Portaria ANCINE n.º 589-E, de 9 de junho de 2022

Institui as regras para a utilização dos recursos computacionais e as diretrizes para a implementação de controles de acesso relativos à Segurança da Informação e Comunicações na Agência Nacional do Cinema - ANCINE.

O DIRETOR-PRESIDENTE DA AGÊNCIA NACIONAL DO CINEMA - ANCINE, no uso da atribuição que lhe confere o inciso IV do art. 13 do Anexo I ao Decreto n.º 8.283, de 3 de julho de 2014, bem como o inciso III do art. 17 do Regimento Interno da ANCINE, a Resolução de Diretoria Colegiada n.º 59, de 2 de abril de 2014, e, considerando:

a Lei n.º 9.983, de 14 de julho de 2000, a qual altera o Decreto-Lei n.º 2.848, de 7 de dezembro de 1940 - Código Penal, e dá outras providências;

o Decreto n.º 9.637, de 26 de dezembro de 2018, o qual institui a Política Nacional de Segurança da Informação - PNSI, no âmbito da Administração Pública Federal;

a Resolução de Diretoria Colegiada n.º 117, de  28 de setembro de 2021, a qual institui a Política de Segurança da Informação e Comunicações da ANCINE, e dá outras providências;

a Orientação de Serviço n.º 1-E/2022, a qual aprova a política para utilização de senhas por usuários servidores e colaboradores, no ambiente computacional da ANCINE, para fins de acesso à rede de dados, aos serviços e aos sistemas internos da Agência;

as Instruções Normativas n.º 1 e 2, do Gabinete de Segurança Institucional da Presidência da República, de 27 de maio e 24 de julho de 2020, as quais disciplinam a Estrutura de Gestão de Segurança da Informação nos órgãos e nas entidades da Administração Pública Federal, e dão outras providências;

a Norma Complementar n.º 07/IN01/DSIC/GSIPR, do Departamento de Segurança da Informação e Comunicações, do Gabinete de Segurança Institucional da Presidência da República, que trata das diretrizes para implementação de controles de acesso relativos à Segurança da Informação e Comunicações; e

a Norma Complementar n.º 12/IN01/DSIC/GSIPR, do Departamento de Segurança da Informação e Comunicações, do Gabinete de Segurança Institucional da Presidência da República, que trata do uso de dispositivos móveis nos aspectos relativos à Segurança da Informação e Comunicações nos órgãos e entidades da Administração Pública Federal;

RESOLVE: 

Art. 1º Aprovar, na forma desta Portaria, bem como de seus Anexos, as regras para a utilização dos recursos computacionais e as diretrizes para a implementação de controles de acesso relativos à Segurança da Informação e Comunicações, na Agência Nacional do Cinema - ANCINE.

Art. 2º Esta Portaria se aplica a toda a ANCINE, incluindo dispositivos corporativos utilizados de forma remota e ainda escritórios que venham a ser criados durante a vigência deste documento.

CAPÍTULO I

DOS TERMOS E DEFINIÇÕES 

Art. 3º Para efeitos desta norma, ficam estabelecidos os seguintes termos e definições, em complemento àqueles definidos na Política de Segurança da Informação e Comunicações da ANCINE e suas normas complementares:

I – acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem como a possibilidade de usar os ativos de informação de um órgão ou entidade;

II – ativos de rede: equipamento responsável pela interligação entre dispositivos em uma rede de dados;

III – ativos de software ou software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;

IV – controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder, bloquear ou excluir acesso;

V – CPD: Centro de Processamento de Dados ou datacenter;

VI – credenciamento: processo pelo qual o usuário recebe credenciais que concederão o acesso, incluindo a identificação, a autenticação, o cadastramento de código de identificação e definição de perfil de acesso em função de autorização prévia e da necessidade de conhecer;

VII – perfil de acesso: conjunto de atributos de cada usuário, definidos previamente como necessários para credencial de acesso;

VIII – recursos computacionais: quaisquer elementos, lógicos ou físicos, capazes de realizar armazenamento, transmissão, captura, processamento e publicação de dados, bem como elementos de infraestrutura necessários ao seu funcionamento e dados neles contidos ou por ele trafegados;

IX – servidor de arquivo: equipamento dedicado a fornecer armazenamento compartilhado de arquivos de computadores

X –  Termo de Uso e Responsabilidade: termo assinado pelo usuário para utilização dos recursos computacionais e acesso aos ativos de informação da ANCINE em que assume as responsabilidades decorrentes de seus atos (Anexos I e II); e

XI – usuário: indivíduo com acesso ao ambiente computacional da ANCINE, podendo ser usuário servidor, colaborador ou visitante;

XII – usuário colaborador: prestador de serviço terceirizado ou estagiário que tenha acesso, de forma autorizada, ao ambiente computacional da ANCINE;

XIII – usuário servidor: servidor em exercício na ANCINE que tenha acesso, de forma autorizada, ao ambiente computacional da ANCINE; 

XIV – usuário visitante: pessoa física, que não se enquadre na definição disposta nos incisos XII e XIII, com acesso autorizado, de forma temporária, ao ambiente computacional da ANCINE.

XV – Termo de Retirada de Bens: termo utilizado para registrar o empréstimo de bens corporativos para que o servidor/colaborador em teletrabalho possa utilizá-lo em sua residência;

XVI – Termo de Devolução de Bens: termo utilizado para registrar a devolução dos bens que estavam em situação de empréstimo para teletrabalho; e

XVII – Termo de Uso VPN: termo utilizado para a requisição de concessão de acesso à Rede Privada Virtual - VPN da ANCINE.

CAPÍTULO II

DOS RECURSOS COMPUTACIONAIS

Seção I

Do Uso, Monitoramento e Suporte de Recursos Computacionais

Art. 4º Os usuários terão acesso aos recursos computacionais que forem indispensáveis à realização de suas atividades, no exercício de seu cargo ou função.

Parágrafo único.  Não são contemplados pela presente norma usuários sem vínculos com a ANCINE, cuja utilização dos recursos computacionais se restrinja ao uso de sistemas corporativos da Agência.

Art. 5º Os usuários são responsáveis pelos recursos computacionais corporativos por eles utilizados e têm o dever de zelar por sua integridade, respondendo por qualquer dano ocorrido que poderia ter sido evitado.

§ 1º Os usuários colaboradores assinarão Termo de Uso e Responsabilidade pelo uso de equipamentos corporativos e acesso à rede da ANCINE.

§ 2º Os usuários servidores que receberem dispositivos móveis assinarão o Termo de Uso e Responsabilidade.

§ 3º Os usuários servidores/colaboradores que necessitarem de equipamentos de TI para uso  remoto em função de teletrabalho deverão preencher o Termo de Retirada de Bens em processo específico do SEI.

Art. 6º. Os usuários em trânsito poderão utilizar os recursos computacionais de qualquer escritório da ANCINE em que estiverem trabalhando.

Art. 7º Os recursos computacionais serão registrados pela Gerência de Tecnologia da Informação (GTI), a fim de assegurar sua correta identificação no ambiente, assim como garantir a identificação do usuário responsável pelo uso do recurso.

Art. 8º A identificação física dos recursos computacionais seguirá padrão definido pela Gerência de Administração (GAD).

§ 1º Quando possível e conveniente, os equipamentos possuirão lacre de segurança.

§ 2º Os recursos computacionais alocados na ANCINE que não são de propriedade da Agência também serão identificados.

Art. 9º A GTI será responsável pelo monitoramento dos recursos computacionais.

Art. 10. A instalação, alteração e atualização dos recursos computacionais serão homologadas previamente pela GTI, após análise dos padrões técnicos e de segurança.

Art. 11.  As estações de trabalho, notebooks e tablets possuirão configurações de hardware e software padronizadas pela GTI, de acordo com o perfil de utilização dos usuários.

Art. 12. A solicitação de instalação ou substituição de recursos computacionais será efetuada mediante abertura de solicitação de serviços, em canal apropriado, com anuência da chefia imediata e estará sujeita à disponibilidade e às regras de distribuição de recursos.

Parágrafo único. Os casos omissos ou excepcionais serão analisados pela Secretaria de Gestão Interna (SGI).

Art. 13. O suporte e a configuração dos recursos computacionais serão efetuados mediante abertura de solicitação de serviços em canal apropriado.

§ 1º O usuário deve manter o número do registro do pedido de suporte por ele realizado para controle e acompanhamento.

§ 2º Será permitida a execução dos serviços de suporte técnico apenas nos equipamentos corporativos, sendo vedada a assistência técnica pela GTI em equipamentos particulares.

Art. 14. Quando necessária a manutenção ou configuração externa à ANCINE, a movimentação deve ser precedida da exclusão de informações institucionais sensíveis pelo usuário, com a ciência do líder da unidade.

Art. 15. O usuário deverá informar imediatamente à Central de Serviços da GTI e à GAD, quando houver suspeita de violação, dano ou furto do equipamento por ele utilizado.

Seção II

Do Uso de Software 

Art. 16. No ambiente computacional da ANCINE será permitida exclusivamente a utilização de softwares homologados pela GTI e que sejam necessários à execução das atividades da Agência, respeitados os direitos autorais e contratuais dos fabricantes.

§ 1º A instalação de software homologado deve ser precedida de solicitação do usuário à Central de Serviços da GTI e de autorização da chefia imediata do solicitante.

§ 2º A GTI poderá adotar mecanismos automatizados de instalação de software homologado.

§ 3º Os técnicos de atendimento da GTI não estão autorizados a instalar quaisquer softwares não homologados ou não autorizados pela GTI.

Art. 17. O registro dos softwares homologados, da quantidade de licenças e do local de instalação deverá ser mantido e atualizado pela GTI.

Art. 18. A autorização para instalação e utilização de softwares homologados está vinculada à quantidade de licenças e subscrições disponíveis, e à conformidade com as atribuições regimentais da unidade organizacional do solicitante.

Parágrafo Único. Quando houver número limitado de licenças, caberá à SGI definir o critério de distribuição.

Art. 19. Em caso de necessidade de utilização de software não homologado, o líder da unidade organizacional deverá solicitar a homologação formalmente à GTI, informando:

I – identificação do software;

II – identificação da demanda no Plano Diretor de Tecnologia da Informação e Comunicações da ANCINE  - PDTIC-ANCINE;

III – a justificativa e aplicação no exercício das atribuições regimentais; e

IV – quantidade de licenças necessárias.

§ 1º A GTI poderá negar, de forma motivada, a utilização de um software se verificar, durante a homologação e análise da política de direito de uso, que o software compromete a segurança, desempenho ou a estabilidade do ambiente computacional, bem como se houver software já homologado para finalidade semelhante.

§ 2º A GTI fará a distribuição de licenças e subscrições e procederá à abertura de processo de aquisição, quando necessário.

Art. 20. A GTI removerá das estações de trabalho e notebooks quaisquer softwares não homologados ou que não estejam em conformidade com o licenciamento e os termos de uso.

Art. 21. Os usuários com credenciais de administrador somente poderão instalar softwares mediante prévia e indispensável autorização da GTI.

Seção III

Do Armazenamento de Arquivos 

Art. 22. Os usuários deverão utilizar o espaço adequado de armazenamento em nuvem para armazenar todos os arquivos corporativos, não devendo deixar os documentos digitais nas estações de trabalho e notebooks.

§ 1º Deverão ser gravados em nuvem apenas documentos de interesse da ANCINE, não sendo autorizados conteúdos de natureza particular

§ 2º Os arquivos salvos na unidade de disco local não terão garantia de recuperação, devendo cada usuário se responsabilizar pelo backup dos dados.

§ 3º  A GTI será responsável por garantir a integridade e a disponibilidade permanente dos dados e arquivos armazenados em nuvem.

§ 4º Arquivos cujas extensões sejam consideradas pela GTI como propícias à exploração de vulnerabilidades ou à propagação de malwares poderão ter o armazenamento impedido de forma automática no servidor de arquivos.

Art. 23. O conteúdo armazenado no servidor de arquivos, em nuvem, nas estações de trabalho e nos notebooks poderá ser monitorado e registrado para fins de auditoria.

Parágrafo único. A ANCINE não se responsabiliza pelo conteúdo de caráter pessoal armazenado no ambiente computacional da ANCINE e poderá removê-lo, a qualquer tempo, podendo guardar cópia dos dados para utilização em eventuais procedimentos disciplinares, cíveis ou penais.

Art. 24. Cada usuário terá permissão de acesso apenas às pastas e aos arquivos necessários e suficientes à execução do seu trabalho.

Art. 25.  Ao notar alteração ou exclusão indevida de conteúdo armazenado no servidor de arquivos, o usuário deverá comunicar imediatamente a Central de Serviços da GTI.

CAPÍTULO III

DO CONTROLE DE ACESSO

Seção I

Do Controle de Acesso Lógico 

Art. 26. Será disponibilizada ao usuário apenas uma conta institucional de acesso, pessoal e intransferível.

Art. 27. As contas de acesso com credenciais de administrador para o gerenciamento de sistemas e serviços serão utilizadas somente por usuários autorizados pela GTI.

Art. 28. Quando do ingresso de servidor na ANCINE, a Gerência de Recursos Humanos (GRH) será responsável pela requisição da criação de conta de acesso de usuário junto à Central de Serviços da GTI, informando:

I – nome completo;

II – data de nascimento;

II – nome do cargo;

III – lotação;

IV –  número de CPF;

V – Endereço de Prestação do Serviço (quando aplicável); e

VI – Chefia imediata (quando aplicável).

§ 1º Será adotado no identificador o prenome e o último ou penúltimo sobrenome do usuário, separados pelo sinal do ponto, em letras minúsculas, sem a utilização de agnomes, acentos, cedilhas ou caracteres especiais.

§ 2º Excepcionalmente, no caso de homônimos ou desde que justificável, poderá ser adotada forma diferente da estabelecida no parágrafo primeiro no identificador do usuário.

§ 3º A Gerência de Recursos Humanos é responsável por coletar a assinatura do Termo de Uso e Responsabilidade (Anexo II) de cada colaborador e enviá-lo à Gerência de Tecnologia da Informação, para controle.

Art. 29. Quando do ingresso de colaborador na ANCINE, o fiscal de seu respectivo contrato será responsável pela requisição da criação de conta de acesso de usuário junto à Central de Serviços da GTI, informando:

I – nome completo;

II – data de nascimento;

II – nome do cargo;

III – lotação;

IV – número de CPF;

V – Nome da Empresa;

V – Endereço de Prestação do Serviço (quando aplicável); e

VI – Chefia imediata (quando aplicável).

§ 1º Será adotado no identificador o prenome e o último ou penúltimo sobrenome do usuário, separados pelo sinal do ponto, em letras minúsculas, sem a utilização de agnomes, acentos, cedilhas ou caracteres especiais.

§ 2º Excepcionalmente, no caso de homônimos ou desde que justificável, poderá ser adotada forma diferente da estabelecida no parágrafo primeiro no identificador do usuário.

§ 3º O fiscal do contrato deverá informar à GTI, quando o contrato incluir mão de obra, o número do contrato, sua vigência, nome da empresa e cargos.

§ 4º Ao final do contrato, o fiscal é responsável pelos pedidos de bloqueio de contas dos colaboradores.

§ 5º O fiscal do contrato é responsável por coletar a assinatura do Termo de Uso e Responsabilidade (Anexo I) de cada colaborador e enviá-lo à GTI, para controle.

Art. 30. A chefia da unidade organizacional será responsável pela requisição de acesso aos sistemas da ANCINE à Central de Serviços da GTI para os usuários sob sua supervisão, informando o perfil de acesso adequado ao trabalho executado.

§ 1º A Central de Serviços da GTI poderá consultar a SGI para a designação de perfis.

§ 2º A chefia da unidade organizacional será responsável pela solicitação de exclusão de acesso a arquivos e caixas de correio compartilhadas ou sistemas específicos de usuário quando de sua movimentação para outra unidade, ou nos casos de afastamento.

§ 3º A concessão de acesso a sistemas que não estão sob a gestão da Central de Serviços da GTI deve obedecer aos trâmites das normas específicas em cada caso.

Art. 31. Em casos de aposentadorias, cessões, falecimentos, exonerações e outras hipóteses que afastem permanentemente o servidor da Agência, a GRH será responsável por solicitar o bloqueio de credenciais de acesso à rede do servidor:

I – Imediatamente;

II – Em data futura fixada, não maior que 72 horas, mediante justificativa da necessidade de acesso;

III – Em data futura indeterminada mediante autorização expressa da SGI, a qual ficará responsável por solicitar o bloqueio após finda necessidade de uso.

Parágrafo único. O fiscal do respectivo contrato será responsável pela comunicação dos desligamentos de usuário colaborador sob sua supervisão à Central de Serviços da GTI, a partir da qual o respectivo bloqueio deve ser realizado de forma imediata.

Art. 32. A ANCINE implementará mecanismos de autenticação, autorização, credenciamento e registro de acesso do usuário.

Parágrafo único. A criação de senhas, para fins de acesso à rede de dados, aos serviços e aos sistemas internos da Agência, deve obedecer à política para utilização de senhas da ANCINE.

Art. 33. O acesso à rede da ANCINE, de forma presencial ou remota, será registrado para permitir a rastreabilidade e a identificação do usuário para fins de auditoria, segurança e conformidade.

Seção II

Do Controle de Acesso via VPN 

Art. 34.  O acesso à VPN será individual, intransferível e exclusivamente por meio de equipamentos corporativos.

Art. 35.  O acesso somente será disponibilizado enquanto o usuário mantiver vínculo institucional e enquanto houver necessidade de acesso remoto para execução de suas atribuições.

Art. 36.  O acesso deverá ser precedido de solicitação pelo usuário e de autorização do gestor da unidade em processo específico.

Art. 37.  O acesso poderá ser revogado preventivamente, a qualquer tempo, se forem caracterizadas vulnerabilidades, comportamentos anômalos ou suspeitas de ataques cibernéticos pela VPN.

Art. 38.  Todo acesso VPN será registrado para fins de auditoria e melhorias do serviço.

Seção III

Do Controle de Acesso Físico 

Art. 39. A GTI estabelecerá regras para credenciamento de acesso de usuários aos ativos de informação em conformidade com a legislação vigente, e em especial quanto ao acesso às informações em áreas e instalações consideradas críticas.

Art. 40. O acesso físico ao CPD e aos demais espaços destinados aos equipamentos da rede lógica de TI da ANCINE, incluindo racks de TIC em áreas comuns, é restrito aos membros da GTI.

§ 1º Pessoas estranhas à GTI somente poderão acessar os espaços referidos no caput mediante a autorização da GTI e designação de acompanhante.

§ 2º O acesso físico ao CPD se dará unicamente por identificação biométrica ou cartão magnético.

§ 3º O acesso de visitantes e prestadores de serviço deverá ser registrado em livro ou sistema específico.

§ 4º A fotografia e a captura de áudio ou de vídeo nos espaços indicados no caput deverão ser autorizadas pela GTI.

§ 5º A entrada ou retirada de quaisquer equipamentos de TIC do CPD deverá ser autorizado da GTI.

§ 6º  Não é permitida a entrada de alimentos ou bebidas.

§ 7º Não é permitida a entrada de produtos que ofereçam riscos de incêndio ou explosão, exceto por profissionais previamente autorizados pela GTI.

CAPÍTULO IV

DAS VEDAÇÕES E PENALIDADES

Art. 41. É vedado aos usuários:

I – armazenar conteúdo ilegal, ofensivo ou protegido por direitos autorais, salvo se com autorização expressa do proprietário ou de norma específica da ANCINE;

II – explorar falhas de configuração e de segurança para alterar ou causar dano a um recurso computacional;

III – conectar recursos computacionais pessoais ao ambiente computacional da ANCINE, salvo por meio da rede sem fio, de acordo com a política para uso de rede sem fio da ANCINE;

IV – realizar a troca de insumos de equipamentos de impressão, tais como cartucho de toner ou tinta, salvo abastecimento de papel;

V –  compartilhar diretórios e arquivos em estações de trabalho e notebooks;

VI – violar recursos computacionais, bem como modificar a configuração padrão de softwares e de sistemas operacionais configurados pela GTI;

VII – movimentar recursos computacionais sem autorização da GTI e da GAD;

VIII – efetuar réplicas de softwares adquiridos pela ANCINE, bem como promover esta prática com outros aplicativos;

IX – instalar ou executar quaisquer softwares, inclusive os softwares livre e os de código aberto, nas estações de trabalho e notebooks da ANCINE sem autorização da GTI;

X – armazenar dados corporativos em dispositivos pessoais externos ao ambiente computacional da ANCINE;

XI – utilizar meios alternativos de conexão à internet, ou a outros tipos de rede, a partir de estações de trabalho da ANCINE, tais como modems 3G, 4G ou 5G, salvo mediante expressa autorização da GTI; e

XII – fazer a conexão de qualquer dispositivo particular à rede cabeada da ANCINE sem autorização da GTI.

Art. 42. Caracterizada a violação do art. 41, a GTI notificará o responsável, recolherá as evidências necessárias, procederá à exclusão ou isolamento de arquivos, revogará acessos e requisitará o equipamento corporativo, relatando o fato imediatamente ao Comitê de Segurança da Informação e Comunicações (CSIC), e à Equipe de Tratamento e Resposta a Incidentes Cibernéticos (ETIR), por meio de relatório de incidente de segurança.

§ 1º A violação de que trata o caput por usuário servidor poderá ser apurada em processo administrativo disciplinar, podendo haver responsabilização penal, civil e administrativa, na forma da legislação em vigor.

§ 2º A empresa responsável por usuário colaborador envolvido em incidente de que trata o caput receberá advertência formal, e poderá incorrer em penalidades contratuais.

§ 3º O usuário visitante será responsabilizado na forma da legislação civil e penal em vigor.

CAPÍTULO V

DAS DISPOSIÇÕES FINAIS 

Art. 43. Os casos não previstos nesta norma serão submetidos à apreciação do CSIC da ANCINE.

Art. 44. Esta Portaria entrará em vigor na data de sua publicação e revoga a Portaria ANCINE n.º 292-E, de 2017.

ALEX BRAGA

Diretor-Presidente