Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas

 Data: 10/08/2022 08:30:11
 Total de Contribuições:33

CONSULTA PÚBLICA Nº 39


 Item:  Termo de Referência
Contribuição N°: 1
ID da Contribuição: 64109
Autor da Contribuição: ISPM
Data da Contribuição: 27/09/2012 11:14:58
Contribuição: 1 - Terão preferência produtos e serviços desenvolvidos no Brasil conforme o Decreto n 7.174/10 e o Programa TI Maior, recém lançado pelo Ministério de Ciência, Tecnologia e Inovação. Os produtos e serviços desenvolvidos no Brasil terão preferência em preço desde que apresentem documentação que comprove o desenvolvimento nacional (certificados ou documentos fiscais). 2 - Como demonstração de possui padrões de desempenho e características gerais e específicas usualmente encontradas no mercado o proponente deverá indicar: alinhamento ao padrão internacional eTom (propondo soluções disponíveis no catálogo do TM Forum ou certificado específico do TM Forum), alinhamento ao padrão internacional ITIL (demonstrando atendimento a projeto falhas e desempenho de no mínimo 15.000 pontos no Brasil ou exterior nos últimos 2 anos aderente a especificações ITIL ou certificado específico), seleção ou demonstração de conformidade técnica e jurídica para projeto de falhas e desempenho no setor público brasileiro de mínimo 3.000 pontos nos últimos 2 anos e acordos de parceria comercial ou técnica com algum dos fornecedores largamente utilizados (o, ex,:Padtec, Datacom, Cisco e/ou Huawei).
Justificativa: 1 - Adotar diretrizes do Decreto n 7.174/10 e Programa TI Maior que tem telecomunicações entre os 12 ecossistemas digitais prioritários e sistemas OSS / BSS entre os 3 desafios de telecomunicações. 2 - Especificar padrões usualmente encontrados no mercado, sobretudo em projetos de gerência de TI/Telecomunicações envolvendo a diversidade tecnologica encontrada neste Edital.
Contribuição N°: 2
ID da Contribuição: 64112
Autor da Contribuição: evercorrea
Data da Contribuição: 27/09/2012 14:14:04
Contribuição: 3.2.4 Monitorar a resposta a incidentes on line para até 5000 elementos considerados estratégicos para a Anatel. 6.2 Propõe-se a modalidade licitatória Concorrência, tipo técnica e preço, conforme preconiza o art. 45 , parágrafo 4 . da Lei 8.666, de 1993, uma vez que não há padronização dessa solução no mercado de tecnologia da informação e telecomunicações. 6.5.6 Prazo máximo de entrega até o dia 1 de fevereiro de 2014. 6.5 Inserir uma nova etapa específica para o desenvolvimento do Módulo de Simulação. Ver contribuição relacionada com o item 1.5.31, do anexo A. 6.5.x Etapa x Entrega e instalação do módulo de simulação de redes de telecomunicações Entregar e instalar o Módulo de Simulação de Redes de Telecomunicações, conforme item 1.5.31 do Anexo A. Prazo máximo de entrega até 01 de fevereiro de 2014. 13.49 Sugerimos modificar a tabela do cronograma físico-financeiro, considerando os seguintes valores: Parcela 1: valor 3% Parcela 2: valor 30% Parcela 3: valor 3% Parcela 4: valor 6% Parcela 5: valor 6% Parcela 6: valor 9% Parcela 7: valor 6% Parcela 8: valor 5% Parcela 9: valor 6% Parcela 10: valor 6% Suporte e manutenção: 10% Operação assistida: valor 10% 20.4.2 Incluir os seguintes atestados: Execução de projeto em Segurança de Infraestruturas Críticas e suas interdependências; Execução de projeto complexo em redes e serviços de Telecomunicações; 20.5.x Incluir as seguintes comprovações de que possui em seu corpo técnico: a) Pelos menos 01 (um) Consultor indicado deverá possuir: - Curso Superior completo, comprovado pela apresentação de cópia autenticada de diploma, reconhecido pelo MEC; - Experiência em projetos complexos de rede e serviços de telecomunicações, comprovado pela apresentação de curriculum vitae e declaração emitida por pessoa jurídica. b) Pelos menos 01 (um) Consultor indicado deverá possuir: - Curso Superior completo, comprovado pela apresentação de cópia autenticada de diploma, reconhecido pelo MEC; - Experiência em projetos de infraestrutura crítica, preferencialmente na área de telecomunicações, comprovado pela apresentação de curriculum vitae e declaração emitida por pessoa jurídica.
Justificativa: 3.2.4 A monitoração de toda rede de telecomunicações demandaria elevados recursos financeiros e o um tempo significativo para sua implementação. 6.2 Considerando que as demandas associadas ao Termo de Referência o CPqD não considera o objeto em questão bens e serviços comuns, ou seja, aqueles cujos padrões de desempenho e qualidade possam ser objetivamente definidos por meio de especificações usuais no mercado (art. 1 , parágrafo único, da Lei n 10.520, de 2002) Pelo escopo observa-se que não se trata de produto padronizado, uma vez que o mesmo apresenta várias peculiaridades técnicas, as quais demandam atividades de natureza predominantemente intelectual. Jurisprudência do STJ: Da leitura do artigo 45 , parágrafo 4 . da Lei 8.666, de 1993 (...) deve ser adotado o tipo de licitação de técnica e preço devido a exigência de especialidade técnica do objeto (...) Da leitura do edital de licitação, verifica-se que hipótese dos autos cuida de licitação para contratação de bens e serviços de informática com peculiaridades técnicas (...) (REsp no. 584.842/DF, 2 . T., rel Min. Franciulli Netto, j. em 21.06.2005, DJ de 22.08.2005) 6.5.6 Dada a complexidade do Módulo de Redes, avaliamos que o prazo proposto não é suficiente, sendo conveniente sua extensão por 90 dias para a versão final. 6.5.x Considerando que o desenvolvimento de um simulador de redes demanda modelagem de elevada complexidade, assim como uma especificação bastante detalhada, sugerimos esta demanda seja tratada em módulo separado. 13.49. Melhor equilíbrio econômico-financeiro para o projeto. 20.4.2 Justificativa dos novos atestados: Entende-se que, ao elaborar e aplicar a metodologia de gestão de risco para os serviços e redes de Telecomunicação, é necessário não só conhecimento e experiência no assunto específico de risco, como também, conhecer profundamente os ativos e itens que compõem as redes de telecomunicações, e suas interdependências. Sabe-se que as redes e serviços de telecomunicações são caracterizados por complexas ligações e interconexões e, portanto, requerem um domínio profundo e vivenciado no assunto. Outro importante fator de sucesso no desenvolvimento da metodologia e sua aplicação é ter as habilidades necessárias para desenvolver bom relacionamento não só com a Anatel e suas equipes internas como também com as prestadoras, que irão fornecer informações confidenciais e estratégicas durante a execução do projeto. Por fim, ao trabalhar com as infraestruturas críticas, devem-se conhecer critérios que possam categorizar quais ativos de telecomunicações são infraestruturas críticas aos serviços essenciais do País e interdependência com outros setores. 20.5.x Entende-se que, ao elaborar e aplicar a metodologia de gestão de risco para os serviços e redes de Telecomunicação, é necessário não só conhecimento e experiência no assunto específico de risco, como também, conhecer profundamente os ativos e itens que compõem as redes de telecomunicações, e suas interdependências. Sabe-se que as redes e serviços de telecomunicações são caracterizados por complexas ligações e interconexões e, portanto, requerem um domínio profundo e vivenciado no assunto. Outro importante fator de sucesso no desenvolvimento da metodologia e sua aplicação é ter as habilidades necessárias para desenvolver bom relacionamento não só com a Anatel e suas equipes internas como também com as prestadoras, que irão fornecer informações confidenciais e estratégicas durante a execução do projeto. Por fim, ao trabalhar com as infraestruturas críticas, devem-se conhecer critérios que possam categorizar quais ativos de telecomunicações são infraestruturas críticas aos serviços essenciais do País e sua interdependência com outros setores. Portanto, em face das justificativas apontadas, sugere-se a inclusão no texto que compõem o item 20.5 A LICITANTE deverá apresentar comprovação de que possui em seu corpo técnico (Regime CLT Consolidação das Leis Trabalhistas ou Estatuto ou Contrato Social no caso de sócios ou Contrato de Trabalho), profissionais com as qualificações descritas.
Contribuição N°: 3
ID da Contribuição: 64117
Autor da Contribuição: brtelecom
Data da Contribuição: 27/09/2012 15:24:43
Contribuição: O Grupo Oi, constituído pelas Concessionárias TELEMAR NORTE LESTE S/A e OI S/A, respectivamente nas Regiões I e II do PGO, vem mui respeitosamente efetuar suas contribuições e justificativas à presente Consulta Pública. O pretendido suporte às atividades de gestão será atingido por meio da contratação de um software que auxiliará a ANATEL na condução de suas atividades e a Oi, como não podia ser diferente, apoia e deseja contribuir para que o objetivo seja plenamente atingido. A Oi entende a urgência do tema, dada sua importância internacional, mas não considera que o prazo concedido para contribuições seja razoável. Nesse diapasão, a Oi, por meio do SindiTelebrasil, protocolou pedido de dilação de prazo. Em razão da recusa da dilação de prazo e do grande valor que o tema possui, a Oi envidou ao máximo seus esforços no sentido de garantir uma contribuição consistente a esta Consulta Pública, mas certamente não houve tempo suficiente para fazê-la com a devida profundidade. Inicialmente, é importante que a ANATEL tome as devidas ações que garantam o sigilo dos dados e das informações que serão tratados que durante o desenvolvimento, operação e manutenção do sistema, por parte da empresa CONTRATADA. A Oi entende que não será necessário a realização de contribuição ponto-a-ponto para esta Consulta Pública, uma vez que o Termo trata quase que integralmente da definição dos requisitos do software a ser adquirido pela ANATEL. Porém, a Oi identificou que o Termo de Referência carece de ajustes conceituais. O primeiro ajuste necessário é referente à necessidade de se garantir que seja formado grupo de trabalho entre ANATEL e Prestadoras no sentido de padronizar os dados que serão fornecidos ao sistema a ser desenvolvido. Consta no Termo de Referência, em diversos pontos, que o software deve permitir a recepção e tratamento de dados fornecidos pelas prestadoras de serviços de telecomunicações em formato e interface a ser definido pela ANATEL. Inclusive o item 1.5.2 define que o sistema será alimentado pelas prestadoras de serviços de telecomunicações de forma online. Todavia, não é factível que as prestadoras realizem uploads no sistema a ser desenvolvido de forma online. É fundamental se definir previamente a periodicidade na qual cada tipo de dado deverá ser encaminhado ao sistema. Entretanto, para que a ANATEL consiga ter acesso ao estado das redes, bem como possa formar um histórico das condições das redes, é essencial que a ANATEL receba as informações dos ativos classificados como críticos de forma padronizada, entretanto sem requerer ex-post que as prestadoras tenham que adequar seus sistemas para o fornecimento de informações. É cabível colocar que a definição de acesso on-line proposta pela Oi quando da sua contribuição à CP 21/2010 é convergente com a definição proposta nesta Consulta Acesso on-line: técnica de obtenção, por meio eletrônico, de dados e informações, nos termos de notificação prévia da ANATEL, a partir de pontos de acesso às fontes de dados e informações das prestadoras de serviços de telecomunicações instalados nas dependências da ANATEL ou em local por ela indicado, excluído o acesso a informações confidenciais e sigilosas . Nesse sentido é imperioso que seja formado um Grupo de Trabalho com participação da CONTRATADA, da ANATEL e das prestadoras, para que seja debatido e definido o formato, a quantidade e periodicidade em que as informações serão repassadas para que ANATEL possa realizar gestão do estado das redes. Não faz sentido que um sistema a ser desenvolvido ignore os sistemas atuais das prestadoras, obrigando-as ex-post a realizar investimentos para fornecimento das informações requeridas pela ANATEL. O outro reparo necessário no Termo de Referência é quanto à identificação dos ativos críticos. Também é colocado diversas vezes no documento em Consulta Pública, especialmente no item 2.1 do anexo, que é responsabilidade da CONTRATADA a definição, em comum com a ANATEL, dos critérios para seleção dos elementos de rede considerados estratégicos. É imprescindível que a identificação da infraestrutura crítica seja feita pelas prestadoras, que possuem pleno conhecimento das infraestruturas críticas de suas próprias redes. Veja que, de acordo com própria fundamentação para a contratação do software, no período de 2007 até 2009 foi executado o projeto de Proteção de Infraestrutura Crítica de Telecomunicações (PICT), dessa forma, a Oi entende que este trabalho deve observar os procedimentos adotados na época. Outrora os ativos críticos foram identificados e os resultados alcançados foram satisfatórios. Porém o presente projeto é mais sofisticado, pois colocarão em um sistema todas as informações necessárias para a gestão dos Ativos Críticos. Assim sendo, a Oi não observa outra forma para o mapeamento e classificação dos ativos críticos senão conduzidos pelas prestadoras. Caso a ANATEL adote medida oposta ao proposto pela Oi, além de dispensar precioso tempo na identificação da infraestrutura crítica, provavelmente incorrerá na identificação pouco precisa e incorreta. Por fim, a Oi reforça a relevância deste assunto e solicita que a ANATEL considere as contribuições aqui colocadas, cujo único objetivo é o de garantir a real gestão dos Ativos Críticos.
Justificativa: Conforme contribuição.
Contribuição N°: 4
ID da Contribuição: 64122
Autor da Contribuição: battistel
Data da Contribuição: 27/09/2012 17:08:20
Contribuição: Inicialmente gostaríamos de registrar e agradecer a oportunidade cedida pela Anatel de se manifestar nesta Consulta Pública sobre a intenção desta agência em contratar uma empresa para fornecimento de solução de tecnologia da informação para dar suporte às atividades de gestão de risco relacionadas à segurança das infraestruturas críticas de telecomunicações. Apesar desta nobre iniciativa da Anatel de estabelecer um controle de serviços tão importantes para o sucesso dos grandes eventos que serão sediados pelo Brasil em um futuro próximo é preciso que se leve em consideração alguns pontos destacados pela Claro no texto abaixo. A Claro gostaria de contribuir, em linhas gerais, sobre a proposta do Termo de Referência para contratação de empresa fornecedora de Solução de Tecnologia da Informação para dar suporte às atividades de gestão de risco relacionadas à segurança das infraestruturas críticas de telecomunicações. Entendemos que delegar a um terceiro a atividade de fiscalização fere o estabelecido pela LGT: Art. 22. Compete ao Conselho Diretor: (...) XII autorizar a contratação de serviços de terceiros, na forma da legislação em vigor. Parágrafo único. Fica vedada a realização por terceiros da fiscalização de competência da Agência, ressalvadas as atividades de apoio. Assim, é de suma importância que sejam definidos os limites de atuação deste fornecedor. Quanto ao Sigilo das Informações, é importante destacar aqui, que as informações repassadas à Agência, sobre a infraestrutura crítica deverão ser tratadas em caráter sigilo, sendo que são informações estratégicas. Ao transferir esta informação a um terceiro, a Agência deverá ser integralmente responsável pela destinação, tratamento e possíveis danos causados à prestadora. Sugerimos ainda que, o sistema seja auditado, por entidade externa e independente afim de garantir a inexistência de falhas na segurança. Ainda visando garantir o sigilo das informações, a Claro sugere que seja adotado controle de acesso aos dados, mapeando assim todas as movimentações de informações realizada por cada usuário do sistema. A contratação de fornecedor deverá levar em consideração o caráter estratégico das informações tratadas, sendo vedada a contratação de fornecedor que preste serviço de telecomunicações ou controlado, coligado ou controlador de prestadores de serviços de telecomunicações. Por fim, sugerimos que seja criado um grupo de trabalho formado pela Agência, fornecedor da solução contratada e prestadoras de telecomunicações com o objetivo de definir e estabelecer quais dados, periodicidade e formato serão necessários para garantir a correta alimentação do sistema.
Justificativa: Conforme exposto acima
Contribuição N°: 5
ID da Contribuição: 64123
Autor da Contribuição: emfagundes
Data da Contribuição: 27/09/2012 17:52:53
Contribuição: Contratação de empresa para fornecimento de SOLUÇÃO DE TECNOLOGIA DA INFORMAÇÃO PARA DAR SUPORTE ÀS ATIVIDADES DE GESTÃO DE RISCO RELACIONADAS À SEGURANÇA DAS INFRAESTRUTURAS CRÍTICAS DE TELECOMUNICAÇÕES, composto de software, hardware e materiais acessórios para sua instalação, sistema operacional, serviços de metodologia, modelo de gestão de tratamento e resposta a incidentes, gestão de risco, treinamento, documentação, operação assistida e suporte manutenção e, com foco prioritariamente nas sedes dos próximos grandes eventos esportivos internacionais para atender a necessidade da Anatel. Contribuição 1: separar a licitação em duas: uma para aquisição de software e hardware e outra para a parte consultiva de governança, gestão de risco e conformidade. Contribuição 2: a consulta pública menciona a monitoração de 5.000 elementos criticos de rede e, potencialmente, mais de 1 milhão de elementos. A sugestão é que os custos dos sensores ou agentes que irão monitorar os elementos de rede pertencentes as concessionários sejam absorvidos pelas próprias concessionárias.
Justificativa: Contribuição 1: Implicitamente, a proposta tem dois escopos: tecnologia da informação (hardware, software, integração de software e instalação e monitoração em tempo real das redes) e serviços consultivos de GRC (governança, gestão de risco e conformidade). Embora uma única empresa (ou consórcio) possa realizar o projeto existe um potencial risco que o conjunto (TI e Consultoria) não seja a melhor oferta técnica do mercado e possam existir, durante o projeto, várias situações de conflitos de interesses. O custo final poderá ser mais elevado, pois os custos de consultoria são sensivelmente mais elevados que os custos de implantação de software e, corre-se o risco, de serem nívelados pelo maior valor. Tendo duas empresas independentes trabalhando no projeto, o nível de qualidade tende a melhorar, pois uma sempre será a segunda visão do trabalho da outra, diminuindo o potencial de erros e falhas do projeto. Além disso, a independência de atividades pode intensificar as tarefas em paralelo. Minimiza, também, o risco de falha do projeto em caso de uma das empresas não entregar os produtos de acordo com as especificações do edital. A desvantagem dessa proposta é que a Anatel terá que assumir a responsabilidade de interagir com as duas empresas e servir de mediadora nos casos de conflito. Entretanto, a redação da consulta pública deixa implicito que a Anatel deseja adquirir conhecimento para realizar, sozinha, outras configurações de software e analises de risco. Desta forma, a desvantagem pode se tornar uma vantagem. Contribuição 2: a sugestão de compartilhamento de custos do projeto entre a Anatel e as concessionárias é que o potencial atual e futuro de elementos de redes que devem ser monitorado é muito grande e desconhecido. Se esses custos forem previstos na licitação da Anatel o custo do projeto pode ser muito elevado. Essa definição mantida no crescimento das redes, protege a Anatel de futuros gastos devido ao crescimento da rede das concessionárias.
Contribuição N°: 6
ID da Contribuição: 64124
Autor da Contribuição: TELERJC
Data da Contribuição: 27/09/2012 18:13:58
Contribuição: Preâmbulo: Contribuição de caráter geral Em primeiro lugar, o Grupo Telefônica no Brasil, prestador de diversos serviços de telecomunicações de interesse coletivo no país e um dos grandes investidores privados em infraestrutura neste setor altamente estratégico e fundamental para o desenvolvimento humano, reconhece a importância das atividades de fiscalização, avaliação e monitoramento das redes e serviços de telecomunicações. No presente caso, o Grupo Telefônica entende que a contratação de solução de tecnologia de informação para atividades de gestão de riscos relacionados à segurança das infraestruturas críticas de telecomunicações interessa não só às empresas que pretendem fornecê-la, como também às prestadoras de serviços de telecomunicações, na medida em que a solução que se pretende implementar será alimentada em parte com dados relacionados às prestadoras. Desta maneira, o Grupo se qualifica como parte legitimamente interessada no andamento das atividades relacionadas ao escopo desta Consulta Pública, e vem apresentar suas Contribuições, conforme segue. Entretanto, é necessário considerar que a Consulta foi disponibilizada publicamente no dia 14 de setembro de 2012 e seu prazo termina no dia 27 de setembro. Nota-se, portanto, o reduzido número de dias para a elaboração das contribuições, qual seja, de meros 10 (dez) dias úteis ou 13 (treze) dias corridos. Acresça-se ao reduzido prazo de contribuição o fato da Consulta Pública n 39/2012 ser bastante extensa, contendo mais de 70 (setenta) laudas, dentre a minuta do contrato principal e seus 11 (onze) anexos. Há que se observar, ainda, a grande quantidade de consultas públicas, de alta complexidade e relevância, submetidas à sociedade de forma simultânea, tais como a CP 38/2012, que trata de pedido de anulação de artigos do Regulamento de EILD, bem como a CP 40/2012, que dispõe sobre a Contratação de Solução de Controle e Gestão do Espectro e Serviços Especializados, cujas avaliações requerem a atenção dos mesmos recursos humanos e técnicos das empresas, que evidentemente são finitos. Nesse passo, o curtíssimo prazo fixado para envio de comentários não foi suficiente para que se pudesse entender em detalhes todos os impactos decorrentes da contratação pretendida. Deve ser considerado ainda que o SINDITELEBRASIL Sindicato Nacional das Empresas de Telefonia Fixa e de Serviço Móvel Pessoal, entidade patronal de primeiro grau ao qual algumas das empresas do Grupo Telefônica são filiadas, já informou à Anatel sobre as preocupações das operadoras de serviços de telecomunicações a respeito de tal prazo, por meio da Correspondência SIND 164/2012, protocolada nesta Agência sob o no 53500.020888/2012. Sendo assim, o Grupo Telefônica adverte que as Contribuições à Consulta Pública 39 ora apresentadas não possuem caráter exaustivo, e se reserva o direito de emitir comentários e opiniões adicionais, relacionados à especificação, compra, implementação, ativação e posterior operação da SOLUÇÃO DE TECNOLOGIA DA INFORMAÇÃO PARA DAR SUPORTE ÀS ATIVIDADES DE GESTÃO DE RISCO RELACIONADAS À SEGURANÇA DAS INFRAESTRUTURAS CRÍTICAS DE TELECOMUNICAÇÕES , à medida que, no entender do Grupo, tais comentários e opiniões se fizerem oportunos. Dito isto, seguem os comentários e contribuições do Grupo Telefônica identificados até o presente momento: 1. Em relação aos Objetivos da Contratação, o Grupo Telefônica entende que a identificação das infraestruturas críticas de telecomunicações, bem como dos riscos que possam afetar a segurança das mesmas, não pode, em hipótese alguma, ser feita sem a participação das Prestadoras detentoras de tais infraestruturas. 2. Quando do julgamento e aprovação, pelo Conselho Diretor da Anatel, do novo Regulamento de Fiscalização (Resolução n 596, de 06 de agosto de 2012, publicada no Diário Oficial de 09/08/2012), foi definido o significado de acesso on-line, assim entendido como sendo o modo de acesso, obtenção, coleta a apresentação de dados e informações pertinentes às obrigações da fiscalizada, mediante a utilização de aplicativos, sistemas, recursos de facilidades tecnológicos . De fato, tendo sido este o primeiro momento no qual esta d. Anatel mencionou a implantação do acesso on-line, o conselheiro-Relator do referido Regulamento, Dr. Rodrigo Zerbone Loureiro, preocupou-se em seu voto (voto este que, por sinal, foi seguido à unanimidade pelos demais membros do Conselho Diretor), em destacar que o acesso on-line representaria apenas um meio à disposição da Anatel para exercer a sua atribuição legal de fiscalizar, não constituindo, em absoluto, em desvirtuamento das finalidades da atividade do fiscal... e, acrescentando, destacou que ... pelo modo on-line a Anatel terá acesso à mesma gama de dados e informações que hoje a agência já tem acesso por outros meios, em razão da obrigação legal e contratual imposta às fiscalizadas . Ainda, e que se mostra sobremaneira relevante para a análise da presente Consulta Pública n 39/2012, é que, como destacado pelo Conselheiro Zerbone no julgamento do Regulamento de Fiscalização, já naquela ocasião a Anatel se preocupou em inserir dispositivos garantidores dos direitos dos entes fiscalizados, a saber: (i) a implantação do acesso on-line com a observância de práticas de gestão da segurança da informação, com garantia da continuidade dos serviços, preservação da segurança e integridade de dados, programas e sistemas e a confidencialidade das informações, dentre outros. (ii) o conhecimento simultâneo da realização do procedimento e a rastreabilidade dos dados e informações acessados, (iii) o tratamento sigiloso dos dados e informações, (iv) a habilitação e o credenciamento específicos dos agentes de fiscalização, bem como o registro de seus acessos, (v) a previsão de instalações especiais para a ação com ingresso controlado, (vi) a implantação e gestão do acesso on-line atribuídos ao próprio ente fiscalizado e (vii) a previsão expressa de responsabilização do agente que não proceder com o devido zelo na guarda e utilização dos dados e informações, fazer uso do acesso on-line imotivadamente e/ou revelar dados e informações sigilosas . (grifos nossos). Como se pode notar, não poderia mesmo ser outra a conduta desta d. Anatel ao reconhecer que o acesso on-line representa uma atividade delicada e estratégica, que movimenta dados sigilosos e que sua utilização representa risco de danos aos sistemas das empresas, razão pela qual estas preocupações foram devidamente tomadas por esta d. Agência naquela ocasião. Contudo, embora a Consulta Pública ora em análise trate do idêntico acesso on-line a dados e sistemas das Prestadoras que antes a d. Anatel reconheceu serem sensíveis e estratégicos, em relação às especificações da SOLUÇÃO DE TECNOLOGIA DA INFORMAÇÃO incluídas na presente Consulta Pública, e até onde foi possível verificar, o Grupo Telefônica não identificou as garantias de que tal Solução atenda aos requisitos do Regulamento de Fiscalização, aprovado pela Resolução 596/2012, e, principalmente, ao previsto no parágrafo 3 do art. 27 deste regulamento: 3. No caso de acesso on-line serão sempre assegurados à fiscalizada o conhecimento simultâneo da realização do procedimento e a rastreabilidade dos dados e informações acessados pela Anatel. Neste aspecto, causa especial preocupação o disposto no item 1.5.2. do Anexo A - 1.5 - Módulo de Redes do Termo de Referência em consulta. Em sua redação atual, este item prevê uma base de dados onde parte dos dados será alimentada pelas prestadoras de serviços de telecomunicações de forma online . Desta forma, o Grupo Telefônica gostaria de reiterar sua preocupação com a necessidade de uso correto, controlado, transparente e seguro dos sistemas das empresas prestadoras de serviços de telecomunicações. Em especial, o 3. do Art. 27 do Regulamento de Fiscalização deve ser aplicado em qualquer leitura de bases de dados alimentadas de forma online pelas prestadoras de serviços de telecomunicações. Além disso, será necessário definir, em conjunto com as prestadoras, quais informações e dados serão utilizados para tal alimentação, bem como os protocolos, formatos e periodicidades desta alimentação. Cabe salientar que, atualmente, não existe nenhum processo com tais características, e os prazos para tal implementação precisam ser muito bem avaliados. Para tal, o Grupo Telefônica sugere o estabelecimento de um Grupo de Trabalho, incluindo representantes da Anatel, das Prestadoras e do fornecedor, a ser contratado, da SOLUÇÃO DE TECNOLOGIA DA INFORMAÇÃO. A formalização do resultado desse Grupo de Trabalho (qual seja, a definição das informações e dados a serem utilizados, bem como os protocolos, formatos e periodicidades) necessariamente deve ocorrer por meio da edição de regulamentação pertinente, que também deverá ser precedida de consulta pública. Inclusive, essa regulamentação também deverá dispor a respeito do conceito de infraestruturas críticas de telecomunicações, pois o texto constante do item 2.14 do Termo de Referência é bastante abrangente, desacompanhado dos detalhes necessários para que as prestadoras possam identificar quais os elementos de rede e os serviços compreendidos nessa categoria 3. Durante o processo de desenvolvimento e implementação da SOLUÇÃO DE TECNOLOGIA DA INFORMAÇÃO, o fornecedor a ser contratado forçosamente terá acesso a informações e dados altamente sensíveis das Prestadoras de serviços de telecomunicações envolvidas, sendo que muitas dessas informações podem ter impactos relevantes na segurança da própria prestação dos serviços de telecomunicações no Brasil. Por outro lado, apesar da relação de anexos constante do item 22 mencionar ANEXO F: TERMO DE CIÊNCIA e ANEXO G: TERMO DE COMPROMISSO DE MANUTENÇÃO DE SIGILO. , tais documentos não foram incluídos na presente Consulta Pública. Além disso, o disposto nos itens 13.34 e 16.20 protegem as informações a respeito da própria SOLUÇÃO DE TECNOLOGIA DA INFORMAÇÃO e da Anatel, mas não das operadoras. Sendo assim, o Grupo Telefônica entende ser fundamental estender a obrigação do sigilo a todos os dados de terceiros, e, em especial, das prestadoras de serviços de telecomunicações, aos quais o fornecedor a ser contratado vier a ter acesso em função da execução do objeto. Ademais, o Grupo Telefônica solicita que os anexos relacionados no item 22) mas que não foram incluídos na presente Consulta Pública e, em especial, o ANEXO G: TERMO DE COMPROMISSO DE MANUTENÇÃO DE SIGILO sejam submetidos a este procedimento. Apresentadas tais manifestações iniciais, a seguir, seguem as contribuições específicas do Grupo Telefônica no Brasil para o aperfeiçoamento do texto submetido à Consulta Pública. A. Itens 3.2.1 e 3.2.2: Incluir a participação das prestadoras na identificação das infraestruturas críticas e respectivos riscos associados, alterando a redação para: 3.2.1 Identificar as infraestruturas críticas de telecomunicações, com prioridade para as sedes dos grandes eventos internacionais, em conjunto com as Prestadoras detentoras de tais infraestruturas; 3.2.2 Identificar, analisar e avaliar os riscos que possam afetar a segurança das infraestruturas críticas de telecomunicações, com prioridade para as sedes dos grandes eventos internacionais, em conjunto com as Prestadoras detentoras de tais infraestruturas; B. Item 16.20: Estender a obrigação de manutenção do sigilo para os dados e informações das prestadoras de serviços de telecomunicações que vierem a ser obtidos, alterando a redação para: 16.20 Manter sigilo de todos os dados ou informações da CONTRATANTE ou de terceiros e, especialmente, das prestadoras de serviços de telecomunicações, obtidas em função da execução do objeto;
Justificativa: A. Quanto à proposta de alteração dos itens 3.2.1.e 3.2.2: Em relação aos Objetivos da Contratação, o Grupo Telefônica entende que a identificação das infraestruturas críticas de telecomunicações, bem como dos riscos que possam afetar a segurança das mesmas, não pode, em hipótese alguma, ser feita sem a participação das Prestadoras detentoras de tais infraestruturas. B. Quanto à proposta de alteração do item 16.20: Durante o processo de desenvolvimento e implementação da SOLUÇÃO DE TECNOLOGIA DA INFORMAÇÃO, o fornecedor a ser contratado forçosamente terá acesso a informações e dados altamente sensíveis das Prestadoras de serviços de telecomunicações envolvidas, sendo que muitas dessas informações podem ter impactos relevantes na segurança da própria prestação dos serviços de telecomunicações no Brasil. Por outro lado, apesar da relação de anexos constante do item 22 mencionar ANEXO F: TERMO DE CIÊNCIA e ANEXO G: TERMO DE COMPROMISSO DE MANUTENÇÃO DE SIGILO. , tais documentos não foram incluídos na presente Consulta Pública. Além disso, o disposto nos itens 13.34 e 16.20 protegem as informações a respeito da própria SOLUÇÃO DE TECNOLOGIA DA INFORMAÇÃO e da Anatel, mas não das operadoras. Sendo assim, o Grupo Telefônica entende ser fundamental estender a obrigação do sigilo a todos os dados de terceiros, e, em especial, das prestadoras de serviços de telecomunicações, aos quais o fornecedor a ser contratado vier a ter acesso em função da execução do objeto. Ademais, o Grupo Telefônica solicita que os anexos relacionados no item 22) mas que não foram incluídos na presente Consulta Pública e, em especial, o ANEXO G: TERMO DE COMPROMISSO DE MANUTENÇÃO DE SIGILO sejam submetidos a este procedimento.
Contribuição N°: 7
ID da Contribuição: 64126
Autor da Contribuição: Tim Célula
Data da Contribuição: 27/09/2012 18:35:56
Contribuição: A solução de tecnologia da informação proposta na Consulta Pública n. 39, publicada pela Anatel em 12 de setembro de 2012, envolverá o acesso a grande quantidade de dados fornecidos pelas prestadoras de serviços de telecomunicações. Para tanto, o projeto prevê a edição de regulamentação acerca desse futuro fornecimento dos dados pelas prestadoras. Nesse contexto, a TIM entende que: 1. Do envio de dados à Anatel pelas prestadoras de serviço de telecomunicações Depreende-se da Consulta Pública em comento que a Anatel pretende implantar sistema que seja também alimentado por informações fornecidas pelas operadoras. É o que se extrai da introdução do Anexo A da Consulta Pública: A conformidade ou não conformidade com relação aos controles será informada pelas prestadoras de serviços de telecomunicações (por meio de carga de dados no software) e poderá ser fiscalizada pela Anatel. (...)Deverá ser desenvolvido um coletor de dados para receber as informações de rede acima mencionadas que deverão ser enviadas pelas prestadoras de serviços de telecomunicações (Grifos nossos) Como se vê, a Agência optou por um modelo pelo qual irá apenas acompanhar e fiscalizar o fornecimento das informações pelas prestadoras, analisando o conteúdo dos dados recebidos, sem que haja qualquer interferência direta ou remota nos dados e sistemas das próprias prestadoras de serviço. Entretanto, no Termo de Referência apresentado pela Anatel não há nenhuma definição taxativa sobre as atividades que serão monitoradas, nem maiores análise sobre como a ferramenta será utilizada e quais serão suas interações com as prestadoras, no que diz respeito às atividades de gestão de risco. O Termo de Referência indica, ainda, que a ANATEL não possui estrutura interna para gerenciar os riscos associados às redes e serviços de telecomunicações . Essa gestão atualmente já é feita pelas prestadoras e reportada à ANATEL. A TIM entende que o Regulamento a detalhar a forma de envio dessas informações deve ter como premissa, pautando-se pela eficiência, a não-duplicação dessa gestão, explicitando que se mantenha como atribuição das prestadoras, ressaltando à Anatel a função de fiscalização. De acordo com a Consulta Pública, a periodicidade e o formato do envio das informações serão definidos oportunamente pela Anatel, providência que necessariamente deve ocorrer por meio da edição de regulamentação pertinente, que também deverá ser precedida de consulta pública. Inclusive, essa regulamentação também deverá dispor a respeito do conceito de Infraestruturas Críticas de telecomunicações, pois o texto constante do item 2.14 do Termo de Referência é bastante abrangente, desacompanhado dos detalhes necessários para que as prestadoras possam identificar quais os elementos de rede e os serviços compreendidos nessa categoria. Ressalta-se, ainda, ser imprescindível a identificação das Infraestruturas Críticas que serão monitoradas, bem como dos processos que serão revistos/atualizados em função das soluções propostas, para que as operadoras possam mensurar os impactos em seus processos, bem como na performance dos elementos de rede que possam ser monitorados. Isso porque, as prestadoras já possuem plataformas e processos de monitoração de riscos, sendo ideal que permaneça a utilização destes modelos de processo e sistemas, de modo a evitar uma sobrecarga operacional. Dessa forma, as operadoras podem prover relatórios de não conformidades gerados por seus próprios sistemas de monitoramento, garantindo a Anatel as informações necessárias para a gestão geral de riscos. Acrescenta-se também que, atualmente, as operadoras trabalham com o conceito de SON (self organized network) em que novos ativos são adicionados à rede e dinamicamente reconhecidos e interligados a outros, o que inviabiliza a gestão feita por uma ferramenta externa à operadora sobre esses elementos. Um modelo que não implique interferência direta ou remota nos dados e sistemas das próprias prestadoras de serviço está de acordo com o princípio da interferência mínima na atividade privada das operadoras que prestam serviço em regime privado. Vale dizer, a atividade de fiscalização da Anatel, nesse caso, estará adstrita ao envio das informações pelas prestadoras de forma online. É esse o entendimento extraído do Item 1.5.2 do Anexo A da Consulta Pública em questão: 1.5.2. Permitir a leitura de base de dados composta com informações a serem fornecidas pela Anatel, em que parte dos dados será alimentada pelas prestadoras de serviços de telecomunicações de forma online . O documento indica que os dados serão informados pelas prestadoras de forma online e discorre sobre as informações mínimas que deve conter o arquivo. Entretanto, não há no documento referência ao escopo total das informações que serão transferidas, de modo a evitar que informações sensíveis sejam fornecidas. Além disso, deve ser claramente determinada a forma e freqüência de envio das informações, pois uma interface online demanda uma integração direta entre as plataformas das prestadoras e a ferramenta a ser desenvolvida pela Anatel, e não o envio de arquivos texto e/ou excel. Por zelar pela preservação da segurança da sua rede, pela manutenção da adequada prestação do serviço e pelo respeito aos direitos dos seus usuários, a TIM entende somente é legítimo um sistema que recebe informações das operadoras, sem qualquer interferência direta ou remota em seus bancos de dados. Entretanto, o Termo de Referência apresentado não descreve como seria definida a gestão com a entrada de novos elementos de rede durante os eventos, ou seja, se seria este um crescimento normal das redes das prestadoras. Em um mercado tão competitivo como o de telecomunicações, qualquer informação utilizada fora do escopo de fiscalização da Agência prejudicaria a liberdade de gestão e a competição. Sob o enfoque do usuário do serviço de telecomunicações, certo é que o banco de dados das operadoras contém milhares de informações sigilosas, que são protegidas por políticas internas de segurança e privacidade. Por certo, a TIM manterá sua postura de permanente disponibilidade e cooperação, contribuindo com sugestões na consulta pública que vier a ser realizada para tratar das obrigações de envio de informações que serão imputadas às prestadoras de serviços de telecomunicações, com a identificação dos dados que serão objeto de envio à Anatel e/ou inclusão no sistema, bem como dos correlatos formatos, padrões e periodicidades. A extração de informações dos ativos de rede das prestadoras não deve impactar a operação, por isso deve ser avaliada a periodicidade com que será realizada, bem como os dados que constarão no registro antes de se começar a especificar a solução de Tecnologia da Informação. 2. Da proposta de criação de Grupo de Trabalho Para o fortalecimento da política regulatória a participação de todos os atores envolvidos na formulação, é imprescindível implementação e avaliação das políticas públicas adotadas. Nesse sentido, se propõe a criação de um Grupo de Trabalho, com a participação das partes interessadas na discussão, inclusive a Anatel, que permitirá a concepção de novas ideias e soluções para a metodologia de fornecimento de informações. No Grupo de Trabalho, a participação das prestadoras de serviços de telecomunicações em conjunto com a Anatel evitará possíveis assimetrias de informação existentes entre os inúmeros atores que serão responsáveis pela implementação do sistema. Por isso, é fundamental que, antes de se iniciar um escopo de contratação da solução de TI, seja feito um alinhamento entre as operadoras e a Anatel para definir, dentre outros pontos, principalmente: (i) as responsabilidades; (ii) o perímetro de atuação; (iii) mapa de impacto sobre os sistemas existentes; (iv) fluxo de troca de informação entre a gestora de risco e as operações; (v) modelo operacional a ser utilizado; (vi) adefinição das regras de negócio do coletor de dados e, primordialmente, (vii) a definição dos requerimentos tecnológicos (interfaces) que deverão ser adotadas pela solução. Destarte, as prestadoras e a Anatel terão a oportunidade de idealizar uma metodologia sobre o envio das informações e, principalmente, colaborar na definição do padrão que deverá ser utilizado para o fornecimento dos dados, tendo em vista os diferentes modelos de redes adotados pelas prestadoras de serviços de telecomunicações. Portanto, o Grupo de Trabalho permitirá às prestadoras a compreensão exata dos dados, formato, padrão de fornecimento de informações e da futura regulamentação do tema. Por certo, a presente sugestão da TIM se mostra ainda mais relevante diante dos inúmeros pontos que precisam ser regulamentados para viabilizar a operacionalização da solução que se pretende contratar, conforme demonstrado no item I desta manifestação. Os Grupos de Trabalho são designados exatamente para desenhar os melhores modelos para implementação de obrigações impostas às prestadoras de serviços de telecomunicações, verificando-se a eficiência dessa forma de atuação, a exemplo dos seguintes casos de sucesso. GT EILD Instituído pela Portaria n 218, de 05 de março de 2010, para realizar estudos para revisão dos valores de referencia de EILD Padrão para o grupo detentor de PMS. O grupo contribuiu, inclusive, em pareceres e votos dos Conselheiros da Anatel, após a análise das contribuições apresentadas na Consulta Pública n 50. Grupo de Trabalho sobre Responsabilidade Social Instituído em junho de 2004, para discutir e incrementar o modelo de competição a partir do exercício da cidadania, no âmbito do qual há reuniões regulares para apresentação de relatórios semestrais das atividades desempenhadas. De fato, a participação dos prestadores em Grupos de Trabalho criados pela Anatel traria resultados ainda mais satisfatórios. Será possível, ainda, discutir questões já trazidas pelo projeto PICT, que trouxe um sistema de proteção e que poderia, por exemplo, ser reutilizado para os próximos eventos esportivos. Portanto, é oportuna a criação de Grupo de Trabalho em que haja a participação conjunta da Anatel e das prestadoras para operacionalização da solução de tecnologia da informação que será contratada, em adição ao Grupo de Trabalho existente, constituído por meio do Anexo da Portaria n 470, de 2 de junho de 2011, republicado com alterações pela Portaria n 430, de 4 de maio de 2012, no âmbito do qual não se tem a participação dos prestadores.
Justificativa: Justificativa acima, junto à contribuição.
Contribuição N°: 8
ID da Contribuição: 64127
Autor da Contribuição: embratel_
Data da Contribuição: 27/09/2012 19:49:30
Contribuição: EMPRESA BRASILEIRA DE TELECOMUNICAÇÕES S.A. EMBRATEL, pessoa jurídica de direito privado com sede na Av. Presidente Vargas, n 1012, Centro, Rio de Janeiro - RJ, inscrita no CNPJ / MF sob o n 33.530.486 / 0001-29, considerando o disposto na Consulta Pública n. 39/2012, vem respeitosamente à presença desta Agência apresentar suas considerações a respeito do tema em debate. Inicialmente registramos nosso apoio à iniciativa estatal de adotar medidas no sentido de promover melhorias nos controles dos serviços essenciais aos grandes eventos que se aproximam. Isso demonstra o compromisso do Brasil com o sucesso dos referidos eventos, o qual integralmente subscrevemos. Sem a cooperação entre governo e agentes privados não será possível atingir o tão esperado sucesso brasileiro. Considerando tal fato e, ainda, a relevância nos serviços de telecomunicações neste contexto, a Embratel, no intuito de contribuir em prol dos melhores resultados da ação estatal, gostaria de tecer breves comentários, em linhas bastante gerais, sobre as disposições da proposta de Termo de Referência para contratação de empresa fornecedora de Solução de Tecnologia da Informação para dar suporte às atividades de gestão de risco relacionadas à segurança das infraestruturas críticas de telecomunicações. Uma primeira consideração a apresentar é, em verdade, uma ressalva quanto à inviabilidade de elaboração de contribuições mais detalhadas acerca do supracitado documento, uma vez que o prazo disponibilizado para contribuições, tendo em vista a complexidade da matéria e a concorrência com outros processos de oitiva pública, foi considerado exíguo. Passando às considerações de mérito, recordamos que nos ensina a Lei Geral de Telecomunicações que a atividade de agência no exercício de suas competências será condicionada por uma série de princípios, dentre os quais destacamos: legalidade, razoabilidade, proporcionalidade, devido processo legal e publicidade: Art. 38. A atividade da Agência será juridicamente condicionada pelos princípios da legalidade, celeridade, finalidade, razoabilidade, proporcionalidade, impessoalidade, igualdade, devido processo legal, publicidade e moralidade. No presente processo de Consulta Pública observamos algumas propostas que, em nossa visão, não atendem aos preceitos insculpidos pelos princípios legais mencionados que também são constitucionais. Por tal motivo, visando uma melhor reflexão sobre o tema por parte de todos, passamos a destacar algumas delas. Delegação de Atividades de Fiscalização Importante registrar por oportuno que é essencial que a Agência analise as atividades que pretende delegar ao fornecedor que será contratado ao final do processo de concorrência. Vale dizer que o texto da Lei Geral de Telecomunicações (Lei n. 9.472/97 LGT ) é claríssimo ao estipular que é expressamente vedada a realização, por terceiros, da atividade de fiscalização de competência da Agência, ressalvadas as atividades de apoio, conforme disposições abaixo citadas: Art. 22. Compete ao Conselho Diretor: (...) XII autorizar a contratação de serviços de terceiros, na forma da legislação em vigor. Parágrafo único. Fica vedada a realização por terceiros da fiscalização de competência da Agência, ressalvadas as atividades de apoio. Art. 59. A Agência poderá utilizar, mediante contrato, técnicos ou empresas especializadas, inclusive consultores independentes e auditores externos, para executar atividades de sua competência, vedada a contratação para as atividades de fiscalização, salvo para as correspondentes atividades de apoio. (grifos nossos) Disposição semelhante é encontrada no Decreto Presidencial n. 2.338/1997, o Regulamento da Anatel. Vejamos: Art. 14. A Agência poderá utilizar, mediante contrato, técnicos ou empresas especializadas, inclusive consultores independentes e auditores externos, para executar indiretamente suas atividades. 1 . A fiscalização de competência da Agência será sempre objeto de execução direta, por meio de seus agentes, ressalvadas as atividades de apoio. 2 . Constitui atividades de apoio à fiscalização dos serviços de telecomunicações a execução de serviços que visam obter, analisar, consolidar ou verificar processos, procedimentos, informações e dados, inclusive, por intermédio de sistemas de medição e monitoragem. (grifos nossos) Em algumas passagens do texto colocado em Consulta Pública nos parece que durante a implantação, operação assistida e manutenção o fornecedor da solução realizará em conjunto com a Anatel atividade de fiscalização, e realizará todo o trabalho de coleta de dados, apuração, verificação, análise e juízo de valor acerca dos indicadores das prestadoras. Em nosso entendimento, tal atividade transcende a permissão legal e mostra-se incompatível com as normas vigentes. Nesta mesma linha, a Anatel já teve a oportunidade de se manifestar em decisão exarada nos autos do PADO n. 53500011781/2007, instaurado com o fito de apurar condutas relacionadas aos Planos de Serviço da Embratel. Despacho n. 5673/2009/PBCPA/PBCP/SPB, de 17 de agosto de 2009: Considerando que a atividade de fiscalização, nos termos do que dispõe o art. 14, 1 do Decreto n. 2.338/1997, deverá ser sempre objeto de execução direta, ressalvadas as atividades de apoio; Considerando que a atividade de fiscalização que originou o presente PADO foi desempenhada por auditoria independente, que executou a análise dos fatos considerados irregulares e extraiu as conclusões que levaram à instauração do PADO, o que transcende a mera execução das atividades de apoio à fiscalização; Considerando os termos do Informe Técnico n. 247/PBCPA/PBCP, de 21/07/2009; RESOLVE: DETERMINAR o arquivamento do Procedimento em tela, em razão da terceirização da atividade de fiscalização que o originou. (grifos nossos) Assim, a Embratel entende que devem ser traçados os corretos limites às ações que o fornecedor poderá tomar junto às Prestadoras de Serviços de Telecomunicações assim como o tratamento dos resultados apresentados como decorrência das citadas ações. Sigilo de Informações A proposta apresentada, em especial o item 16, demonstra uma responsabilização do fornecedor perante terceiros na ocorrência de quaisquer danos causados por defeitos de software, bem como por culpa ou dolo na execução do contrato. Destacamos que ao fornecer informações críticas de nossa rede à Anatel ou terceiros por ela contratados (não entrando aqui no mérito dos limites e legalidade da terceirização de atividades pela Agência) as prestadoras somente estão transferindo o sigilo à Agência que será integralmente responsável por eventuais danos causados às prestadoras e à sociedade em geral. Ainda com relação ao sigilo de informações, dado o caráter estratégico dos dados envolvidos com o sistema em comento, como sugestão entendemos que seria desejável que o sistema fosse auditado por entidade independente, especialista em segurança da informação, com a finalidade de verificar a existência de possíveis falhas nos controles de segurança. Seleção de Fornecedor Tendo em vista o escopo e o nível de acesso aos dados das prestadoras que se pretende conferir ao fornecedor, entendemos que, visando a garantia da confidencialidade de dados estratégicos de cada prestadora, não deve ser autorizada a contratação de fornecedor que seja prestador de serviços de telecomunicações ou controlado, coligado ou controlador de prestadores de serviços de telecomunicações. Controles de Acesso O documento proposto, em especial o Anexo A, gerou o entendimento de que os funcionários da Anatel e do fornecedor terão acesso irrestrito aos dados das prestadoras. Nesse sentido, como sugestão entendemos que se faz extremamente necessário que o sistema (i) possua log dos registros e transações realizados por cada usuário; (ii) forneça alarmes no caso de transações realizadas em determinados critérios (por exemplo: pesquisa de dados de uma determinada prestadora sempre realizados pelo mesmo usuário em curto espaço de tempo) e (iii) diferentes autorizações conforme o perfil do usuários (por exemplo: não consideramos razoável que todos os usuários possam acessar as informações de todas as prestadoras ou que todos os usuários possam gerar transações que envolvam dados de grandes períodos e múltiplas prestadoras). Esses alarmes seriam enviados aos gestores da atividade visando um melhor controle pela administração pública e a maior segurança das redes, evitando incidentes. Fornecimento de Informações à Agência O Termo de Referência em comento procura especificar um sistema a ser adquirido pela Anatel para o desenvolvimento de inúmeras atividades que suportem uma gestão de riscos relacionados à segurança das infraestruturas críticas de telecomunicações, as quais parecem, em alguns momentos, ultrapassar esse objetivo, ao prever, dentre outros aspectos, (i) que o sistema permita o controle das normas de qualidade para as prestadoras com alertas e notificações automatizadas no descumprimento dessas normas; (ii) a análise de risco das prestadoras baseada em critérios financeiros e administrativos além das informações referentes aos ativos, (iii) a indicação do estado operacional dos itens de verificação e de controle, (iv) a indicação da capacidade do item de verificação, (v) a indicação do percentual de uso da capacidade do item de verificação, (vi) a indicação do tráfego do item de verificação, (vii) a indicação do número exato ou estimado de usuários atendidos pelo elemento. Todos estes dados e informações tem previsão de ser alimentados pelas Prestadoras de Telecomunicações de forma on-line. Assim, para que tal sistema produza todas estas saídas esperadas, se previu um interfaceamento com as prestadoras de telecomunicações, demonstrado por meio de diagrama disponibilizado como documento anexo a esta CP n. 39/2012. No entanto, não fica estabelecido em toda essa documentação quais são precisamente estas informações e dados necessários, seus formatos e sua periodicidade. Tais incógnitas podem demandar dos prestadores de serviço que produzam informações que não existem nas empresas, coletem e consolidem informações específicas para alimentação do sistema, o que necessitará de desenvolvimento de software, possivelmente aquisições de hardware, com acionamento de fornecedores. Dessa forma, antes de qualquer especificação a ser realizada sobre a futura alimentação de dados e informações desse sistema é IMPERATIVO que os prestadores envolvidos participem dessa etapa do projeto, com o intuito de se buscar a minimização de custos envolvidos e evitar atrasos. A participação das prestadoras permitirá que a Anatel obtenha uma visão geral das possibilidades de entrega e os prazos envolvidos para cada prestadora. Nos ensina José dos Santos Carvalho Filho (Direito Administrativo 23 edição) que o princípio da publicidade indica que os atos da Administração devem merecer a mais ampla divulgação possível entre os administrados,e isso porque constitui fundamento do princípio propiciar-lhes a possibilidade de controlar a legitimidade da conduta dos agentes administrativos. Só com a transparência dessa conduta é que poderão os indivíduos aquilatar a legalidade ou não dos atos e o grau de eficiência de que se revestem. Ao pensarmos nas propostas apresentadas pela Anatel nesta Consulta Pública, entendemos que para atender ao determinado pelo princípio da publicidade, e sua associação ao devido processo legal, deve a administração pública estabelecer de forma clara e detalhada os procedimentos que pretenda utilizar para o exercício da atividade de monitoramento das redes e serviços. Isso porque, receber informações não importa em conseguir analisar, considerando todas as interdependências existentes, os dados neles contidos. Vejamos o exemplo dos sistemas de gerência da rede de telecomunicações. As empresas prestadoras de serviços de telecomunicações, seguindo a evolução da tecnologia, têm implantado sistemas para a gerência da planta de telecomunicações A grande dificuldade do processo de gestão de uma rede ou monitoração, como definido pela Anatel, não é gerir alarmes, parâmetros ou ocorrências, mas sim determinar qual o efeito da ocorrência no serviço prestado aos usuários (localização, dimensão e extensão). A concentração de recursos de todas as plataformas em operação na rede brasileira pode ser, ao contrário, um grande complicador, principalmente quando ocorrências simultâneas afetarem diversos pontos da rede nacional. Neste caso, o que seria recomendável para atendimento ao dever de fiscalização que a Anatel possui, é que, inicialmente, fosse definido o que se deseja obter, ou melhor, o que exatamente se deseja saber. E, a seguir, fosse definido um conjunto de informações padronizadas a ser informado por todas as prestadoras que permitisse atingir tal objetivo. Como nos ensina José dos Santos Carvalho Filho (Manual de Direito Administrativo 23 edição), para que a conduta estatal observe o princípio da proporcionalidade, há de revestir de tríplice fundamento: 1) adequação, significando que o meio empregado na atuação deve ser compatível com o fim colimado; 2) exigibilidade, porque a conduta deve ter-se por necessária, não havendo outro meio menos gravoso ou oneroso para alcançar o fim público, ou seja, o meio escolhido é o que causa menor prejuízo possível para os indivíduos; 3) proporcionalidade em sentido estrito, quando as vantagens a serem conquistadas superarem as desvantagens. Do uso do sistema pelas Prestadoras É imprescindível que as Prestadoras de Serviços de Telecomunicações participantes desse sistema tenham a oportunidade de acessar todos os relatórios e interfaces gráficas produzidas de suas próprias redes, de forma que não existam descompassos entre as informações que balizarão as decisões da Anatel e a visão da rede que a prestadora possui. Assim, podemos resumir as contribuições aqui apresentadas pela Embratel nos seguintes pontos: 1.Criação, imediatamente após a data de contratação do fornecedor, de Grupo de Trabalho formado pela Anatel, Fornecedor da Solução Contratada e Prestadoras de Serviços de Telecomunicações para definições acerca dos dados, informações, periodicidade, forma, interfaces, prazos e demais definições técnicas necessárias para viabilizar a alimentação do sistema pelas Prestadoras de Telecomunicações; 2.Seja prevista limitação das ações do fornecedor contratado para que o mesmo não realize atividades de fiscalização e que são inerentes e intransferíveis da Anatel; 3.Seja estabelecida uma política de confidencialidade de informações a ser acatada pelo fornecedor decorrente de seu acesso a quaisquer informações das prestadoras de telecomunicações, inclusive dados protegidos pelo sigilo constitucional (artigo 5 , XII, da Constituição Federal de 1988 é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal ); 4.Sejam especificados logs de acesso ao sistema para acompanhamento pela Anatel e Prestadoras de Serviços de Telecomunicações de todas as atividades que estejam sendo realizadas a partir dos dados alimentados pelas Prestadoras de Telecomunicações. 5.Não seja contratado fornecedor que seja controlado, controlador ou coligado a grupo econômico prestador de serviços de telecomunicações. 6.As Prestadoras de Telecomunicações possam utilizar a ferramenta para visualizar sua própria rede nos mesmos moldes visualizados pela Anatel. 7.Sejam observadas as previsões regulamentares do Regulamento de Fiscalização. Por todo exposto, encerramos manifestando que estamos à disposição para compor Grupo de Trabalho sobre o tema, no qual poderão ser realizadas as especificações necessárias ao sucesso da iniciativa estatal sem que tal iniciativa desrespeite os direitos das prestadoras e ponha em risco a segurança de dados estratégicos dos serviços e redes associados aos serviços de telecomunicações.
Justificativa: Conforme contribuição.
 Item:  Anexo A - Introdução

Introdução

 

O objetivo da solução de tecnologia de informação é dar apoio às atividades de gestão de riscos da Anatel relacionadas à segurança das infraestruturas críticas de telecomunicações, com foco nas sedes dos próximos grandes eventos esportivos internacionais.

 

De acordo com as Portaria n 4 e 5 GSIPR, de 27 de janeiro de 2009:

Consideram-se Infraestruturas Críticas as instalações, serviços, bens e sistemas que se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade.

 

A solução será composta por composta por software, hardware e materiais acessórios para sua instalação, sistema operacional, serviços de metodologia, modelo de gestão de tratamento e resposta a incidentes, gestão de risco, treinamento, documentação, operação assistida e suporte e manutenção de modo a atender às necessidades da Anatel.

 

A solução apresentada deverá suportar a autenticação de usuários através de certificado digital padrão ICP-Brasil. A solução poderá utilizar como padrão de autenticação do framework utilizado atualmente pela ANATEL.

 

A CONTRATADA deverá garantir a completa interoperabilidade e compatibilidade dos componentes de hardware e software utilizados na solução, particularmente em consonância com as premissas estabelecidas no documento de referência da arquitetura de Padrões de Interoperabilidade de Governo Eletrônico (e-PING), disponível no endereço eletrônico http://www.eping.e.gov.br.

 

O software deverá ter duas funcionalidades principais:

- Gestão dos riscos associados à segurança das redes de telecomunicações (itens: 1.1 a 1.4); e

- Monitoramento das redes de telecomunicações (item 1.5).

 

A gestão de riscos será feita de acordo a norma ABNT NBR ISO 31000:2009 Gestão de riscos princípios e diretrizes. O primeiro passo para a realização da gestão de riscos é elaboração de um inventário dos ativos que terão seus riscos analisados. Devido à enorme quantidade de ativos de telecomunicações existentes no país, faz-se necessário priorizar os ativos mais importantes ou estratégicos, que serão objeto da gestão de riscos. Estima-se que o número de ativos estratégicos é em torno de 5.000 (cinco mil). Os ativos que darão suporte aos grandes eventos esportivos internacionais deverão fazer parte deste rol.

 

Para a realização da gestão de riscos deverá ser estabelecido um conjunto de controles para avaliar cada ativo inventariado anteriormente. A conformidade ou não conformidade com relação aos controles será informada pelas prestadoras de serviços de telecomunicações (por meio de carga de dados no software) e poderá ser fiscalizada pela Anatel. Os controles influenciam no nível de risco dos ativos e dos serviços de telecomunicações.

 

O monitoramento das redes de telecomunicações destina-se a permitir que o regulador obtenha informações on line do estado das redes, bem como formar um histórico das condições das redes. O módulo de redes (item 1.5) do software deverá estar integrado com os módulos de gestão de risco (itens 1.1 a 1.4) de forma a permitir a troca de dados sobre os eventos relevantes ocorridos nas redes que possam influenciar no nível de risco das redes e serviços de telecomunicações.

 

Estima-se que o número de ativos a ser monitorado para todas as prestadoras de serviços de telecomunicações é de em torno 1.000.000 (um milhão). Para cada ativo estima-se ser suficiente o envio de um pacote de dados de 100 Bytes a cada 30 minutos, o que resulta num total de 100 Megabytes recebidos a cada 30 minutos.

 

Deverá ser desenvolvido um coletor de dados para receber as informações de rede acima mencionadas que deverão ser enviadas pelas prestadoras de serviços de telecomunicações.

Contribuição N°: 9
ID da Contribuição: 63922
Autor da Contribuição: lsoaresdf
Data da Contribuição: 26/09/2012 16:05:52
Contribuição: 1 - Paragráfo: A solução apresentada deverá suportar a autenticação de usuários através de certificado digital padrão ICP-Brasil. A solução poderá utilizar como padrão de autenticação do framework utilizado atualmente pela ANATEL. Deverá especificar caracteristicas técnicas do Framework a ser utilizado, ou simplesmente atender ao padrão ICP-Brasil, que é o padrão de certificação digital para todos os órgãos da esfera federal. 2 - Paragráfo: O monitoramento das redes de telecomunicações destina-se a permitir que o regulador obtenha informações on line do estado das redes... Retirar a palavra online, já que no restante do documento leva-se em consideração a atualização com base nos arquivos a serem enviados pelas operadoras a cada 30 min. 3 - Paragráfo: Estima-se que o número de ativos a ser monitorado para todas as prestadoras de serviços de telecomunicações é de em torno 1.000.000 (um milhão). Para cada ativo estima-se ser suficiente o envio de um pacote de dados de 100 Bytes a cada 30 minutos, o que resulta num total de 100 Megabytes recebidos a cada 30 minutos. Fazer distinção entre os ativos críticos e demais ativos no processo, definindo tempo de recebimento também distinto.
Justificativa: 1 - O padrão ICP-Brasil deve ser mantido como diretriz no quesito certificação, devendo todos os frameworks implementados na administração pública federal seguirem este como referência. 2 - A palavra online gera dúbia interpretação, pois em diversas partes do documento a periodicidade que as prestadoras de serviço irão enviar informações à ANATEL é de 30 minutos, sendo que a palavra online tem como interpretação o imediatismo ou em tempo real o que não ocorrerá em questão. 3 - Sabendo que cada ativo a ser monitorado possui taxa de atualização distinta, e que sua relevância também deve ser levada em consideração, ou seja, os ativos críticos devem ter atualização mínima de 30 minutos, porém outros ativos poderão ter taxa de recebimento menor a ser definida em regulamentação especifica em acordo com as empresas de telecom. Isso implica diretamente no hardware a ser utilizado para compor a solução, pois o recebimento, processamento e disponibilização desse volume de informação (1 milhão) tornaria a solução impraticável.
Contribuição N°: 10
ID da Contribuição: 64002
Autor da Contribuição: Caram
Data da Contribuição: 26/09/2012 18:15:36
Contribuição: Explicitar os meios de transmissão para Infraestrutura de Transporte. Estima-se que o número de ativos a ser monitorado para todas as prestadoras de serviços de telecomunicações é de em torno 1.000.000 (um milhão). Para cada ativo estima-se ser suficiente o envio de um pacote de dados de 100 Bytes a cada 30 minutos, o que resulta num total de 100 Megabytes recebidos a cada 30 minutos. Dentre os ativos a serem considerados, além dos elementos de rede para a prestação dos serviços de telecomunicações, deverão ser contemplados os meios de transmissão cabeados, redes de cabos ou fibras ópticas das outorgadas, bem como meios de transmissão não cabeados, redes satelitais ou microondas, abrangendo as redes de acesso e redes de entroncamento locais, nacionais e internacionais.
Justificativa: Permitir o desenvolvimento de Sistema de Gerenciamento da Infraestrutura de Transporte das Rotas de Transmissão dos sistemas cabeados e não cabeados, bem como atualização de Sistema de Rede Nacional de Fibras Ópticas.
Contribuição N°: 11
ID da Contribuição: 64113
Autor da Contribuição: evercorrea
Data da Contribuição: 27/09/2012 14:21:50
Contribuição: O CPqD sugere que sejam monitorados até 5000 ativos considerados estratégicos em termos de infraestrutura crítica de telecomunicações.
Justificativa: O monitoramento de um número superior a 5000 elementos terá um impacto significativo no preço da solução, assim como no tempo necessário para a sua implantação. Trará ainda um baixo valor agregado em termos de resultado da análise das infraestruturas críticas quando considerado o foco da aplicação da solução são os grandes eventos esportivos que ocorrerão no país nos próximos anos.
Contribuição N°: 12
ID da Contribuição: 64119
Autor da Contribuição: emfagundes
Data da Contribuição: 27/09/2012 16:38:26
Contribuição: Texto original: O software deverá ter duas funcionalidades principais: Substituir a expressão software por solução de software ou software(s) .
Justificativa: A expressão software pode limitar a oferta de soluções. Provavelmente, existem poucas softwares que atendam a todas as funcionalidades exigidas no edital e será necessário fazer uma integração envolvendo vários softwares .
 Item:  Anexo A - 1. Software de Governança, Riscos e Conformidade (GRC) e Monitoramento das redes de telecomunicações

1. Software de Governança, Riscos e Conformidade (GRC)  e Monitoramento das redes de telecomunicações

 

 

 

Deverão ser entregues como produtos da instalação os seguintes itens:

         Relatório de Instalação do Software

         Documento que comprove a licença de uso do software

         CD (ou DVD) de instalação do software

         Manual do Software em Português

 

a) REQUISITOS GERAIS

 

Baseado em padrões internacionais, como:

         ABNT NBR ISO/IEC 27002:2007

         ABNT NBR ISO 31000:2009

         ABNT NBR ISO/IEC 27005:2008

         ABNT ISO Guia 73:2009

Possuir método de medição de risco compatível com a norma ABNT NBR ISO 31000:2009.

 

A licença do software deve ser para no mínimo 100 (cem) usuários com até 40 (quarenta) usuários simultâneos.

 

Suportar acesso ao sistema de maneira autenticada e criptografada.

 

Possuir interfaces e manuais na língua portuguesa - Brasil.

 

O software deve possuir o recurso de AJUDA em português - Brasil.

 

Possuir relatórios baseados em templates customizáveis.

 

Permitir exportação dos relatórios em extensão .XLS, .RTF e .HTML

 

Caso não seja uma solução web, possibilitar a instalação de seus módulos CLIENTE, SERVIDOR e PDA (Pocket PC) em plataformas Microsoft.

 

Possibilitar integração com o LDAP - Lightweight Directory Access Protocol, permitindo assim que os usuários de acesso utilizem suas credenciais do Microsoft Active Directory (AD).

 

Possuir uma aplicação para gerenciar base de dados utilizadas no software.

 

Permitir a comunicação ao banco de dados por autenticação via SQL Server ou via Microsoft Windows. .

 

Permitir comunicação com os bancos de dados dos sistemas da Anatel e recepção e tratamento de dados fornecidos pelas prestadoras de serviços de telecomunicações em formato e interface a ser definido pela Anatel.

 

Permitir o envio de mensagem de texto para celular (SMS) e envio de e-mails para comunicação de informações relevantes geradas ou coletadas pelo sistema.

 

Possuir serviço de atualização automática da aplicação e suas bases de conhecimento por meio de um recurso de Live-Update.

 

Informar histórico de atualizações após Live-Update.

 

Permitir a definição da política de autenticação e senha.

 

Permitir gravar trilha de auditoria com as seguintes definições:

 

Ativar/desativar a gravação dos logs.

 

Definição de tamanho máximo do log em Megabyte.

 

Definição de tamanho por percentual de log ocupado para emissão de alertas.

 

Permitir a ativação de log circular (log rotate)

 

Registro das operações ocorridas, indicando no mínimo o usuário (autor da  

operação), a descrição do evento, a data e hora de cada evento.

 

Caso não seja uma solução web, efetuar log de entrada dos usuários nos módulos PDAs, SmarthPhones, integrados ao log.

 

Possuir perfis de acesso por usuários com funções definidas pela Anatel.

 

Suportar integração com sistemas internos da Anatel via XML, planilhas Excel e arquivos CSV.

 

Suportar a personalização de interfaces de administração (área de trabalho), além de permitir inclusão, exclusão ou alteração de campos de entrada de dados.

 

Permitir a definição e alteração de fluxo de trabalho conforme processos internos da Anatel.

 

Permitir integração com sistemas internos da Anatel via banco Oracle e SQL Server.

 

Suportar uso de indicadores de risco para visão executiva.

 

Prover API via web services para possibilitar que outros sistemas possam ativar funcionalidades e consumir informações da solução.

 

Suportar alteração no processo de gestão de riscos e conformidade sem necessidade de codificação, conhecimento de programação ou intervenção do fornecedor.

 

Suportar a criação de lembretes customizados para ações de envio de informações sobre itens de verificação para a Anatel por meio de email ou SMS a usuários cadastrados.

 

Exibir o cálculo de risco de forma transparente para que se saiba como um determinado índice de risco foi obtido.

 

Suportar alteração nos parâmetros de cálculo de risco sem necessidade de codificação, conhecimento de programação ou intervenção do fornecedor.

 

Exibir visão de índices de risco de maneira detalhada (por ativo) e agregado por prestadora, por região geográfica e por serviço de telecomunicação.

 

Suportar processos de tratamento de riscos de maneira customizável e sem necessidade de codificação, conhecimento de programação ou intervenção do fornecedor.

 

Suportar integração com outros sistemas da Anatel.

 

Suportar anexos como imagens e documentos.

 

Suportar a associação de incidentes com grupos internos da Anatel para acompanhamento de ações das prestadoras e da fiscalização.

 

Permitir a associação entre incidentes no sistema para análise de incidentes similares e registro dessa vinculação.

 

Permitir a análise de risco das prestadoras baseada em critérios financeiros e administrativos além das informações referentes aos ativos.

 

Suportar o controle das normas de qualidade para as prestadoras com alertas e notificações automatizadas no descumprimento dessas normas.

 

Permitir a visão de índices de conformidade por operadora, por região e pro serviço prestado.

 

Suportar dashboards web individualizados por usuário, com gráficos das informações, com controle de acesso em função de diferentes perfis de acesso.

 

NOTAS SOBRE ITENS DE VERIFICAÇÃO

 

Nota 1 - O Software de Governança, Risco e Conformidade deverá estar habilitado para trabalhar com itens de verificação.

 

Nota 2 - Quando da proposta comercial a Licitante deverá levar em conta um número ilimitado de itens de verificação. Estima-se um total de 1.000.000 (um milhão) de itens de verificação, porém, dadas as constantes inovações tecnológicas do setor de telecomunicações e a expansão constante da rede, em especial com a licitação do 4G e do 450mhz, que prevê a instalação de novos serviços no meio rural, não é possível limitar o número de ativos da rede.

 

Nota 3 - Entendem-se como itens de verificação quaisquer itens que possam ser analisados por meio do uso do Software ofertado (exemplos: estações, centrais, rotas, serviços de telecomunicações, entre outros. ).

 

 

Contribuição N°: 13
ID da Contribuição: 63923
Autor da Contribuição: lsoaresdf
Data da Contribuição: 26/09/2012 16:28:40
Contribuição: 1 - Parágrafo: Possuir serviço de atualização automática da aplicação... Devido a criticidade da aplicação, homologação e disponibilidade de internet sugere-se que a atualização da aplicação possa ser feita por pacote de atualização a ser executado em formato off-line, não havendo assim comprometimento em missões críticas que venham a causar problemas no uso do sistema em produção. 2 - Parágrafos: Ativar/desativar a gravação dos logs. / Definição de tamanho máximo do log em Megabyte. / Definição de tamanho por percentual de log ocupado para emissão de alertas. / Permitir a ativação de log circular (log rotate) Ainda tendo em vista um software de missão crítica na ANATEL, a perda de rastreabilidade deve ser preocupação da organização, sendo assim definir único critério de disponibilidade dos log por periodo em dias. 3 - Parágrafo: Nota 2 - Quando da proposta comercial a Licitante deverá levar em conta um número ilimitado de itens de verificação. Estima-se um total de 1.000.000 (um milhão) de itens de verificação... Entende-se por item de verificação um ativo ou seu componente que possa sofrer uma análise tanto no módulo de redes ou no módulo GRC, sendo assim, como mencionado anteriormente o Módulo de GRC para análises de riscos fica restrito aos ativos críticos, clarificar na Nota 2 a distinção do que será tratado no módulo de redes e demais módulos da sistema.
Justificativa: 1 - Possuir serviço de atualização por pacote de dados off-line seria o correto tendo em visto o uso crítico da aplicação, permitindo assim sua prévia homologação. 2 - Permitir que os registros de auditoria fiquem disponiveis por periodos definidos de tempo, dessa maneira reduz/mitiga o risco de perda de rastreabilidade do log. 3 - A gestão de riscos de 1 milhão de ativos leva a um esforço não dimensionavel, devendo este módulo do sistema ser utilizado somente para ações que efetivamente venham a compromenter e/ou gerar risco para a organização, estando restrita portanto a um número menor de ativos. O volume total deverá ser considerado para monitoramento e acompanhamento no módulo de redes.
Contribuição N°: 14
ID da Contribuição: 64003
Autor da Contribuição: Caram
Data da Contribuição: 26/09/2012 18:15:36
Contribuição: Explicitar os meios de transmissão para Infraestrutura de Transporte na Nota 3, referente a Itens de Verificação: Nota 3 - Entendem-se como itens de verificação quaisquer itens que possam ser analisados por meio do uso do Software ofertado (exemplos: estações, centrais, meios de transmissão cabeados, redes de cabos ou fibras ópticas das outorgadas, bem como meios de transmissão não cabeados, redes satelitais ou microondas, abrangendo as redes de acesso e redes de entroncamento locais, nacionais e internacionais, serviços de telecomunicações, entre outros. ).
Justificativa: Permitir o desenvolvimento de Sistema de Gerenciamento da Infraestrutura de Transporte das Rotas de Transmissão dos sistemas cabeados e não cabeados, bem como atualização de Sistema de Rede Nacional de Fibras Ópticas.
Contribuição N°: 15
ID da Contribuição: 64114
Autor da Contribuição: evercorrea
Data da Contribuição: 27/09/2012 14:24:34
Contribuição: O CPqD sugere a eliminação do seguinte parágrafo: Permitir a análise de risco das prestadoras baseada em critérios financeiros e administrativos além das informações referentes aos ativos.
Justificativa: O CPqD entende que a realização de análise de risco das prestadoras baseada em critérios financeiros e administrativos demanda informações de natureza estratégica das empresas operadoras.
Contribuição N°: 16
ID da Contribuição: 64128
Autor da Contribuição: HTCOM
Data da Contribuição: 27/09/2012 21:20:51
Contribuição: O sistema devera possuir suporte a mapas geoespacial.
Justificativa: Facilitar visualização dos ativos através de interface gráfica , bem como dos riscos.
 Item:  Anexo A - 1.1 - Módulo de Análilse e Avaliação

1.1 MÓDULO DE ANÁLISE E AVALIAÇÃO

 

 

1.1.1.       Permitir a configuração de uma estrutura funcional, com a finalidade de inventariar a realidade das redes e serviços de telecomunicações.

 

1.1.2.       Permitir a inclusão, edição ou deleção de áreas físicas ou lógicas  das redes e serviços de telecomunicações.

 

1.1.3.       Permitir a inserção dos itens de verificação..

 

1.1.4.       Permitir a extração do Active Diretory (AD) diretamente para a estrutura de inventário das redes e serviços de telecomunicações.

 

1.1.5.       Permitir a exportação e importação da estrutura funcional através de arquivos XML, planilhas Excel.

 

1.1.6.       Permitir a inclusão de campos customizáveis para cada item de verificação contendo: Texto, Número Real, checkbox, árvore, Data, Anexo, Multiseleção.

 

1.1.7.       Permitir a inclusão de coordenadas geográficas nas áreas da estrutura funcional, e nos itens de verificação como recurso para emissão de relatórios georreferenciados.

 

1.1.8.       Permitir a inclusão, edição ou deleção dos níveis táticos e estratégicos, bem como o grau de importância, relevância das redes e serviços de telecomunicações.

 

1.1.9.       Permitir a definição dos responsáveis, recursos-humanos, por cada área da estrutura funcional, obtendo ainda, o cadastro do e-mail, telefone, função, dentre os outros aspectos relevantes.

 

1.1.10.    Permitir a definição de gestores por área física ou lógica criada na estrutura funcional, com a finalidade de perfil de acesso.

 

1.1.11.    Permitir atribuir grau de importância (relevância) em cada item de verificação.

 

1.1.12.    Permitir atribuir grau de criticidade em cada item de verificação.

 

1.1.13.    Permitir atribuir um período de avaliação de cada item de verificação, determinando automaticamente um prazo de validade para cada análise realizada.

 

1.1.14.    Permitir a vinculação dos itens de verificação aos seus processos táticos e estes aos processos estratégicos, bem como mapear as relevâncias entre os mesmos.

 

1.1.15.    Permitir a reorganização dos objetos: áreas da estrutura funcional e itens de verificação, por meio do recurso de arrasto.

 

1.1.16.    Permitir a vinculação de bases de conhecimento a cada item de verificação para a fase de Análise.

 

1.1.17.    Permitir realizar análises de Governança.  

 

1.1.18.    Permitir criar múltiplas organizações, onde os itens de verificação e as áreas físicas e lógicas sejam distintas.

 

1.1.19.    Permitir a inserção de bases de conhecimento relativas às redes e serviços de telecomunicações para implementar o item de checagem, suas justificativas de implementação com devidas referências e fontes de ameaças relacionadas a ele.

 

1.1.20.    Possuir para os controles a possibilidade de coleta automática nos itens de verificação, respondendo desta forma a base de conhecimento sem a necessidade de utilização de recursos manuais como copia e colagem dos itens de verificação ou resposta manual.

 

1.1.21.    Permitir a verificação da situação de cada item de checagem como acatado, ou não-acatado e que não tenha relação com o ambiente.

 

1.1.22.    Permitir a diferenciação das bases de conhecimento que estejam  em produção e desenvolvimento.

 

1.1.23.    Permitir a exportação para edição inserindo um usuário específico que terá acesso por meio de senha.

 

1.1.24.    Permitir exportar/importar a base de conhecimento em desenvolvimento para formato XLS.

 

1.1.25.    Permitir controle de versão das bases de conhecimento em desenvolvimento.

 

1.1.26.    Permitir criação de grupos de itens de checagem para melhoria da visualização e geração de relatórios.

 

1.1.27.    Permitir a visualização do histórico de versionamento com as alterações realizadas em cada versão.

 

1.1.28.    Permitir definição do grau de exposição ao risco conforme Norma ABNT NBR ISO 31000 (eventos em potencial/consequência).

 

1.1.29.    Permitir a inclusão de novas ameaças.

 

1.1.30.    Permitir a vinculação de uma ou mais ameaças por item de checagem.

 

1.1.31.    Possibilitar a definição de Responsável e Substituto do projeto.

 

1.1.32.    Possibilitar a cópia de projetos existentes com ou sem informação dos riscos ou conformidade já identificados.

 

1.1.33.    Permitir a inclusão de itens de verificação ou área física ou lógica completa definida na estrutura funcional, como escopo do projeto de análise.

 

1.1.34.    Possibilitar definir responsáveis por checagem em cada item de verificação.

 

1.1.35.    Possibilitar a visualização do status de checagem em percentual de completude.

 

1.1.36.    Possibilitar o armazenamento da data de abertura e fechamento dos projetos de análise.

 

1.1.37.    Possuir indicação da situação do projeto em Aberto e Concluído.

 

1.1.38.    Possuir campos de descrição e informações para preenchimento e detalhamento do projeto.

 

1.1.39.    Permitir a seleção do escopo por meio de filtragem por: itens de verificação, área física ou lógica, níveis estratégicos e táticos e campos customizáveis.

 

1.1.40.    Permitir a exportação do escopo definido para os formatos Excel e HTML.

 

1.1.41.    Possibilitar a seleção de campos para visualização dos itens a serem analisados.

 

1.1.42.    Cada campo deve permitir ser ordenado.

 

1.1.43.    Cada campo deve permitir ser filtrado aplicando lógica se necessário.

 

1.1.44.    Permitir salvar a customização definida dos campos apresentados.

 

1.1.45.    Permitir a visualização do somatório dos itens de verificação de acordo com os filtros aplicados.

 

1.1.46.    Permitir que os questionários sejam visualizados em múltiplos projetos pelos gestores.

 

1.1.47.    Possuir Coletor Web.

 

1.1.48.    Permitir que as análises sejam respondidas em formato web.

 

1.1.49.    Permitir realizar customizações na forma como as perguntas são apresentadas.

 

1.1.50.    Permitir o envio destes questionários por e-mail para o usuário atribuído no projeto de análise.

 

1.1.51.    Permitir que seja solicitada senha para visualização do questionário web, afim de validar o usuário.

 

1.1.52.    Permitir a inserção de comentários para cada item de checagem.

 

1.1.53.    Permitir a inserção de anexos de qualquer tipo para cada item de checagem.

 

1.1.54.    Possuir Coletor PDAs/SmartPhones/Tablets

 

1.1.55.    Permitir o uso de aparelhos do tipo Personal Device Assistant, SmartPhone e Tablets utilizando Windows Mobile,Mac iOS ou Android.

 

1.1.56.    Permitir a autenticação com usuário e senha para visualização das bases de conhecimento.

 

1.1.57.    Permitir a coleta de evidências do tipo imagem e áudio através dos dispositivos para cada item de checagem.

 

1.1.58.    Permitir a coleta do georreferenciamento em cada item de checagem respondido.

 

1.1.59.    Permitir a resposta dos questionários em modo online, ou off-line, caso não seja uma solução web.

 

1.1.60.    Permitir o envio de modo online direto para a base do software.

 

1.1.61.    Possuir Coletor Software.

 

1.1.62.    Permitir a exportação do checklist para formato Excel.

 

1.1.63.    Permitir a alteração do grau de exposição ao risco para cada item de checagem.

 

1.1.64.    Permitir a exportação para formato off-line, podendo ser atribuído autenticação com usuário e senha.

 

1.1.65.    Permitir atribuir responsável específico para análise.

 

1.1.66.    Permitir a inserção de comentários para cada item de checagem.

 

1.1.67.    Permitir a verificação durante a resposta de como implementar o item de checagem, suas justificativa de implementação com devidas referencias e fontes e ameaças.

 

1.1.68.    Permitir a inserção de anexos em qualquer formato.

 

1.1.69.    Permitir as respostas em modo prático, podendo ser selecionados mais de um item de checagem por vez.

 

1.1.70.    Possuir informe visual da quantidade de itens de checagem respondidos, quantos acatadas, não acatados e que não se aplicam ao ambiente.

 

1.1.71.    Permitir realizar buscas dentro do questionário por palavras chaves, podendo distinguir as buscas em: Item de checagem, justificativas de implementação, os comentários feitos pelos analistas, ameaças ou referências.

 

1.1.72.    Permitir que o checklist seja fechado evitando modificações.

 

1.1.73.    Permitir que o questionário após seu fechamento ser visualizado em modo de leitura (sem  modificações).

 

1.1.74.    Permitir visualização do histórico do checklist, possuindo no mínimo: data e hora da inserção no projeto de análise, nome do usuário, procedimento realizado (abertura, fechamento, modificações, etc).

 

1.1.75.    Permitir a avaliação da conformidade, de forma automática com base em um projeto de análise de riscos dos itens de checagem.

 

1.1.76.    Permitir a visualização da associação de cada item de checagem quanto aos requisitos dos frameworks relacionados a ele.

 

1.1.77.    Permitir criar escalas de conformidades e maturidades.

 

1.1.78.    Permitir verificar a conformidade em relação aos itens de checagem presentes nos projetos de análise em aberto ou concluído.

 

1.1.79.    Permitir filtro da data de fechamento limite para seleção dos projetos de análise que serão confrontados com os frameworks a serem definidos.

 

1.1.80.    Permitir mecanismo de resposta automática para os requisitos dos frame

works a serem definidos.

 

1.1.81.    Possuir mecanismo capaz de exportar os frameworks respondidos ou não em formato HTML.

 

1.1.82.    Permitir a emissão de Relatórios.

 

1.1.83.    Permitir a geração de relatório de conformidade mostrando a quantidade de itens de checagem relacionados a cada requisito do framework.

 

1.1.84.    Permitir a geração de relatório detalhado de conformidade mostrando quais são os controles relacionados a cada requisito do framework.

 

1.1.85.    Todos os relatórios devem possuir meios de filtragem.

 

1.1.86.    Emitir relatório executivo que contém informações de índices de todas as redes e serviços de telecomunicações, de ameaças possíveis, de agentes de ameaças possíveis, processos de nível tático e estratégico, além de orientações para a gestão de riscos.

 

1.1.87.    Emitir relatório executivo que contém uma visão de scorecard, ou seja, obter graficamente  informações de todo um projeto no formato de painel de controle.

 

1.1.88.    Emitir uma representação gráfica que permite visualizar a interdependência de um item de verificação com sua camada tática e esta a sua camada estratégica, bem como os índices encontrados no momento de análise de riscos, obtendo assim uma visão de governança da segurança de infraestrutura crítica de telecomunicações.

 

1.1.89.    Emitir relatório operacional que permite visualizar os comentários realizados na análise de riscos.

 

1.1.90.    Exibir anexos do tipo imagem para cada item de verificação.

 

1.1.91.    Exibir situações não conformes.

 

1.1.92.    Exibir as boas práticas definidas na fase de metodologia de gestão de risco.

 

1.1.93.    Permitir agrupamento de acordo com a estrutura da base de conhecimento.

 

1.1.94.    Emitir uma visão de georeferenciamento das áreas da estrutura funcional, obtendo assim uma visão por cor dos níveis de riscos de acordo com os itens de verificação analisados.

 

1.1.95.    Emitir uma visão de georeferenciamento dos itens de verificação, obtendo assim uma visão por cor dos níveis de riscos de cada base de conhecimento analisada.

 

1.1.96.    Permitir a geração de relatório apresentando a consolidação dos comentários registrados nos itens de checagem durante o projeto.

 

1.1.97.     Permitir ordenação por item de checagem.

 

1.1.98.     Permitir ordenação por item de verificação.

 

1.1.99.    Permitir a geração de relatório contendo a estrutura física e lógica mapeadas nas redes e serviços de telecomunicações  na   organização apresentando, no mínimo, :

 

1.1.99.1.          descrição de cada item e o .

 

1.1.99.2.         responsável pelo item.

 

1.1.100.Emitir planilhas por ameaça, por itens de verificação, por situações de existência ou não de boas práticas, distribuição dos riscos em cada camada (tática e estratégica), dentre outros.

 

1.1.101.Permitir a inclusão e retirada, customização, de diferentes colunas nas planilhas.

 

1.1.102. Emitir gráficos com informações, como: Risco por ameaça, por base de conhecimento, por camada estratégica e tática, dentro outros.

 

1.1.103. Permitir realizar a exportação dos gráficos gerados.

 

1.1.104.Permitir a criação de Planos de ação.

 

1.1.105.Permitir criar responsáveis e substitutos para cada plano de ação.

 

1.1.106.Possuir indicação da situação do plano de ação em aberto e concluído.

 

1.1.107.Possuir campos de descrição e informações para preenchimento e detalhamento do plano de ação.

 

1.1.111 Permitir a seleção de escopo através de filtros, com:

 

- Itens de verificação

 

- Projetos de análises

 

- Camadas táticas e estratégicas

 

- Bases de conhecimento

 

1.1.112 Permitir realizar a tomada de decisão de aceitação ou não de um risco encontrado com sua justificativa.

 

1.1.113 Permitir documentar os riscos aceitáveis encontrados.

 

1.1.114 Permitir criar tarefas consolidadas ou individuais para as partes envolvidas e/ou interessadas.

 

1.1.115 Permitir exibição detalhada de cada item de checagem a ser tratado.

 

1.1.116 Permitir visualizar os itens ainda não tratados.

 

1.1.117 Permitir categorizar no Plano de ação a urgência para a devida priorização no tratamento dos riscos.

 

1.1.118 Permitir o envio dos riscos não aceitáveis para o tratamento dinâmico em um recurso com interface web, para interação das partes envolvidas e interessadas.

 

1.1.119 Permitir a exportação do escopo do plano de ação definido para os formatos Excel e HTML.

Contribuição N°: 17
ID da Contribuição: 63925
Autor da Contribuição: lsoaresdf
Data da Contribuição: 26/09/2012 16:48:41
Contribuição: 1 - Parágrafo: 1.1.18. Permitir criar múltiplas organizações, onde os itens de verificação e as áreas físicas e lógicas sejam distintas. Entende como multiplas organizações estruturas segregadas através de controle de acesso do sistema, já que a organização é somente uma - ANATEL, porém querendo organizar as informações, seus ativos, análises e processos mapeados deve permitir que sejam distintos e segregados através da estrutura de acesso lógico ao sistema. 2 - Parágrafo: 1.1.23. Permitir a exportação para edição inserindo um usuário específico que terá acesso por meio de senha. Não fica claro como deve ser tratado a edição por este usuário, e como o parágrafo seguinte já contempla a exportação para o formato XLS deveria ser o suficiente para atendimento ao item. 3 - Parágrafo: 1.1.64. Permitir a exportação para formato off-line, podendo ser atribuído autenticação com usuário e senha. Como na contribuição anterior, deveria contemplar somente um formato padrão de mercado (xls, doc etc) para edição, mantendo assim as caracteristicas de mobilidade.
Justificativa: 1 - O paragráfo deve contemplar a segregação lógica das informações através do controle de acesso, mantendo assim uma informação mais geral e melhorar qualquer dúbia intepretação a respeito da múltipla organização. 2 - O padrão XLS contemplado no parágrafo seguinte é um padrão comum de mercado que ao ser exportado permite uma edição fora do sistema e atendendo aos quesitos de mobilidade. 3 - Não fica claro como será feita essa edição do item exportado, sendo assim, utilizar padrões de mercado abrange maior número de aplicações que poderão utilizar desse recurso.
Contribuição N°: 18
ID da Contribuição: 64121
Autor da Contribuição: emfagundes
Data da Contribuição: 27/09/2012 17:04:15
Contribuição: 1.1.19. Permitir a inserção de bases de conhecimento relativas às redes e serviços de telecomunicações para implementar o item de checagem, suas justificativas de implementação com devidas referências e fontes de ameaças relacionadas a ele. Contribuição: Permitir a importação de bases de conhecimento externas a partir de um formarto de descrição de dados definido pela Anatel. A conversão dos formatos será de responsabilidade das concessionárias.
Justificativa: Item muito genérico. Caso a expressão bases de conhecimento se aplique também as bases das concessionárias poderá trazer um esforço grande para fazer a integração, tendo em vista a multiplicidade de bases de conhecimento das operadoras. Desta forma, sugiro definir que a importação de dados de bases de conhecimento externas devem ser feitas através de um formarto único definido pela Anatel e que as concessionárias devem entregar os arquivos de importação no formato especificado.
Contribuição N°: 19
ID da Contribuição: 64129
Autor da Contribuição: HTCOM
Data da Contribuição: 27/09/2012 23:07:47
Contribuição: Implementar funções espacial (contem , interseção , pertence , não pertence , etc..) para avaliação de ativos , riscos e medidas através informação ou logicas pertinentes.
Justificativa: Analise Espacial da informação relacionada a área ocorrida.
 Item:  Anexo A - 1.2 - Módulo de Painel de Controle

1.2 MÓDULO DE PAINEL DE CONTROLE

 

1.2.1 Possuir interface Web para monitoramento dos indicadores

 

1.2.2 Possuir interface de autenticação (usuário e senha) para acesso.

 

1.2.3 Permitir selecionar a qual organização (caso possua mais de uma) deseja acesso.

 

1.2.4 Possuir serviço agregado ao sistema operacional onde seja possível efetuar o processamento dos gráficos por período pré-determinado.

 

1.2.5 Possibilidade de criação de gráficos a partir das análises realizadas.

 

1.2.6 Criação de gráficos consultando bancos SQL Server através de QUERY .

 

1.2.7 Deve ser apresentada na mesma interface dos demais gráficos.

 

1.2.8 Possibilidade de autenticação ao banco de Dados por usuário e senha ou integrada ao Windows.

 

1.2.9 Criação de gráficos em diferentes projetos realizados.

 

1.2.10 Todos os gráficos devem possuir mecanismo de controle de visualização e modificação, permitindo:

 

a. Somente o criador visualizá-lo.

b. Somente o criador poderá modificá-lo, outros podem visualizar

c. Gráfico público, todos visualizam, somente autor edita.

d. Todos com acesso ao sistema podem alterar e visualizar.

e. Possibilidade de seleção de indicadores gráficos criados a partir de:

 

            - Risco encontrado.

 

            - Índice de segurança.

 

            - Índice de conformidade.

 

            - Quantidade de itens de verificação cadastrados no sistema.

 

            - Quantidade de questionamentos conformes.

 

            - Quantidade de questionamentos não conformes.

 

1.2.11 Agrupamentos dos gráficos em:

 

            - Ameaças aos elementos cadastrados.

 

            - Bases de conhecimentos geradas.

 

            - Itens de verificação das análises.

 

            - Áreas físicas ou lógicas cadastradas.

 

            - Itens de checagem.

 

            - Nível de Risco.

 

            - Camada estratégica

 

            - Camada Tática

 

            - Responsável pelos elementos cadastrados.

 

            - Grupos de Itens de checagem.

 

1.2.12 Possibilidade de visualização em tipos distintos de gráficos 2D e 3D, dentre eles:

a. Radar.

b. Pizza.

c. Barras.

d. Linhas.

e. Rosca.

f. Áreas.

 

1.2.13 Possibilidade de visualização gráfica do histórico das análises por:

a. Determinada época.

b. Série Histórica.

 

1.2.14 Permite a Inserção de filtros baseadas em:

 

            - Escolha por elementos cadastrados.

 

            - Responsável pelos elementos cadastrados.

 

            - Agrupamentos criados dentro das bases de conhecimento.

 

            - Camada Tática.

 

            - Camada Estratégica.

 

            - Nível do risco identificado.

 

            - Fontes potenciais de danos.

 

            - Causador da fonte potencial de dano.

 

1.2.15 Permitir o agrupamento dos gráficos criados em painéis de controles pré-selecionados.

 

1.2.16 Permitir agrupar gráficos de análises e consulta a banco SQL Server.

 

1.2.17 Permitir a divisão do painel em linhas e colunas, cada campo contando um gráfico distinto.

 

1.2.18 Permitir aumentar e/ou diminuir o nível de detalhamento dos gráficos, imergindo em um de seus componentes formadores.

 

1.2.19 Permitir a mudança do tipo de gráfico mesmo após sua definição inicial.

 

1.2.20 Mostrar Legendas e/ou Rótulo dos gráficos.

 

1.2.21 Permitir a mudança de senha dos usuários na interface do painel de indicadores.

 

1.2.22 Permitir cópia das configurações dos gráficos ou do painel.

 

1.2.23 Permitir visualizar o responsável pela ultima modificação do gráfico ou painel.

 

1.2.24 Permitir exportar os valores dos gráficos para formato XLS.

Contribuição N°: 20
ID da Contribuição: 63926
Autor da Contribuição: lsoaresdf
Data da Contribuição: 26/09/2012 16:50:00
Contribuição: Parágrafo: 1.2.3 Permitir selecionar a qual organização (caso possua mais de uma) deseja acesso. Entende como múltiplas organizações estruturas segregadas através de controle de acesso do sistema, já que a organização é somente uma - ANATEL, porém querendo organizar as informações, seus ativos, análises e processos mapeados deve permitir que sejam distintos e segregados através da estrutura de acesso lógico ao sistema.
Justificativa: O paragrafo deve contemplar a segregação lógica das informações através do controle de acesso, mantendo assim uma informação mais geral e melhorar qualquer dúbia intepretação a respeito da múltipla organização.
Contribuição N°: 21
ID da Contribuição: 64130
Autor da Contribuição: HTCOM
Data da Contribuição: 27/09/2012 23:23:25
Contribuição: Customização de área de trabalho por usuários de forma configurada por área e departamento.
Justificativa: Aumento da produtividade do usuário em função das atribuições individuais ou do grupo que pertença.
 Item:  Anexo A - 1.3 - Módulo de Tratamento

1.3 MÓDULO DE TRATAMENTO - CONTROLE DE AÇÕES

 

1.3.1 Possuir interface Web para controle das ações.

 

1.3.2 Possuir interface de autenticação (usuário e senha) para acesso.

 

1.3.3 Permitir selecionar a qual organização (caso possua mais de uma) deseja acesso.

 

1.3.4 Permitir a definição de grupos de regras de acesso diferentes das vinculadas ao software.

 

1.3.5 Perfis de acesso com diversos usuários associados a determinado grupo de regras.

 

1.3.6 Permitir a visualização da relação estabelecida entre os grupos de regra e os perfis de acesso.

 

1.3.7 Permitir o envio de mensagem institucional ao usuário ao efetuar logon.

 

1.3.8 Possibilitar o cadastro de mensagens ao usuário com informações e arquivos anexados.

 

1.3.9 Possuir envio de alertas para as partes envolvidas e interessadas para cada inclusão ou atualização de informação nos eventos.

 

1.3.10 Emitir relatórios por camada estratégica e tática, por urgência, por impacto ou severidade, por grupos de tratamento, entre outros.

 

1.3.11 Projetar interfaces web com informações gráficas em:

 

            - Pizza das quantidades de ações x urgência.

 

            - Quantidade de ações x impacto ou severidade

 

            - Tabelas com as áreas e percentuais de ações tratadas ou em tratamento

 

            - Dez ações com maiores urgências e possíveis impactos nas camadas táticas e estratégicas.

 

1.3.16 Possuir atualização automática das projeções das telas web com informações gráficas.

 

1.3.17 Permitir a customização dos textos do recurso de alertas, quanto a:

 

            - Atualização de uma ação.

 

            - Nova ação.

 

            - Qualquer mudança de priorização.

 

            - Inclusão de novos alertados (agentes externos e áreas de interesse).

 

            - Vinculação com camadas táticas e estratégicas dentre outros aspectos relevantes.

 

1.3.18 Permitir a inserção de ações diretamente do software (Plano de Ação) e/ou o cadastramento de ações com ao menos os seguintes itens:

 

            - Descritivo da ação.

 

            - Resumo (Título).

 

            - Associar item de verificação proveniente da organização.

 

            - Grau de urgência no tratamento da ação.

 

            - Grau de severidade para o processo.

 

            - Atribuição do responsável a ação.

 

            - Criação de grupos de tratamento para a ação.

 

            - Possibilidade de mensuração da ação segundo critérios da instituição.

 

            - Definição de prazo de conclusão da ação.

 

            - Definição de Local da ação.

 

1.3.19 Permitir associar agente externo (sem acesso ao sistema) para que receba informações das ações.

 

1.3.20 Permitir a importação de novas ações utilizando planilhas pré-definidas em formato XLS.

 

1.3.21 Permitir a listagem das ações para fácil identificação, contendo:

 

            - Customização dos campos apresentados.

 

            - Filtro para cada campo escolhido.

 

            - Ordenação por cada campo escolhido

 

            - Edição múltipla das ações listadas.

 

            - Fechamento de forma simultânea de diversas ações.

 

            - Cancelamento de forma simultânea de diversas ações.

 

            - Seleção da quantidade de ações a serem exibidas.

 

            - Exportação da seleção de ações para formato XLS.

 

1.3.22 Permitir o acompanhamento das ações, com os seguintes atributos:

 

            - Atualização das ações com níveis de urgência e criticidade.

 

            - Inclusão de novas atividades.

 

            - Possibilidade de direcionamento de grupo de tratamento responsável pela atividade.

 

            - Atribuição de novos valores para ação.

 

            - Possibilidade de fechar a ação.

 

            - Possibilidade de anexar arquivos.

 

1.3.23 Permitir a geração dos seguintes relatórios das ações:

 

            - Por status da ação (aberta, fechada, etc).

 

            - Por data (dia de abertura, fechamento, atualização).

 

            - Pelo grau de urgência.

 

            - Por áreas associadas aos eventos.

 

            - Visualização rápida das ações mais urgentes.

 

1.3.24 Permitir o envio de forma automática de relatórios diários com a situação das ações em tratamento.

 

1.3.25 Permitir listagem das atividades relacionadas para cada uma das ações.

 

1.3.26 Permitir exportação para formato XLS.

 

1.3.27 Permitir listagem da mensuração atribuída pela organização para cada uma das suas ações.

 

1.3.28 Permitir que as ações sejam georreferenciadas.

 

1.3.29 Permitir visualização das ações no mapa de acordo com as coordenadas estabelecidas.

Contribuição N°: 22
ID da Contribuição: 63929
Autor da Contribuição: lsoaresdf
Data da Contribuição: 26/09/2012 17:02:56
Contribuição: Paragrafo: 1.3.3 Permitir selecionar a qual organização (caso possua mais de uma) deseja acesso. Entende como múltiplas organizações estruturas segregadas através de controle de acesso do sistema, já que a organização é somente uma - ANATEL, porém querendo organizar as informações, seus ativos, tratamento, incidentes e ações deve permitir que sejam distintos e segregados através da estrutura de acesso lógico ao sistema.
Justificativa: O paragrafo deve contemplar a segregação lógica das informações através do controle de acesso, mantendo assim uma informação mais geral e melhorar qualquer dúbia intepretação a respeito da múltipla organização.
Contribuição N°: 23
ID da Contribuição: 64110
Autor da Contribuição: ISPM
Data da Contribuição: 27/09/2012 11:16:40
Contribuição: 1 - Todas as atividades executadas na plataforma de Service Desk fornecida deverão alimentar automaticamente a base de conhecimento da ANATEL, contendo, ao menos: Detalhamento da solicitação, Descrição detalhada de todas as ações realizadas no sistema contendo o passo a passo da execução, Data e Hora de Execução e Responsável. 2 - Criar capítulo especifico para módulo de Service Desk, baseado no descritivo já apresentado.
Justificativa: 1 - Tal ação otimizará o tempo de tratativa dado pelo usuário ao incidente, reduzindo MTTR, e aumentando a produtividade do mesmo. 2 - As ações de atribuição de responsabilidade, reconhecimento e alteração de prioridade estão diretamente interligadas ao escopo de Service Operation do ITIL, e fazem parte da Gerencia de Incidentes, Problemas, Requisições de Serviços. Portanto subentende-se que há também necessidade de ferramenta de Service Desk
 Item:  Anexo A - 1.5 - Módulo de Redes

1.5. MÓDULO DE REDES

 

1.5.1.       Permitir a estruturação da topologia da rede de telecomunicações baseada em correlação entre os itens de verificação, considerados para este módulo como sendo os elementos de rede, de forma a permitir a avaliação do grau de relevância destes itens de verificação, levando-se em conta a hierarquia entre os elementos de rede.

1.5.2.       Permitir a leitura de base de dados composta com informações a serem fornecidas pela Anatel, em que parte dos dados será alimentada pelas prestadoras de serviços de telecomunicações de forma online, que conterá no mínimo:

1.5.2.1.              Elementos de Rede e Rotas de Transmissão número único padronizado pela Anatel

1.5.2.2.              Coordenadas geográficas dos itens de verificação (Elementos de Rede e Rotas de Transmissão)

1.5.2.3.              Status indicar o estado operacional dos itens de verificação e de controle

1.5.2.4.              Prestadora Responsável indicar qual operadora é responsável pelo item de verificação

1.5.2.5.              Capacidade Instalada indicar a capacidade do item de verificação

1.5.2.6.              Ocupação indicar o percentual de uso da capacidade do item de verificação

1.5.2.7.              Tráfego indicar o tráfego do item de verificação

1.5.2.8.              Usuários número exato ou estimado de usuários atendidos pelo elemento

1.5.2.9.              Serviço Associado indicar qual serviço de telecomunicações o item de verificação está associado

1.5.2.10.       Correlação/hierarquia com outros elementos correlacionar dependência dos elementos mapeados entre si, quando viável

1.5.2.11.       Alarme de eventos críticos.

1.5.3.       Permitir o armazenamento de eventos relevantes, sendo o status um indicador passível de atualização constante.

1.5.4.       Os dados mencionados devem ser passíveis de visualização em mapa do país com possibilidade de avaliação nacional, regional ou municipal.

1.5.5.       Permitir integração para visualização em ferramentas de GIS (Geographic Information
System).

1.5.6.       O inventário deverá mesclar informações de banco de dados de sistemas em operação na Anatel com as informações a serem informadas pelas prestadoras.

1.5.7.       Permitir a exportação e importação de dados através de arquivos tipo texto, XML e planilhas Excel.

1.5.8.       Permitir a inclusão de campos customizáveis para cada item de verificação contendo: texto, número Real, checkbox, árvore, data, anexo, multisseleção, diagrama e figura.

1.5.9.       Permitir a correlação entre elementos de uma prestadora, de forma que a interdependência entre itens de verificação (centrais, plataformas, transmissão e rede de acesso) seja estruturada.

1.5.10.    Permitir a caracterização de importância dos elementos, por serviços, prestadoras e áreas de atendimento.

1.5.11.    Permitir a definição da importância dos elementos considerando o tráfego cursado e/ou a quantidade de usuários atendidos ou localização estratégica do elemento.

1.5.12.    Permitir filtros e pesquisas, em forma gráfica, em mapa e em planilha de forma a garantir a análise e relatórios por prestadora, serviço e localidades com base nos elementos supervisionados.

1.5.13.    Permitir a visualização da topologia remotamente através de ferramenta Web browser.

1.5.14.    Permitir alteração da topologia pela Anatel em forma gráfica através de ferramenta Web browser com o uso de senhas de acesso.

1.5.15.    Permitir a interpretação de dados referentes à relação hierárquica dos itens de verificação de forma a definir a topologia (física e lógica) das redes de telecomunicações;

1.5.16.    Permitir filtro de hierarquia dos itens de verificação;

1.5.17.    Permitir a representação gráfica da relação hierárquica dos elementos de verificação por meio de diagramas;

1.5.18.    Permitir a simulação de incidentes ou de aumento de tráfego envolvendo itens de verificação, com vistas a estimar o impacto do incidente e/ou verificar se a rede suportaria um aumento eventual do tráfego cursado;

1.5.19.    Possibilitar o armazenamento dos eventos e correlacioná-los com os itens de verificação.

1.5.20.    Deverá ser possível a correlação desses eventos recebidos com eventos externos (datas especiais, grandes eventos, previsões climáticas e etc.);

1.5.21.    Possibilitar o controle dos dados enviados pelas prestadoras, de forma que eles tenham uma periodicidade mínima estabelecida. Em caso de falha nesta periodicidade, deverá haver formas automáticas de notificação à prestadora e à Anatel.

1.5.22.    Permitir a visualização dos eventos em forma de mapas, com recursos de cores indicando a severidade do evento e facilidades de ampliação da visualização (drill down) até o item de verificação que originou o evento.

1.5.23.    Permitir o armazenamento dos eventos de interrupção ou degradação dos serviços/sistemas que devem conter no mínimo: data e hora da ocorrência, data e hora da normalização, motivo causador, descrição, serviços e regiões impactados (informar degradações e interrupções), capacidade de transmissão impactada; Contingências adotadas; Medidas adotadas para solução do problema e notícias dadas à sociedade da referida interrupção.

1.5.24.    Permitir a notificação em tempo real por e-mail e mensagens para dispositivos móveis, de forma a dar ciência de eventos considerados relevantes.

1.5.25.    Permitir a extração de dados dos Sistemas e bases de dados existentes na Agência.

1.5.26.    Indicar para cada elemento sua capacidade de tráfego instalada.

1.5.27.    Indicar para cada elemento a capacidade utilizada de acordo com as informações e periodicidade recebidas.

1.5.28.    Permitir a análise histórica gráfica dos dados de capacidade, tráfego e ocupação dos elementos, com informações de até 10 anos.

1.5.29.    Alertar graficamente e por relatórios casos de ocupação críticos a serem definidos conjuntamente com a Agência.

1.5.30.    Permitir uma extrapolação de tráfego nos elementos, de forma a analisar o impacto nas redes, com simulação de elevação ou redução de carga, de forma a auxiliar na indicação de riscos em especial para as localidades dos grandes eventos internacionais.

1.5.31.    Permitir a simulação de impacto, via interface gráfica, com a indisponibilidade de elementos, indicando perda de capacidade na rede inserida, bem como os usuários, serviços e localidades afetados.

1.5.32.    Permitir a integração com os demais módulos.

1.5.33.    Deverá ser realizada a especificação e implementação de um coletor de dados para recebimento dos arquivos a serem disponibilizados pelas prestadoras de serviços de telecomunicações, com as seguintes características mínimas:

1.5.33.1.         A especificação dos arquivos de carga de dados deverá ser validada pela Anatel;

1.5.33.2.         Os arquivos deverão ser disponibilizados em formato XML, podendo ou não ser compactados;

1.5.33.3.         Os campos dos arquivos deverão conter, no mínimo, os seguintes dados:

                        Ordem (ou sequência);

                        Nome da prestadora de serviço de telecomunicações;

                        Nome do ativo;

                        Tipo do ativo;

                        Código do ativo nos sistemas da Anatel;

                        Hierarquia do ativo na topologia da rede;

                        Coordenadas geográficas do ativo;

                        Capacidade máxima;

                        Volume de tráfego;

                        Status do ativo (operação / interrupção);

                        Nível de bloqueio do ativo;

                        Data e hora de início da interrupção do ativo (em caso de interrupção);

                        Data e hora de normalização do ativo (em caso de volta à operação);

                        Motivo da interrupção;

                        Observação: texto para descrição da interrupção, identificação do problema, serviços e regiões impactadas, capacidade impactada, contingências adotadas, etc.

1.5.33.4.         As regras de negócio do coletor de dados deverão ser validadas pela Anatel;

1.5.33.5.         O coletor de dados deverá ser compatível e integrado aos sistemas da Anatel;

 

Contribuição N°: 24
ID da Contribuição: 63924
Autor da Contribuição: carlile
Data da Contribuição: 26/09/2012 17:46:26
Contribuição: Contribuição 1: Monitoração de indicadores, a solução deverá permitir: Criação simplificada de novos indicadores, desde que os dados já estejam disponibilizados ao sistema. Exemplos de indicadores são: volume de chamadas, taxa de congestionamento e afins. Tratamento de múltiplas perspectivas de análise, levando em consideração parâmetros de agrupamento das medidas em questão. Como exemplo de perspectivas temos geografia (índice de congestionamento por cidade ou bairro), tipo de equipamento, por elemento de rede ou por hierarquia. Criação de gráficos relacionados a indicadores específicos. Criação de dashboards de trabalho e visualização para divulgação de informação. Contribuição 2: Capacidade da solução para processamento em tempo real dos dados recebidos, e consolidação dos dados em indicadores diversos, ou seja, assim que os dados forem fornecidos pelos sistemas, seu tempo de processamento deve ser quase instantâneo. Isto significa que os dados devem ser processados em um tempo curto (a ser definido), após serem recebidos com a periodicidade de 30 minutos Contribuição 3: Análise gráfica comparativa de indicadores distintos no decorrer do tempo, com mecanismos de buscas automáticas que levam em consideração oscilação de valores em todo o histórico armazenado, e não apenas a apresentação de dados históricos, assim como análise gráfica comparativa de indicadores com valores históricos. Contribuição 4: Funcionalidades de Drill up e Drill down em gráficos para auxílio a análise de anomalias Contribuição 5: A solução deve poder ainda monitorar em tempo real os indicadores processados, em suas distintas perspectivas e elementos monitorados, e para cada um dos elementos, deve ser capaz de analisar condições previamente definidas. Cada regra pode estar associada a várias severidades, de acordo com combinações de valores desejadas. É fundamental que estas regras sejam criadas pelos próprios usuários, não demandando qualquer alteração de código fonte, ou serviço de customização especializada. Quando uma regra for infringida, alertas devem ser gerados para grupos de usuários específicos. Contribuição 6: A solução deve ainda prover conceitos de segurança de informação relacionada a classificação de acesso a dados, permitindo que usuários distintos possam ter acesso a indicadores diferentes, de acordo com os grupos aos quais pertencem. Deve ainda possibilitar aos administradores do sistema disponibilizar acesso a grupos de usuários para dados de cada elemento de rede específico, região específica ou qualquer outra perspectiva de análise. Deve ainda prover restrição de acesso aos dashboards de visualização criados pelos usuários, levando em consideração os grupos aos quais os usuários pertencem. Contribuição 7: Explicitar parâmetros de disponibilidade (como, por exemplo, critérios para recuperação de falhas, ou seja, o sistema se recupera sozinho de um problema ou demanda ações humanas, e ainda o tempo necessário para tal ação) e escalabilidade da solução Contribuição 8: Antecipar a data de entrega do módulo de redes para 01/04.
Justificativa: Justificativa Contribuição 1: Esta funcionalidade proporcionará a capacidade de modelagem avançada, permitindo ao usuário final criar novos conceitos de maneira simples e sem requerer qualquer tipo de codificação ou contratação adicional de serviços para tal. Justificativa Contribuição 2: Esta capacidade de processamento é relevante para permitir que o sistema não entre em sobrecarga ou demande intervenção humana para processar os eventos na janela de 30 minutos. Justificativa Contribuição 3: Esta funcionalidade serve para auxiliar na busca de um comportamento (por exemplo, um pico de tráfego) em toda a base histórica da plataforma e também para exibir, lado a lado, o valor de um índice calculado para o momento atual em comparação com o que ocorreu em um momento histórico, como por exemplo, comparar o volume de tráfego de um bairro com o volume do mesmo bairro no ano anterior Justificativa Contribuição 4: Permite explorar todos os eventos de qualquer indicador que demande uma análise mais detalhada. Justificativa Contribuição 5: Esta funcionalidade possibilitará a detecção automática de anomalias, ou seja, mudança no comportamento habitual dos elementos de rede, sem que o sistema não dependa de parametrizações humanas iniciais Justificativa Contribuição 6: Permitirá aos administradores classificar seus usuários em relação a sua função no sistema (por exemplo, se o usuário é um administrador, um analista ou se pode apenas visualizar os dados consolidados) e ao grau de acesso aos dados (que determina quais índices, e ainda para quais elementos cada usuário tem acesso Justificativa Contribuição 7: Estes critérios permitirão, por exemplo, definir que o sistema reinicie sem intervenção humana, no caso de falta de energia, e também determinar a capacidade máxima da solução mesmo que inicialmente os volumes de procesamento contratos sejam menor. A possibilidade de escalabilidade da solução preserverá os investimentos inciais da ANATEL, pois não seria necessário substituição da plataforma contratada. Justificativa Contribuição 8: Esta antecipação da entrega do módulo de redes, permitirá a ANATEL realizar testes piloto deste módulo durante a Copa das Confederações seguindo o mesmo requerido para os demais módulos da solução
Contribuição N°: 25
ID da Contribuição: 64024
Autor da Contribuição: lsoaresdf
Data da Contribuição: 26/09/2012 18:27:45
Contribuição: Entende-se que pelas carcteristicas do Módulo de redes, este pode ser segregado em dois módulos: Falhas e Desempenho, ou outras que a ANATEL possa considerar relevantes. Essa segregação pemitirá também que o Módulo possa ter funcionalidades já presentes para o primeiro projeto Piloto (Copa das Confederações), o que será últil para validação e testes do sistema em ambiente real, permitindo ajustes para entrega em definitivo junto com as demais funcionalidades. Com isso poderá ser segregado a entrega em dois pontos distintos, sendo cada entrega composta por uma número de funcionalidades que a ANATEL considere mais relevante para cada momento. 1 - Paragrafo: 1.5.2. Permitir a leitura de base de dados composta com informações a serem fornecidas pela Anatel, em que parte dos dados será alimentada pelas prestadoras de serviços de telecomunicações de forma online, que conterá no mínimo: A palavra online gera dúbia interpretação, pois em diversas partes do documento a periodicidade que as prestadoras de serviço irão enviar informações à ANATEL é de 30 minutos, sendo que a palavra online tem como interpretação o imediatismo ou em tempo real o que não ocorrerá em questão.
Justificativa: 1 - Retirar a palavra online já que a periodicidade será a cada 30 minutos pelo menos para os ativos críticos.
Contribuição N°: 26
ID da Contribuição: 64111
Autor da Contribuição: ISPM
Data da Contribuição: 27/09/2012 11:12:04
Contribuição: Solicitar relatórios de tendências conforme módulo ITIL Capacity Manager
Justificativa: Entendemos que a análise de tendências, faz parte da área de gerencia de configuração.
Contribuição N°: 27
ID da Contribuição: 64115
Autor da Contribuição: evercorrea
Data da Contribuição: 27/09/2012 14:32:19
Contribuição: Sugere-se a eliminação dos itens 1.5.18,1.5.30 e 1.5.31 e a criação de um módulo específico de simulação. Segue sugestão de texto com as características mínimas deste módulo: Módulo de Simulação de Incidentes na infraestruturas críticas Permitir a implantação de um modelo das redes de telecomunicações e de cenários de simulação em um sistema de software para auxiliar a Anatel na melhor previsibilidade de incidentes; Permitir simular a interdependência entre as redes, segundo critérios funcionais e geográficos, da propagação de incidentes de segurança e da avaliação de impacto; Permitir a modelagem para análise de cenários de riscos e simular situações especiais de riscos e/ou de condições operacionais e assim elevar a previsibilidade sobre o comportamento destas redes de comunicações; Permitir a simulação de incidentes ou de aumento de tráfego envolvendo itens de verificação, com vistas a estimar o impacto do incidente e/ou verificar se a rede suportaria um aumento eventual do tráfego cursado; Permitir uma extrapolação de tráfego nos elementos, de forma a analisar o impacto nas redes, com simulação de elevação ou redução de carga, de forma a auxiliar na indicação de riscos em especial para as localidades dos grandes eventos internacionais; Permitir a simulação de impacto, via interface gráfica, com a indisponibilidade de elementos, indicando perda de capacidade na rede inserida, bem como os usuários, serviços e localidades afetados.
Justificativa: Considerando que o desenvolvimento de um simulador de redes demanda modelagem de elevada complexidade, assim como uma especificação bastante detalhada, sugerimos esta demanda seja tratada em módulo separado.
Contribuição N°: 28
ID da Contribuição: 64125
Autor da Contribuição: TELERJC
Data da Contribuição: 27/09/2012 18:13:58
Contribuição: A. Garantir que a utilização da SOLUÇÃO DE TECNOLOGIA DA INFORMAÇÃO atenda ao previsto no parágrafo 3 do art. 27 do Regulamento de Fiscalização, aprovado pela Resolução 596/2012, alterando a redação do item 1.5.2 para: 1.5.2. Respeitando-se o disposto no parágrafo 3 do art. 27 do Regulamento de Fiscalização, aprovado pela Resolução 596/2012, permitir a leitura de base de dados composta com informações a serem fornecidas pela Anatel, em que parte dos dados será alimentada pelas prestadoras de serviços de telecomunicações de forma online, que conterá no mínimo: B. Inserir novo item 1.5.2.A , prevendo o estabelecimento de Grupo de Trabalho, com a participação de representantes da Anatel, das Prestadoras e do fornecedor a ser contratado, para a definição dos dados das prestadoras que serão utilizados para alimentar os dados mencionados no item 1.5.2, com a seguinte redação: 1.5.2.A. Será constituído um Grupo de Trabalho, com a participação de representantes da Anatel, das Prestadoras e do fornecedor a ser contratado, para a definição das informações e dados que serão utilizados para a alimentação das bases de dados mencionada no item 1.5.2., bem como os protocolos, formatos e periodicidades desta alimentação.
Justificativa: A. Quanto à alteração do item 1.5.2.: Em relação às especificações da SOLUÇÃO DE TECNOLOGIA DA INFORMAÇÃO incluídas na presente Consulta Pública, e até onde foi possível verificar, o Grupo Telefônica não identificou as garantias de que tal Solução atenda aos requisitos do Regulamento de Fiscalização, aprovado pela Resolução 596/2012, e, principalmente, ao previsto no parágrafo 3 do art. 27 deste regulamento: 3. No caso de acesso on-line serão sempre assegurados à fiscalizada o conhecimento simultâneo da realização do procedimento e a rastreabilidade dos dados e informações acessados pela Anatel. Neste aspecto, causa especial preocupação o disposto no item 1.5.2. do Anexo A - 1.5 - Módulo de Redes do Termo de Referência em consulta. Em sua redação atual, este item prevê uma base de dados onde parte dos dados será alimentada pelas prestadoras de serviços de telecomunicações de forma online . Desta forma, o Grupo Telefônica gostaria de reiterar sua preocupação com a necessidade de uso correto, controlado, transparente e seguro dos sistemas das empresas prestadoras de serviços de telecomunicações. Em especial, o 3. do Art. 27 do Regulamento de Fiscalização deve ser aplicado em qualquer leitura de bases de dados alimentadas de forma online pelas prestadoras de serviços de telecomunicações. B. Quanto á proposta do novo item 1.5.2.A: Será necessário definir, em conjunto com as prestadoras dos serviços de telecomunicações, quais informações e dados serão utilizados para tal alimentação, bem como os protocolos, formatos e periodicidades desta alimentação. Cabe salientar que, atualmente, não existe nenhum processo com tais características, e os prazos para tal implementação precisam ser muito bem avaliados. Para tal, o Grupo Telefônica sugere o estabelecimento de um Grupo de Trabalho, incluindo representantes da Anatel, das Prestadoras e do fornecedor, a ser contratado, da SOLUÇÃO DE TECNOLOGIA DA INFORMAÇÃO. A formalização do resultado desse Grupo de Trabalho (qual seja, a definição das informações e dados a serem utilizados, bem como os protocolos, formatos e periodicidades) necessariamente deve ocorrer por meio da edição de regulamentação pertinente, que também deverá ser precedida de consulta pública. Inclusive, essa regulamentação também deverá dispor a respeito do conceito de infraestruturas críticas de telecomunicações, pois o texto constante do item 2.14 do Termo de Referência é bastante abrangente, desacompanhado dos detalhes necessários para que as prestadoras possam identificar quais os elementos de rede e os serviços compreendidos nessa categoria
Contribuição N°: 29
ID da Contribuição: 64131
Autor da Contribuição: HTCOM
Data da Contribuição: 27/09/2012 23:57:39
Contribuição: O protocolo de comunicação entre os ativos e o Modulo de rede devera ser aberto e baseado e padrões de mercado. Ex SNMP.
Justificativa: Maior facilidade de manutenção , criação e integração com os sistemas de Gerencia das Operadoras de Telecomunicações
 Item:  Anexo A - 2.1 - Metodologia de Gestão de Riscos

2.1. METODOLOGIA DE GESTÃO DE RISCOS

 

2.1.1. Projeto com a finalidade de elaborar e desenvolver uma metodologia de gestão de riscos, tendo como referência a Norma ABNT NBR ISO 31000 e objetivo gerenciar o risco de segurança das infraestruturas críticas de telecomunicações sob dois contextos:

 

a)       Redes de telecomunicações

 

Este nível contextualiza a gestão de riscos do setor sob o ponto de vista dos elementos das redes de telecomunicações, tais como: estações de telecomunicações (como: centrais telefônicas, estações rádio base, etc), rotas de transmissão de dados (como: rotas de fibra óptica, link de rádio, etc),

 

Os dados necessários para fazer a gestão de riscos deste nível serão obtidos das prestadoras de serviços de telecomunicações. Estes dados dizem respeito às características da rede de telecomunicações como: tráfego, percentual de ocupação do elemento de rede, indisponibilidade do elemento de rede, etc.

 

Estima-se um total de 1.000.000 (um milhão) de elementos de rede a serem inventariados (itens de verificação), no entanto, dada a dinâmica da inovação tecnológica do setor, o número de itens de verificação podem extrapolar esta previsão em poucos anos. Estima-se o recebimento de um pacote de dados (como: status, capacidade, ocupação, bloqueio, data e hora do início e fim de uma interrupção; e a causa da interrupção) a cada 30 minutos para cada elemento de rede. As informações recebidas por este pacote de dados deverão ser representadas pelo software por meio do Módulo de Redes (Item 2.5), de modo a possibilitar o monitoramento das redes de telecomunicações pela Anatel.

 

Os elementos de rede considerados como estratégicos deverão ter o seu risco analisado pelo software, utilizando a metodologia de gestão de riscos definida neste item. Estima-se um total de 5.000 (cinco mil) elementos de rede estratégicos que serão objeto de gestão de risco.

 

É de responsabilidade da contratada a definição, em comum com a Anatel, dos critérios para seleção dos elementos de rede considerados estratégicos.

 

É de responsabilidade da contratada: definir, em comum acordo com a Anatel, o padrão e a periodicidade do pacote de dados a ser enviado pelas prestadoras de telecomunicações para carregamento no software, levando-se em conta as estimativas acima.

 

É de responsabilidade da Anatel: determinar às prestadoras de telecomunicações o envio do pacote de dados no padrão e na periodicidade definidos.

 

 

 

 

b)      Serviços de telecomunicações

 

Este nível contextualiza a gestão de riscos sob o ponto de vista dos serviços de telecomunicações, considerando que a Anatel é responsável pela regulação e fiscalização destes serviços.

 

Entende-se que os itens de verificação a serem inventariados são os principais serviços de telecomunicações (SMP, SME, STFC, SCM, TV por assinatura, etc) das principais prestadores de serviços de telecomunicações estratificados a nível de município.

 

Os dados necessários para fazer a gestão de riscos deste nível serão obtidos, à priori, nos sistemas da Anatel.

 

É de responsabilidade da contratada: avaliar os sistemas da Anatel que contém dados necessários para a gestão de risco das infraestruturas críticas de telecomunicações e desenvolver APIs (Application Programming Interface) para troca de dados entre o Software e os sistemas da Anatel.

 

 

2.1.1.1. A metodologia proposta deverá ser aderente a metodologia do Software de Governança, Riscos e Conformidade ofertado como forma de proporcionar um processo de gestão de riscos efetivo das redes e serviços de telecomunicações no Brasil, no âmbito da Anatel.

 

2.1.1.2. Deverá ser apresentado o fluxo de trabalho da metodologia considerando os processos definidos na metodologia onde as etapas do processo sejam passíveis de serem executados no Software de Governança, Riscos e Conformidade ofertado.

 

2.1.2. PRODUTOS ESPERADOS:

 

2.1.2.1. Processo de Gestão de Riscos para os contextos de redes e de serviços de telecomunicações, envolvendo:

 

i.                    Estabelecimento do Contexto e Framework

 

i.1 Generalidades

 

- devem ser estabelecidos os parâmetros externos e internos a serem levados em consideração para gerenciar riscos;

- devem ser estabelecido o escopo e os critérios de risco para o restante do processo.

 

i.2 Estabelecimento do contexto externo

 

O contexto externo pode incluir, mas não está limitado a:

- ambientes cultural, social, político, legal, regulatório, financeiro, tecnológico, econômico, natural e competitivo, quer seja internacional, nacional, regional ou local;

- relações com as partes interessadas externas e suas percepções de valores

 

i.3 Estabelecimento do contexto interno

 

O contexto interno é algo dentro da Anatel que pode influenciar a maneira pela qual a Agência gerenciará os riscos.

O processo de gestão de riscos deve estar alinhado com a cultura, processos, estrutura e estratégia da Anatel.

Deve ser compreendido o contexto interno. Isto pode incluir, mas não está limitado a:

- governança, estrutura organizacional, funções e responsabilidades;

- políticas, objetivos e estratégias implementadas para atingi-los;

- capacidades, entendidas em termos de recursos e conhecimentos (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias);

- sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e informais);

- relações com as partes interessadas internas, e suas percepções e valores;

- cultura da Anatel;

- normas, diretrizes e modelos adotados pela Anatel.

 

i.4 Estabelecimento do contexto do processo de gestão de riscos

 

O contexto do processo de gestão de riscos deve contemplar:

 

- definição das metas e objetivos das atividades de gestão de riscos;

- definição das responsabilidades pelo processo e dentro da gestão de riscos;

- definição do escopo, bem como da profundidade e da amplitude das atividades da gestão de riscos a serem realizadas;

- definição das metodologias de processo de avaliação de riscos;

- definição da forma como são avaliados o desempenho e a eficácia da gestão de riscos;

- identificação e especificação das decisões que têm que ser tomadas;

 

i.5 Definição dos critérios de risco

 

Devem ser definidos os critérios utilizados para avaliar a significância do risco. Os critérios devem refletir os valores, objetivos e recursos da Anatel. Alguns critérios podem ser impostos por, ou derivados de requisitos legais e regulatórios.

 

Ao definir os critérios de risco, convém que os fatores a serem considerados incluam os seguintes aspectos:

- a natureza e os tipos de causas e de consequências que podem ocorrer e como elas serão medidas;

- como a probabilidade será definida;

- a evolução no tempo da probabilidade e/ou consequência(s);

- como o nível de risco deve ser determinado;

- os pontos de vista das partes interessadas;

- o nível em que o risco se torna aceitável ou tolerável; e

- se convém que combinações de múltiplos riscos sejam levadas em consideração e, em caso afirmativo, como e quais combinações convém que sejam consideradas.

 

ii.    Processo de avaliação de riscos

 

ii.1 Generalidades

 

O processo de avaliação de riscos é o processo global de identificação de riscos, análise de riscos e avaliação de riscos

 

ii.2 Identificação de riscos

 

Devem ser identificadas a fontes de risco, áreas de impactos, eventos (incluindo mudanças nas circunstâncias) e suas causas e consequências potenciais. A finalidade desta etapa é gerar uma lista abrangente dos riscos baseados nestes eventos que possam criar, aumentar, evitar, reduzir, acelerar, ou atrasar a realização dos objetivos. A identificação abrangente é crítica, pois um risco que não é identificado nesta fase não será incluído em análises posteriores.

 

A identificação deve incluir todos os riscos, estando suas fontes sob o controle da Anatel ou não, mesmo que as fontes ou causas dos riscos possam não ser evidentes. Convém que a identificação dos riscos inclua o exame de reações em cadeia provocadas por consequências específicas, incluindo os efeitos cumulativos e em cascata. Convém que também seja considerada uma ampla gama de consequências, ainda que a fonte ou causa do risco não esteja evidente. Além de identificar o que pode acontecer, é necessário considerar possíveis causas e cenários que mostrem quais consequências podem ocorrer. Convém que todas as causas e consequências significativas sejam consideradas.

 

Devem ser aplicadas ferramentas e técnicas de identificação de riscos que sejam adequadas aos objetivos e capacidades da Anatel e aos riscos enfrentados. Informações pertinentes e atualizadas são importantes na identificação de riscos. Convém que incluam informações adequadas sobre os fatos por trás dos acontecimentos, sempre que possível. Pessoas com um conhecimento adequado devem ser envolvidas na identificação dos riscos

 

ii.3 Análise de riscos

 

A análise de riscos envolve desenvolver a compreensão dos riscos. A análise de riscos fornece uma entrada  para a avaliação de riscos e para as decisões sobre a necessidades dos riscos serem tratados, e sobre as estratégias e métodos mais adequados de tratamento dos riscos. A análise de riscos também pode fornecer uma entrada para a tomada de decisões em que escolhas precisam ser feitas e as opções envolvem diferentes tipos e níveis de risco.

 

A análise de riscos envolve a apreciação das causas e as fontes de risco, suas consequências positivas e negativas, e a probabilidade de que essas consequências possam ocorrer. Os fatores que afetam as consequências e a probabilidade sejam identificados. O risco é analisado determinando-se as consequências e sua probabilidade, e outros atributos do risco. Um evento pode ter várias consequências e pode afetar vários objetivos. Os controles existentes e sua eficácia devem ser levados em consideração.

 

A forma que as consequências e a probabilidade são expressas e o modo com que elas são combinadas para determinar um nível de risco devem refletir o tipo de risco, as informações disponíveis e a finalidade para a qual a saída do processo de avaliação de riscos será utilizada. Isso deve ser compatível com um critério de risco. Também deve ser considerada a interdependência dos diferentes riscos e suas fontes.

 

A confiança na determinação do nível de risco e sua sensibilidade a condições prévias e premissas devem ser consideradas na análise e comunicadas eficazmente para os tomadores de decisão e, quando apropriado, a outras partes interessadas. Convém que sejam estabelecidos e ressaltados fatores como a divergência de opinião entre especialistas, a incerteza, a disponibilidade, a qualidade, a quantidade e a contínua pertinência das informações, ou as limitações sobre a modelagem.

 

A análise de riscos pode ser realizada com diversos graus de detalhe, dependendo do risco, da finalidade da análise e das informações, dados e recursos disponíveis. Dependendo das circunstâncias, a análise pode ser qualitativa, semiquantitativa ou quantitativa, ou uma combinação destas.

 

As consequências e suas probabilidades podem ser determinadas por modelagem dos resultados de um evento ou conjunto de eventos, ou por extrapolação a partir de estudos experimentais ou a partir dos dados disponíveis. As consequências podem ser expressas em termos de impactos tangíveis e intangíveis. Em alguns casos, é necessário mais que um valor numérico ou descritor para especificar as consequências e suas probabilidades em diferentes períodos, locais, grupos ou situações.

 

ii.4 Avaliação de riscos

 

A finalidade da avaliação de riscos é auxiliar na tomada de decisões com base nos resultados da análise de riscos, sobre quais riscos necessitam de tratamento e a prioridade para a implementação do tratamento.

 

A avaliação dos riscos envolve comparar o nível de risco encontrado durante o processo de análise com os critérios de risco estabelecidos quanto o contexto foi considerado. Com base nesta comparação, a necessidade do tratamento pode ser considerada.

 

Convém, que as decisões levem em conta o contexto mais amplo do risco e considerem a tolerância aos riscos assumida por partes que não a própria Anatel. As decisões devem ser tomadas de acordo com os requisitos legais, regulatórios e outros requisitos.

 

Em algumas circunstâncias, a avaliação dos riscos pode levar à decisão de se proceder a uma análise mais aprofundada. A avaliação dos riscos também pode levar à decisão de não se tratar o risco de nenhuma outra forma que seja manter os controles existentes. Esta decisão será influenciada pela atitude perante o risco da Anatel e pelos critérios de risco que foram estabelecidos.

 

 

iii. Tratamento de riscos

 

iii.1 Generalidades

 

O tratamento de riscos envolve a seleção de uma ou mais opções para modificar os riscos e a implementação dessas opções. Uma vez implementado, o tratamento fornece novos controles ou modifica os existentes.

 

Tratar riscos envolve um processo cíclico composto por:

- avaliação do tratamento de riscos já realizado;

- decisão se os níveis de risco residual são toleráveis;

- se não forem toleráveis, a definição e implementação de um novo tratamento para os riscos; e

- avaliação da eficácia desse tratamento

 

As opções de tratamento de riscos não são necessariamente mutuamente exclusivas ou adequadas em todas as circunstâncias. As opções podem incluir os seguintes aspectos:

- ação de evitar o risco ao se decidir não iniciar ou descontinuar atividade que dá origem ao risco;

- tomada ou aumento do risco na tentativa de tirar proveito de uma oportunidade;

- remoção da fonte de risco;

- alteração da probabilidade;

- alteração das consequências;

- compartilhamento do risco com outra parte ou partes (incluindo contratos e financiamento do risco); e

- retenção do risco por uma decisão consciente e bem embasada.

 

iii.2 Seleção das opções de tratamento de riscos

 

Selecionar a opção mais adequada de tratamento de riscos envolve equilibrar, de um lado, os custos e os esforços de implementação e, de outro, os benefícios decorrentes, relativos a requisitos legais, regulatórios ou quaisquer outros, tais como a responsabilidade social e o da proteção do ambiente natural. As decisões também devem levar em consideração os riscos que demandam um tratamento economicamente não justificável, como, por exemplo, riscos severos (com grande consequência negativa), porém raros (com probabilidade muito baixa).

 

Várias opções de tratamento podem ser consideradas e aplicadas individualmente ou combinadas. A Anatel, normalmente, beneficia-se com a adoção de uma combinação de opções de tratamento.

 

Ao selecionar as opções de tratamento de riscos, devem ser considerados os valores e as percepções das partes interessadas, e as formas mais adequadas para se comunicar com elas. Quando as opções de tratamento de riscos podem afetar o risco no resto da Anatel ou com as partes interessadas, convém que a decisão seja levada ao órgão máximo de decisão da Agência. Embora igualmente eficazes, alguns tratamentos podem ser mais aceitáveis para algumas das partes interessadas do que para outras.

 

O plano de tratamento deve identificar claramente a ordem de prioridade em que cada tratamento deva ser implementado.

 

O tratamento de riscos, por si só, pode introduzir riscos. Um risco significativo pode derivar do fracasso ou da ineficácia das medidas de tratamento de riscos. O monitoramento precisa fazer parte do plano de tratamento de forma a garantir que as medidas permaneçam eficazes.

 

O tratamento de riscos também pode introduzir riscos secundários que necessitam ser avaliados, tratados, monitorados e analisados criticamente. Esses novos riscos secundários devem ser incorporados no mesmo plano de tratamento do risco original e não tratados como um novo risco. A ligação entre esses riscos deve ser identificada e preservada.

 

iii.3 Preparação e implementação dos planos de tratamento de riscos.

 

A finalidade dos planos de tratamento de riscos é documentar como as opções de tratamento escolhidas serão implementadas. As informações fornecidas nos planos de tratamento devem incluir:

- as razões para a seleção das opções de tratamento, incluindo os benefícios que se espera obter;

- os responsáveis pela aprovação do plano e os responsáveis pela implementação do plano;

- ações propostas;

- os recursos requeridos, incluindo contingências;

- medidas de desempenho e restrições;

- requisitos para a apresentação de informações de monitoramento; e

- cronograma de programação

 

Os planos de tratamento devem ser integrados com os processos de gestão da organização e discutidos com as partes interessadas apropriadas;

 

Os tomadores de decisão e as partes interessadas devem estar cientes da natureza e da extensão do risco residual após o tratamento do risco. O risco residual deve ser documentado e submetido a monitoramento, análise crítica e, quando apropriado, a tratamento condicional.

 

iv. Comunicação e consulta

 

A comunicação e a consulta às partes interessadas internas e externas devem ocorrer durante todas as fases do processo de gestão de riscos.

 

Os planos de comunicação e consulta devem ser desenvolvidos em um estágio inicial. Estes planos devem abordar questões relacionadas com o risco propriamente dito, suas causas, suas consequências (se conhecidas) e as medidas que estão sendo tomadas para trata-los. A comunicação e consulta interna e externa devem ser eficazes a fim de assegurar que os responsáveis pela implementação do processo de gestão de riscos e as partes interessadas compreendam os fundamentos sobre os quais as decisões são tomadas e as razões pelas quais ações específicas são requeridas.

 

A equipe de consultores da contratada, em comum acordo com a Anatel, deverá:

 

auxiliar a estabelecer o contexto apropriadamente;

assegurar que os interesses das partes interessadas sejam compreendidos e considerados;

auxiliar a assegurar que os riscos sejam identificados adequadamente;

reunir diferentes áreas de especialização em conjunto para análise de riscos;

assegurar que diferentes pontos de vista sejam devidamente considerados quando da definição dos critérios de risco e na avaliação dos riscos;

garantir o aval e o apoio para um plano de tratamento;

aprimorar a gestão de mudanças durante o processo de gestão de riscos; e

desenvolver um plano apropriado para comunicação e consulta interna e externa.

 

v. Monitoramento e análise crítica

 

O monitoramento e análise crítica devem ser planejados como parte do processo de gestão de riscos e envolve a checagem ou vigilância regulares. Podem ser periódicos ou acontecer em resposta a um fato específico.

 

As reponsabilidades relativas ao monitoramento e à análise crítica devem ser definidos.

 

Os processos de monitoramento e análise crítica devem abranger todos os aspectos do processo de gestão de risco com a finalidade de:

- garantir que os controles sejam eficazes e eficientes no projeto e na operação;

- obter informações adicionais para melhorar o processo de avaliação de riscos;

- analisar os eventos (incluindo os quase incidentes ), mudanças, tendências, sucessos e fracassos e aprender com eles;

- detectar mudanças no contexto externo e interno, incluindo alterações nos critérios de risco e no próprio risco, as quais podem requerer revisão dos tratamentos dos riscos e suas prioridades; e

- identificar os riscos emergentes.

 

O progresso na implementação dos planos de tratamento de riscos proporciona uma medida de desempenho. Os resultados podem ser incorporados na gestão, na mensuração e na apresentação (tanto externa quanto internamente) a respeito do desempenho global da Anatel.

 

Os resultados do monitoramento e da análise crítica devem ser registrados e reportados externa e internamente conforme apropriado, e também devem ser utilizados como entrada para a análise crítica.

 

vi. Registro do processo de gestão de riscos

 

As atividades de gestão de risco devem ser rastreáveis. No processo de gestão de riscos, os registros fornecem os fundamentos para a melhoria dos métodos e ferramentas, bem como de todo o processo.

 

As decisões relativas à criação de registros devem levar em consideração:

- a necessidade da Anatel de aprendizado contínuo;

- os benefícios da reutilização de informação para fins de gestão;

- os custos e os esforços envolvidos na criação e manutenção de registros;

- as necessidades de registros legais, regulatórios e operacionais;

- o método de acesso, facilidade de recuperação e meios de armazenamento;

- o período de retenção; e

- a sensibilidade das informações.

 

vi. Controles

 

Deverão ser definidos, em comum acordo com a Anatel, quais os controles mais adequados para os contextos de redes e serviços de telecomunicações e para os projetos piloto da Copa das Confederações e Copa do Mundo.

 

 

Nota 1: Os modelo de gestão de risco de segurança da infraestrutura crítica de telecomunicações para os contextos de rede e de serviço deverão ser entregues por meio de:

 

a)       implementação do modelo no Software de Governança, Risco e Conformidade ofertado e

b)      memorial descritivo da metodologia, aplicada para as redes e serviços de telecomunicações, a ser entregue em meio físico e em arquivo eletrônico.

 

 

 

2.1.2.2. Projetos Piloto de Gestão de Riscos para a Segurança da Infraestrutura Crítica de Telecomunicações com foco nos seguintes eventos

 

i. Copa das Confederações.

 

ii. Copa do Mundo.

 

Nota 1: Para os projetos piloto o Software de GRC deverá ser configurado para o contexto específico dos eventos, de modo que deverão ser identificados os riscos que possam afetar o bom funcionamento das redes e serviços de telecomunicações durante os eventos. Além das redes e serviços devem ser consideradas as atividades da própria Anatel relativas ao evento.

 

Nota 2: Deve ser entregue memorial descritivo que demonstre como foi configurado o Software para os referidos eventos e que permita à equipe técnica da Anatel fazer a configuração do Software em outros eventos.

Contribuição N°: 30
ID da Contribuição: 64116
Autor da Contribuição: evercorrea
Data da Contribuição: 27/09/2012 14:40:31
Contribuição: Considerando o seguinte parágrafo do item 2.1.1: Estima-se um total de 1.000.000 (um milhão) de elementos de rede a serem inventariados (itens de verificação), no entanto, dada a dinâmica da inovação tecnológica do setor, o número de itens de verificação podem extrapolar esta previsão em poucos anos. Estima-se o recebimento de um pacote de dados (como: status, capacidade, ocupação, bloqueio, data e hora do início e fim de uma interrupção; e a causa da interrupção) a cada 30 minutos para cada elemento de rede. As informações recebidas por este pacote de dados deverão ser representadas pelo software por meio do Módulo de Redes (Item 2.5), de modo a possibilitar o monitoramento das redes de telecomunicações pela Anatel. Propõe-se a inclusão do seguinte texto: O monitoramento automático será restrito aos 5000 elementos de redes a serem definidos conjuntamente com a Anatel. 2.1.1 b) Serviços de telecomunicações Sobre o parágrafo: É de responsabilidade da contratada: avaliar os sistemas da Anatel que contém dados necessários para a gestão de risco das infraestruturas críticas de telecomunicações e desenvolver APIs (Application Programming Interface) para troca de dados entre o Software e os sistemas da Anatel. Propõe-se que seja substituído pelo seguinte texto: A Anatel deve fornecer informações do número de sistemas para os quais precisam ser desenvolvidas APIs para troca de dados, quais os dados fornecidos por cada sistema e como estão armazenados. Será responsabilidade da Anatel informar quais os sistemas que possuem os dados requisitados pela contratada necessários à gestão de riscos da infraestrutura crítica.
Justificativa: Justificativa do item 2.1.1.a: O monitoramento de um número superior a 5000 elementos terá um impacto significativo no preço da solução, assim como no tempo necessário para a sua implantação. Trará ainda um baixo valor agregado em termos de resultado da análise das infraestruturas críticas quando considerado o foco da aplicação da solução são os grandes eventos esportivos que ocorrerão o país nos próximos anos. Justificativa do item 2.1.1.b: Considerado: O desconhecimento dos sistemas da Anatel a serem considerados; A quantidade de API s a serem desenvolvidas e suas respectivas complexidades; A dificuldade de dimensionamento de esforços para implementar estas API s; Sugerimos que esta demanda seja tratada em separado em projeto específico.
 Item:  Anexo A - 4 - Hardware e Sistema Operacional

4 HARDWARE E SISTEMA OPERACIONAL

 

4.1.             O hardware e o sistema operacional deverão suportar o software ofertado, e ter atender aos seguintes indicadores, considerados como performance mínima para a solução:

 

Indicador

Valor

Tolerância

Observação

Eficiência

(realizar com completude o objeto)

100%

100%

Aceitar toda transação do software ofertado para que realize a funcionalidade.

 

 

Disponibilidade

 

100%

 

98%

A funcionalidade há de estar disponível por tempo integral após a implantação ou efetiva operação

Taxa de Transferência

1 Gbps

 

10 Mbps

Ajustar a velocidade de entrega dos dados às especificações técnicas da infraestrutura de rede.

Tempo de Resposta

 

1 segundo

 

5 segundos

Sujeito à análise do volume de dados manipulados para realização da transação.

 

 

 

 

 

 

 

 

 

 

 

 

4.2.             O servidor deverá ser instalado em rack que será disponibilizado pela Anatel. Todos os demais materiais necessários para a instalação do hardware serão de responsabilidade da contratada.

4.3.             Deverá ser fornecida a licença do sistema operacional para atender adequadamente ao software ofertado;

4.4.             Os recurso de armazenamento (storage) deverão possuir no mínimo 4 TeraBytes.

4.5.              Requisitos Gerais de HARDWARE

4.5.1.          Permitir instalação em rack de 19 (dezenove polegadas);

4.5.2.          Possuir LEDs de identificação de atividades de status do equipamento, de cada porta e alimentação;

4.5.3.          Possuir fonte de alimentação de 100/240 VAC, frequência 50/60 Hz, com chaveamento automático;

4.5.4.          Possuir cabo de alimentação para fonte com, no mínimo, 1,80m (um metro e oitenta centímetros) de comprimento;

4.5.5.          Acompanhar cabos de alimentação para cada fonte de alimentação no padrão de tomada NEMA 5-15P e amperagem compatível com a potência do servidor;

4.5.6.          Fontes de alimentação redundantes e hot-pluggable suficiente para o funcionamento na sua configuração máxima;

4.5.7.          Possuir todos os acessórios necessários para operacionalização do equipamento, tais como: cabos de console, kits para montagem no rack, documentação técnica e manuais que contenham informações suficientes para possibilitar a instalação, configuração e operacionalização do equipamento;

4.5.8.          Possuir no mínimo 2 (duas) portas Gibabit Ethernet 10/100/100BADE-T ou 1000Base-T ou 1000BASE-SX ou 1000BASE-LX;

4.5.9.          Suporte a IPv4 e IPv6;

4.5.10.      Suportar implementação de sincronismo de relógio interno via NTP ou SNTP;

4.5.11.      Possuir compatibilidade com os protocolos de Gerenciamento SNMP;

4.5.12.      Possuir no mínimo 1 porta console para gerenciamento e configuração;

4.5.13.      Possibilitar a obtenção via SNMP de informações de capacidade e desempenho de CPU, memória e portas;

4.5.14.      O equipamento ofertado não poderá conter substâncias perigosas como mercúrio (Hg), chumbo (Pb), cromo hexavalente (Cr(VI)), cádmio (Cd), bifenil polibromados (PBBs), éteres difenil-polibromados (PBDEs) em concentração acima da recomendada na diretiva RoHS (Restriction of Certain Hazardous Substances), sendo que para efeitos de avaliação das amostras e aceitação do produto deverá ser fornecido certificação emitida por instituição credenciada pelo INMETRO, sendo aceito ainda, a comprovação deste requisito por intermédio da certificação EPEAT, desde que esta apresente explicitamente tal informação;

4.5.15.      Mínimo de 04(Quatro) interfaces USB instaladas.

4.5.16.      Permitir conexão para teclado.

4.5.17.      Permitir conexão para mouse.

4.5.18.      O Servidor ofertado deverá possuir recurso que monitore disco rígido, memória, ventilação, alimentação elétrica e temperatura, por meio de limites de normalidade que podem ser definidos pelo usuário, e informe quando houver o funcionamento fora dos valores de normalidade predefinidos através de notificações de alertas destes. Tal recurso poderá se apresentar na forma de display , LED, alerta sonoro ou outro dispositivo que avise da falha.

4.5.19.      Deverá ser fornecido um software de gerenciamento com no mínimo as seguintes características:

4.5.19.1.          Permitir a configuração de ações para enviar notificações ou alertas através de e-mail, pager ou outro recurso que avise imediatamente aos usuários responsáveis pela manutenção do serviço;

4.5.19.2.          Permitir a utilização de uma interface web e a utilização de uma interface de linha de comando para melhor gerir os processos, ambas compatíveis com software de gerência;

4.5.20.      O equipamento ofertado deverá possuir recurso de gerenciamento compatível com o padrão IPMI 2.0 que possibilite o gerenciamento remoto através de controladora de gerenciamento integrada com porta RJ-45 dedicada, não sendo essa nenhuma das interfaces de controladora de rede, e software de gerenciamento;

4.5.21.      A controladora de gerenciamento integrada deve suportar as seguintes características:

4.5.21.1.          Compatível com os protocolos de criptografia SSL para acesso a console WEB e SSH para console CLI;

4.5.21.2.          Deve permitir controle remoto tipo virtual KVM mesmo quando o sistema operacional estiver inoperante;

4.5.21.3.          Suportar autenticação via Active Directory;

4.5.21.4.          Deve informar o status do equipamento indicando componentes com falha e notificando via e-mail ou trap

4.5.21.5.          SNMP;

4.5.21.6.          Deve possuir emulação de mídia virtual possibilitando que drivers (CD/DVD, Floppy) localizado em estação de gerenciamento seja emulado no servidor gerenciado permitindo a inicialização (boot) através dessa mídia;

4.5.21.7.          Capacidade de monitorar o consumo de energia do servidor;

4.5.21.8.          Deve permitir desligar e reinicia do servidor através da console de gerenciamento, mesmo em condições de indisponibilidade do sistema operacional;

4.5.21.9.          Software de gerenciamento centralizado com os seguintes recursos:

4.5.21.10.      Permitir o gerenciamento centralizado e individual de todos os servidores ofertados através de interface WEB;

4.5.21.11.      Realizar inventário de hardware, BIOS e firmware e possibilitar a geração de relatórios customizados;

4.5.21.12.      Emitir alertas de falha de hardware e permitir a criação de filtros de alertas isolados e notificação por e-mail;

4.5.21.13.      Agente compatível com os sistemas operacionais Windows Server 2003/2008, Red Hat Linux Enterprise 5 e Suse Linux Enterprise Server 10, CENTOS, entre outros;

4.5.21.14.      A controladora de gerenciamento integrada deve operar em conjunto com o software de gerenciamento, devendo ambos serem soluções proprietárias do fabricante dos equipamentos com a finalidade de garantir total compatibilidade e suporte único.

4.5.22.      Quando o Licitante não for o próprio fabricante dos equipamentos ofertados, deverá apresentar declaração do Fabricante específica para o edital, autorizando a empresa Licitante a comercializar e prestar os serviços de garantia exigidos;

4.5.23.      Recurso de Raid de discos, implementado pelo hardware da controladora, suportando Raid 1, Raid 1+0, Raid 5 ou semelhante. Possuir canais suficientes para controlar a quantidade de discos suportada pelo equipamento;

4.5.24.      Suportar expansão de capacidade de forma on-line;

4.5.25.      Suportar implementação de disco Global Hot-spare;

4.5.26.      Suportar migração de nível de RAID;

4.5.27.      Suportar tecnologia Self-Monitoring Analysis and Reporting Technology (SMART)

 

4.6.             UNIDADES INTERNAS

4.6.1.          Uma unidade de DVD interna de velocidade de no mínimo 8X, com conexão padrão SATA (Serial Ata)

4.6.2.          Unidade de fita DLT. Capacidade de leitura e gravação de fitas de no mínimo 80GB a 6MB/s sem compressão de dados e 160GB a 12MB/s com compressão de dados via hardware. Total compatibilidade com sistemas operacionais MS Windows 2000 Server, MS Windows 2003 Server e Red Hat Enterprise Linux. Possuir confiabilidade (MTBF) superior a 200.000 horas.

 

4.7.             ADAPTADOR DE REDE

4.7.1.          2(duas) placas de Rede Gigabit Ethernet 1000Base-T ou 1000BASE-SX ou 1000BASE-LX, com as seguintes características:

4.7.1.1.             Conformidade com o padrão IEEE 802.3, IEEE 802.3u e IEEE 802.3ab;

4.7.1.2.             Função autosensing para seleção de taxa de Transferência (10/100/1000 Megabits por segundo);

4.7.1.3.             Suporte em software (driver) para TCP/IP, Netbios, MS Windows Server 2000, MS Windows Server 2003 e Linux;

4.7.1.4.             Baseado em CSMA/CD;

4.7.1.5.             Mínimo de 1(um) conector RJ-45 por placa;

4.7.1.6.             Configuração da placa via software.

 

4.7.2.          2(duas) placas de rede (Host Bus Adapter (HBA)) Fibre Channel mínimo de 4000Mb/s, com as seguintes características:

4.7.2.1.             Taxa de transferencia mínima de 400MB/s;

4.7.2.2.             Função autosensing para seleção de taxa de Transferência (2 / 4 Gigabits por segundo);

4.7.2.3.             Deverá disponibilizar política de failover e balanceamento de carga;

4.7.2.4.             Deverá ser fornecida a funcionalidade de failover e balanceamento de carga;

4.7.2.5.             O adaptador deverá ser compatível com o padrão PCI 64/66MHz ou superior;

4.7.2.6.             Mínimo de 1(um) conector LC por placa.

 

4.8.             VENTILAÇÃO

4.8.1.          Ventilação redundante tipo Hot Plug.

4.8.2.          A ventilação deve ser adequada para a refrigeração do sistema interno do equipamento na sua configuração máxima e dentro dos limites de temperatura adequados para operação

 

4.9.             GABINETE

4.9.1.          Gabinete tipo RACK 6U no máximo.

4.9.2.          Sistema de resfriamento interno do gabinete com no mínimo 2 (dois) ventiladores Hot-Swap e redundantes;

4.9.3.          Fonte de alimentação para operação numa tensão de 110V /220V com chave para seleção. A fonte de alimentação

4.9.4.          Deverá suportar todos os dispositivos instalados oferecendo ainda margem para suporte a futuras expansões do hardware;

4.9.5.          Fonte de alimentação adicional (fonte de alimentação redundante e Hot-Swap), totalizando 2(duas) fontes de alimentação (1 original + 1 adicional);

4.9.6.          Dispositivo HOT-SWAP para no mínimo 4 (quatro) discos (compatível com o item 2.02);

4.9.7.          Todos os cabos de alimentação e interconexão do Equipamento;

4.9.8.          O equipamento fornecido (gabinete da cpu) deverá estar identificado, de forma indelével e legível, com os respectivos números de série de fabricação.

 

4.10.         PROCESSADOR

4.10.1.      Deve suportar hyperthreading (suporte à virtualização);

4.10.2.      Ser compatível com VMWARE e XEN Server.

 

4.11.         ARMAZENAMENTO

4.11.1.      02 (dois) discos rígidos de 500GB (trezentos gigabytes), 10000 RPM (dez mil rotações por minuto), padrão SATA, hot pluggable/hot swap , Expansível a 8(oito) discos no total.

Contribuição N°: 31
ID da Contribuição: 64055
Autor da Contribuição: lsoaresdf
Data da Contribuição: 26/09/2012 19:29:42
Contribuição: Devido a funcionalidades distintas da solução, as características do hardware devem ser separadas de acordo com sua finalidade de atendimento, facilitando a cotação pelas empresas interessadas, permitindo que se dimensione corretamente de acordo com a necessidade de atendimento. Exemplo: os arquivos recebidos pelas operadoras devem ser previamente armazenados em um hardware do tipo storage que permita sua disponibilidade para que os demais recursos (Módulo de GRC e de redes) acessem em um ambiente de maior disponibilidade e integridade permitindo que os módulos acessem as informações que são relevantes, desonerando dessa maneira o hardware dos módulos GRC e redes que podem ser dimensionados de acordo com as funcionalidades para as quais eles foram especificados, sem a necessidade de armazenar tamanha quantidade de dados em seus databases.
Justificativa: O dimensionamento do hardware por módulo/necessidade de atendimento facilitará o correto dimensionamento não onerando sistema. Não há necessidade em manter grandes quantitativos de dados nas bases de dados dos modulo GRC e Redes. O storage sim deve ser bem especificado para atender as necessidades da solução e servir como repositório para que os módulos busquem as informações relevantes bem como outros sistemas da ANATEL que necessitem dessas informações para seus diversos fins.
 Item:  Manifestação SindiTelebrasil
Considerações gerais do SINDITELEBRASIL Sindicato Nacional das Empresas de Telefonia Fixa e de Serviço Móvel Pessoal.
Contribuição N°: 32
ID da Contribuição: 64118
Autor da Contribuição: Daphne
Data da Contribuição: 27/09/2012 15:36:28
Contribuição: Considerações gerais do SINDITELEBRASIL Sindicato Nacional das Empresas de Telefonia Fixa e de Serviço Móvel Pessoal.
Justificativa: O SINDITELEBRASIL Sindicato Nacional das Empresas de Telefonia Fixa e de Serviço Móvel Pessoal, entidade patronal de primeiro grau que atua em todo o território nacional, vem, mui respeitosamente, em atenção à Consulta Pública n. 39, de 12 de setembro de 2012, oferecer os comentários que seguem. Em 14 de setembro de 2012, a Anatel publicou, no Diário Oficial da União, a Consulta Pública n. 39, de 12 de setembro de 2012, submetendo à sociedade Minuta de Termo de Referência para a contratação de empresa para fornecimento de solução de tecnologia da informação para dar suporte às atividades de gestão de risco relacionadas à segurança das infraestruturas críticas de telecomunicações. Essa solução de tecnologia da informação envolverá o acesso a grande quantidade de dados fornecidos pelas prestadoras de serviços de telecomunicações e, portanto, o interesse das Associadas do SindiTelebrasil em contribuir para a mesma é elevado. Ainda, o projeto prevê a edição de regulamentação acerca desse futuro fornecimento dos dados pelas prestadoras. Referida Consulta foi disponibilizada publicamente no dia 14 de setembro de 2012 e seu prazo se finda na data de hoje, qual seja, dia 27 de setembro de 2012. Nota-se, portanto, que foi concedido um reduzido número de dias para a elaboração das contribuições, qual seja, meros 10 (dez) dias úteis ou 13 (treze) dias corridos. Acresça-se a este reduzido prazo de contribuição o fato da Consulta Pública n 39/2012 ser bastante extensa, contendo mais de 70 (setenta) laudas, dentre a minuta do contrato principal e seus 11 (onze) anexos. Por esta razão, o SindiTelebrasil solicitou, em 25 de setembro de 2012, dilação de prazo por 12 (doze) dias para que suas Associadas pudessem ter tempo hábil de contribuir adequadamente para a Consulta Pública n 39/2012. A solicitação foi feita de modo que o prazo final de contribuição se encerrasse no dia posterior ao primeiro turno das eleições, ou seja, em 08/10/2012. Contudo, a Anatel informou não ter sido deferido o pedido de dilação efetuado, razão pela qual o SindiTelebrasil se viu obrigado a apresentar uma contribuição de caráter geral, sem o aprofundamento que desejaria poder fazer. Lamenta-se que não esteja sendo possível ao Sinditelebrasil contribuir de forma mais efetiva, considerando-se que a contratação de solução de tecnologia de informação para atividades de gestão de riscos relacionados à segurança das infraestruturas críticas de telecomunicações interessa não só às empresas que pretendem fornecê-la, como também às prestadoras de serviços de telecomunicações, na medida em que a solução que se pretende implementar será alimentada, em parte, com dados relacionados às prestadoras. De fato, o curtíssimo prazo fixado para envio de comentários não foi suficiente para que as Associadas do SindiTelebrasil pudessem entender e avaliar em detalhes o objeto e impactos da contratação pretendida e fazer uma análise extensiva e detalhada da documentação. Todavia, no intento de apresentar o pensamento preliminar do setor a respeito da Consulta Pública em comento, o Sinditelebrasil apresenta as contribuições a seguir: 1. Do aparente não atendimento aos requisitos para acesso on-line descritos no Regulamento de Fiscalização, garantindo o conhecimento simultâneo da realização do procedimento de ingresso nos sistemas das empresas e a rastreabilidade dos dados e informações acessados pela Anatel. Quando do julgamento e aprovação, pelo Conselho Diretor da Anatel, do novo Regulamento de Fiscalização (Resolução n 596, de 06 de agosto de 2012, publicada no Diário Oficial de 09/08/2012), foi definido o significado de acesso on-line, assim entendido como sendo o modo de acesso, obtenção, coleta a apresentação de dados e informações pertinentes às obrigações da fiscalizada, mediante a utilização de aplicativos, sistemas, recursos de facilidades tecnológicos . De fato, tendo sido este o primeiro momento no qual esta d. Anatel mencionou a implantação do acesso on-line, o conselheiro-Relator do referido Regulamento, Dr. Rodrigo Zerbone Loureiro, preocupou-se em seu voto (voto este que, por sinal, foi seguido à unanimidade pelos demais membros do Conselho Diretor), em destacar que o acesso on-line representaria apenas um meio à disposição da Anatel para exercer a sua atribuição legal de fiscalizar, não constituindo, em absoluto, em desvirtuamento das finalidades da atividade do fiscal... e, acrescentando, destacou que ... pelo modo on-line a Anatel terá acesso à mesma gama de dados e informações que hoje a agência já tem acesso por outros meios, em razão da obrigação legal e contratual imposta às fiscalizadas . Ainda, e que se mostra sobremaneira relevante para a análise da presente Consulta Pública n 39/2012, é que, como destacado pelo Conselheiro Zerbone no julgamento do Regulamento de Fiscalização, já naquela ocasião a Anatel se preocupou em inserir dispositivos garantidores dos direitos dos entes fiscalizados, a saber: (i) a implantação do acesso on-line com a observância de práticas de gestão da segurança da informação, com garantia da continuidade dos serviços, preservação da segurança e integridade de dados, programas e sistemas e a confidencialidade das informações, dentre outros. (ii) o conhecimento simultâneo da realização do procedimento e a rastreabilidade dos dados e informações acessados, (iii) o tratamento sigiloso dos dados e informações, (iv) a habilitação e o credenciamento específicos dos agentes de fiscalização, bem como o registro de seus acessos, (v) a previsão de instalações especiais para a ação com ingresso controlado, (vi) a implantação e gestão do acesso on-line atribuídos ao próprio ente fiscalizado e (vii) a previsão expressa de responsabilização do agente que não proceder com o devido zelo na guarda e utilização dos dados e informações, fazer uso do acesso on-line imotivadamente e/ou revelar dados e informações sigilosas . (grifos nossos). Como se pode notar, não poderia mesmo ser outra a conduta desta d. Anatel ao reconhecer que o acesso on-line representa uma atividade delicada e estratégica, que movimenta dados sigilosos e que sua utilização representa risco de danos aos sistemas das empresas, razão pela qual estas preocupações foram devidamente tomadas por esta d. Agência naquela ocasião. Contudo, embora a Consulta Pública ora em análise trate do idêntico acesso on-line a dados e sistemas das Prestadoras que antes a d. Anatel reconheceu serem sensíveis e estratégicos, não identificamos, na minuta do Termo de Referência objeto da Consulta, as garantias de que o sistema que está sendo especificado (vide item 1.5.2 do Termo de Referência) atenderá aos mesmos cuidados e requisitos previstos no Regulamento de Fiscalização, incluindo, sem a estes se limitar, aqueles previstos no parágrafo 3 do art. 27 daquele Regulamento, abaixo transcrito: 3. No caso de acesso on-line serão sempre assegurados à fiscalizada o conhecimento simultâneo da realização do procedimento e a rastreabilidade dos dados e informações acessados pela Anatel. Desta forma, o SindiTelebrasil gostaria de reiterar sua preocupação com a necessidade de uso correto, controlado, transparente e seguro dos sistemas das empresas prestadoras de serviços de telecomunicações, cuidado este que já demonstrara quando da apresentação de suas contribuições à Consulta Pública n 21/2010, que resultou no novo Regulamento de Fiscalização, conforme a seguir transcrito: Justificativa para a Contribuição 3 e Contribuição 4: Em relação à fiscalização exercida por meio de Monitoração (definido no art. 3 , XXI, abaixo) e por Acesso em tempo real (art. 3 , III) e Acesso on-line (Art. 3 , IV), é importante fazer algumas considerações. Conforme previstos, a implantação destes métodos de fiscalização implica em graves ofensas ao princípio da proporcionalidade e da liberdade de iniciativa, na medida em que: (i) desvirtua a competência fiscalizatória da Anatel, dotando-a da natureza de controle ou intervenção na atuação das prestadoras de serviços de telecomunicações que atuam sob o regime de concessão/autorização, no qual há o respeito à estratégia empresarial para definição dos meios de atendimento dos padrões definidos pelo órgão regulador (v.g: Contrato de Concessão, cls. 16, I); (ii) não constitui em um meio eficaz para aprimorar a atuação fiscalizatória da Anatel; (iii) pode incidir sobre informações de caráter sigiloso que não podem ser disponibilizadas pela concessionária ou autorizatária para qualquer ente, privado ou público, sem a necessária autorização judicial prévia; (iv) é incompatível com a garantia de notificação prévia das prestadoras para o acompanhamento das atividades de fiscalização, prevista nas Cláusulas 16.2 e 20.2 do Contrato de Concessão; (v) a regulamentação aplicável já prevê a coleta e consolidação dos dados relacionados à qualidade dos serviços prestados pela própria operadora, incompatível com qualquer forma de acesso direto aos seus sistemas(....) Por fim, cumpre destacar a Contribuição em meio físico feita pelo Sinditelebrasil, Acel e Abrafix, em 02 de setembro de 2010 do documento SICAP n. 53500.021504/2010, que apresenta estudos jurídico e de benchmark internacional com argumentos a serem apreciados por essa d. Agência na presente Consulta Pública (Contribuição N 18 - (ID: 47735) - Contribuidor: Antonio João Silva de Torrecillas SINDITELEBRASIL - Empresa: SINDITELEBRASIL SIND.NAC.EMPR.TEL.FIXA SERV.MÓV.PES. CEL. - Data da Contribuição: 06/09/2010) grifos nossos Ainda, o SindiTelebrasil destacou naquela ocasião: Justificativa para a Contribuição 6: Em complemento aos motivos apresentados acima sobre tema correlato, cabe destacar a peculiaridade do Sistema de Monitoramento Remoto cujo procedimento representa prejuízo aos Direitos das Prestadoras dos Serviços de Telecomunicações. Há cerceamento do direito para acompanhar a fiscalização. Ressalte-se que o conjunto de diligências mencionadas no artigo 3 , inciso VI merece ser realizado com base em processo objetivo (ainda não está descrito em quaisquer dos documentos internos à disposição da Agência), com vistas ao cumprimento do principio da eficiência do direito administrativo. Posto que, só assim as prestadoras poderão aferir se a Agência está atuando conforme a lei e os princípios do direito administrativo, bem como para evitar interpretações dissonantes da realidade fiscalizada. As questões afetas ao sistema de monitoramento remoto merecem atenção especial visto que a permissão irrestrita dos fiscais da Anatel aos sistemas da Prestadora impacta diretamente na tratativa de disponibilização das informações solicitadas e, por sua vez, pode ensejar autuações . (Contribuição N 18 - (ID: 47735) Contribuidor: Antonio João Silva de Torrecillas SINDITELEBRASIL - Empresa: SINDITELEBRASIL SIND.NAC.EMPR.TEL.FIXA SERV.MÓV.PES. CEL. Data da Contribuição: 06/09/2010. Desta forma, não por acaso o acesso remoto/sigiloso foi considerado o tema mais discutido na Consulta Pública 21/2012 (CP 21) , e, na presente Consulta Pública n 39/2012, outra não pode ser a preocupação do SindiTelebrasil de que as mesmas garantias concedidas às Prestadoras de serviços de Telecomunicações naquela ocasião sejam mantidas no processo de contratação e posterior operação do sistema de gestão de riscos relacionados à segurança das infraestruturas críticas de telecomunicações. Esta preocupação com a forma como será gerido, manipulado e alimentado o sistema de gestão de risco previsto na Consulta Pública n 39/2012 gera, inclusive, preocupações das empresas acerca de como e em que prazo poderá ser operacionalizada a alimentação deste sistema pelas prestadoras de serviços de telecomunicações, como se detalhará melhor no item a seguir. 2. Do envio de dados à Anatel pelas prestadoras de serviço de telecomunicações Depreende-se da Consulta Pública em comento que a Anatel pretende implantar sistema que seja também alimentado por informações fornecidas pelas Prestadoras. É o que se extrai da introdução do Anexo A da Consulta Pública: A conformidade ou não conformidade com relação aos controles será informada pelas prestadoras de serviços de telecomunicações (por meio de carga de dados no software) e poderá ser fiscalizada pela Anatel. (...)Deverá ser desenvolvido um coletor de dados para receber as informações de rede acima mencionadas que deverão ser enviadas pelas prestadoras de serviços de telecomunicações (Grifos nossos) Como se vê, a Agência optou por um modelo pelo qual irá acompanhar e fiscalizar o fornecimento das informações pelas Prestadoras, analisando o conteúdo dos dados recebidos, sem que haja, a princípio, a possibilidade de qualquer interferência direta ou remota nos dados e sistemas das próprias prestadoras de serviço. Além disso, de acordo com a Consulta Pública n 39/2012, a periodicidade e o formato do envio das informações serão definidos oportunamente pela Anatel, providência que necessariamente deve ocorrer por meio da edição de regulamentação pertinente, que também deverá ser precedida de consulta pública. Inclusive, essa regulamentação também deverá dispor a respeito do conceito de infraestruturas críticas de telecomunicações, pois o texto constante do item 2.14 do Termo de Referência é bastante abrangente, desacompanhado dos detalhes necessários para que as prestadoras possam identificar quais os elementos de rede e os serviços compreendidos nessa categoria. No tocante à fiscalização, vale lembrar que o artigo 19 da LGT estabelece as competências da Anatel, dentre as quais a de fiscalizar a prestação de serviços de telecomunicações no regime público e privado. Correlatamente ao dever da Anatel de fiscalizar a prestação dos serviços, cabe às prestadoras de serviços de telecomunicações o atendimento às solicitações de fiscalização da Agência. Decerto, o dever de fiscalização da Anatel não é amplo e irrestrito, devendo-se balizar pelo ordenamento jurídico. Desse modo, a atividade de fiscalização encontra limite nos direitos fundamentais do administrado e também dos usuários do serviço, bem como nos princípios que regem a atuação da Administração Pública. Por zelar pela preservação da segurança das redes de suas Associadas, pela manutenção da adequada prestação do serviço e pelo respeito aos direitos dos usuários, o Sinditelebrasil entende que somente é legítimo um sistema que receba informações das Prestadoras, sem qualquer interferência direta ou remota em seus bancos de dados. E nem poderia ser diferente, pois um sistema que permitisse a interferência direta da Anatel ou da contratada nos sistemas da operadoras acabaria por também comprometer as estratégias mercadológicas das prestadoras de serviços. Em um mercado tão competitivo como o de telecomunicações, qualquer informação utilizada fora do escopo de fiscalização da Agência prejudicaria a liberdade de gestão e a competição. Sob o enfoque do usuário do serviço de telecomunicações, certo é que o banco de dados das operadoras contém milhares de informações sigilosas, que são protegidas por políticas internas de segurança e privacidade. Daí que a futura contratada não pode, de nenhum modo, acessar dados dos sistemas das prestadoras, sob pena de violação de direitos constitucionalmente assegurados. Finalmente, de se ressaltar que o acesso direto ou remoto das informações das operadoras poderia trazer risco à manutenção da rede, donde resulta a impossibilidade de se permitir tal acesso, devendo a futura regulamentação do tema estar alinhada com tal premissa. Por certo, o Sinditelebrasil e as Prestadoras de serviços de telecomunicações a ele associadas manterão sua postura de permanente disponibilidade e cooperação, contribuindo com sugestões na consulta pública que vier a ser realizada para tratar das obrigações de envio de informações que serão imputadas às prestadora de serviços de telecomunicações, com a identificação dos dados que serão objeto de envio à Anatel e/ou inclusão no sistema, bem como com a definição dos correlatos formatos, padrões e periodicidades. Nada obstante, o SindiTelebrasil registra sua posição de que, haja vista os inúmeros pontos que devem ser regulamentados pela Agência para viabilizar a operacionalização da solução que se pretende contratar também porque a imposição de obrigações às prestadoras de serviços de telecomunicações depende da regular edição de ato normativo seria mais lógico publicar, primeiramente, a consulta pública para edição do ato normativo ora mencionado para, somente após, submeter ao público a Consulta Pública em questão, que trata da contratação da solução pela Anatel. 3. Da proposta de criação de Grupo de Trabalho É imprescindível para o fortalecimento da política regulatória que haja a participação de todos os atores envolvidos na formulação, implementação e avaliação das políticas públicas adotadas. Nesse sentido, o SindiTelebrasil propõe a criação de um Grupo de Trabalho, a exemplo do que irá ocorrer para a implantação da Fiscalização on-line no Regulamento de Fiscalização, com a participação das partes interessadas na discussão, inclusive o Sindicato patronal da categoria e a Anatel. A participação das prestadoras de serviços de telecomunicações, seja diretamente, seja por meio do SindiTelebrasil, em conjunto com a Anatel, permitirá a concepção de novas ideias e soluções para a metodologia de fornecimento de informações. O grupo buscará, assim, evitar possíveis assimetrias de informação existentes entre os inúmeros atores que serão responsáveis pela implementação do sistema. Um dos seus principais objetivos será efetivamente garantir às prestadoras a compreensão exata dos dados, formato, padrão de fornecimento de informações e da futura regulamentação do tema. Destarte, as prestadoras e a Anatel terão a oportunidade de idealizar uma metodologia sobre o envio das informações e, principalmente, colaborar na definição do padrão que deverá ser utilizado para o fornecimento dos dados, tendo em vista os diferentes modelos de redes adotados pelas prestadoras de serviços de telecomunicações. Por certo, a presente sugestão do SindiTelebrasil se mostra ainda mais relevante diante dos inúmeros pontos que precisam ser regulamentados para viabilizar a operacionalização da solução que se pretende contratar, conforme demonstrado no item 2 desta manifestação. Os Grupos de Trabalho, assim, deverão ser designados justamente para desenhar os melhores modelos para implementação de obrigações impostas às prestadoras de serviços de telecomunicações, sendo notória a eficiência dessa forma de atuação. Portanto, é oportuna a criação de Grupo de Trabalho em que haja a participação conjunta da Anatel, do SindiTelebrasil e das prestadoras para operacionalização da solução de tecnologia da informação que será contratada, em adição ao Grupo de Trabalho existente, constituído por meio do Anexo da Portaria n 470, de 2 de junho de 2011, republicado com alterações pela Portaria n 430, de 4 de maio de 2012, no âmbito do qual não se tem a participação dos administrados. Desta forma, destacamos por fim alguns questionamentos que ainda devem ser elucidados por esta d. Anatel e que poderiam ser contemplados nas análises e reuniões do Grupo de Trabalho ora sugerido, ou, alternativamente, caso não acatada a sugestão da criação do Grupo de Trabalho, em manifestação formal desta d. Anatel, o que se requer desde logo: a) Detalhamento do tipo de informação que será coletada pela Anatel para inserção no sistema de gestão de riscos relacionados à segurança das infraestruturas críticas de telecomunicações, e com qual periodicidade; b) Avaliação quanto ao tempo para a implantação deste sistema on-line também sob o ponto de vista das Prestadoras de serviços de Telecomunicações, considerando-se que estas ainda não implementaram processos regulares de envio de informações na forma on-line para esta d. Anatel e não foram consultadas previamente sobre a melhor forma de fazê-lo. Há que se considerar, por oportuno, que o sistema de gestão de risco, conforme previsto na presente Consulta Pública, deverá estar operacional para a Copa das Confederações, de modo que o tempo necessário para todas as partes fazerem suas devidas adaptações pode ser crítico; c) Garantia, por esta d. Anatel, de que as Prestadoras de serviços de telecomunicações terão a oportunidade de opinar sobre a relação das infraestruturas crítica identificadas; d) Prestação de informações mais detalhadas e precisas quanto ao uso futuro que esta d. Anatel deverá fazer desse sistema de gestão de riscos relacionados à segurança das infraestruturas críticas de telecomunicações, bem como explicitar como será feito o acompanhamento do uso do mesmo pelas Prestadoras. Na expectativa da acolhida favorável do pleito apresentado, o SindiTelebrasil reitera manifestação de consideração e apreço, colocando-se desde já à disposição desta d. Anatel para prestar quaisquer informações adicionais que se façam necessárias, bem como para estabelecer discussões futuras com o intuito de aprofundar a análise do teor da Consulta Pública n 39/2012.
Contribuição N°: 33
ID da Contribuição: 64120
Autor da Contribuição: Daphne
Data da Contribuição: 27/09/2012 17:03:52
Contribuição: Considerações gerais apresentadas pelo SINDITELEBRASIL Sindicato Nacional das Empresas de Telefonia Fixa e de Serviço Móvel Pessoal. ESTA CONTRIBUIÇÃO SUBSTITUI E PREVALECE SOBRE QUAISQUER EVENTUAIS OUTRAS CONTRIBUIÇÕES ENCAMINHADAS ANTERIORMENTE EM NOME DO SINDITELEBRASIL.
Justificativa: O SINDITELEBRASIL Sindicato Nacional das Empresas de Telefonia Fixa e de Serviço Móvel Pessoal, entidade patronal de primeiro grau que atua em todo o território nacional, vem, mui respeitosamente, em atenção à Consulta Pública n. 39, de 12 de setembro de 2012, oferecer os comentários que seguem. Em 14 de setembro de 2012, a Anatel publicou, no Diário Oficial da União, a Consulta Pública n. 39, de 12 de setembro de 2012, submetendo à sociedade Minuta de Termo de Referência para a contratação de empresa para fornecimento de solução de tecnologia da informação para dar suporte às atividades de gestão de risco relacionadas à segurança das infraestruturas críticas de telecomunicações. Essa solução de tecnologia da informação envolverá o acesso a grande quantidade de dados fornecidos pelas prestadoras de serviços de telecomunicações e, portanto, o interesse das Associadas do SindiTelebrasil em contribuir para a mesma é elevado. Ainda, o projeto prevê a edição de regulamentação acerca desse futuro fornecimento dos dados pelas prestadoras. Referida Consulta foi disponibilizada publicamente no dia 14 de setembro de 2012 e seu prazo se finda na data de hoje, qual seja, dia 27 de setembro de 2012. Nota-se, portanto, que foi concedido um reduzido número de dias para a elaboração das contribuições, qual seja, meros 10 (dez) dias úteis ou 13 (treze) dias corridos. Acresça-se a este reduzido prazo de contribuição o fato da Consulta Pública n 39/2012 ser bastante extensa, contendo mais de 70 (setenta) laudas, dentre a minuta do contrato principal e seus 11 (onze) anexos. Por esta razão, o SindiTelebrasil solicitou, em 25 de setembro de 2012, dilação de prazo por 12 (doze) dias para que suas Associadas pudessem ter tempo hábil de contribuir adequadamente para a Consulta Pública n 39/2012. A solicitação foi feita de modo que o prazo final de contribuição se encerrasse no dia posterior ao primeiro turno das eleições, ou seja, em 08/10/2012. Contudo, a Anatel informou não ter sido deferido o pedido de dilação efetuado, razão pela qual o SindiTelebrasil se viu obrigado a apresentar uma contribuição de caráter geral, sem o aprofundamento que desejaria poder fazer. Lamenta-se que não esteja sendo possível ao Sinditelebrasil contribuir de forma mais efetiva, considerando-se que a contratação de solução de tecnologia de informação para atividades de gestão de riscos relacionados à segurança das infraestruturas críticas de telecomunicações interessa não só às empresas que pretendem fornecê-la, como também às prestadoras de serviços de telecomunicações, na medida em que a solução que se pretende implementar será alimentada, em parte, com dados relacionados às prestadoras. De fato, o curtíssimo prazo fixado para envio de comentários não foi suficiente para que as Associadas do SindiTelebrasil SindiTelebrasil pudessem entender e avaliar em detalhes o objeto e impactos da contratação pretendida e fazer uma análise extensiva e detalhada da documentação. Todavia, no intento de apresentar o pensamento preliminar do setor a respeito da Consulta Pública em comento, o Sinditelebrasil apresenta as contribuições a seguir: 1. Primeiramente, é importante que a Anatel tome as devidas ações, de forma a garantir que exista no contrato entre a Anatel e a empresa contratada para desenvolvimento do sistema, cláusula de sigilo das informações apresentadas pelas prestadoras. Tal dispositivo é imperioso, uma vez que o sistema conterá informações estratégicas das infraestruturas críticas das prestadoras de telecomunicações. 2. Do aparente não atendimento aos requisitos para acesso on-line descritos no Regulamento de Fiscalização, garantindo o conhecimento simultâneo da realização do procedimento de ingresso nos sistemas das empresas e a rastreabilidade dos dados e informações acessados pela Anatel. Quando do julgamento e aprovação, pelo Conselho Diretor da Anatel, do novo Regulamento de Fiscalização (Resolução n 596, de 06 de agosto de 2012, publicada no Diário Oficial de 09/08/2012), foi definido o significado de acesso on-line, assim entendido como sendo o modo de acesso, obtenção, coleta a apresentação de dados e informações pertinentes às obrigações da fiscalizada, mediante a utilização de aplicativos, sistemas, recursos de facilidades tecnológicos . De fato, tendo sido este o primeiro momento no qual esta d. Anatel mencionou a implantação do acesso on-line, o conselheiro-Relator do referido Regulamento, Dr. Rodrigo Zerbone Loureiro, preocupou-se em seu voto (voto este que, por sinal, foi seguido à unanimidade pelos demais membros do Conselho Diretor), em destacar que o acesso on-line representaria apenas um meio à disposição da Anatel para exercer a sua atribuição legal de fiscalizar, não constituindo, em absoluto, em desvirtuamento das finalidades da atividade do fiscal... e, acrescentando, destacou que ... pelo modo on-line a Anatel terá acesso à mesma gama de dados e informações que hoje a agência já tem acesso por outros meios, em razão da obrigação legal e contratual imposta às fiscalizadas . Ainda, e que se mostra sobremaneira relevante para a análise da presente Consulta Pública n 39/2012, é que, como destacado pelo Conselheiro Zerbone no julgamento do Regulamento de Fiscalização, já naquela ocasião a Anatel se preocupou em inserir dispositivos garantidores dos direitos dos entes fiscalizados, a saber: (i) a implantação do acesso on-line com a observância de práticas de gestão da segurança da informação, com garantia da continuidade dos serviços, preservação da segurança e integridade de dados, programas e sistemas e a confidencialidade das informações, dentre outros. (ii) o conhecimento simultâneo da realização do procedimento e a rastreabilidade dos dados e informações acessados, (iii) o tratamento sigiloso dos dados e informações, (iv) a habilitação e o credenciamento específicos dos agentes de fiscalização, bem como o registro de seus acessos, (v) a previsão de instalações especiais para a ação com ingresso controlado, (vi) a implantação e gestão do acesso on-line atribuídos ao próprio ente fiscalizado e (vii) a previsão expressa de responsabilização do agente que não proceder com o devido zelo na guarda e utilização dos dados e informações, fazer uso do acesso on-line imotivadamente e/ou revelar dados e informações sigilosas . Contudo, embora a Consulta Pública ora em análise não trate diretamente do idêntico acesso on-line a dados e sistemas das Prestadoras , o mecanismo descrito no item 1.5.2 do Anexo A.1.5 determina a disponibilização on-line de informações pelas prestadoras, inclusive para fins de fiscalização. Nesse caso, cabe salientar que serão aplicáveis os cuidados e requisitos constantes do Regulamento de Fiscalização, e, em especial, os previstos no parágrafo 3 do art. 27. 3. Do envio de dados à Anatel pelas prestadoras de serviço de telecomunicações Depreende-se da Consulta Pública em comento que a Anatel pretende implantar sistema que seja também alimentado por informações fornecidas pelas Prestadoras. É o que se extrai da introdução do Anexo A da Consulta Pública: A conformidade ou não conformidade com relação aos controles será informada pelas prestadoras de serviços de telecomunicações (por meio de carga de dados no software) e poderá ser fiscalizada pela Anatel. (...)Deverá ser desenvolvido um coletor de dados para receber as informações de rede acima mencionadas que deverão ser enviadas pelas prestadoras de serviços de telecomunicações 1.5.2. Permitir a leitura de base de dados composta com informações a serem fornecidas pela Anatel, em que parte dos dados será alimentada pelas prestadoras de serviços de telecomunicações de forma online, que conterá no mínimo: Como se vê, a Agência optou por um modelo pelo qual irá apenas acompanhar e fiscalizar as informações fornecidas pelas Prestadoras, analisando o conteúdo dos dados recebidos, sem que haja a possibilidade de qualquer interferência direta ou remota nos dados e sistemas das próprias prestadoras de serviço, nos moldes apresentados pelo SindiTelebrasil no item 2 desta contribuição. Além disso, de acordo com a Consulta Pública n 39/2012, a periodicidade e o formato do envio das informações serão definidos oportunamente pela Anatel, providência que necessariamente deve ocorrer por meio da edição de regulamentação pertinente, que também deverá ser precedida de consulta pública. Inclusive, essa regulamentação também deverá dispor a respeito do conceito de infraestruturas críticas de telecomunicações, pois o texto constante do item 2.14 do Termo de Referência é bastante abrangente, desacompanhado dos detalhes necessários para que as prestadoras possam identificar quais os elementos de rede e os serviços compreendidos nessa categoria. Porém, o item 1.5.2 do Termo de Referência contradiz o disposto na proposta em Consulta Pública. O aludido item define previamente a periodicidade na qual a Anatel desejará receber as informações, quando na verdade, e conforme contido no Termo, a periodicidade deverá ser definida a posteriori. Por certo, o Sinditelebrasil e as Prestadoras de serviços de telecomunicações a ele associadas manterão sua postura de permanente disponibilidade e cooperação, contribuindo com sugestões na consulta pública que vier a ser realizada para tratar das obrigações de envio de informações que serão imputadas às prestadora de serviços de telecomunicações, com a identificação dos dados que serão objeto de envio à Anatel e/ou inclusão no sistema, bem como com a definição dos correlatos formatos, padrões e periodicidades. Nada obstante, o SindiTelebrasil registra sua posição de que, haja vista os inúmeros pontos que devem ser regulamentados pela Agência para viabilizar a operacionalização da solução que se pretende contratar também porque a imposição de obrigações às prestadoras de serviços de telecomunicações depende da regular edição de ato normativo seria mais lógico publicar, primeiramente, a consulta pública para edição do ato normativo ora mencionado para, somente após, submeter ao público a Consulta Pública em questão, que trata da contratação da solução pela Anatel. 4. Da identificação das infraestruturas críticas Consta reiteradamente no documento em Consulta Pública, especialmente no item 2.1 do Anexo do Termo de Referência, que é responsabilidade da contratada a definição, em comum com a Anatel, dos critérios para seleção dos elementos de rede considerados estratégicos. O SindiTelebrasil entende que é imprescindível que a identificação da infraestrutura crítica seja feita pelas prestadoras que possuem pleno conhecimento das infraestruturas críticas de suas próprias redes. Cabe destacar que, de acordo com própria fundamentação para a contratação do software contida no item 2 do texto disponibilizado para apreciação, no período de 2007 até 2009 foi executado o projeto de Proteção de Infraestrutura Crítica de Telecomunicações (PICT). Na oportunidade os ativos críticos foram identificados e os resultados alcançados foram satisfatórios. Porém o presente projeto é mais sofisticado, pois colocará em um sistema todas as informações necessárias para a gestão dos Ativos Críticos. Assim sendo, o SindiTelebrasil não observa outra forma para o mapeamento e classificação dos ativos críticos senão se conduzidos pelas prestadoras. 5. Da proposta de criação de Grupo de Trabalho É imprescindível para o fortalecimento da política regulatória que haja a participação de todos os atores envolvidos na formulação, implementação e avaliação das políticas públicas adotadas. Nesse sentido, o SindiTelebrasil propõe a criação de um Grupo de Trabalho, a exemplo do que irá ocorrer para a implantação da Fiscalização on-line no Regulamento de Fiscalização, com a participação das partes interessadas na discussão, inclusive o Sindicato patronal da categoria e a Anatel. A participação das prestadoras de serviços de telecomunicações, seja diretamente, seja por meio do SindiTelebrasil, em conjunto com a Anatel, permitirá a concepção de novas ideias e soluções para a metodologia de fornecimento de informações. O grupo buscará, assim, evitar possíveis assimetrias de informação existentes entre os inúmeros atores que serão responsáveis pela implementação do sistema. Um dos seus principais objetivos será efetivamente garantir às prestadoras a compreensão exata dos dados, formato, padrão de fornecimento de informações e da futura regulamentação do tema. Destarte, as prestadoras, o SindiTelebrasil e a Anatel terão a oportunidade de idealizar uma metodologia sobre o envio das informações e, principalmente, colaborar na definição do padrão que deverá ser utilizado para o fornecimento dos dados, tendo em vista os diferentes modelos de redes adotados pelas prestadoras de serviços de telecomunicações. Por certo, a presente sugestão do SindiTelebrasil se mostra ainda mais relevante diante dos inúmeros pontos que precisam ser regulamentados para viabilizar a operacionalização da solução que se pretende contratar. Os Grupos de Trabalho, assim, deverão ser designados justamente para desenhar os melhores modelos para implementação de obrigações impostas às prestadoras de serviços de telecomunicações, sendo notória a eficiência dessa forma de atuação. Portanto, é oportuna a criação de Grupo de Trabalho em que haja a participação conjunta da Anatel, do SindiTelebrasil e das prestadoras para operacionalização da solução de tecnologia da informação que será contratada, em adição ao Grupo de Trabalho existente, constituído por meio do Anexo da Portaria n 470, de 2 de junho de 2011, republicado com alterações pela Portaria n 430, de 4 de maio de 2012, no âmbito do qual não se tem a participação dos administrados. Desta forma, destacamos por fim alguns questionamentos que ainda devem ser elucidados por esta d. Anatel e que poderiam ser contemplados nas análises e reuniões do Grupo de Trabalho ora sugerido, ou, alternativamente, caso não acatada a sugestão da criação do Grupo de Trabalho, em manifestação formal desta d. Anatel, o que se requer desde logo: a) Detalhamento do tipo de informação que será coletada pela Anatel para inserção no sistema de gestão de riscos relacionados à segurança das infraestruturas críticas de telecomunicações, e com qual periodicidade; b) Avaliação quanto ao tempo para a implantação deste sistema também sob o ponto de vista das Prestadoras de serviços de telecomunicações, considerando-se que estas ainda não implementaram processos regulares de envio de informações para esta d. Anatel e não foram consultadas previamente sobre a melhor forma de fazê-lo. Há que se considerar, por oportuno, que o sistema de gestão de risco, conforme previsto na presente Consulta Pública, deverá estar operacional para a Copa das Confederações, de modo que o tempo necessário para todas as partes fazerem suas devidas adaptações pode ser crítico; c) Garantia, por esta d. Anatel, de que as Prestadoras de serviços de telecomunicações terão a oportunidade de opinar sobre a relação das infraestruturas crítica identificadas; e d) Prestação de informações mais detalhadas e precisas quanto ao uso futuro que esta d. Anatel deverá fazer desse sistema de gestão de riscos relacionados à segurança das infraestruturas críticas de telecomunicações, bem como explicitar como será feito o acompanhamento do uso do mesmo pelas Prestadoras. Na expectativa da acolhida favorável do pleito apresentado, o SindiTelebrasil reitera manifestação de consideração e apreço, colocando-se desde já à disposição desta d. Anatel para prestar quaisquer informações adicionais que se façam necessárias, bem como para estabelecer discussões futuras com o intuito de aprofundar a análise do teor da Consulta Pública n 39/2012.