DOU 19/05/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025051900071
71
Nº 92, segunda-feira, 19 de maio de 2025
ISSN 1677-7042
Seção 1
RESOLUÇÃO ANM Nº 206, DE 14 DE MAIO DE 2025
Estabelece as regras e procedimentos específicos
para a Política de Segurança da Informação (PSI) da
Agência Nacional de Mineração.
A DIRETORIA COLEGIADA DA AGÊNCIA NACIONAL DE MINERAÇÃO - ANM, no
uso das atribuições que lhe são conferidas pelo art. 11, § 1º, inciso I, da Lei nº 13.575,
de 26 de dezembro de 2017, art. 9º, inciso VI, da Estrutura Regimental da ANM, aprovado
na forma do Anexo I do Decreto nº 9.587, de 27 de novembro de 2018, pela Resolução
ANM nº 181, de 03 de outubro de 2024; tendo em vista os autos do processo nº
48051.008434/2024-64 e a deliberação da Diretoria Colegiada em sua 333ª Reunião
Administrativa, resolve:
Art. 1º Aprovar as regras e procedimentos específicos para a Política de
Segurança da Informação - PSI, no âmbito da Agência Nacional de Mineração - ANM.
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 2º Para efeitos desta Resolução, são estabelecidos os significados dos
seguintes termos e expressões:
I - Acesso: Ato de ingressar, conhecer ou consultar a informação, bem como a
possibilidade de utilizar os ativos de informação da organização;
II - Acesso Privilegiado: Nível elevado de permissões concedido a usuários
específicos (como administradores de sistema) que permite controle total ou parcial sobre
configurações críticas, gerenciamento de usuários e recursos sensíveis do sistema;
III - Ameaça: Conjunto de fatores externos ou causa potencial de um incidente
indesejado que pode resultar em dano à um sistema ou serviço de tecnologia da
informação na organização;
IV - Artefato malicioso: Qualquer programa de computador, ou parte de um
programa, construído com a intenção de provocar danos, obter informações não
autorizadas ou interromper o funcionamento de sistemas e/ou redes de computadores;
V - Ativos de informação: Conjunto de recursos computacionais, infraestrutura
de armazenamento,
processamento e
transmissão de
dados, incluindo
sistemas,
equipamentos, instalações físicas e recursos humanos autorizados;
VI - Colaborador: Indivíduo com vínculo funcional (terceirizado ou estagiário)
autorizado a acessar recursos da ANM;
VII - Conta de acesso: permissão lógica, expressa por meio de usuário e senha,
que habilita determinada pessoa a acessar os sistemas e recursos de Tecnologia da
Informação da ANM;
VIII - Correio eletrônico: sistema usado para criar, transmitir e receber
mensagem eletrônica e outros documentos digitais por meio de rede de computadores;
IX - Documento: unidade de registro de informações, qualquer que seja o
suporte ou formato;
X - Equipe de tratamento e resposta a incidentes em redes computacionais -
ETIR: Unidade especializada responsável pela detecção, análise, contenção e resposta a
incidentes de segurança cibernética;
XI - Incidente de segurança da informação: Qualquer evento adverso,
confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das
redes de computadores;
XII - Links: Palavra, expressão ou imagem que permite o acesso imediato à
outra parte de um mesmo texto, ou de outro documento, bastando ser acionado pelo
ponteiro do mouse. Quando o link é expresso na forma de uma palavra ou expressão
(também denominado hiperlink ou hipertexto), ele vem sublinhado ou grafado em cor
distinta da utilizada para o resto do texto;
XIII - Proprietário do ativo de informação: Servidor ou unidade organizacional
responsável primário pela viabilidade e sobrevivência do ativo de informação (Ref. NC
10/IN01/DSIC/GSIPR);
XIV - Protocolo de transferência de arquivos (File Transfer Protocol - FTP):
Protocolo utilizado para transferir arquivos através de redes computacionais, incluindo a
Internet;
XV - Registros de auditoria (logs): Registro dos eventos relevantes ocorridos em
um sistema computacional ou uma rede de computadores, utilizado para restabelecer o
estado original ou para que o administrador conheça o seu comportamento no
passado;
XVI - Site: Conjunto de documentos escritos em linguagem HTML, pertencentes
a um mesmo endereço (URL), disponível na Internet;
XVII - Software: Programa ou aplicativo de computador;
XVIII - Central de Serviços de TI: Equipe de colaboradores responsável pelas
orientações e soluções de problemas de baixa complexidade relativas à Tecnologia da
Informação;
XIX - Usuário: Servidor Público ou Colaborador habilitado para fazer uso de
uma conta de acesso;
XX - Malware: É a abreviação de "malicious software" que é um código
malicioso projetado para comprometer a segurança, exfiltrar dados ou degradar o
desempenho dos sistemas;
XXI - Antivírus: Programa de proteção do computador que detecta e elimina os
vírus nele existentes, assim como impede sua instalação e propagação;
XXII -Teletrabalho: Modalidade de trabalho realizada fora das dependências
físicas da Agência, utilizando recursos tecnológicos para desempenhar atividades
profissionais remotamente;
XXIII -MFA/2FA (Autenticação Multifator/Duplo Fator de Autenticação): Método
de segurança que exige duas ou mais formas de verificação (como senha e código gerado
por determinado aplicativo para smartphone) para confirmar a identidade de um usuário
ao acessar determinados sistemas ou serviços, e;
XXIV -VPN (Rede Virtual Privada): Tecnologia que cria uma conexão segura e
criptografada entre o dispositivo do usuário e a rede corporativa, permitindo acesso
remoto a serviços e sistemas de maneira protegida.
Art. 3º Cabe à Superintendência de Tecnologia da Informação e Inovação - STI,
prover a infraestrutura tecnológica necessária para implementação da PSI e de suas regras
e procedimentos.
Art. 4º Cabe à STI definir processos de trabalho visando o monitoramento do
cumprimento das regras e procedimentos específicos da PSI.
§ 1º Representantes de outras unidades organizacionais poderão ser solicitados
pela STI para elaborar processos de trabalho a serem definidos para a PSI.
CAPÍTULO II
DO CONTROLE DE ACESSO DO USUÁRIO
Seção I
Contas de acesso ao ambiente de rede corporativa da ANM
Art. 5º Cada usuário abrangido por esta PSI receberá, após o devido
credenciamento pela Superintendência de Tecnologia da Informação e Inovação - STI, uma
conta de acesso única, pessoal e intransferível.
§ 1º O fornecimento da conta de acesso será realizado pela STI, no qual
constarão os dados cadastrais do usuário e os recursos de TI que deverão ser fornecidos
(ex.: caixa de correio eletrônico, acesso a pasta de arquivos compartilhados, dentre
outros).
§ 2º O usuário deverá assinar o "Termo de Responsabilidade e Sigilo" (Anexo
I), no qual declara ter conhecimento da PSI e suas normas correlatas.
§ 3º O nome de usuário seguirá a nomenclatura padronizada pelas regras de
formação de nomes para a composição de endereço eletrônico (e-mail) no Governo
Federal, composto pelo nome seguido de ponto e de um sobrenome.
Art. 6º As contas de acesso à rede corporativa da ANM deverão ser protegidas
obrigatoriamente por autenticação de duplo fator (2FA), cuja implementação, condições e
métodos serão definidos pela STI, considerando as melhores práticas de segurança e as
necessidades institucionais.
Art. 7º Os colaboradores poderão receber conta de acesso, desde que o acesso
à rede corporativa da ANM seja imprescindível à execução de suas atividades, a critério
do gestor do contrato relacionado, seguindo o mesmo procedimento definido no art.
5º.
§ 1º A solicitação deverá conter dados cadastrais e o período que o
colaborador desempenhará suas atividades.
§ 2º Caso o colaborador seja desligado da empresa contratada antes do prazo
estabelecido na ativação da conta, o gestor do contrato deverá informar o desligamento
à STI para o bloqueio imediato daquela conta de acesso.
Art. 8º A STI será responsável por definir e implementar os procedimentos
relacionados ao cadastramento, composição, padrão e periodicidade de troca das senhas
dos usuários de TIC da ANM, observando as melhores práticas de cibersegurança e
acompanhando a evolução tecnológica e as ameaças emergentes.
Seção II
Bloqueio das contas de acesso ao ambiente de rede corporativa da ANM
Art. 9º As contas de acesso serão bloqueadas nas seguintes situações:
I - após 5 (cinco) tentativas de acesso sequenciais malsucedidas;
II - ausência de acesso à rede da ANM superior a 60 (sessenta) dias; e,
III - em casos de suspeita de infração à PSI, mediante determinação da
Superintendência de Tecnologia da Informação e Inovação - STI.
§ 1º O desbloqueio da conta de acesso, sem alteração da senha, deverá ser
solicitado junto à Central de Serviços de TI da ANM.
§ 2º No caso de servidor em licença ou afastamento, previstos na Lei n.º
8112/90, cujo prazo seja superior ao estabelecido no inciso II, do caput, a
Superintendência de Gestão de Pessoas informará à STI para aplicação de exceção à regra
específica de bloqueio da conta.
Seção III
Desativação das contas de acesso ao ambiente de rede corporativa da ANM
Art. 10 A desativação das contas de acesso do servidor ou colaborador será
realizada pela STI, nos seguintes casos:
I - desligamento da ANM;
II - ausência de acesso à rede da ANM superior a 90 (noventa dias);
III - término do contrato de trabalho;
IV - falecimento; ou
V - descumprimento das normas de segurança estabelecidas na PSI.
§ 1º As contas desativadas terão seus dados associados, incluindo logs de
acesso, armazenados de forma segura por período compatível com as normas legais e
regulatórias, garantindo a rastreabilidade necessária para processos administrativos,
correcionais ou policiais.
§ 2º A exclusão definitiva de dados vinculados às contas de acesso somente
poderá ocorrer após o prazo de guarda regulamentar e mediante análise de riscos e
conformidade legal.
Seção IV
Teletrabalho
Art. 11 Os usuários, em regime de teletrabalho, são responsáveis por
providenciar e manter os recursos tecnológicos necessários para a execução de suas
atividades fora do parque tecnológico da ANM.
§ 1º Essa responsabilidade inclui a garantia de que os recursos tecnológicos
utilizados atendam aos requisitos e normas de segurança da ANM, conforme orientações
da STI.
§ 2º A STI é a responsável por fornecer as especificações mínimas e suporte
orientativo para auxiliar os usuários no cumprimento dessas responsabilidades, garantindo
a continuidade das atividades institucionais com segurança e eficiência.
Seção V
Procedimentos durante os afastamentos de servidores e/ou colaboradores
Art. 12 A SGP deverá comunicar previamente à STI, sobre aqueles servidores
em licença ou afastamento, previstos na Lei n.º 8112/90, cujo prazo seja superior a 60
(sessenta) dias, para que sejam tomadas as seguintes providências:
I - os arquivos de trabalho armazenados no computador local e nas pastas
corporativas deverão ser movidos para que fiquem disponíveis à última unidade
organizacional do servidor; e
II - os computadores desktop e notebooks, caso tenham sido disponibilizados
ao usuário, deverão ser devolvidos à ANM, onde serão formatados e destinados a nova
distribuição, ressalvados os casos previstos no §2º do art. 9º.
Seção VI
Autorização de acesso às contas de usuários
Art. 13 O acesso de terceiros à conta de usuário e conteúdo a ela associado
será permitido somente em casos específicos de indício de descumprimento dos termos
desta Política ou de outros normativos relacionados, apurado em procedimento
administrativo, assegurando-se o direito ao contraditório e à ampla defesa.
Parágrafo único: Em caso de falecimento do usuário, a conta poderá ser
acessada por familiares diretos, mediante solicitação formal à ANM, exclusivamente para
a cópia dos arquivos pessoais armazenados nas máquinas corporativas, respeitando-se as
normas de segurança e privacidade vigentes.
Seção VII
Gestão de acesso privilegiado
Art. 14 Os acessos privilegiados, como VPN, perfis de administrador de rede ou
administrador local de computadores e outros similares, terão sua concessão restrita e
dependerão de solicitação formal da chefia imediata do usuário à STI, que será
responsável por avaliar e autorizar, com base na justificativa técnica apresentada e na
necessidade estritamente técnica, de cibersegurança e funcional.
CAPÍTULO III
RESPONSABILIDADES E RECOMENDAÇÕES AO USUÁRIO
Seção I
Responsabilidades do Usuário
Art. 15 A conta de acesso disponibilizada ao usuário é pessoal e intransferível,
sendo seu titular o único e total responsável pelas ações e danos que venham a ser
ocasionados por mau uso do serviço.
Art. 16 É vedada a utilização da conta de acesso e dos recursos de TI
corporativos para
receber de
forma consentida,
armazenar e
enviar/encaminhar
mensagens contendo:
I - códigos maliciosos, conteúdo potencialmente perigoso, tais como arquivos
executáveis, vírus, Cavalos de Tróia ou qualquer outro tipo de programa danoso;
II - materiais com conteúdo obsceno, ilegal, antiético, ofensivo ou que
incentivem a violência, discriminação ou preconceito ou que façam sua apologia;
III - conteúdos tendentes a comprometer a intimidade de usuários ou a
imagem institucional;
IV - materiais protegidos por leis de propriedade intelectual;
V - materiais com objetivos comerciais, particulares e anúncios publicitários; e
VI - materiais de natureza político-partidária ou sindical, que promova a eleição
de candidatos para cargos públicos eletivos, clubes, associações e sindicatos.
Art. 17º Caracterizam-se como utilização indevida dos recursos de tecnologia
da informação as seguintes ações:
I - ataque, monitoração ou acesso não autorizado aos recursos de tecnologia
da informação da organização ou de redes externas, utilizando recursos da organização ou
outros meios;
II - instalação de softwares ou equipamentos de TIC sem licença ou não
autorizados pela STI;
III - instalação ou disseminação de vírus de computadores ou software que
coloquem em risco as instalações e os recursos de tecnologia da informação da
organização;
IV - alteração da configuração de hardware dos recursos de tecnologia da
informação, sem a devida solicitação à STI;
V - cópia de arquivos, conteúdos de bases de dados, ou outros ativos de
informação da ANM, sem a devida autorização do proprietário do ativo; e
VI - todo e qualquer procedimento no uso dos recursos de TI não previsto
nesta norma que possam afetar de forma negativa a organização, seus servidores e seus
colaboradores.
Art. 18º É vedada a utilização dos ativos de TI corporativos para quaisquer
atividades que não tenham relação direta com aquelas da ANM.
Fechar