DOU 15/10/2024 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024101500087
87
Nº 200, terça-feira, 15 de outubro de 2024
ISSN 1677-7042
Seção 1
AGÊNCIA NACIONAL DE VIGILÂNCIA SANITÁRIA
PORTARIA Nº 1.284, DE 8 DE OUTUBRO DE 2024
Institui a norma para uso e controle do acesso à
Internet por meio da rede de computadores da Agência
Nacional de Vigilância Sanitária - Anvisa
O DIRETOR-PRESIDENTE DA AGÊNCIA NACIONAL DE VIGILÂNCIA SANITÁRIA, no uso
das atribuições que lhe confere o art. 172, XII, aliado ao art. 203, III, § 3º, do Regimento Interno
aprovado pela Resolução da Diretoria Colegiada - RDC nº 585, de 10 de dezembro de 2021,
resolve:
Art 1° Estabelecer critérios para uso e controle de acesso à Internet no âmbito da
Agência Nacional de Vigilância Sanitária - Anvisa.
CAPÍTULO I
DOS CONCEITOS E DAS DEFINIÇÕES
Art 2° Para os fins desta Portaria, são utilizadas as seguintes definições:
I-Ativos de informação: meios de armazenamento, transmissão e processamento
da informação, equipamentos necessários a isso, sistemas utilizados para tal, locais onde se
encontram esses meios, recursos humanos que a eles têm acesso e conhecimento ou dado que
tem valor para um indivíduo ou organização.
II-Ativo de rede: equipamento que centraliza, interliga, roteia, comuta, transmite
ou concentra dados em uma rede de computadores;
III Conta de usuário: conta de identificação do usuário nos recursos de tecnologia
da informação;
IV Gestor institucional: pessoa detentora de um cargo comissionado que é chefe de
uma unidade organizacional definida na estrutura organizacional da Anvisa;
V-Gestor do serviço: pessoa detentora de um cargo comissionado que é
responsável por um determinado recurso de tecnologia da informação;
VI- Incidente: Uma interrupção não planejada ou diminuição na qualidade de um
serviço refere-se a qualquer evento, ação ou falta de ação que resulte ou possa resultar em
acesso não autorizado, interrupção, alteração nas operações, destruição, dano, exclusão ou
modificação de informações protegidas, limitação no uso ou divulgação imprópria dessas
informações, afetando ativos ou atividades críticas, por um período menor que o tempo
objetivo de recuperação;
VII-
Incidente
Cibernético:corrência
que
pode
comprometer,
real
ou
potencialmente, a disponibilidade, a integridade, a confidencialidade ou a autenticidade de
sistema de informação ou das informações processadas, armazenadas ou transmitidas por esse
sistema. Poderá também ser caracterizada pela tentativa de exploração de vulnerabilidade de
sistema de informação que caracterize violação de norma, política de segurança, procedimento
de segurança ou política de uso;
VIII - Incidente de Segurança: qualquer evento adverso, confirmado ou sob
suspeita, relacionado à segurança dos sistemas de computação ou das redes de
computadores;
IX - Perfil básico de acesso à Internet: perfil de acesso à Internet com permissões
mínimas;
X- Perfil diferenciado de acesso à Internet: perfil de acesso à Internet com
permissões privilegiadas.
XI- Usuários: servidores, terceirizados, colaboradores, consultores e estagiários que
utilizam os recursos de tecnologia da informação da Anvisa.
CAPÍTULO II
DA FINALIDADE E APLICABILIDADE
Art 3°- Esta Portaria define as regras, padrões e responsabilidades para o uso
aceitável do serviço de Internet e para o controle de acesso ao serviço no âmbito da Anvisa.
§1°As regras desta Portaria se aplicam a todos os usuários que utilizam os ativos de
informação e recursos de tecnologia da informação da Anvisa.
§2°Esta Portaria é instrumento normativo gerado a partir das diretrizes da POSIC.
Art 4°- Essa portaria tem a finalidade de:
I- Evitar o uso indevido da Internet que pode acarretar em graves riscos, não
apenas para a segurança das informações e dos serviços disponibilizados pela rede de
computadores da Anvisa, mas também para a reputação da Agência e a privacidade dos dados
pessoais de seus servidores ou colaboradores;
II - Estabelecer mecanismos de segurança para proteger as informações e serviços
acessíveis por meio da rede de computadores da Anvisa;
III- -Garantir níveis adequados de performance no acesso à Internet através da rede
de computadores da Anvisa;
CAPÍTULO III
DAS DISPOSIÇÕES GERAIS
Art 5º O acesso à Internet dentro das dependências da Anvisa dar-se-á conforme as
diretrizes do art. 18 da Portaria n° 72, de 26 de janeiro de 2023 - POSIC.
Parágrafo único. É vedado o acesso à Internet por meio de recursos que não sejam
os providos pela Gerência Geral de Tecnologia da Informação - GGTIN
CAPÍTULO IV
DAS REGRAS E PROCEDIMENTOS DO SERVIÇO DE INTERNET
Art 6º O acesso à Internet será permitido exclusivamente por meio de uma conta
de usuário de rede, pessoal, que é confidencial e não pode ser compartilhada.
§1°A preservação da confidencialidade da conta é obrigação do usuário.
§2°As contas de usuário deverão ser protegidas com medidas de segurança
adicionais, sendo recomendado o uso de um segundo fator de autenticação.
Art 7º As diretrizes e os procedimentos para a criação, administração e exclusão de
perfis de acesso à Internet, bem como a atribuição, manutenção e revogação destes perfis,
serão estabelecidos pela Coordenação de Segurança Digital - COSED.
§1°Um perfil básico de acesso à Internet será vinculado automaticamente à conta
de usuário no momento de sua criação.
§2°Perfis de acesso à Internet personalizados podem ser vinculados às contas dos
usuários para atender às exigências de desempenho das funções institucionais, conforme
necessário.
§3°A requisição para um perfil de acesso diferenciado pode ser negada pela CO S E D,
levando em consideração a capacidade operacional da rede e questões de segurança.
Art 8º As regras e procedimentos de bloqueio e desbloqueio de sítios específicos da
Internet serão definidas pela Coordenação de Segurança Digital (COSED).
Art 9º As solicitações de bloqueio e desbloqueio de sítios específicos da Internet
deverão ser formalizadas, preferencialmente, por meio de sistema informatizado ao gestor do
serviço.
Parágrafo único. As solicitações de que trata o caput serão avaliadas pela COSED e
só serão aceitas se não colocarem a rede da Anvisa em risco, não comprometerem o
desempenho do acesso à internet e estiverem de acordo com as políticas de segurança da
informação.
Art 10º - O uso dos recursos de tecnologia da informação, incluindo a internet, deve
ser restrito às atividades institucionais e em conformidade com os princípios da administração
pública, sendo vedado o acesso a conteúdos que possam comprometer a integridade da rede,
a segurança da informação ou a imagem da Agência.
Parágrafo único. Os sites que violarem essas diretrizes poderão ser categorizados e
bloqueados automaticamente pela ferramenta de Firewall adotada na Anvisa.
Art 11º É expressamente proibido o download e a instalação de softwares não
autorizados, bem como o acesso a sites suspeitos que possam representar riscos à segurança
da rede.
Art 12º Quando houver utilização ou suspeita inadequada do serviço de acesso à
internet, a COSED poderá realizar ações que cessem a utilização, incluindo, mas não se
limitando a:
I- Bloquear o acesso à Internet para usuários e/ou equipamentos;
II -Bloquear o endereço de acesso a sítios específicos da Internet;
III- Dimensionar os recursos de tecnologia da informação de modo a inibir ou
desestimular os usos suspeitos.
Parágrafo único. A COSED poderá utilizar o software específico de filtro de
conteúdo da internet para executar as ações de que trata o caput.
Art 13º Os equipamentos de infraestrutura tecnológica da Anvisa só terão acesso à
Internet em caso justificado.
CAPÍTULO V
DAS DEMAIS RESPONSABILIDADES
Art 14º São responsabilidades do usuário:
I-Seguir as orientações de acesso à Internet da Anvisa disponibilizados no endereço
https://anvisabr.sharepoint.com/sites/COSED, nos guias e manuais de Segurança Digital,
disponíveis no repositorio de documentos SGQ - PBI, no espaço ocupacional da COSED e nos
informes e dicas de TI relacionados a esse assunto;
II-Assumir todas as consequências indesejáveis que surjam do uso inadequado do
serviço de acesso à Internet por meio da sua conta de usuário;
III-Alterar imediatamente sua senha e notificar a Coordenação de Segurança Digital
quando houver qualquer comprometimento ou suspeita de comprometimento do acesso ao
serviço de Internet por meio da sua conta de usuário;
IV-Encaminhar violação ou suspeita de violação das disposições contidas nesta
Portaria à Equipe de Tratamento e Resposta a Incidentes de Redes e Segurança Cibernética -
ETIR.
Art 15º São responsabilidades do gestor institucional:
I- Dar ciência sobre critérios e procedimentos estabelecidos nesta Portaria de Uso e
Controle de Acesso à Internet ao usuário que desempenhe atividade na sua unidade
organizacional;
II-Solicitar a concessao e revogação dos perfis diferenciados de acesso à Internet
dos usuários quando houver mudança de função do usuário da sua unidade organizacional.
Art 16º São responsabilidades da Coordenação de Segurança Digital:
I- Apurar o registro de incidentes de segurança referentes ao acesso à Internet;
II Conceder os perfis de acesso à internet, após autorização do Gestor da Unidade
Organizacional solicitante;
III Prover a segurança no acesso à internet, aos usuários dentro da rede da Anvisa,
fazendo os bloqueios de rede necessários.
CAPÍTULO VI
DO MONITORAMENTO
Art 17º A GGTIN manterá os históricos de acesso à Internet e de autorizações de
concessão de perfil diferenciado de acesso à Internet para fins de monitoramento.
§1°Os históricos de que trata o caput não podem ser alterados.
§2°O histórico de acesso à Internet dos usuários deve contemplar, sempre que
possível, para cada acesso à Internet, no mínimo, usuário, endereço IP de origem, endereço IP
de destino, horário, bytes trafegados, protocolo, porta de comunicação e tipo de ação
efetuada.
§3°O histórico de autorizações de concessão de perfil diferenciado de acesso à
Internet deve contemplar para cada autorização, no mínimo, usuário, gestor que autorizou e a
data da autorização.
§4°Os relógios
dos recursos
de tecnologia
da informação
devem estar
sincronizados com o servidor de tempo da rede para poder correlacionar temporalmente os
históricos de que trata o caput.
Art 18º A Coordenação de Segurança Digital poderá examinar os rastros de
navegação de um usuário específico de violação ou suspeita de violação das disposições
contidas nesta Portaria e para preservar o desempenho de serviço de acesso à internet na
Anvisa.
§1°É vedado o monitoramento injustificado de um usuário específico.
§2°É permitido a análise dos rastros com o auxílio de ferramentas, com o intuito de
detectar possíveis falhas de segurança.
CAPÍTULO VII
DAS DISPOSIÇÕES FINAIS
Art 19º Qualquer violação ou suspeita de violação das disposições contidas nesta
Portaria poderá acarretar ao infrator, isolada ou cumulativamente:
I- comunicação do fato ao seu gestor institucional;
II- suspensão temporária do seu acesso à Internet;
III- encaminhamento do fato à Corregedoria e;
IV- aplicação das penalidades previstas em leis e regulamentações internas.
Art 20 º Os casos omissos serão resolvidos pela Coordenação de Segurança Digital
( CO S E D ) .
Art 21º Esta Portaria entra em vigor na data de sua publicação.
ANTONIO BARRA TORRES
DIRETORIA COLEGIADA
RESOLUÇÃO RDC Nº 932, DE 10 DE OUTUBRO DE 2024
Dispõe
sobre
a
execução
das
atividades
de
vigilância
epidemiológica em Portos e Aeroportos.
A DIRETORIA COLEGIADA DA AGÊNCIA NACIONAL DE VIGILÂNCIA SANITÁRIA,
no uso das competências que lhe conferem os arts. 7º, inciso III, e 15, incisos III e IV,
da Lei nº 9.782, de 26 de janeiro de 1999, e considerando o disposto no art. 187, inciso
VI e §§ 1º e 3º, do Regimento Interno, aprovado pela Resolução da Diretoria Colegiada
- RDC n° 585, de 10 de dezembro de 2021, resolve adotar a seguinte Resolução de
Diretoria Colegiada, conforme deliberado em reunião realizada em 9 de outubro de
2024, e eu, Diretor Presidente, determino a sua publicação.
CAPÍTULO I
DISPOSIÇÕES INICIAIS
Seção I
Do objetivo
Art. 1º Esta Resolução dispõe sobre a execução de atividades de vigilância
epidemiológica em Portos e Aeroportos.
Seção II
Da abrangência
Art.2º Esta Resolução se aplica a todas as pessoas jurídicas, de direito privado
ou
público, que
executam
atividades de
administração
de
portos, aeroportos
e
plataformas de petróleo em território e águas jurisdicionais brasileiras, e aquelas que
operam meios de transporte aquaviários e aéreos nesses.
Parágrafo único. As empresas prestadoras de serviço contratadas para
realização de atividades previstas nesta norma também ficam sujeitas ao cumprimento
desta Resolução, sem prejuízo da responsabilidade das empresas contratantes.
Seção III
Definições
Art. 3º Para fins desta Resolução, aplicam-se as seguintes definições:
I - Afetado: pessoas, restos mortais humanos, animais, bagagens, contêineres,
meios de transporte ou mercadorias que estão infectados ou contaminados, ou que são
portadores de fontes de infecção ou contaminação, de modo que constituem um risco
para a saúde pública;
II - Área Afetada: área geográfica para a qual foram recomendadas medidas
de saúde;
III - Autoridade competente: autoridade sanitária local prevista na Lei n° 6259,
de 30 de outubro de 1975 e definida no Plano de Contingência local, nos termos desta
Resolução;
IV - Capacidade Básica: conjunto de processos e instalações implementados
com vistas a manter um ambiente sanitário seguro a todo momento e a atuar em
resposta a eventos que possam constituir emergência de saúde pública;
V- Complexo portuário: Porto Organizado ou um conjunto constituído por,
pelo menos, um Porto Organizado e pelas instalações privadas situadas em suas
proximidades, que concorram com o Porto Organizado pela movimentação de cargas
e/ou que compartilhem com este os acessos terrestres e/ou aquaviário;
VI - Contaminação: significa a presença de uma substância ou agente tóxico
ou infeccioso na superfície corporal de um ser humano ou de um animal, no interior ou
na superfície de um produto preparado para consumo, ou na superfície de outro objeto
inanimado, incluindo meios de transporte, que possa constituir risco para a saúde
pública;
VII - Corredor de saúde pública: nível de implementação de medidas de
saúde, entre dois ou mais pontos de entrada, que proteja a segurança da saúde pública
evitando a interrupção das cadeias de suprimento essenciais e transporte de produtos e
pessoas necessários para enfrentamento de pandemias;
VIII - Emergência de Saúde Pública de Importância Internacional (ESPII):
evento extraordinário que implique em risco grave para a saúde pública, podendo exigir
uma resposta internacional coordenada;
Fechar