Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas

 Data: 18/08/2022 20:53:41
 Total Recebidos: 29
TEMA DO PROCESSO NOME DO ITEM CONTEÚDO DO ITEM ID DA CONTRIBUIÇÃO NÚMERO DA CONTRIBUIÇÃO AUTOR DA CONTRIBUIÇÃO CONTRIBUIÇÃO JUSTIFICATIVA DATA DA CONTRIBUIÇÃO
CONSULTA PÚBLICA Nº 32 Art. 1º Art. 1 . A Política de Segurança da Informação e Comunicações da Agência Nacional de Telecomunicações (POSIC / Anatel) tem por finalidade estabelecer diretrizes para a segurança do manuseio, tratamento, controle e proteção dos dados, informações e conhecimentos produzidos, armazenados ou transmitidos por qualquer meio, no âmbito da Anatel, observadas as diretrizes estabelecidas pelo poder público quanto à transparência e o acesso às informações públicas. 62332 1 aldenir ACHO BEM INTERESSANTE ESSE ARITGO POIS NA ATUAL SITUAÇÃO TECNOLOGICA QUE VIVE O MUNDO TEMOS QUE TER CUIDADOS EXTREMOS COM DADOS E INFORMAÇÕES E QUE SEJA MONITORADO ISSO SE DA PELO FATO DE PESSOAS ENTRAREM MUITO FACIL NA PRIVACIDADE DO OUTRO INFELIZMENTE PESSOAS ESTUDAM OU DE CERTA FORMA APRENDEM AS COISAS SÓ PARA O MAL NÉ 21/07/2012 18:34:41
CONSULTA PÚBLICA Nº 32 Art. 1º Art. 1 . A Política de Segurança da Informação e Comunicações da Agência Nacional de Telecomunicações (POSIC / Anatel) tem por finalidade estabelecer diretrizes para a segurança do manuseio, tratamento, controle e proteção dos dados, informações e conhecimentos produzidos, armazenados ou transmitidos por qualquer meio, no âmbito da Anatel, observadas as diretrizes estabelecidas pelo poder público quanto à transparência e o acesso às informações públicas. 62394 2 cogcm MINISTÉRIO DA FAZENDA Secretaria de Acompanhamento Econômico Parecer Analítico sobre Regras Regulatórias n 64 / COGIR / SEAE / MF Brasília, 25 de julho de 2012 Assunto: Contribuição à Consulta Pública n 32 da Anatel, referente a Proposta de Política de Segurança da Informação e Comunicações da Agência Nacional de Telecomunicações. 1 - Introdução 1. A Secretaria de Acompanhamento Econômico do Ministério da Fazenda (Seae / MF), em consonância com o objetivo traçado pela Anatel, apresenta, por meio deste parecer, as suas contribuições à Consulta Pública n 32, com a intenção de contribuir para o aprimoramento do arcabouço regulatório do setor, nos termos de suas atribuições legais, definidas na Lei n 12.529, de 30 de novembro de 2011, e no Anexo I ao Decreto n 7.482, de 16 de maio de 2011. 2. Análise do Impacto Regulatório (AIR) [NF1] 2.1. Identificação do Problema 2. A identificação clara e precisa do problema a ser enfrentado pela regulação contribui para o surgimento de soluções. Ela, por si só, delimita as respostas mais adequadas para o problema, tornando-se o primeiro elemento da análise de adequação e oportunidade da regulação. 3. A identificação do problema deve ser acompanhada, sempre que possível, de documentos que detalhem a procedência da preocupação que deu origem à proposta normativa e que explicitem a origem e a plausibilidade dos dados que ancoram os remédios regulatórios propostos. 4. No presente caso, esta Seae entende que: O problema foi identificado com clareza e precisão; e Os documentos que subsidiam a audiência pública são suficientes para cumprir esse objetivo. 5. Segundo define o texto da norma sob consulta pública: A Política de Segurança da Informação e Comunicações da Agência Nacional de Telecomunicações (POSIC / Anatel) tem por finalidade estabelecer diretrizes para a segurança do manuseio, tratamento, controle e proteção dos dados, informações e conhecimentos produzidos, armazenados ou transmitidos por qualquer meio, no âmbito da Anatel, observadas as diretrizes estabelecidas pelo poder público quanto à transparência e o acesso às informações públicas. 6. Observa-se que, segundo o art. 6 da proposta normativa, [s]erão elaboradas portarias específicas destinadas à implantação e operacionalização das diretrizes previstas neste capítulo, cuja aprovação competirá ao presidente da Anatel . Conforme se pode concluir a partir do seu teor, a norma proposta tem natureza essencialmente programática. 2.2. Justificativa para a Regulação Proposta 7. A intervenção regulamentar deve basear-se na clara evidência de que o problema existe e de que a ação proposta a ele responde, adequadamente, em termos da sua natureza, dos custos e dos benefícios envolvidos e da inexistência de alternativas viáveis aplicadas à solução do problema. É também recomendável que a regulação decorra de um planejamento prévio e público por parte da agência, o que confere maior transparência e previsibilidade às regras do jogo para os administrados e denota maior racionalidade nas operações do regulador. 8. No presente caso, esta Seae entende que: As informações levadas ao público pelo regulador justificam a intervenção do regulador; Os dados disponibilizados em consulta pública permitem identificar coerência entre a proposta apresentada e o problema identificado; e A normatização decorre de planejamento previamente formalizado em documento público. 9. Conforme apresentado na exposição de motivos que acompanha a consulta pública, a proposta decorre (i) do Decreto n 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal; (ii) da Instrução Normativa GSI / PR N 1, de 13 de junho de 2008, que disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal; (iii) da Norma Complementar 03 / IN01 / DSIC / GSIPR, de 30 de junho de 2009, que estabelece diretrizes para elaboração de Política de Segurança da Informação e Comunicações nos órgãos e entidades da Administração Pública Federal; (iv) ABNT NBR / ISO / IEC 27002 / 2005, que institui o código de melhores práticas para a gestão da segurança da informação; e da Lei n 12.527, de 18 de novembro de 2011, que dispõe sobre os procedimentos a serem observados pela União, Estados, Distrito Federal e Municípios, com o fim de garantir o acesso a informações previsto no inciso XXXIII do art. 5 , no inciso II do 3 do art. 37 e no 2 do art. 216 da Constituição Federal. 2.3. Base Legal 10. O processo regulatório deve ser estruturado de forma que todas as decisões estejam legalmente amparadas. Além disso, é importante informar à sociedade sobre eventuais alterações ou revogações de outras normas, bem como sobre a necessidade de futura regulação em decorrência da adoção da norma posta em consulta. No caso em análise, a Seae entende que: A base legal da regulação foi adequadamente identificada; Não foram apresentadas as normas alteradas, implícita ou explicitamente, pela proposta; Não se detectou a necessidade de revogação ou alteração de norma preexistente; e O regulador informou sobre a necessidade de futura regulação da norma. 11. Conforme antecipado nos parágrafos 6 e 9, a proposta derivou do Decreto n 3.505 / 2000, da Instrução Normativa GSI / PR N 1 / 2008, da Norma Complementar 03 / IN01 / 2009 / DSIC / GSIPR, da ABNT NBR / ISO / IEC 27002 / 2005, da Lei n 12.527 / 2011 e do art. 5 , XXXIII c / c art. 37, 3 , II c / c art. 216, 2 da Constituição Federal havendo expressa previsão no art. 6 da proposta normativa de que serão elaboradas portarias específicas destinadas à implantação e operacionalização da gestão da segurança, ao tratamento da informação, ao tratamento de incidentes, à gestão de riscos, à gestão de continuidade, à conformidade (cumprimento da POSIC / Anatel), ao controle de acesso, à sensibilização / conscientização / capacitação e ao uso de recursos computacionais e comunicações. 2.4. Efeitos da Regulação sobre a Sociedade 12. A distribuição dos custos e dos benefícios entre os diversos agrupamentos sociais deve ser transparente, até mesmo em função de os custos da regulação, de um modo geral, não recaírem sobre o segmento social beneficiário da medida. Nesse contexto, a regulação poderá carrear efeitos desproporcionais sobre regiões ou grupos específicos. 13. Considerados esses aspectos, a Seae entende que: A agência não discriminou claramente quais os atores onerados com a proposta; e Não há mecanismos adequados para o monitoramento do impacto e para a revisão da regulação. 14. Em se tratando ainda de norma de teor essencialmente programático, esta Seae acredita que a identificação dos atores afetados pela regulação e a previsão de mecanismo de monitoramento do impacto e revisão da regulação deverão estar presentes nas portarias específicas de que trata o art. 6 . 2.5. Custos e Benefícios 15. A estimação dos custos e dos benefícios da ação governamental e das alternativas viáveis é condição necessária para a aferição da eficiência da regulação proposta, calcada nos menores custos associados aos maiores benefícios. Nas hipóteses em que o custo da coleta de dados quantitativos for elevado ou quando não houver consenso em como valorar os benefícios, a sugestão é que o regulador proceda a uma avaliação qualitativa que demonstre a possibilidade de os benefícios da proposta superarem os custos envolvidos. 16. No presente caso, a Seae entende que: Não foram apresentados adequadamente os custos associados à adoção da norma; e Não foram apresentados adequadamente os benefícios associados à adoção da norma. 17. Em se tratando ainda de norma de teor essencialmente programático, esta Seae acredita que a identificação dos custos e benefícios deverá estar presente nas portarias específicas de que trata o art. 6 . 2.6. Opções à Regulação 18. A opção regulatória deve ser cotejada face às alternativas capazes de promover a solução do problema devendo-se considerar como alternativa à regulação a própria possibilidade de não regular. 19. Com base nos documentos disponibilizados pela agência, a Seae entende que: Não foram apresentadas as alternativas eventualmente estudadas; Não foram apresentadas as consequências da norma e das alternativas estudadas; Não foram apresentados os motivos de terem sido preteridas as alternativas estudadas; e As vantagens da norma sobre as alternativas estudadas não estão claramente demonstradas. 20. Em se tratando, ainda, de norma de teor essencialmente programático, esta Seae acredita que a análise referente às opções à regulação deverá estar presente nas portarias específicas de que trata o art. 6 . 3. Análise do Impacto Concorrencial 21. Os impactos à concorrência foram avaliados a partir da metodologia desenvolvida pela OCDE, que consiste em um conjunto de questões a serem verificadas na análise do impacto de políticas públicas sobre a concorrência. O impacto competitivo poderia ocorrer por meio da: i) limitação no número ou variedade de fornecedores; ii) limitação na concorrência entre empresas; e iii) diminuição do incentivo à competição. 22. Em relação aos impactos concorrenciais A norma proposta não tem o potencial de diminuir o incentivo à competição; e A norma proposta tem o potencial de promover a competição. 23. Acredita-se que o resguardo de informações comercialmente sensíveis é essencial para reduzir os incentivos ao alinhamento entre concorrentes especialmente nos mercados oligopolizados com que lida a Anatel. A Seae resgarda-se, entrementes, a prerrogativa de aguardar as consultas públicas referentes às portarias específicas de que trata o art. 6 para verificar, in casu, se as propostas atenderão às melhores práticas concorrenciais, incluindo a proteção de dados atuais e desagregados. 4. Análise Suplementar 24. A diversidade das informações colhidas no processo de audiências e consultas públicas constitui elemento de inestimável valor, pois permite a descoberta de eventuais falhas regulatórias não previstas pelas agências reguladoras. 25. Nesse contexto, as audiências e consultas públicas, ao contribuírem para aperfeiçoar ou complementar a percepção dos agentes, induzem ao acerto das decisões e à transparência das regras regulatórias. Portanto, a participação da sociedade como baliza para a tomada de decisão do órgão regulador tem o potencial de permitir o aperfeiçoamento dos processos decisórios, por meio da reunião de informações e de opiniões que ofereçam visão mais completa dos fatos, agregando maior eficiência, transparência e legitimidade ao arcabouço regulatório. 26. Nessa linha, esta Secretaria verificou que, no curso do processo de normatização: Não existem outras questões relevantes que deveriam ser tratadas pela norma; A norma apresenta redação clara; Não houve audiência pública ou evento presencial para debater a norma; O prazo para a consulta pública não foi adequado; Não houve barreiras de qualquer natureza à manifestação em sede de consulta pública. 27. Nos termos do art. 42 da Lei Geral de Telecomunicações (Lei n 9.472 / 1997, LGT ), [a]s minutas de atos normativos serão submetidas à consulta pública, formalizada por publicação no Diário Oficial da União, devendo as críticas e sugestões merecer exame e permanecer à disposição do público na Biblioteca . Por sua vez, a publicação da chamada para a Consulta Pública n 32 / 2012 no Diário Oficial da União de 19 de julho de 2012 anunciava que o texto completo da proposta estaria disponível na Biblioteca da Anatel, no endereço subscrito e na página da Anatel na Internet, a partir das 14 horas da data da publicação desta Consulta Pública no Diário Oficial da União . 28. Ocorre que os documentos referentes à consulta pública em apreço não foram disponibilizados no horário previsto, o que consumiu um dia no apertado prazo de 12 dias fixado inicialmente. Isso, aliado à falta de audiência pública acerca de um tema de clara relevância, reduz a transparência do processo de elaboração normativa. 5. Considerações Finais 29. A Seae considera desejável o aperfeiçoamento dos procedimentos de consulta pública da Agência mediante suprimento das lacunas apontadas no corpo do texto deste parecer. Sobre o mérito, não possui óbices a manifestar ROBERTO DOMINGOS TAUFICK Assistente MARCELO DE MATOS RAMOS Coordenador-Geral de Indústrias de Rede e Setor Financeiro À consideração superior, EDUARDO XAVIER Assessor Especial do Ministro De acordo. ANTONIO HENRIQUE PINHEIRO SILVEIRA Secretário de Acompanhamento Econômico [NF1] Este tópico tem como base o estudo da OCDE intitulado Recommendation of the Council of the OECD on Improving the Quality of Government Regulation (adopted on 9th March, 1995) . 25/07/2012 15:45:38
CONSULTA PÚBLICA Nº 32 Art. 1º Art. 1 . A Política de Segurança da Informação e Comunicações da Agência Nacional de Telecomunicações (POSIC / Anatel) tem por finalidade estabelecer diretrizes para a segurança do manuseio, tratamento, controle e proteção dos dados, informações e conhecimentos produzidos, armazenados ou transmitidos por qualquer meio, no âmbito da Anatel, observadas as diretrizes estabelecidas pelo poder público quanto à transparência e o acesso às informações públicas. 62430 3 Tim Célula Sugere-se aproveitar a oportunidade da presente Consulta Pública para propor que sejam incluídos no Regulamento - respeitando os padrões da ISO 27001 - itens referentes à segurança física das informações, bem como uma metodologia de classificação da informação que garanta a segurança em todo o ciclo de vida da informação. Sugere-se aproveitar a oportunidade da presente Consulta Pública para propor que sejam incluídos no Regulamento - respeitando os padrões da ISO 27001 - itens referentes à segurança física das informações, bem como uma metodologia de classificação da informação que garanta a segurança em todo o ciclo de vida da informação. 30/07/2012 17:53:07
CONSULTA PÚBLICA Nº 32 Art. 2º Art. 2 . Esta política se aplica às atividades de todo usuário de informação que venha a ter acesso aos ativos de informação protegidos por esse regulamento. 62333 4 aldenir ESSA QUESTAO DO USUARIO TER ACESSO TEM QUE SER LIMITADA POIS SE NAO FOR LIMITADA AS PESSOAS VAO FAZER COISAS ERRADAS E USANDO INFORMAÇÕES ALHEIAS PARA OUTRAS FINALIDADES 21/07/2012 18:37:58
CONSULTA PÚBLICA Nº 32 Art. 3º Art. 3 . Para os fins desta Política, considera-se:                                 I. ativo de informação patrimônio composto por todos os dados, informações e conhecimentos obtidos, gerados e utilizados durante a execução dos sistemas e processos de trabalho da Anatel;                                II. autenticidade qualidade da informação que tenha sido produzida, expedida, recebida ou modificada por determinado indivíduo, equipamento ou sistema                               III. classificação atribuição, pela autoridade competente, de grau de sigilo a dado, informação, documento, material, área ou instalação;                              IV. confidencialidade propriedade de que o dado ou a informação não esteja disponível ou revelado a pessoa física, sistema, órgão ou entidade não autorizado e credenciado;                               V. conhecimento conhecimento é a soma da experiência das pessoas com as informações adquiridas ao longo do tempo, podendo ser tácito (cognitivo) ou explícito (formalizado);                              VI. controle de acesso procedimento destinado a conceder ou bloquear o acesso aos ativos de informação;                             VII. dado qualquer elemento identificado em sua forma bruta, que em determinado contexto não conduz, por si só, à compreensão de determinado fato ou situação;                            VIII. direito de acesso privilégio relacionado a um cargo ou pessoa para ter acesso a um determinado ativo de informação;                              IX. disponibilidade qualidade da informação que pode ser conhecida e utilizada por indivíduos, equipamentos ou sistemas autorizados;                               X. documento unidade de registro de informações, qualquer que seja o suporte ou formato;                              XI. evento de segurança da informação ocorrência identificada a partir de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou outra que possa ser relevante para a segurança da informação;                             XII. gestor da informação servidor responsável pela administração das informações geridas nos processos de trabalho de sua responsabilidade;                            XIII. incidente de segurança da informação evento de segurança da informação, indesejado ou inesperado, que comprometa ou ameace a integridade, a autenticidade, a confidencialidade ou a disponibilidade de qualquer ativo de informação da Anatel;                           XIV. informação dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;                            XV. informação pessoal aquela relacionada à pessoa natural identificada ou identificável;                           XVI. informação sigilosa aquela submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado;                          XVII. instrumento de trabalho recursos empregados no acesso, manuseio, proteção, transmissão e armazenamento dos ativos de informação, dentre outros: computadores, incluindo seus componentes, acessórios e periféricos, redes de dados, telefones, sistemas de processamento da informação (sistemas interativos da Anatel) e bancos de dados;                         XVIII. integridade qualidade da informação não modificada, inclusive quanto à origem, trânsito e destino;                           XIX. primariedade qualidade da informação coletada na fonte, com o máximo de detalhamento possível, sem modificações;                            XX. responsabilidade deveres de um usuário em relação ao ativo de informação ao qual ele tem direito de acesso;                           XXI. Segurança da Informação e Comunicações (SIC) ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados e das informações. Proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento;                          XXII. tratamento da informação conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação;                         XXIII. usuário qualquer pessoa que utilize os ativos de informação da Anatel, de acordo com a seguinte classificação: a. externo qualquer pessoa física ou jurídica que tenha acesso, de forma autorizada, aos ativos de informação produzidos ou custodiados pela Anatel e que não seja caracterizada como usuário interno; b. interno qualquer pessoa que, mesmo transitoriamente ou sem remuneração, exerça, na Anatel, cargo, emprego, função pública, ou que trabalhe para empresa prestadora de serviço contratada ou conveniada para a execução de atividades da Agência. 62334 5 aldenir COM ESSES ITENS AS PESSOAS VAO PENSAR MUITO ANTES DE USAR, MANIPULAR OU ACESSAR INFORMAÇÕES DE TERCEIROS DE SEM PREVIA AUTORIZAÇÃO ASSIM O GOVERNO FICA RESPAUDADO DAS SUAS RESPONSABILIDADES E ATRIBUIÇÕES E ALEM DO MAIS PASSANDO PARA TODA SOCIEDADE DIREITOS E DEVERES 21/07/2012 18:41:40
CONSULTA PÚBLICA Nº 32 Art. 3º Art. 3 . Para os fins desta Política, considera-se:                                 I. ativo de informação patrimônio composto por todos os dados, informações e conhecimentos obtidos, gerados e utilizados durante a execução dos sistemas e processos de trabalho da Anatel;                                II. autenticidade qualidade da informação que tenha sido produzida, expedida, recebida ou modificada por determinado indivíduo, equipamento ou sistema                               III. classificação atribuição, pela autoridade competente, de grau de sigilo a dado, informação, documento, material, área ou instalação;                              IV. confidencialidade propriedade de que o dado ou a informação não esteja disponível ou revelado a pessoa física, sistema, órgão ou entidade não autorizado e credenciado;                               V. conhecimento conhecimento é a soma da experiência das pessoas com as informações adquiridas ao longo do tempo, podendo ser tácito (cognitivo) ou explícito (formalizado);                              VI. controle de acesso procedimento destinado a conceder ou bloquear o acesso aos ativos de informação;                             VII. dado qualquer elemento identificado em sua forma bruta, que em determinado contexto não conduz, por si só, à compreensão de determinado fato ou situação;                            VIII. direito de acesso privilégio relacionado a um cargo ou pessoa para ter acesso a um determinado ativo de informação;                              IX. disponibilidade qualidade da informação que pode ser conhecida e utilizada por indivíduos, equipamentos ou sistemas autorizados;                               X. documento unidade de registro de informações, qualquer que seja o suporte ou formato;                              XI. evento de segurança da informação ocorrência identificada a partir de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou outra que possa ser relevante para a segurança da informação;                             XII. gestor da informação servidor responsável pela administração das informações geridas nos processos de trabalho de sua responsabilidade;                            XIII. incidente de segurança da informação evento de segurança da informação, indesejado ou inesperado, que comprometa ou ameace a integridade, a autenticidade, a confidencialidade ou a disponibilidade de qualquer ativo de informação da Anatel;                           XIV. informação dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;                            XV. informação pessoal aquela relacionada à pessoa natural identificada ou identificável;                           XVI. informação sigilosa aquela submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado;                          XVII. instrumento de trabalho recursos empregados no acesso, manuseio, proteção, transmissão e armazenamento dos ativos de informação, dentre outros: computadores, incluindo seus componentes, acessórios e periféricos, redes de dados, telefones, sistemas de processamento da informação (sistemas interativos da Anatel) e bancos de dados;                         XVIII. integridade qualidade da informação não modificada, inclusive quanto à origem, trânsito e destino;                           XIX. primariedade qualidade da informação coletada na fonte, com o máximo de detalhamento possível, sem modificações;                            XX. responsabilidade deveres de um usuário em relação ao ativo de informação ao qual ele tem direito de acesso;                           XXI. Segurança da Informação e Comunicações (SIC) ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados e das informações. Proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento;                          XXII. tratamento da informação conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação;                         XXIII. usuário qualquer pessoa que utilize os ativos de informação da Anatel, de acordo com a seguinte classificação: a. externo qualquer pessoa física ou jurídica que tenha acesso, de forma autorizada, aos ativos de informação produzidos ou custodiados pela Anatel e que não seja caracterizada como usuário interno; b. interno qualquer pessoa que, mesmo transitoriamente ou sem remuneração, exerça, na Anatel, cargo, emprego, função pública, ou que trabalhe para empresa prestadora de serviço contratada ou conveniada para a execução de atividades da Agência. 62435 6 brtelecom Proposta: Alteração do Inciso XVI XVI. informação sigilosa aquela submetida à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado; Proposta: Alteração do item b do Inciso XXII b. interno qualquer pessoa que, mesmo transitoriamente ou sem remuneração, exerça, na Anatel, cargo, emprego, função pública, ou que trabalhe para empresa prestadora de serviço contratada ou conveniada para a execução de atividades da Agência, com contrato contendo obrigação expressa de confidencialidade, sob pena de rescisão contratual e sujeição às medidas judiciais cabíveis. Justificativa para a alteração do Inciso XVI Sugere-se a retirada do termo temporariamente , uma vez que prejuízos de cunho irreparável podem advir da divulgação equivocada de dados sigilosos das prestadoras e de seus usuários, tais como especulação nas Bolsas de Valores e vazamento de informações privilegiadas e sensíveis das prestadoras. Por essa razão impõe-se que o tratamento das informações classificadas como sigilosas seja atemporal. No caso de pretensão de alteração da classificação da informação, os interessados devem ser previamente notificados, respeitado o contraditório. Justificativa para a alteração do item b do Inciso XXII A Oi entende que é necessário que as empresas terceirizadas para trabalhar em projetos específicos sejam obrigadas contratualmente ao dever de sigilo, como medida de assegurar ainda mais a proteção e sigilo dos dados a serem disponibilizados a terceiros. 30/07/2012 20:19:55
CONSULTA PÚBLICA Nº 32 Art. 4º Art. 4 . Na aplicação e interpretação das regras estabelecidas na POSIC / Anatel, devem ser observados os seguintes instrumentos legais e normativos, sem prejuízo do disposto em normas supervenientes que venham a regular a matéria:                                 I. Lei n 8.112, de 11 de dezembro de 1990, que dispõe sobre o regime jurídico dos servidores públicos civis da União, das autarquias e das fundações públicas federais ;                                II. Lei n 8.159, de 8 de janeiro de 1991, que dispõe sobre a Política Nacional de Arquivos Públicos e Privados e dá outras providências;                               III. Lei n 12.527, de 18 de novembro de 2011, que regula o acesso a informações previsto no inciso XXXIII do art. 5 , no inciso II do 3 do art. 37 e no 2 do art. 216 da Constituição Federal; altera a Lei n 8.112, de 11 de dezembro de 1990; revoga Lei n 11.111, de 5 de maio de 2005, e dispositivos da Lei n 8.159, de 8 de janeiro de 1991; e dá outras providências;                              IV. Lei n 9.983, de 14 de julho de 2000, que altera o Decreto-Lei n 2.848, de 7 de dezembro de 1940. Código Penal e dá outras providências;                               V. Lei n 10.406, de 10 de janeiro de 2002 (Código Civil);                              VI. Decreto n 1.171, de 22 de junho de 1994, que aprova o Código de Ética Profissional do Servidor Público Civil do Poder Executivo Federal;                             VII. Decreto n 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal;                            VIII. Decreto n 5.482, de 30 de junho de 2005, que dispõe sobre a divulgação de dados e informações pelos órgãos e entidades da Administração Pública Federal, por meio da Rede Mundial de Computadores Internet;                              IX. Portaria Interministerial n 140, de 16 de março de 2006, que disciplina a divulgação de dados e informações pelos órgãos e entidades da Administração Pública Federal, por meio da rede mundial de computadores - internet e dá outras providências;                               X. Portaria n 24 da Anatel, de 7 de janeiro de 2010, que institui a Comissão de Segurança da Informação (CSI) no âmbito da Anatel;                              XI. Decreto n 6.029, de 1 de fevereiro de 2007, que institui o Sistema de Gestão da Ética do Poder Executivo Federal, e dá outras providências;                             XII. Instrução Normativa GSI n 1, de 13 de junho de 2008, que disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências;                            XIII. Norma Complementar n 02 / IN01 / DSIC / GSI / PR, de 13 de outubro de 2008, que estabelece a Metodologia de Gestão de Segurança da Informação e Comunicações para os órgãos e entidades da Administração Pública Federal, direta e indireta APF;                           XIV. Norma Complementar n 03 / IN01 / DSIC / GSI / PR, de 03 de julho de 2009, que estabelece as diretrizes, critérios e procedimentos para elaboração, institucionalização, divulgação e atualização da Política de Segurança da Informação e Comunicações nos órgãos e entidades da Administração Pública Federal, direta e indireta APF;                            XV. Norma Complementar n 04 / IN01 / DSIC / GSI / PR, de 17 de agosto de 2009, que estabelece diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações - GRSIC nos órgãos ou entidades da Administração Pública Federal, direta e indireta APF;                           XVI. Norma Complementar n 05 / IN01 / DSIC / GSI / PR, de 17 de agosto de 2009, que disciplina a criação de Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR nos órgãos e entidades da Administração Pública Federal, direta e indireta APF;                          XVII. Norma Complementar n 06 / IN01 / DSIC / GSI / PR, de 23 de novembro de 2009, que disciplina as Diretrizes para Gestão de Continuidade de Negócios nos aspectos relacionados à Segurança da Informação e Comunicações - GCN nos órgãos e entidades da Administração Pública Federal, direta e indireta APF;                         XVIII. Norma Complementar n 07 / IN01 / DSIC / GSI / PR, de 07 de maio de 2010, que disciplina as diretrizes para implementação de Controles de Acesso relativos à Segurança da Informação e Comunicações nos órgãos e entidades da Administração Pública Federal, direta e indireta APF;                           XIX. Norma Complementar n 08 / IN01 / DSIC / GSI / PR, de 24 de agosto de 2010, que disciplina o gerenciamento de Incidentes de Segurança em Redes de Computadores realizado pelas Equipes de Tratamento e Resposta a Incidentes de Segurança em Redes Computacionais - ETIR dos órgãos e entidades da Administração Pública Federal, direta e indireta APF;                            XX. Norma Complementar n 09 / IN01 / DSIC / GSI / PR, de 22 de novembro de 2010, que estabelece orientações específicas para o uso de recursos criptográficos como ferramenta de controle de acesso em Segurança da Informação e Comunicações, nos órgãos ou entidades da Administração Pública Federal, direta e indireta APF;                             XXI. ABNT NBR ISO / IEC 27001, publicada em 31 de março de 2006, que especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão da Segurança da Informação (SGSI) documentado dentro do contexto dos riscos de negócio globais da organização;                            XXII. ABNT NBR ISO / IEC 27002, publicada em 31 de agosto de 2005, que estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.                           XXIII. ABNT NBR ISO / IEC 27005, publicada em 17 de novembro de 2011, que fornece diretrizes para o processo de gestão de riscos de segurança da informação. 62335 7 aldenir DENTRE AQUELAS PROPOSTAS DE ITENS LEVANTADOS ANTERIORMENTE, ESSAS LEIS VAO AJUDAR E DAR SUPORTE LEGAL AO SISTEMA ISSO VAI AJUDAR A PENALISAR TODAS AS PESSOAS QUE FRAUDULAREM DOCUMENTOS SIGILOSOS E PARTICULARES ONDE SÓ PODEM SER ACESSADOS COM AUTORIZAÇÃO JUDICIAL 21/07/2012 18:44:29
CONSULTA PÚBLICA Nº 32 Art. 5º Art. 5 . São princípios da POSIC / Anatel:                                 I. a legalidade, a impessoalidade, a moralidade, a publicidade, a eficiência, a celeridade e a ética na proteção do ativo de informação;                                II. a preservação da disponibilidade, da integridade e da autenticidade do ativo de informação da Anatel;                               III. a busca de melhores práticas e a atualização tecnológica na proteção dos ativos de informação;                              IV. a responsabilidade individual na utilização dos ativos de informação;                               V. a transparência no tratamento das informações institucionais e pessoais, respeitando-se a intimidade, a vida privada, a honra e a imagem das pessoas, bem como as liberdades e garantias individuais. 62336 8 aldenir AS PESSOAS QUE FOREM DESENVOLVER O SISTEMA VAO TER QUE SER PARCIAIS QUANDO FOREM COLOCAR ELE NA PRATICA POIS OS DESENVOLVEDORES NAO VAO PODER PENSAR QUE VAO SER SÓ ELES QUE VAO USAR OU QUE VAO ENTENDER A ESTETICA DO SISTEMA 21/07/2012 18:51:15
CONSULTA PÚBLICA Nº 32 Art. 5º Art. 5 . São princípios da POSIC / Anatel:                                 I. a legalidade, a impessoalidade, a moralidade, a publicidade, a eficiência, a celeridade e a ética na proteção do ativo de informação;                                II. a preservação da disponibilidade, da integridade e da autenticidade do ativo de informação da Anatel;                               III. a busca de melhores práticas e a atualização tecnológica na proteção dos ativos de informação;                              IV. a responsabilidade individual na utilização dos ativos de informação;                               V. a transparência no tratamento das informações institucionais e pessoais, respeitando-se a intimidade, a vida privada, a honra e a imagem das pessoas, bem como as liberdades e garantias individuais. 62436 9 brtelecom Proposta: Alteração do Inciso V V. a transparência no tratamento das informações institucionais e pessoais, respeitando-se a intimidade, a vida privada, a honra e a imagem das pessoas, bem como as liberdades e garantias individuais, além da confidencialidade de dados, informações e conhecimentos, quando assim forem classificados. A Oi entende que o respeito à confidencialidade de dados, informações e conhecimentos deve ser destacado como um dos princípios da POSIC / Anatel, em linha com o já previsto no Art. 7 da mesma. 30/07/2012 20:19:56
CONSULTA PÚBLICA Nº 32 Art. 6º Art. 6 . Serão elaboradas portarias específicas destinadas à implantação e operacionalização das diretrizes previstas neste capítulo, cuja aprovação competirá ao presidente da Anatel. 62437 10 brtelecom Proposta: Alteração do Caput e inclusão de Parágrafo Único Art. 6 . Serão elaboradas portarias específicas destinadas à implantação e operacionalização das diretrizes previstas neste capítulo, contendo os critérios para o sancionamento de seu descumprimento, cuja aprovação competirá ao presidente da Anatel. Paragrafo único. Quaisquer das portarias a serem editadas, que possam impactar a confidencialidade e / ou o sigilo de dados, informações e conhecimentos das prestadoras e seus usuários, deverá passar por procedimento de Consulta Pública. Justificativa para a alteração no Caput É essencial que, nas portarias a serem elaboradas, seja feita menção expressa ao Art. 18 da POSIC / Anatel, a fim de que não reste dúvida quanto às penalidades a que os usuários internos estarão sujeitos em caso de cometimento de irregularidades. Considerando, ainda, a possibilidade de usuários externos terem acesso aos ativos de informação, e que tais usuários não poderiam ser submetidos a processo interno na Corregedoria da Anatel, é importante que sejam previstos critérios expressos para o sancionamento do usuário externo. De fato, além da enumeração expressa das sanções aplicáveis aos mesmos, é fundamental que o contrato a ser firmado pela Anatel com usuários externos contenha obrigação expressa de confidencialidade, sob pena de rescisão contratual e sujeição às medidas judiciais cabíveis. Justificativa para a inclusão de Parágrafo Único As prestadoras e os usuários devem ter conhecimento e direito de opinar caso tais normas possam vir a causar algum impacto na confidencialidade e / ou o sigilo de seus dados, informações e conhecimentos. 30/07/2012 20:19:56
CONSULTA PÚBLICA Nº 32 Art. 7º Art. 7 . A gestão da segurança da informação e comunicações compreende a preservação da informação da Anatel quanto aos aspectos de disponibilidade, autenticidade confidencialidade e integridade, independentemente do meio que se encontrem. Parágrafo único. De forma a promover a gestão e fomentar os aspectos de segurança da informação, a Comissão de Segurança da Informação da Anatel, órgão colegiado, de natureza consultiva e de caráter permanente, atuará na proposição e condução das diretrizes da POSIC / Anatel, bem como no assessoramento do Conselho Diretor em matérias correlatas, conforme previsto na Portaria n 24 da Anatel, de 07 de janeiro de 2010.
CONSULTA PÚBLICA Nº 32 Art. 8º Art. 8 . As informações de propriedade da Anatel devem ser utilizadas para os fins a que se destinam e não podem ser apropriadas pelos usuários. 1 . O uso de ativos de informação e dos instrumentos de trabalho pode ser controlado e monitorado pela Anatel para garantir a utilização estrita e correta desses recursos, bem como minimizar riscos às atividades, aos serviços e à imagem da Agência. 2 . A forma do tratamento e utilização dos dados e informações decorrentes das atividades de monitoramento será disciplinada em norma específica. 62431 11 Tim Célula Alterar a redação do artigo 8 , conforme abaixo: Art. 8 . As informações de propriedade da Anatel e das operadoras devem ser utilizadas para os fins a que se destinam e não podem ser apropriadas pelos usuários. 1 . O uso de ativos de informação e dos instrumentos de trabalho pode ser controlado e monitorado pela Anatel para garantir a utilização estrita e correta desses recursos, bem como minimizar riscos às atividades, aos serviços e à imagem da Agência e das operadoras. 2 . A forma do tratamento e utilização dos dados e informações decorrentes das atividades de monitoramento será disciplinada em norma específica. Com relação ao uso e a apropriação das informações, ressalta-se que devem ser consideradas não apenas as informações de propriedade da Agência, como também as informações de propriedade das operadoras. Dessa forma, é necessário que a Agência também tenha controle com relação ao tratamento de eventuais informações obtidas das operadoras, classificadas como segredo de justiça. Para tanto, sugere-se que a Agência registre todos que tiverem acesso às informação, seja para ter conhecimento, processar ou utilizá-las para outros fins. 30/07/2012 17:53:07
CONSULTA PÚBLICA Nº 32 Art. 8º Art. 8 . As informações de propriedade da Anatel devem ser utilizadas para os fins a que se destinam e não podem ser apropriadas pelos usuários. 1 . O uso de ativos de informação e dos instrumentos de trabalho pode ser controlado e monitorado pela Anatel para garantir a utilização estrita e correta desses recursos, bem como minimizar riscos às atividades, aos serviços e à imagem da Agência. 2 . A forma do tratamento e utilização dos dados e informações decorrentes das atividades de monitoramento será disciplinada em norma específica. 62438 12 brtelecom Proposta: Alteração do Caput Art. 8 . As informações de domínio da Anatel devem ser utilizadas para os fins a que se destinam e não podem ser apropriadas pelos usuários. Proposta: Alteração do 2 2 . A forma do tratamento e utilização dos dados e informações decorrentes das atividades de monitoramento descritas no 1 será disciplinada em norma específica. Justificativa para a alteração do Caput A Anatel não tem a propriedade dos dados, das informações e dos conhecimentos obtidos junto às empresas do setor e seus usuários, sendo apenas detentora para utilizar na regular execução de suas atividades. Justificativa para a alteração do 2 É importante deixar claro que o parágrafo não pretende autorizar qualquer forma de monitoramento das prestadoras, uma vez que as atividades de monitoramento em questão são apenas as descritas no 1 , onde resta evidenciado que as mesmas atingirão apenas o uso dos ativos de informação já sob domínio da Anatel. 30/07/2012 20:28:38
CONSULTA PÚBLICA Nº 32 Art. 9º Art. 9 . Os ativos de informação devem ser inventariados e classificados, conforme exigências legais.
CONSULTA PÚBLICA Nº 32 Art. 10 Art. 10. Deve ser estabelecido um plano de ação de resposta aos incidentes de segurança da informação com o objetivo de interromper ou minimizar os impactos decorrentes dos incidentes de segurança da informação. Parágrafo único. Todo usuário, ao tomar conhecimento de qualquer incidente ou suspeitar da possibilidade de ocorrência de um incidente de segurança da informação, deve notificar o fato imediatamente à Equipe de Tratamento e Resposta a Incidentes de Segurança da Informação (ETIS) da Anatel para as providências cabíveis.
CONSULTA PÚBLICA Nº 32 Art. 11 Art. 11. Deve ser estabelecido um processo de gerenciamento de riscos com objetivo de identificar possíveis vulnerabilidades que podem implicar riscos para a segurança das informações. Parágrafo único. Em suas atividades a Comissão de Segurança da Informação deverá considerar, principalmente, a identificação dos riscos mais relevantes aos quais a informação da Anatel está exposta e a priorização das ações voltadas ao tratamento dos riscos apontados, tais como implantação de novos controles, criação de novas regras e procedimentos, e reformulação de sistemas.
CONSULTA PÚBLICA Nº 32 Art. 12 Art. 12. Deve ser estabelecido um plano para garantir a continuidade regular do exercício das funções institucionais sob a perspectiva da disponibilidade dos ativos de informação da Anatel.
CONSULTA PÚBLICA Nº 32 Art. 13 Art. 13. O cumprimento da POSIC / Anatel, de suas normas e procedimentos será acompanhado pela Comissão de Segurança da Informação da Anatel.
CONSULTA PÚBLICA Nº 32 Art. 14 Art. 14. Os ativos de informação, quando aplicável, devem ser submetidos ao controle de acesso, sendo protegidos contra perda e usos indevidos, conforme disposto em normas específicas.
CONSULTA PÚBLICA Nº 32 Art. 15 Art. 15. O identificador pessoal de acesso aos ativos de informação é intransferível, não podendo ser compartilhado ou armazenado de forma visível e desprotegida.
CONSULTA PÚBLICA Nº 32 Art. 16 Art. 16. Deve ser estabelecido um programa de divulgação, sensibilização, conscientização e capacitação em segurança da informação e comunicações direcionado aos usuários internos da rede corporativa da Anatel. 1 . Todos os usuários dos ativos de informação da Anatel devem ter ciência de que o uso das informações e dos sistemas corporativos pode ser monitorado, e que os registros assim obtidos poderão ser utilizados para detecção de violações da POSIC / Anatel e das normas de segurança da informação e, conforme o caso, servir como evidência em processos administrativos e / ou legais.
CONSULTA PÚBLICA Nº 32 Art. 17 Art. 17. A Anatel deverá estabelecer, em norma específica, regras para o uso de recursos computacionais e de comunicações.
CONSULTA PÚBLICA Nº 32 Art. 18 Art. 18. A violação das normas e procedimentos relativos à POSIC / Anatel será avaliada pela Comissão de Segurança da Informação que tomará as medidas cabíveis e encaminhará os autos para a Corregedoria da Anatel, quando aplicável.
CONSULTA PÚBLICA Nº 32 Art. 19 Art. 19. Compete à Comissão de Segurança da Informação:                                 I. propor ao Conselho Diretor, para aprovação, a Política de Segurança da Informação e Comunicações da Anatel                                II. definir o modelo de gestão corporativa da segurança da informação e comunicações e fomentar sua aplicação;                               III. propor a elaboração e a revisão de normas e procedimentos inerentes à segurança da informação;                              IV. propor metas e ações corporativas em segurança da informação e comunicações;                               V. coordenar as ações de segurança da informação e comunicações;                              VI. propor as ações corretivas cabíveis nos casos de quebra de segurança;                             VII. analisar incidentes de segurança da informação e encaminhar à Corregedoria aqueles passíveis de correição;                            VIII. propor ajustes no modelo de gestão corporativa da segurança da informação e comunicações, e nas ações necessárias à sua implementação, com subsídio no monitoramento e avaliação periódica das práticas de segurança da informação e comunicações;                              IX. elaborar proposta e promover atualização periódica de plano com medidas que garantam a continuidade das atividades da Anatel e o retorno à situação de normalidade em caso de desastre ou falha nos recursos que suportam os processos vitais de negócio da Agência;                               X. manifestar-se sobre ações corporativas em segurança da informação e comunicações;                              XI. requerer, às unidades administrativas da Anatel, informações que considerar necessárias ao acompanhamento das ações de gestão de segurança da informação e comunicações;                             XII. promover a divulgação de boas práticas em segurança da informação e comunicações;                            XIII. submeter à aprovação minutas de normativos e propostas de natureza estratégica ou que necessitem de cooperação intersetorial que versem sobre segurança da informação e comunicações;                           XIV. instituir grupos de trabalho para tratar de temas específicos para as ações de segurança da informação e comunicações;                            XV. interagir com as unidades administrativas da Agência ou entidades externas, objetivando o pleno atendimento ao objeto desta POSIC;                           XVI. a edição das demais normas referentes ao seu funcionamento. Parágrafo único. A Comissão de Segurança da Informação é presidida pelo Gestor de Segurança da Informação, composta nos termos da Portaria n 24 da Anatel, de 7 de janeiro de 2010. 62432 13 Tim Célula Propõe-se a inclusão do inciso XVII, conforme abaixo: Art. 19. Compete à Comissão de Segurança da Informação: I. propor ao Conselho Diretor, para aprovação, a Política de Segurança da Informação e Comunicações da Anatel II. definir o modelo de gestão corporativa da segurança da informação e comunicações e fomentar sua aplicação; III. propor a elaboração e a revisão de normas e procedimentos inerentes à segurança da informação; IV. propor metas e ações corporativas em segurança da informação e comunicações; V. coordenar as ações de segurança da informação e comunicações; VI. propor as ações corretivas cabíveis nos casos de quebra de segurança; VII. analisar incidentes de segurança da informação e encaminhar à Corregedoria aqueles passíveis de correição; VIII. propor ajustes no modelo de gestão corporativa da segurança da informação e comunicações, e nas ações necessárias à sua implementação, com subsídio no monitoramento e avaliação periódica das práticas de segurança da informação e comunicações; IX. elaborar proposta e promover atualização periódica de plano com medidas que garantam a continuidade das atividades da Anatel e o retorno à situação de normalidade em caso de desastre ou falha nos recursos que suportam os processos vitais de negócio da Agência; X. manifestar-se sobre ações corporativas em segurança da informação e comunicações; XI. requerer, às unidades administrativas da Anatel, informações que considerar necessárias ao acompanhamento das ações de gestão de segurança da informação e comunicações; XII. promover a divulgação de boas práticas em segurança da informação e comunicações; XIII. submeter à aprovação minutas de normativos e propostas de natureza estratégica ou que necessitem de cooperação intersetorial que versem sobre segurança da informação e comunicações; XIV. instituir grupos de trabalho para tratar de temas específicos para as ações de segurança da informação e comunicações; XV. interagir com as unidades administrativas da Agência ou entidades externas, objetivando o pleno atendimento ao objeto desta POSIC; XVI. a edição das demais normas referentes ao seu funcionamento. XVII - avaliar o nível de segurança alcançado, emitindo relatórios periódicos de Análise de Riscos; Sugere-se que a avaliação do nível de segurança alcançado seja de responsabilidade da Comissão de Segurança da Informação, retirando-a da responsabilidade da área de Tecnologia da Informação. Tal alteração se faz necessária pois, uma vez que o nível de segurança é implementado pela própria área de Tecnologia da Informação, mostra-se aparentemente inadequado que a mesma realize avaliação e posterior relatório sobre este tema. Alternativamente, entretanto, pode-se estabelecer que tal trabalho seja realizado por ambas as áreas, de forma a garantir o conceito de segregação de função. 30/07/2012 17:53:07
CONSULTA PÚBLICA Nº 32 Art. 20 Art. 20. Compete à área de tecnologia da informação:                                 I. prestar apoio técnico e administrativo às atividades da Comissão de Segurança da Informação;                                II. propor à Comissão de Segurança da Informação a atualização da Política, das normas e dos procedimentos de segurança da informação e comunicações, sempre que houver alteração no ambiente computacional ou atualizações tecnológicas, a fim de manter e melhorar o nível de segurança;                               III. avaliar o nível de segurança alcançado, emitindo relatórios periódicos de Análise de Riscos à Comissão de Segurança da Informação;                              IV. definir as soluções técnicas necessárias para a implantação e adequação do ambiente da Anatel à POSIC / Anatel;                               V. garantir a disponibilidade de recursos tecnológicos necessários à implementação das ações de segurança da informação e comunicações. Parágrafo único. As normas complementares definidas no Inciso I deste artigo deverão ser elaboradas e submetidas à aprovação em até 24 meses após a publicação desta Política. 62433 14 Tim Célula Sugere-se alterar a redação do inciso IV do artigo 20, bem como a exclusão do inciso III, conforme abaixo: Art. 20. Compete à área de tecnologia da informação: I. prestar apoio técnico e administrativo às atividades da Comissão de Segurança da Informação; II. propor à Comissão de Segurança da Informação a atualização da Política, das normas e dos procedimentos de segurança da informação e comunicações, sempre que houver alteração no ambiente computacional ou atualizações tecnológicas, a fim de manter e melhorar o nível de segurança; III. definir as soluções técnicas necessárias para a implantação e adequação do ambiente da Anatel à POSIC / Anatel, com a concordância da Comissão de Segurança da Informação. IV. garantir a disponibilidade de recursos tecnológicos necessários à implementação das ações de segurança da informação e comunicações. Parágrafo único. As normas complementares definidas no Inciso I deste artigo deverão ser elaboradas e submetidas à aprovação em até 24 meses após a publicação desta Política. Sugere-se que a avaliação do nível de segurança alcançado seja de responsabilidade da Comissão de Segurança da Informação, retirando-a da responsabilidade da área de Tecnologia da Informação. Tal alteração se faz necessária pois, uma vez que o nível de segurança é implementado pela própria área de Tecnologia da Informação, mostra-se aparentemente inadequado que a mesma realize avaliação e posterior relatório sobre este tema. Alternativamente, entretanto, pode-se estabelecer que tal trabalho seja realizado por ambas as áreas, de forma a garantir o conceito de segregação de função. Com relação à alteração sugerida ao inciso IV do artigo 20, entende-se ser necessária a concordância da Comissão de Segurança da Informação para definir as soluções técnicas necessárias para a implantação e adequação do ambiente da Anatel à POSIC / Anatel. Isso porque, considerando-se a especificidade de determinados conhecimentos técnicos sobre segurança, entende-se que a área de Tecnologia da Informação não tem obrigatoriedade de conhecê-los. Assim, mostra-se mais efetivo que haja a concordância da Comissão de Segurança da Informação,de modo a garantir melhores soluções às questões de segurança. 30/07/2012 17:53:07
CONSULTA PÚBLICA Nº 32 Art. 21 Art. 21. Compete à Equipe de Tratamento e Resposta a Incidentes de Segurança da Informação (ETIS):                                 I. tomar as providências de emergência pertinentes à segurança da informação e comunicações, imediatamente após detecção ou conhecimento de incidentes de segurança da informação no âmbito da Anatel;                                II. analisar os incidentes de segurança da informação e encaminhar mensalmente relatório dos incidentes à Comissão de Segurança da Informação. Parágrafo único. Os membros da Equipe de Tratamento e Resposta a Incidentes de Segurança da Informação serão indicados pela Comissão de Segurança da Informação e suas atribuições serão definidas em portaria específica.
CONSULTA PÚBLICA Nº 32 Art. 22 Art. 22. Os usuários dos ativos de informação devem conhecer e cumprir a POSIC / Anatel, bem como os demais instrumentos normativos relacionados, sendo-lhes facultado o direito de propor alterações nesses documentos.
CONSULTA PÚBLICA Nº 32 Art. 23 Art. 23. A Política de Segurança da Informação e Comunicações e os documentos normativos gerados a partir dela devem ser revisados e atualizados no máximo a cada três anos, ou imediatamente, caso ocorram eventos ou fatos relevantes que exijam uma revisão extraordinária.
CONSULTA PÚBLICA Nº 32 Art. 24 Art. 24. Esta Portaria entre em vigor na data da sua publicação.