na proposta de Ato uma consideração à Lei do Marco Civil da Internet, conformes texto a seguir: "CONSIDERANDO a Lei nº 12.965, de 23 de abril de 2014, que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil".
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:25/141
CONSULTA PÚBLICA Nº 13
 Item:  2. REFERÊNCIAS

2.1.Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019.

2.2.OECD - Enhancing the Digital Security of Products - Draft Scoping Paper (November 2019).

2.3.IEEE Internet Technology Policy Community White Paper - Internet of Things (IoT) Security Best Practices (February 2017).

2.4.IETF - Internet of Things (IoT) Security: State of the Art and Challenges - RFC 8576.

2.5.LAC-BCOP-1 (May/2019) – Best Current Operational Practices on Minimum Security Requirements for Customer Premises Equipment (CPE) Acquisition.

2.6.ENISA - Baseline Security Recommendations for IoT in the Context of Critical Information Infrastructures (November 2017).

2.7.GSMA IoT Security Guidelines – Complete Document Set.

ID da Contribuição: 92537
Autor da Contribuição: Grace Kelly de Cassia Caporalli
Entidade: --
Área de Atuação: --
Contribuição:

MANIFESTAÇÃO 1: Incluir as seguintes referências:

NESAS do GSMA- FS.16 Network Equipment Security Assurance Scheme - Development and Lifecycle Security Requirements
ETSI GS NFV-SEC 001 V1.1.1 (2014-10): Network Functions Virtualisation (NFV); NFV Security; problem Statement.

 

MANIFESTAÇÃO 2: Exclusão dos itens 2.3.; 2.4.; 2.6.; e 2.7.

Justificativa:

JUSTIFICATIVA 1: A fim de enriquecer o debate acerca do tema de segurança cibernética, nós entendemos que os dois documentos listados acima apresentam discussões e práticas internacionais de extrema relevância.

 

JUSTIFICATIVA 2: Na medida em que solicitamos expressamente a exclusão de dispositivos de IoT do escopo de aplicação do ato, sugerimos que haja exclusão das referências que discutam sobre segurança de dispositivos de IoT.

Comentário da Anatel
Classificação: Aceita parcialmente
Data do Comentário: 23/04/2021
Comentário: Contribuição parcialmente acatada. Os documentos GSMA - Network Equipment Security Assurance Scheme - Development and Lifecycle Security Requirements e ETSI GS NFV-SEC 001 V1.1.1 (2014-10): Network Functions Virtualisation (NFV); NFV Security; problem Statement serão adicionados como referência, uma vez que estão em alinhamento com a proposta de requisitos. Com relação à prosposta de exclusão dos itens 2.3, 2.4, 2.6 e 2.7, a Gerência de Certificação e Numeração da Anatel informa que os requisitos contidos na proposta de requisitos abrangem os equipamentos relacionados na Lista de Referência de Produtos para Telecomunicações publicada pela Agência Nacional de Telecomunicações".
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:26/141
CONSULTA PÚBLICA Nº 13
 Item:  2. REFERÊNCIAS

2.1.Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019.

2.2.OECD - Enhancing the Digital Security of Products - Draft Scoping Paper (November 2019).

2.3.IEEE Internet Technology Policy Community White Paper - Internet of Things (IoT) Security Best Practices (February 2017).

2.4.IETF - Internet of Things (IoT) Security: State of the Art and Challenges - RFC 8576.

2.5.LAC-BCOP-1 (May/2019) – Best Current Operational Practices on Minimum Security Requirements for Customer Premises Equipment (CPE) Acquisition.

2.6.ENISA - Baseline Security Recommendations for IoT in the Context of Critical Information Infrastructures (November 2017).

2.7.GSMA IoT Security Guidelines – Complete Document Set.

ID da Contribuição: 92567
Autor da Contribuição: Fernando Capez
Entidade: --
Área de Atuação: --
Contribuição:

Inclusão

 

2.2. Procedimento Operacional para Avaliação da Conformidade de Produtos para Telecomunicações por Certificação, aprovado pelo Ato nº 2220, de 20 de abril de 2020.

Justificativa:

Entendemos que a avaliação de conformidade dos produtos, no que diz respeito aos requisitos mínimos de segurança cibernética, devem ser feitos por intermédio de Certificação, motivo pelo qual incluímos no item “2. REFERÊNCIAS”, o Ato nº 2200/2020, normativo da ANATEL que disciplina o referido procedimento.

Comentário da Anatel
Classificação: Não aceita
Data do Comentário: 23/04/2021
Comentário: Contribuição não acatada. Os requisitos contidos na proposta não são aplicáveis à certificação e homologação dos equipamentos. Os solicitantes à homologação deverão declarar a quais requisitos seu produto atende e, a qualquer momento, a Anatel poderá efetuar uma avaliação quanto ao atendimento. Caso o produto não esteja em conformidade com o declarado, a Agência poderá adotar medidas de suspenção ou cancelamento da homologação, a depender dos casos. Conforme consta no item 4.2 da prosposta, o escopo da declaração deve considerar as diferentes características técnicas dos equipamentos (quantidade de memória, capacidade de processamento de dados, interfaces do usuário, interfaces de comunicação, etc.) e os fins a que se destinam, apontando quais requisitos são atendidos. Os equipamentos sob homologação não necessitam declarar que implementam todos os itens da lista de requisitos. Consta, também, na proposta item informando que o documento está sujeito a atualizações, a fim de acompanhar o desenvolvimento tecnológico do setor.
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:27/141
CONSULTA PÚBLICA Nº 13
 Item:  2. REFERÊNCIAS

2.1.Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019.

2.2.OECD - Enhancing the Digital Security of Products - Draft Scoping Paper (November 2019).

2.3.IEEE Internet Technology Policy Community White Paper - Internet of Things (IoT) Security Best Practices (February 2017).

2.4.IETF - Internet of Things (IoT) Security: State of the Art and Challenges - RFC 8576.

2.5.LAC-BCOP-1 (May/2019) – Best Current Operational Practices on Minimum Security Requirements for Customer Premises Equipment (CPE) Acquisition.

2.6.ENISA - Baseline Security Recommendations for IoT in the Context of Critical Information Infrastructures (November 2017).

2.7.GSMA IoT Security Guidelines – Complete Document Set.

ID da Contribuição: 92589
Autor da Contribuição: Wilson Cardoso
Entidade: --
Área de Atuação: --
Contribuição:

Pedimos a gentileza de incluir as normas:

NESAS do GSMA- FS.16 Network Equipment Security Assurance Scheme - Development and Lifecycle Security Requirements
ETSI GS NFV-SEC 001 V1.1.1 (2014-10): Network Functions Virtualisation (NFV); NFV Security; problem Statement

E excluir todas as normas relacionadas a IoT.

Justificativa:

A inclusão das normas do GSAM e ESTI para cibersegurança garante um framework para os fornecedores de tecnologia de acordo com as normas internacionais e suporta a Anatel em uma abordagem ampla do tema.

Comentário da Anatel
Classificação: Aceita totalmente
Data do Comentário: 23/04/2021
Comentário: Contribuição acatada. Os documentos GSMA - Network Equipment Security Assurance Scheme - Development and Lifecycle Security Requirements e ETSI GS NFV-SEC 001 V1.1.1 (2014-10): Network Functions Virtualisation (NFV); NFV Security; problem Statement serão adicionados como referência, uma vez que estão em alinhamento com a proposta de requisitos.
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:28/141
CONSULTA PÚBLICA Nº 13
 Item:  2. REFERÊNCIAS

2.1.Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019.

2.2.OECD - Enhancing the Digital Security of Products - Draft Scoping Paper (November 2019).

2.3.IEEE Internet Technology Policy Community White Paper - Internet of Things (IoT) Security Best Practices (February 2017).

2.4.IETF - Internet of Things (IoT) Security: State of the Art and Challenges - RFC 8576.

2.5.LAC-BCOP-1 (May/2019) – Best Current Operational Practices on Minimum Security Requirements for Customer Premises Equipment (CPE) Acquisition.

2.6.ENISA - Baseline Security Recommendations for IoT in the Context of Critical Information Infrastructures (November 2017).

2.7.GSMA IoT Security Guidelines – Complete Document Set.

ID da Contribuição: 92596
Autor da Contribuição: Mateus de Faria Pereira
Entidade: UL do Brasil Certificações
Área de Atuação: LABORATÓRIO DE CERTIFICAÇÃO DE EQUIPAMENTOS DE TELECOMUNICAÇÕES
Contribuição:

3GPP TS 33.117 V16.4.1 - Catalogue of General Security Assurance Requirements

Justificativa:

É um padrão de uma organização mundialmente conhecida e que no nosso entendimento deve ser considerado.

Comentário da Anatel
Classificação: Aceita totalmente
Data do Comentário: 23/04/2021
Comentário: Contribuição acatada. O documento 3GPP TS 33.117 V16.4.1 - Catalogue of General Security Assurance Requirements será adicionado como referência, uma vez que está em alinhamento com a proposta de requisitos.
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:29/141
CONSULTA PÚBLICA Nº 13
 Item:  2. REFERÊNCIAS

2.1.Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019.

2.2.OECD - Enhancing the Digital Security of Products - Draft Scoping Paper (November 2019).

2.3.IEEE Internet Technology Policy Community White Paper - Internet of Things (IoT) Security Best Practices (February 2017).

2.4.IETF - Internet of Things (IoT) Security: State of the Art and Challenges - RFC 8576.

2.5.LAC-BCOP-1 (May/2019) – Best Current Operational Practices on Minimum Security Requirements for Customer Premises Equipment (CPE) Acquisition.

2.6.ENISA - Baseline Security Recommendations for IoT in the Context of Critical Information Infrastructures (November 2017).

2.7.GSMA IoT Security Guidelines – Complete Document Set.

ID da Contribuição: 92655
Autor da Contribuição: Telma do Carmo Canotilho
Entidade: --
Área de Atuação: --
Contribuição:

2.8. Instrução Normativa número 4 de 26/03/2020 - Gabinete de Segurança Institucional  

Justificativa:

 

Justificativa – Incluir a referencia publicada após a consulta e utilizada na contribuição

  

Comentário da Anatel
Classificação: Aceita parcialmente
Data do Comentário: 23/04/2021
Comentário: Contribuição parcialmente acadata. Foi incluída a seguinte frase na proposta de Ato: "CONSIDERANDO os requisitos mínimos de Segurança Cibernética que devem ser adotados no estabelecimento das redes 5G, aprovados pela Instrução Normativa nº 4, de 26 de MARÇO de 2020 do Gabinete de Segurança Institucional da Presidência da República".
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:30/141
CONSULTA PÚBLICA Nº 13
 Item:  2. REFERÊNCIAS

2.1.Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019.

2.2.OECD - Enhancing the Digital Security of Products - Draft Scoping Paper (November 2019).

2.3.IEEE Internet Technology Policy Community White Paper - Internet of Things (IoT) Security Best Practices (February 2017).

2.4.IETF - Internet of Things (IoT) Security: State of the Art and Challenges - RFC 8576.

2.5.LAC-BCOP-1 (May/2019) – Best Current Operational Practices on Minimum Security Requirements for Customer Premises Equipment (CPE) Acquisition.

2.6.ENISA - Baseline Security Recommendations for IoT in the Context of Critical Information Infrastructures (November 2017).

2.7.GSMA IoT Security Guidelines – Complete Document Set.

ID da Contribuição: 92669
Autor da Contribuição: Telma do Carmo Canotilho
Entidade: --
Área de Atuação: --
Contribuição:

 

2.8. Instrução Normativa número 4 de 26/03/2020 - Gabinete de Segurança Institucional

  

Justificativa:

 

Justificativa – Incluir a referencia publicada após a consulta e utilizada na contribuição

  

Comentário da Anatel
Classificação: Aceita parcialmente
Data do Comentário: 23/04/2021
Comentário: Contribuição parcialmente acadata. Foi incluída a seguinte frase na proposta de Ato: "CONSIDERANDO os requisitos mínimos de Segurança Cibernética que devem ser adotados no estabelecimento das redes 5G, aprovados pela Instrução Normativa nº 4, de 26 de MARÇO de 2020 do Gabinete de Segurança Institucional da Presidência da República".
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:31/141
CONSULTA PÚBLICA Nº 13
 Item:  2. REFERÊNCIAS

2.1.Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019.

2.2.OECD - Enhancing the Digital Security of Products - Draft Scoping Paper (November 2019).

2.3.IEEE Internet Technology Policy Community White Paper - Internet of Things (IoT) Security Best Practices (February 2017).

2.4.IETF - Internet of Things (IoT) Security: State of the Art and Challenges - RFC 8576.

2.5.LAC-BCOP-1 (May/2019) – Best Current Operational Practices on Minimum Security Requirements for Customer Premises Equipment (CPE) Acquisition.

2.6.ENISA - Baseline Security Recommendations for IoT in the Context of Critical Information Infrastructures (November 2017).

2.7.GSMA IoT Security Guidelines – Complete Document Set.

ID da Contribuição: 92677
Autor da Contribuição: EMILIO CARLOS REBOUCAS SANTANA LOURES
Entidade: INTEL SEMICONDUTORES DO BRASIL LTDA
Área de Atuação: OUTRO
Contribuição:

Fontes adicionais são relevantes para consideração neste contexto:

 

Justificativa:

Algumas das referências internacionais listadas estão desatualizadas e o texto da presente consulta diverge de vários esforços atualizados.

Essas indicações são relevantes para consideração, pois trazem uma abordagem para definir os requisitos mínimos de segurança, mas se concentram em um setor diferente (ecossistema de IoT) que deve ser excluído da presente consulta (ver comentários ao 1.Objetivo).

Comentário da Anatel
Classificação: Aceita parcialmente
Data do Comentário: 23/04/2021
Comentário: Contribuição parcialmente acatada. A normal "Recommendations for IoT Device Manufacturers: Foundational Activities and Core Device Cybersecurity Capability Baseline (2nd Draft)" não foi inserida como referência pois foi considerada obsoleta em 29/05/2020. Os documentos "Council to Secure the Digital Economy - The C2 Consensus on IoT Device Security Baseline Capabilities" e "ISO/IEC 27402 — Cybersecurity — IoT security and privacy — Device baseline requirements [DRAFT]" foram adicionados por estarem alinhados com a proposta de requisitos.
Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas com Comentários da Anatel

 Data:11/08/2022 08:24:42
 Total de Contribuições:141
 Página:32/141
CONSULTA PÚBLICA Nº 13
 Item:  3. DEFINIÇÕES

3.1.Backdoor: mecanismo não documentado contido no software/firmware do produto que possibilita acesso não autorizado ao equipamento. A presença de backdoors pode ser intencional ou acidental, podendo ser decorrente de erros de programação.

3.2.Customer Premise Equipment (CPE): equipamento utilizado para conectar assinantes à rede do provedor de serviços de telecomunicações.

3.3.Firmware: software ou conjunto de softwares programados em um hardware de propósito específico e que fornecem controle de baixo nível.

3.4.Hashing: algoritmo matemático que mapeia dados de comprimento variável na entrada de uma função para um conjunto de dados de comprimento fixo na saída da função. O resultado da função hash possui muito pouca correlação com os dados de entrada da função, impossibilitando a obtenção do valor inicial de entrada a partir do resultado da operação da função.

3.5.Métodos adequados de criptografia, autenticação e integridade: protocolos ou algoritmos de criptografia, autenticação e integridade, em suas versões atualizadas. A implementação deve permitir a seleção de conjuntos de criptografia e tamanhos de chave atualizados.

ID da Contribuição: 92538
Autor da Contribuição: Grace Kelly de Cassia Caporalli
Entidade: --
Área de Atuação: --
Contribuição:

MANIFESTAÇÃO 1-  GERAL: Para fins deste ato, entendemos ser de suma importância o estabelecimento de uma definição de “usuário” e se buscar o esclarecimento das obrigações eventualmente destinadas aos usuários finais e aquelas destinadas aos detentores das redes das telecomunicações.

 

MANIFESTAÇÃO 2- ITEM 3.1 : Revisar texto item 3.1

“Backdoor: mecanismo não documentado contido no software/firmware do produto que possibilita com intenção de possibilitar acesso não autorizado ao equipamento. A presença de backdoors pode ser intencional malicioso ou acidental, podendo ser decorrente de erros de programação.”

 

MANIFESTAÇÃO 3-ITEM 3.1: Criar definição de “vulnerabilidade”, conforme abaixo:

“Vulnerabilidade: mecanismo não documentado contido no software/firmware do produto que pode permitir acesso não autorizado ao equipamento, ou mal funcionamento. A presença de vulnerabilidades pode ser intencional ou acidental, podendo ser decorrente de erro de programação”.

 

MANIFESTAÇÃO 4-ITEM 3.2: Revisar texto item 3.2.

Customer Premise Equipment (CPE): equipamento utilizado para conectar assinantes à rede do provedor de serviços de telecomunicações. O termo não se aplica a terminais de acesso, nem a componentes, sensores e dispositivos de propósito único e/ou recursos limitados, normalmente referidos como dispositivos para Internet das Coisas ou IoT.

 

MANIFESTAÇÃO 5-ITEM 3.2: Substituir ao longo do texto todas as referências ao termo “terminal”, por “CPE”

 

MANIFESTAÇÃO 6-ITEM 3.5: Revisar o item 3.5, a fim de criar definições específicas a cada um dos conceitos, conforme abaixo:

3.5. Métodos adequados de criptografia: protocolos ou algoritmos de criptografia documentadas pela IETF (Internet Engineering Task Force) e em suas versões atualizadas. A implementação deve permitir a seleção de conjuntos de criptografia e tamanhos de chave atualizados.

3.6. Métodos adequados de autenticação: protocolos ou algoritmos de autenticação e integridade, em suas versões atualizadas. 

3.7. Métodos adequados de integridade: protocolos ou algoritmos de integridade dos dados, software, sistema operacional e firmware, em suas versões atualizadas.

Justificativa:

JUSTIFICATIVA 1- GERAL: