RESOLUÇÃO ANM Nº 54, DE 13 DE JANEIRO DE 2021. [ RESOLUCAO ANM 54/2021 ]
Estabelece as regras e procedimentos específicos para a Política de Segurança da Informação e Comunicações (POSIC) da Agência Nacional de Mineração.
A DIRETORIA COLEGIADA DA AGÊNCIA NACIONAL DE MINERAÇÃO, no uso das atribuições que lhe confere o art. 11, § 1º, inciso I, da Lei nº 13.575, de 26 de dezembro de 2017, o art. 9º, inciso I, do Anexo I da Estrutura Regimental da Agência Nacional de Mineração, aprovada pelo Decreto nº 9.587, de 27 de novembro de 2018, e no art. 10, inciso I, do Anexo II da Resolução nº 2, de 12 de dezembro de 2018, resolve:
Art. 1º Aprovar as regras e procedimentos específicos para a Política de Segurança da Informação e Comunicações - POSIC, no âmbito da Agência Nacional de Mineração - ANM, instituída por meio da Resolução 53, DE 13 DE JANEIRO DE 2021.
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 2º Para efeitos desta Resolução, são estabelecidos os significados dos seguintes termos e expressões:
I - Acesso: ato de ingressar, conhecer ou consultar a informação, bem como a possibilidade de utilizar os ativos de informação da organização;
II - Ameaça: conjunto de fatores externos ou causa potencial de um incidente indesejado que pode resultar em dano à um sistema ou serviço de tecnologia da informação na organização;
III - Artefato malicioso: qualquer programa de computador, ou parte de um programa, construído com a intenção de provocar danos, obter informações não autorizadas ou interromper o funcionamento de sistemas e/ou redes de computadores;
IV - Ativos de informação: os meios de armazenamento, transmissão e processamento da informação; os equipamentos necessários a isso; os sistemas utilizados para tal; os locais onde se encontram esses meios e também os recursos humanos que a eles têm acesso (Ref. NC 10/IN01/DSIC/GSIPR);
V - Colaborador: toda e qualquer pessoa física ou jurídica que desempenhe atividade de interesse da ANM, realize estágio ou preste serviço, em caráter permanente ou eventual;
VI - Conta de acesso: permissão lógica, expressa por meio de usuário e senha, que habilita determinada pessoa a acessar os sistemas e recursos de Tecnologia da Informação da ANM;
VII - Correio eletrônico: sistema usado para criar, transmitir e receber mensagem eletrônica e outros documentos digitais por meio de rede de computadores;
VIII - Documento: unidade de registro de informações, qualquer que seja o suporte ou formato;
IX - Equipe de tratamento e resposta a incidentes em redes computacionais - ETIR: grupo de pessoas com a responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores;
X - Incidente de segurança da informação: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores;
XI - Links: palavra, expressão ou imagem que permite o acesso imediato à outra parte de um mesmo texto, ou de outro documento, bastando ser acionado pelo ponteiro do mouse. Quando o link é expresso na forma de uma palavra ou expressão (também denominado hiperlink ou hipertexto), ele vem sublinhado ou grafado em cor distinta da utilizada para o resto do texto;
XII - Proprietário do ativo de informação: servidor ou unidade organizacional responsável primário pela viabilidade e sobrevivência do ativo de informação (Ref. NC 10/IN01/DSIC/GSIPR);
XIII - Protocolo de transferência de arquivos (file transfer protocol - FTP): protocolo utilizado para transferir arquivos através de redes computacionais, incluindo a Internet;
XIV - Registros de auditoria (logs): registro dos eventos relevantes ocorridos em um sistema computacional ou uma rede de computadores, utilizado para restabelecer o estado original ou para que o administrador conheça o seu comportamento no passado;
XV - Site: conjunto de documentos escritos em linguagem HTML, pertencentes a um mesmo endereço (URL), disponível na Internet;
XVI - Software: o mesmo que programa ou aplicativo;
XVII - Central de Serviços de TI: equipe designada pela Gerência de Tecnologia, Gestão e Suporte à Informação - GTGS responsável pelas orientações relativas à Tecnologia da Informação dentro da Agência;
XVIII - Usuário: pessoa física, seja servidor ou colaborador habilitado para fazer uso de uma conta de acesso;
XIX - Vírus: programa desenvolvido com intenção nociva, que inserido em um computador, pode causar queda da sua performance, destruição de arquivos e disco rígido, ocupar espaço livre de memória, entre outros danos. As formas mais comuns de contaminação são os dispositivos móveis de armazenamento e arquivos enviados por correio eletrônico;
XX - Spyware: software malicioso instalado no computador do usuário sem o seu conhecimento ou consentimento, com o propósito de monitorar e coletar suas informações pessoais e sobre sua atividade;
XXI - Antispyware: programa especializado e utilizado para detectar spyware instalado e bloquear tentativas de infecção;
XXII - Antivírus: programa de proteção do computador que detecta e elimina os vírus nele existentes, assim como impede sua instalação e propagação; e
XXIII - Rede privada virtual (virtual private network - VPN): rede privada construída sobre a infraestrutura de uma rede pública, normalmente a Internet, sem a necessidade de utilização de conexões dedicadas.
Art. 3º Cabe à Gerência de Tecnologia, Gestão e Suporte à Informação - GTGS, vinculada a Superintendência de Desenvolvimento Institucional, prover a infraestrutura tecnológica necessária para implementação da POSIC e de suas regras e procedimentos.
Art. 4º Cabe a uma equipe multidisciplinar, formada minimamente por representantes indicados pelas unidades organizacionais relacionadas abaixo, definir processos de negócio visando o monitoramento do cumprimento das regras e procedimentos específicos da POSIC:
I - Gerência de Tecnologia, Gestão e Suporte à Informação - GTGS;
II - Superintendência de Gestão de Pessoas - SGP; e
III - Superintendência de Administração e Finanças - SAF.
§ 1º Representantes de outras unidades organizacionais poderão ser indicados para compor a equipe multidisciplinar, conforme os processos de negócio a serem definidos.
CAPÍTULO II
DO CONTROLE DE ACESSO DO USUÁRIO
Seção I
Contas de acesso à rede corporativa da ANM
Art. 5º Cada servidor da ANM receberá, após o devido credenciamento pela Gerência de Tecnologia, Gestão e Suporte à Informação - GTGS, uma conta de acesso única, pessoal e intransferível.
§ 1º O fornecimento da conta de acesso será realizado pela Gerência de Tecnologia, Gestão e Suporte à Informação - GTGS, no qual constarão os dados cadastrais do usuário e os recursos de TI que deverão ser fornecidos (ex.: caixa de correio eletrônico, acesso a pasta de arquivos compartilhados, dentre outros).
§ 2º O servidor deverá assinar o "Termo de Responsabilidade e Sigilo" (Anexo I), no qual declara ter conhecimento da POSIC e suas normas correlatas.
§ 3º O nome de usuário seguirá a nomenclatura padronizada pelas regras de formação de nomes para a composição de endereço eletrônico (e-mail) no Governo Federal, composto pelo nome seguido de ponto e de um sobrenome.
Art. 6º Os colaboradores poderão receber conta de acesso, desde que o acesso à rede corporativa da ANM seja imprescindível à execução de suas atividades, a critério da Superintendência de Gestão de Pessoas - SGP ou do gestor do contrato relacionado, seguindo o mesmo procedimento definido no art. 4º.
Art. 7º Os colaboradores que prestam serviços por demanda e que necessitam acesso à rede corporativa para executar atividades específicas poderão receber conta de acesso, sem caixa de e-mail pessoal, mediante solicitação do gestor do contrato à GTGS.
§ 1º A solicitação deverá conter dados cadastrais e o período que o colaborador desempenhará suas atividades.
§ 2º Caso o colaborador seja desligado da empresa antes do prazo estabelecido na ativação da conta, o gestor do contrato deverá informar o desligamento à GTGS para o bloqueio imediato da conta de acesso.
Art. 8º Serão fornecidas, inicialmente, senhas seguras e temporárias com troca obrigatória no primeiro acesso realizado pelo usuário.
§ 1º É responsabilidade do usuário manter a confidencialidade de sua senha pessoal.
§ 2º As senhas deverão ter as seguintes características:
I - tamanho mínimo de 8 (oito) caracteres;
II - validade não superior a 45 dias;
III - compostas por ao menos uma letra e um número; e
IV - diferente das 3 (três) últimas senhas utilizadas pelo usuário.
§ 3º Em casos de perda ou esquecimento de senhas, uma nova senha deverá ser solicitada à GTGS, pela chefia imediata do servidor ou colaborador, por meio de formulário específico cadastrado no SEI ou por e-mail.
Art. 9º O perfil de administrador de rede somente será concedido para usuários que executam tarefas específicas na administração dos recursos de tecnologia da informação que compõem a rede corporativa da ANM.
Art. 10º A concessão de perfis para acessar sistemas específicos dependerá de prévia autorização do proprietário do ativo de informação correspondente.
Seção II
Bloqueio das contas de acesso
Art. 11º As contas de acesso serão bloqueadas nas seguintes situações:
I - após 5 (cinco) tentativas de acesso sequenciais malsucedidas;
II - quando não for utilizada, sem justificativa, por mais de 90 (noventa) dias, ocasião em que o bloqueio deverá ser informado à chefia imediata ou superior do usuário; e
III - em casos de suspeita de infração à POSIC, mediante autorização do Gerente da GTGS.
§ 1º O bloqueio da conta de acesso impede que o usuário acesse a rede corporativa e a respectiva caixa de correio eletrônico, mas a conta continua existindo e os e-mails endereçados ao usuário são recebidos.
§ 2º O desbloqueio da conta de acesso, sem alteração da senha, deverá ser solicitado à Central de Serviços de TI da ANM.
§ 3º No caso de servidor em licença ou afastamento, previstos na Lei n.º 8112/90, cujo prazo seja superior ao estabelecido no inciso II, do caput, a SGP informará à GTGS para aplicação de regra especifica de bloqueio da conta.
Seção III
Exclusão das contas de acesso
Art. 12º A exclusão da conta de acesso do servidor ou colaborador será realizada pela GTGS, mediante solicitação encaminhada pela SGP ou gestor de contrato, nos seguintes casos:
I - desligamento;
II - término do contrato de trabalho; ou
III - falecimento.
§ 1º Os arquivos armazenados na estação de trabalho e na rede corporativa serão movidos e disponibilizados à última Unidade Organizacional de lotação do servidor ou colaborador.
§ 2º Em caso de desligamento de diretor ou superintendente, a exclusão deverá ocorrer após o prazo correspondente à quarentena e os arquivos disponibilizados à Diretoria-Colegiada.
§ 3º Será mantida cópia da caixa de correio por 5 (cinco) anos, para fins de auditoria. Após este prazo o conteúdo da caixa será excluído.
Seção IV
Procedimentos durante os afastamentos
Art. 13º A SGP deverá comunicar à GTGS, previamente, os servidores em licença ou afastamento, previstos na Lei n.º 8112/90, cujo prazo seja superior a 90 (noventa) dias, para que sejam tomadas as seguintes providências:
I - os arquivos de trabalho armazenados no computador desktop e nas pastas corporativas deverão ser movidos para que fiquem disponíveis à última unidade organizacional do servidor; e
II - o computador desktop e notebook, se houver, serão formatados e ficarão disponíveis para uma nova distribuição.
Seção V
Autorização de acesso às contas
Art. 14º O acesso à conta de usuário será possível mediante indício de descumprimento dos termos desta Resolução ou de outros normativos, apurado em procedimento administrativo, assegurando-se o direito ao contraditório e à ampla defesa.
CAPÍTULO III
RESPONSABILIDADES E RECOMENDAÇÕES AO USUÁRIO
Seção I
Responsabilidades do Usuário
Art. 15º A conta de acesso disponibilizada ao usuário é pessoal e intransferível, sendo seu titular o único e total responsável pelas ações e danos que venham a ser ocasionados por mau uso do serviço.
Art. 16º É vedada a utilização da conta de acesso e dos recursos de TI corporativos para receber de forma consentida, armazenar e enviar/encaminhar mensagens contendo:
I - códigos maliciosos, conteúdo potencialmente perigoso, tais como arquivos executáveis, vírus, Cavalos de Tróia ou qualquer outro tipo de programa danoso;
II - materiais com conteúdo obsceno, ilegal, antiético, ofensivo ou que incentivem a violência, discriminação ou preconceito ou que façam sua apologia;
III - conteúdos tendentes a comprometer a intimidade de usuários ou a imagem institucional;
IV - materiais protegidos por leis de propriedade intelectual;
V - materiais com objetivos comerciais, particulares e anúncios publicitários; e
VI - materiais de natureza político-partidária ou sindical, que promova a eleição de candidatos para cargos públicos eletivos, clubes, associações e sindicatos.
Art. 17º Caracterizam-se como utilização indevida dos recursos de tecnologia da informação as seguintes ações:
I - ataque, monitoração ou acesso não autorizado aos recursos de tecnologia da informação da organização ou de redes externas, utilizando recursos da organização ou outros meios;
II - instalação de softwares sem licença ou não autorizados pela organização;
III - utilização dos recursos de TI em atividades particulares ou com fins lucrativos;
IV - instalação ou disseminação de vírus de computadores ou software que coloquem em risco as instalações e os recursos de tecnologia da informação da organização;
V - alteração da configuração de hardware dos recursos de tecnologia da informação, sem a devida solicitação à GTGS;
VI - cópia de arquivos, programas de computador, conteúdos de bases de dados, ou outros ativos de informação da ANM, sem a devida autorização do proprietário do ativo; e
VII - todo e qualquer procedimento no uso dos recursos de TI não previsto nesta norma que possam afetar de forma negativa a organização, seus servidores e seus colaboradores.
Art. 18º É vedada a utilização dos recursos de TI corporativos para armazenamento de arquivos particulares ou outros que não tenham relação direta com as atividades da Agência.
Seção II
Estações de trabalho e notebooks
Art. 19º Não será concedido perfil de administrador das estações de trabalho e notebooks aos usuários, devendo quaisquer alterações em sua configuração ou instalação de aplicativos serem solicitadas à Central de Serviços de TI.
§ 1º Em caso de necessidade devidamente justificada, poderá ser concedido perfil de administrador da estação de trabalho e notebook, mediante solicitação realizada pelo chefe da unidade organizacional de lotação do servidor ou colaborador.
§ 2º Não poderão ser instalados nas estações de trabalho e notebooks softwares não autorizados pela GTGS e sem o devido licenciamento. Em caso de dúvidas, a Central de Serviços de TI deve solicitar autorização da GTGS para realizar a referida instalação.
Art. 20º O usuário deverá bloquear o acesso à sua estação de trabalho sempre que se ausentar do equipamento.
Art. 21º Ao final do expediente, o usuário deverá encerrar a sessão em sua estação de trabalho, de forma que o equipamento não permaneça ligado, sem utilização, por períodos prolongados.
Seção III
Uso da internet
Art. 22º O acesso à internet deve ser realizado por meio das conexões disponibilizadas e autorizadas pela Agência e terá controle de tráfego para fins de aplicação da POSIC.
Art. 23º A internet não deve ser utilizada para:
I - transmitir, para si ou para terceiros, softwares ou informações custodiadas ou de propriedade da organização, sem prévia autorização;
II - acessar sites de pornografia, pedofilia, que façam incitação à violência e outros contrários à legislação e regulamentação em vigor, mesmo que alguns desses sites não estejam bloqueados pelos mecanismos de segurança implementados na rede corporativa;
III - acessar sites com materiais atentatórios à moral e aos bons costumes, ofensivos ou que façam sua apologia, incluindo os de pirataria ou que divulguem número de série para registro de softwares;
IV - executar atividades relacionadas a jogos eletrônicos; e
V - acessar conteúdo multimídia, como vídeos e música, exceto nos casos em que tais ações sejam condizentes com as atividades de trabalho realizados.
Parágrafo único. Sites que possuam conteúdos relacionados aos itens acima poderão ser bloqueados pela Agência e sua liberação dependerá de análise da GTGS.
Seção IV
>Acesso remoto
Art. 24º O acesso remoto à rede corporativa deve ser realizado por meio seguro através de uma VPN disponibilizada e autorizada pela GTGS.
Parágrafo único. Softwares que permitam acesso remoto diferente daquele autorizado pela GTGS serão bloqueados.
Art. 25º O acesso remoto por meio de VPN será disponibilizado aos ocupantes titulares e substitutos dos cargos estabelecidos no quadro do Anexo I da Resolução Nº 27, de 12 de março de 2020, que altera o Regimento Interno da ANM, aprovado pela Resolução Nº 2, de 12 de dezembro de 2018, da Diretoria Colegiada da Agência.
§ 1º Poderá ser concedido acesso remoto a outros servidores, por período determinado, para atender a necessidades de trabalho, desde que devidamente justificado, mediante solicitação do respectivo chefe da unidade organizacional.
§ 2º Será realizado, anualmente, uma reavaliação dos servidores que possuem acesso à VPN.
Art. 26º Devem ser criados e armazenados os registros de auditoria (logs) dos acessos remotos contendo informações do usuário, data, hora e outros dados específicos que possibilitem o rastreamento das ações tomadas para posterior auditoria.
Seção V
Impressoras e scanners
Art. 27º É vedada a utilização das impressoras e scanners para fins pessoais, cabendo à GTGS a implementação de controles mediante a utilização da conta de acesso e divulgar o correto funcionamento desses recursos.
Seção VI
Ambiente Datacenter
Art. 28º O ambiente datacenter da ANM é composto por todos os equipamentos existentes na Sala-Cofre da ANM, estabelecida em seu edifício Sede, bem como pelas salas localizadas nas unidades regionais onde estejam instalados os equipamentos de TIC principais da rede local de cada uma.
§ 1º O acesso físico a esses locais, e consequentemente aos equipamentos existentes neles, é permitido somente por pessoas autorizadas pela GTGS.
CAPÍTULO IV
SEGURANÇA DA REDE CORPORATIVA
Seção I
Monitoramento da rede corporativa
Art. 29º A GTGS deve manter na rede corporativa, mecanismos que permitam identificar e rastrear os endereços de origem e destino, bem como os serviços utilizados, armazenando os registros de auditoria - logs (Ref. NC 07/IN01/DSIC/GSIPR).
Art. 30º A fim de preservar a integridade das informações institucionais, a imagem da organização e garantir a segurança de seus sistemas e, também, para fins de apuração de eventual prática indevida, poderão ser monitorados, de forma contínua, e gerados relatórios anuais sobre os seguintes conteúdos:
I - endereços de correio eletrônico;
II - sites acessados;
III - arquivos residentes em recursos de tecnologia da informação e afins;
IV - programas de computador (software); e
V - bases específicas de controle (logs).
Parágrafo único. O conteúdo das mensagens de correio eletrônico e dos arquivos armazenados nas estações de trabalho só serão acessados, sob demanda, nos casos previstos no art. 14.
Seção II
Proteção contra códigos maliciosos
Art. 31º Os recursos de TI devem estar providos de soluções de detecção e bloqueio de programas com códigos maliciosos, como antispyware, antivírus e filtros de análise de conteúdo de correio eletrônico e tráfego internet.
§ 1º O software antivírus é obrigatório nos recursos de TI disponibilizados aos usuários e deve ser mantido sempre ativado e atualizado.
§ 2º O software antivírus deve ser configurado para executar a varredura completa nos recursos de TI da Agência, com periodicidade máxima semanal.
§ 3º É proibida a inativação do antivírus ou a interrupção da execução da varredura pelo usuário da rede.
Seção III
Do tratamento de incidentes de segurança
Art. 32º Deve ser instituída, no âmbito da GTGS, a Equipe de Tratamento e Resposta a Incidentes - ETIR, conforme disposto na NC 05/IN01/DSIC/GSIPR, a ser coordenada pelo Gestor de Segurança da Informação e Comunicações. A referida equipe pode ser designada via ordem de serviço.
Art. 33º Compete à ETIR:
I - o tratamento de incidentes e artefatos maliciosos;
II - o tratamento de vulnerabilidades na rede da ANM;
III - a emissão de alertas e advertências, em resposta a um incidente de segurança ocorrido;
IV - o anúncio aos usuários sobre vulnerabilidades identificadas e formas de mitigá-las;
V - a prospecção de novas tecnologias relativas à segurança da informação; e
VI - a avaliação da infraestrutura de segurança.
Parágrafo único. Deve ser mantido o registro de todos os incidentes notificados ou detectados, com a finalidade de assegurar o registro histórico das atividades da ETIR.
Art. 34º Os usuários da rede devem, por meio da caixa corporativa etir@anm.gov.br, informar à ETIR sobre quaisquer incidentes ou vulnerabilidades de segurança que tomarem conhecimento no ambiente tecnológico da ANM.
Seção IV
Acesso de usuários externos
Art. 35º É proibida a conexão na rede corporativa interna da ANM, seja por VPN ou qualquer outro meio, sem a autorização da GTGS.
§ 1º Antes da conexão de um usuário externo com a rede corporativa da ANM, deve ser realizada análise de riscos, a fim de identificar possíveis vulnerabilidades que possam expor as informações às pessoas não autorizadas e impactos provenientes deste acesso.
§ 2º Os usuários externos somente poderão ter acesso aos serviços que tenham sido especificamente autorizados pela GTGS e que sejam comprovadamente relativos às atividades que serão desempenhadas.
§ 3º As conexões de usuários externos à rede corporativa da ANM devem ser precedidas da assinatura do Termo de Responsabilidade e Sigilo (Anexo I).
Art. 36º Os serviços da rede corporativa interna que podem ser disponibilizados a usuários externos são:
I - troca de arquivos via FTP: a troca de arquivos deve ser realizada via FTP nos servidores destinados a este fim;
II - acesso a sistemas web internos: acessos a sistemas web internos somente devem ser fornecidos a usuários externos quando formalmente justificados, homologados e autorizados;
III - acesso ao repositório de códigos fonte de sistemas: este tipo de acesso deve ser analisado e, se for o caso, autorizado pelos proprietários dos ativos de informação; e
IV - acesso a bancos de dados: este tipo de acesso deve ser provido com devida autorização dos proprietários dos ativos de informação - bases de dados e sistemas.
Seção V
Acesso à Rede sem fio
Art. 37º A ANM proverá, para os usuários da rede e para usuários externos, acesso à internet por meio de rede sem fio, disponível nas dependências da Agência.
§ 1º O acesso à internet, via rede sem fio, poderá não estar disponível em alguma(s) unidade(s) da ANM por conta de restrições orçamentárias para a sua implementação.
§ 2º Os usuários que possuem conta de acesso, deverão utilizar a mesma conta para utilizar a rede sem fio;
§ 3º Durante a realização de eventos, poderá ser disponibilizada aos participantes, mediante solicitação prévia da unidade organizacional organizadora do evento, rede específica para acesso à internet.
§ 4º Os servidores poderão gerar credenciais de acesso à internet por meio de rede sem fio para usuários externos, válidas por 24 (vinte e quatro) horas, por meio de formulário específico disponível na intranet da Agência ou por outro meio definido pela GTGS.
Seção VI
Solicitação de Acesso aos Registros de Auditoria (logs)
Art. 38º Poderão ser mantidos registros de auditoria (logs) para os sistemas específicos, conforme necessidade levantada durante o desenvolvimento do referido sistema, e registros de auditoria gerais para monitorar as atividades da rede, contemplando:
I - acesso à rede corporativa;
II - acesso à internet; e
III - utilização de VPN.
Art. 39º Quaisquer registros de auditoria poderão ser solicitados à GTGS, em casos de processos de investigações, pela autoridade competente ou pela Diretoria Colegiada.
Parágrafo único: Os registros de auditoria relativos às atividades de rede de uma conta de acesso específica poderão ser solicitados à GTGS pela chefia da unidade organizacional à qual a conta de acesso está vinculada.
Art. 40º Os registros de auditoria gerados pelos sistemas específicos poderão ser solicitados pelo respectivo proprietário do ativo da informação ou pelo chefe da unidade organizacional correspondente.
Parágrafo único. Caso seja necessário, poderão ser também solicitadas à GTGS auditorias técnicas específicas para dirimir eventuais dúvidas quanto à integridade dos dados armazenados.
CAPÍTULO V
CÓPIA DE SEGURANÇA (BACKUP) E RETENÇÃO DE DADOS
Art. 41º Os arquivos armazenados nas pastas corporativas, caixas de correio eletrônico e bases de dados terão política de backup e retenção de dados conforme critérios mínimos apresentados abaixo:
I - backups diários serão mantidos por no mínimo 5 (cinco) dias;
II - backups mensais serão mantidos por no mínimo 12 (doze) meses; e
III - backups anuais serão mantidos por no mínimo 5 (cinco) anos.
Art. 42º Os arquivos do sistema informatizado de gestão arquivística de documentos, denominado SEI, terão política de backup específica, conforme estabelecido por normativo federal referente ao tema ou pela unidade organizacional responsável por tal sistema.
Art. 43º Os arquivos armazenados nos computadores desktops e notebooks não participarão da política de backup e retenção de dados, sendo a cópia de segurança ficando sob a responsabilidade de cada servidor ou colaborador.
CAPÍTULO VI
USO SEGURO DAS REDES SOCIAIS INSTITUCIONAIS DA ANM
Art. 44º O uso seguro das redes sociais em que a ANM esteja inserida deve estar alinhado tanto à POSIC quanto aos objetivos estratégicos da organização.
Art. 45º Os perfis institucionais mantidos nas redes sociais existentes devem, preferencialmente, ser administrados e gerenciados por equipes integradas exclusivamente por servidores da ANM. Quando não for possível, a equipe pode ser mista, desde que sob a coordenação e responsabilidade de um servidor ou empregado público.
Art. 46º É vedada a terceirização completa da administração e da gestão de perfis institucionais da ANM nas redes sociais.
Art. 47º A ANM deve nomear um servidor público para a função de Agente responsável pela gestão do uso seguro de cada perfil institucional nas redes sociais.
CAPÍTULO VII
DA GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO
Art. 48º As áreas responsáveis por ativos de informação devem implantar processos contínuos de gestão de riscos, os quais serão aplicados na implementação e operação da gestão de segurança da informação e comunicações da ANM.
Parágrafo único. A gestão de riscos de tecnologia da informação e comunicação deve avaliar os riscos relativos à segurança dos ativos de informação e a conformidade com exigências regulatórias ou legais vigentes.
Art. 49º A gestão de riscos de segurança da informação e comunicações será regulamentada por uma norma específica na ANM, que deve utilizar como base a Norma Complementar nº 04/IN01/DSIC/GSIPR, que fornece as diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações, ou por norma específica que esteja vigente.
CAPÍTULO VIII
DA CLASSIFICAÇÃO DA INFORMAÇÃO
Art. 50º Informações geradas, adquiridas ou custodiadas pela ANM podem possuir classificação para indicar a necessidade, a prioridade e o nível esperado de proteção quanto ao seu tratamento, de acordo com regulamentação específica vigente do Governo Federal que estabeleça procedimento para a classificação de informações.
Parágrafo único. Quando classificadas, serão observadas as exigências das atividades da organização, considerando as implicações que um determinado grau de classificação trará para os seus objetivos institucionais observando a legislação em vigor.
CAPÍTULO IX
DAS DIRETRIZES PARA A AQUISIÇÃO E DESENVOLVIMENTO DE SOFTWARE SEGURO
Art. 51º A GTGS deve estabelecer critérios de segurança da informação para a aquisição, desenvolvimento e manutenção de softwares na ANM.
Parágrafo único. As diretrizes para um software seguro devem seguir o que está descrito na Norma Complementar nº 16/IN01/DSIC/GSIPR, que estabelece tais critérios para os órgãos e entidades da Administração Pública Federal, direta e indireta, ou por outra norma específica vigente.
CAPÍTULO X
DA PRIVACIDADE DOS DADOS PESSOAIS
Art. 52º A ANM deve mapear todos os dados pessoais, inclusive àqueles armazenados em meios digitais, contendo a finalidade, as bases legais que legitimam o tratamento desses dados e a forma de atendimento aos direitos do titular como acesso, retificação, exclusão, revogação de consentimento, oposição, informação sobre possíveis compartilhamentos com terceiros e portabilidade.
Parágrafo único. A Política de Privacidade de Dados da ANM será regulamentada por uma norma específica, que deve utilizar como referência a Lei nº 13.709/2018 denominada Lei Geral de Proteção de Dados Pessoais.
CAPÍTULO XI
DISPOSIÇÕES FINAIS
Art. 53º As infrações ao disposto nesta Resolução estão sujeitas aos processos e penalizações previstas nas legislações de regência.
Art. 54º Esta Resolução entra em vigor na data de sua publicação.
ANEXO I À MINUTA DE RESOLUÇÃO
MODELO DE TERMO DE RESPONSABILIDADE E SIGILO
Declaro ter conhecimento da Política de Segurança da Informação e Comunicações (POSIC) da Agência Nacional de Mineração (ANM) e suas normas específicas, e estou ciente dos princípios de conduta ética e moral que regem todas as relações de trabalho e atividades exercidas.
Comprometo-me a realizar meu trabalho de forma íntegra, respeitando os preceitos fundamentais que pautam a missão, a visão e os valores desta instituição.
Afirmo que as normas constantes na POSIC, os princípios éticos e demais parâmetros de conduta orientarão o meu comportamento em todas as futuras iniciativas e decisões profissionais, como usuário de ativos de informação.
Reconheço que, ao término da minha relação de trabalho, devo entregar todo e qualquer material de propriedade da Instituição como, por exemplo, equipamentos portáteis, arquivos envolvendo informações pertencentes à Instituição, documentos e processos de qualquer natureza que tenham sido usados, criados ou tenham estado sob meu controle, entre outros.
Obrigo-me a informar, imediatamente, qualquer violação das regras da POSIC, por minha parte ou de quaisquer outras pessoas, que possam prejudicar a confidencialidade, a disponibilidade, a integridade e a autenticidade das informações.
[Local], ___ de _____________ de _____.
________________________________________________
Nome e unidade organizacional: [Agente Público]
Matrícula
____________________________________________
Nome e unidade organizacional: [responsável pela área ou departamento]
VICTOR HUGO FRONER BICCA
Diretor-Geral
