Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOU 19/05/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025051900072
72
Nº 92, segunda-feira, 19 de maio de 2025
ISSN 1677-7042
Seção 1
Seção II
Uso dos recursos de acesso à Internet
Art. 19 O acesso à internet deve ser realizado por meio das conexões
disponibilizadas e autorizadas pela ANM e poderão ser utilizados ferramentas de
monitoramento e controle de tráfego para fins de aplicação desta Política.
Art. 20 A internet não deve ser utilizada para fins que não condizem com as
atividades de trabalho da ANM.
Parágrafo único. Páginas de internet que possuam conteúdos restritos ou
nocivos serão bloqueadas e sua liberação dependerá de análise por parte da STI.
Seção III
Acesso remoto ao ambiente de rede corporativa da ANM - VPN
Art.
21 O
acesso remoto
à
rede corporativa
deverá ser
realizado
exclusivamente por meio de VPN autorizada pela STI, que será responsável pela definição
e concessão desse tipo de acesso, garantindo sua segurança.
§ 1º Qualquer software ou ferramenta que permita acesso remoto não
autorizado pela STI será bloqueado, a fim de garantir a integridade e a segurança da rede
corporativa, sem
prejuízos à eventual adoção
de medidas previstas
em outros
normativos.
§ 2º A STI realizará, anualmente, a reavaliação dos servidores e usuários com
acesso à VPN, para garantir que os acessos privilegiados atendam às necessidades técnicas
e funcionais estabelecidas.
Art. 22 Todos os acessos remotos à rede corporativa deverão ser realizados
com o uso de autenticação de duplo fator (2FA), conforme as condições e formas
definidas pela STI, que será responsável pela implementação e monitoramento dessa
medida de segurança.
Art. 23 Devem ser gerados e armazenados registros de auditoria (logs) dos
acessos remotos, contendo informações sobre o usuário, data, hora, e outras informações
pertinentes, possibilitando o rastreamento detalhado e a posterior auditoria das ações
realizadas.
Seção IV
Impressoras e scanners corporativos
Art. 24 É vedada a utilização das impressoras e scanners para fins pessoais,
cabendo à STI a implementação de controles, mediante a utilização da conta de acesso,
e notificação em caso de infração ao disposto nos normativos que regulam o uso dos
recursos de TI da ANM.
Seção V
Ambiente Datacenter
Art.
25
O ambiente
datacenter
da
ANM
é
composto por
todos
os
equipamentos centrais pertencentes à sua infraestrutura tecnológica, bem como pelas
salas localizadas nas unidades regionais onde estejam instalados os equipamentos de TIC
principais de cada rede local regionalizada.
§ 1º O acesso físico a esses locais, e consequentemente aos equipamentos
existentes neles, é permitido somente por pessoas autorizadas pela STI ou, no âmbito das
Gerências Regionais, pelo Gerente Regional.
CAPÍTULO IV
SEGURANÇA DA REDE CORPORATIVA
Seção I
Monitoramento da rede corporativa
Art. 26 A STI deve manter na rede corporativa, mecanismos que permitam
identificar e rastrear os endereços de origem e destino, bem como os serviços utilizados,
armazenando os respectivos registros de auditoria, também chamados de logs (Ref. NC
07/IN01/DSIC/GSIPR).
Art. 27 A fim de preservar a integridade das informações institucionais, a
imagem da organização e garantir a segurança de seus sistemas e, também, para fins de
apuração de eventual prática indevida, poderão ser monitorados, de forma contínua, e
gerados relatórios anuais sobre os seguintes conteúdos:
I - endereços de correio eletrônico;
II - sites acessados;
III - arquivos residentes em recursos de tecnologia da informação e afins;
IV - programas de computador (software); e
V - bases específicas de controle (logs).
Parágrafo único. O conteúdo das mensagens de correio eletrônico e dos
arquivos armazenados nas estações de trabalho só serão acessados, sob demanda, nos
casos previstos no art. 13.
Seção II
Proteção contra códigos maliciosos
Art. 28 Os recursos de TI devem estar providos de soluções de detecção e
bloqueio de programas com códigos maliciosos, como antispyware, antivírus e filtros de
análise de conteúdo de correio eletrônico e tráfego internet.
§ 1º O software antivírus é obrigatório nos recursos de TI disponibilizados aos
usuários e deve ser mantido sempre ativado e atualizado.
§ 2º O software antivírus deve ser configurado para executar a varredura
completa nos recursos de TI da Agência, com periodicidade máxima semanal.
§ 3º É proibida a inativação do antivírus ou a interrupção da execução da
varredura pelo usuário da rede, sem prejuízos à eventual adoção de medidas previstas em
outros normativos.
Seção III
Do tratamento de incidentes de segurança
Art. 29 A Equipe de Tratamento e Resposta a Incidentes - ETIR, instituída pela
PORTARIA ANM Nº 1507, DE 21 DE DEZEMBRO DE 2023, tem como missão receber,
analisar e propor respostas a notificações e realização de ações e medidas necessárias
para reforçar a resposta ou a postura da organização, na recuperação de incidentes
cibernéticos.
Art. 30 Compete à ETIR:
I - o tratamento de incidentes e artefatos maliciosos;
II - o tratamento de vulnerabilidades na rede da ANM;
III - a emissão de alertas e advertências, em resposta a um incidente de
segurança ocorrido;
IV - o anúncio aos usuários sobre vulnerabilidades identificadas e formas de
mitigá-las;
V - a prospecção de novas tecnologias relativas à segurança da informação; e
VI - a avaliação da infraestrutura de segurança.
Parágrafo único. Deve ser mantido o registro de todos os incidentes notificados
ou detectados, com a finalidade de assegurar o registro histórico das atividades da
ETIR.
Art.
31 Os
usuários
da rede
devem, por
meio
da caixa
corporativa
abuse@anm.gov.br, informar à ETIR sobre quaisquer incidentes ou vulnerabilidades de
segurança que tomarem conhecimento no ambiente tecnológico da ANM.
Seção IV
Acesso de usuários externos ao ambiente de rede corporativa da ANM
Art. 32 A disponibilização de serviços da rede corporativa interna da ANM para
usuários externos deverá ser solicitada pelas áreas demandantes à STI, mediante a
apresentação de:
I - Justificativa detalhada para o acesso solicitado;
II - Período de acesso necessário;
III - Identificação completa dos usuários externos que terão acesso;
IV - Termo de sigilo e conformidade com as normas de segurança e uso da
ANM, assinado pelos usuários externos.
§ 1º As solicitações serão analisadas pela STI, com base nos seguintes
critérios:
a) Imprescindibilidade do acesso para a execução das tarefas justificadas;
b) Avaliação de riscos à cibersegurança da rede corporativa da ANM;
c) Adequação às políticas e normas de segurança institucional.
§ 2º Caberá à STI a decisão final quanto à aprovação e liberação do acesso
solicitado, podendo definir condições específicas ou negar o pedido caso os riscos
superem os benefícios apresentados.
Seção V
Acesso à Rede sem fio corporativa da ANM
Art. 33 A ANM proverá, para os usuários de sua rede corporativa, acesso à
internet por meio de rede sem fio, disponível nas dependências da Agência.
§ 1º Os usuários que possuem conta de acesso, deverão utilizar a mesma
conta para utilizar a rede sem fio;
§ 2º Durante a realização de eventos, poderá ser disponibilizada aos
participantes mediante solicitação prévia à STI, rede específica para acesso temporário à
internet.
Seção VI
Solicitação de Acesso aos Registros de Auditoria (logs)
Art. 34 Poderão ser mantidos registros de auditoria (logs) para os sistemas
específicos, conforme necessidade levantada durante o desenvolvimento do referido
sistema,
e registros
de
auditoria gerais
para monitorar
as
atividades da
rede,
contemplando:
I - acesso à rede corporativa;
II - acesso à internet; e
III - utilização de VPN.
Art. 35 Os registros de auditoria poderão ser solicitados à STI pela autoridade
competente ou pela Diretoria Colegiada, resguardados os aspectos relativos à privacidade
de dados, devendo ser devidamente justificados e formalizados.
Art. 36 Os registros de auditoria gerados pelos sistemas específicos poderão
ser solicitados pelo respectivo proprietário do ativo da informação ou pelo chefe da
unidade
organizacional
correspondente,
devendo ser
devidamente
justificados e
formalizados.
Parágrafo único. Caso seja necessário, poderão ser também solicitadas à STI
auditorias técnicas específicas para dirimir eventuais dúvidas quanto à integridade dos
dados armazenados.
CAPÍTULO V
CÓPIA DE SEGURANÇA (BACKUP) E RETENÇÃO DE DADOS
Art. 37 Os arquivos definidos como de necessária salvaguarda na ANM terão
suas cópias de segurança executadas seguindo a Política de Backup formalmente aprovada
no âmbito da Autarquia.
CAPÍTULO VI
USO SEGURO DAS REDES SOCIAIS INSTITUCIONAIS DA ANM
Art. 38 O uso seguro das redes sociais em que a ANM esteja inserida deve
estar alinhado tanto à PSI quanto aos objetivos estratégicos da organização.
Art. 39 Os perfis institucionais mantidos nas redes sociais existentes devem,
preferencialmente,
ser 
administrados
e 
gerenciados
por 
equipes
integradas
exclusivamente por servidores da ANM. Quando não for possível, a equipe pode ser mista,
desde que sob a coordenação e responsabilidade de um servidor ou empregado
público.
Art. 40 É vedada a terceirização completa da administração e da gestão de
perfis institucionais da ANM nas redes sociais.
Art. 41 A ANM deve nomear um servidor público para a função de Agente
responsável pela gestão do uso seguro de cada perfil institucional nas redes sociais.
Art. 42 Os servidores responsáveis pela gestão das contas da ANM em redes
sociais devem adotar boas práticas de segurança na administração desses acessos,
assegurando a proteção contra acessos indevidos e preservando a integridade da imagem
institucional.
§ 1º Sempre que possível, as seguintes medidas devem ser observadas:
I - Utilização de senhas de alta complexidade;
II - Ativação de autenticação de duplo fator (2FA);
III - Proibição de compartilhamento de senhas com pessoas não diretamente
envolvidas nas atividades de gestão dessas contas.
§ 2º As senhas das contas em redes sociais devem ser trocadas regularmente,
com periodicidade semelhante à estabelecida para as contas corporativas da ANM,
visando a padronização e o reforço da segurança.
CAPÍTULO VII
DA GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO
Art. 43 As áreas responsáveis por ativos de informação devem implantar
processos contínuos de gestão de riscos, os quais serão aplicados na implementação e
operação da gestão de segurança da informação e comunicações da ANM.
Parágrafo único. A gestão de riscos de tecnologia da informação deve avaliar
os riscos relativos à segurança dos ativos de informação e a conformidade com exigências
regulatórias ou legais vigentes.
Art. 44 A gestão de riscos de segurança da informação e comunicações será
regulamentada por uma norma específica na ANM, que deve utilizar como base a Norma
Complementar nº 04/IN01/DSIC/GSIPR, que fornece as diretrizes para o processo de
Gestão de Riscos de Segurança da Informação e Comunicações, ou por norma específica
que esteja vigente.
CAPÍTULO VIII
DA CLASSIFICAÇÃO DA INFORMAÇÃO
Art. 45 Informações geradas, adquiridas ou custodiadas pela ANM devem
possuir classificação para indicar a necessidade, a prioridade e o nível esperado de
proteção quanto ao seu tratamento, de acordo com a Lei de Acesso à Informação (LAI),
Lei nº 12.527/2011.
Parágrafo único. Quando classificadas, serão observadas as exigências das
atividades da organização, considerando as implicações que um determinado grau de
classificação trará para os seus objetivos institucionais observando a legislação em
vigor.
CAPÍTULO IX
DAS DIRETRIZES PARA A AQUISIÇÃO E DESENVOLVIMENTO DE SOFTWARE
Art. 46 A STI deve estabelecer critérios de segurança da informação para a
aquisição, desenvolvimento e manutenção de softwares na ANM.
Parágrafo único. As diretrizes para um software seguro devem seguir o que
está descrito na Norma Complementar nº 16/IN01/DSIC/GSIPR, que estabelece tais
critérios para os órgãos e entidades da Administração Pública Federal, direta e indireta, ou
por outra norma equivalente posterior.
CAPÍTULO X
DA PRIVACIDADE DOS DADOS PESSOAIS
Art. 47 A Política de Privacidade de Dados da ANM é regulamentada pela
INSTRUÇÃO NORMATIVA ANM Nº 8, DE 03 DE FEVEREIRO DE 2023, ou outra norma
equivalente posterior, a qual deve ser observada conjuntamente quando se tratar de
dados pessoais, em conformidade com a Lei Geral de Proteção de Dados - Lei nº
13.709/18.
CAPÍTULO XI
DISPOSIÇÕES FINAIS
Art. 48 As infrações ao disposto nesta Resolução estão sujeitas aos processos
e penalizações previstas nas legislações de regência.
Art. 49 Fica revogada a RESOLUÇÃO ANM Nº 54, DE 13 DE JANEIRO DE
2021.
Art. 50 Esta Resolução entra em vigor na data de sua publicação.
MAURO HENRIQUE MOREIRA SOUSA
Diretor
ANEXO I
MODELO DE TERMO DE RESPONSABILIDADE E SIGILO
Declaro ter conhecimento da Política de Segurança da Informação (PSI) da
Agência Nacional de Mineração (ANM) e suas normas específicas, e estou ciente dos
princípios de conduta ética e moral que regem todas as relações de trabalho e atividades
exercidas.
Comprometo-me a realizar meu trabalho de forma íntegra, respeitando os
preceitos fundamentais que pautam a missão, a visão e os valores desta instituição.
Afirmo que as normas constantes na PSI, os princípios éticos e demais
parâmetros de conduta orientarão o meu comportamento em todas as futuras iniciativas
e decisões profissionais, como usuário de ativos de informação.

Fechar