RESOLUÇÃO CD/ANPD Nº 027, DE 28.05.2025
CONTEÚDO
RESOLUÇÃO CD/ANPD Nº 027, DE 28.05.2025
Institui a Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR) no âmbito da Autoridade Nacional de Proteção de Dados.
O CONSELHO DIRETOR DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS - ANPD, no uso das atribuições que lhe são conferidas pelo inciso I do art. 55-C da Lei nº 13.709, de 14 de agosto de 2018, pelo § 1º do art. 3º do Anexo I do Decreto nº 10.474, de 26 de agosto de 2020, e tendo em vista o disposto no Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação (PNSI), no Decreto nº 10.748, de 16 de julho de 2021, que institui a Rede Federal de Gestão de Incidentes Cibernéticos, e na Portaria SGD/MGI nº 852, de 28 de março de 2023, que dispõe sobre o Programa de Privacidade e Segurança da Informação - PPSI, resolve:
TÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º Fica instituída a Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR) no âmbito da ANPD, com a responsabilidade de prestar serviços relacionados à segurança cibernética para a ANPD, em observância à política de segurança da informação e aos processos internos de gestão de riscos de segurança da informação da autarquia.
TÍTULO II
DISPOSIÇÕES GERAIS
CAPÍTULO I
EQUIPE DE PREVENÇÃO, TRATAMENTO E RESPOSTA A INCIDENTES CIBERNÉTICOS
Seção I
Da Missão
Art. 2º A ETIR/ANPD tem por missão coordenar as ações de prevenção, tratamento e resposta a incidentes de segurança cibernética nos ativos de informações da ANPD, com o objetivo de minimizar vulnerabilidades e ameaças que possam comprometer a missão da ANPD.
Seção II
Público-alvo
Art. 3º A ETIR/ANPD terá como público-alvo os usuários da rede corporativa de computadores, dos sistemas e dos serviços disponibilizados pela ANPD.
Art. 4º O registro e notificação de incidentes serão feitos por meio de plataforma de comunicação interna e/ou externa, mantida pela ETIR/ANPD, garantindo o fluxo eficiente de informações entre a equipe e os gestores responsáveis.
Parágrafo único. Os canais oficiais de comunicação para realização de notificações de incidentes de segurança deverão ser amplamente divulgados no sítio eletrônico e na intranet da ANPD.
Seção III
Das Competências
Art. 5º Compete à ETIR/ANPD:
I - monitorar e detectar incidentes de segurança cibernética, por meio do acompanhamento contínuo dos ativos de informação;
II - receber, analisar, filtrar, classificar, responder solicitações, alertas e notificações, investigar e tratar os incidentes de segurança cibernética, adotando medidas corretivas e preventivas para mitigação dos impactos;
III - manter registro e documentação de todos os incidentes de segurança cibernética, assegurando a rastreabilidade dos eventos e a geração de relatórios periódicos para avaliação;
IV - propor e implementar planos de resposta a incidentes, a serem aprovados pelo Comitê de Segurança da Informação (CSIN);
V - recomendar ajustes e melhorias nas políticas, procedimentos e controles de segurança cibernética, com base nas lições aprendidas durante o tratamento de incidentes;
VI - participar de auditorias e revisões de conformidade em segurança da informação;
VII - promover a capacitação das equipes envolvidas, por meio de treinamentos atualizados em técnicas de resposta e análise de incidentes, ferramentas de segurança cibernética, regulamentações aplicáveis e melhores práticas;
VIII - promover a conscientização e o treinamento contínuo dos servidores e colaboradores sobre práticas de segurança cibernética, conforme as diretrizes estabelecidas pela Política de Segurança da Informação (POSIN) da ANPD e pelo Programa de Privacidade e Segurança da Informação (PPSI);
IX - integrar as ações de resposta a incidentes com outros órgãos da Administração Pública Federal, quando necessário, respeitando as diretrizes e normas estabelecidas pela Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC), nos termos do Decreto 10.748, de 16 de julho de 2021;
X - participar em fóruns e redes nacionais e internacionais para tratar sobre segurança cibernética;
XI - estabelecer comunicação direta com o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo - CTIR Gov, a Rede Federal de Gestão de Incidentes Cibernéticos - ReGIC, o Centro de Segurança Cibernética Integrado do Governo Digital do Brasil - CSIC Gov.br e outras equipes similares da Administração Pública Federal; e
XII - assessorar a área de comunicação da ANPD durante os incidentes críticos.
Art. 6º Compete ao Gestor de Segurança da Informação:
I - coordenar e supervisionar as atividades da ETIR/ANPD, atuando como Agente Responsável, na forma da Norma Complementar nº 05/IN01/DSIC/GSIPR, de 14 de agosto de 2009;
II - reportar à alta administração do órgão, em especial ao CSIN, e ao Coordenador-Geral de Tecnologia da Informação (CGTI/ANPD), sobre os incidentes de segurança e sobre as atividades da equipe;
III - representar a ETIR/ANPD em eventos e fóruns de segurança da informação;
IV - promover a interface com o Centro de Tratamento e Resposta a Incidentes de Segurança em Redes de Computadores da Administração Pública Federal - CTIR GOV; e
V - criar os procedimentos internos, gerenciar as atividades e distribuir tarefas para a Equipe ou Equipes que compõem a ETIR.
Art. 7º Compete aos membros da ETIR/ANPD:
I - promover a cultura de privacidade desde a concepção e por padrão nas soluções de TI, incorporando requisitos e medidas de segurança da informação;
II - apoiar tecnicamente no tratamento e investigação de incidentes de segurança da informação;
III - apoiar na elaboração e análise de relatórios de incidentes de segurança da informação; e
IV - analisar recomendações de correção de vulnerabilidades encontradas nas soluções de TI e avaliar os riscos da aplicação ou não de tais correções.
Seção IV
Do Modelo de Implementação
Art. 8º O modelo de implementação adotado pela ETIR/ANPD será o descrito no item 7.1 da Norma Complementar nº 05/IN01/DSIC/GSIPR, de 14 de agosto de 2009, qual seja, "Modelo 1 - Utilizando a equipe de Tecnologia da Informação - TI".
Parágrafo único. Os membros da ETIR/ANPD desempenharão suas funções regulares, concomitantemente, com as atividades relacionadas ao tratamento e resposta a incidentes em redes computacionais.
Art. 9º A ETIR/ANPD desempenhará suas atividades:
I - de forma reativa, via de regra; e
II - de forma proativa, por meio da atribuição de responsabilidades a seus membros pelo Agente Responsável.
Seção V
Da Estrutura Organizacional
Art. 10. A ETIR/ANPD será composta pelos seguintes membros:
I - gestor de segurança da informação da ANPD, que coordenará a equipe;
II - servidores lotados na Coordenação-Geral de Tecnologia da Informação - CGTI, cujas capacidades técnicas sejam compatíveis com as atividades da equipe; e
III - servidores de outras áreas da ANPD, desde que possuam perfil compatível com as atividades da ETIR/ANPD.
§ 1º Cada membro da ETIR/ANPD possuirá um suplente que o substituirá em suas ausências ou impedimentos legais.
§ 2º Ato do Diretor-Presidente da ANPD designará os membros titulares e suplentes da ETIR/ANPD, em até trinta dias após a publicação desta Resolução.
§ 3º O Coordenador da ETIR/ANPD poderá convocar, extraordinariamente, representantes de outras unidades para atuar em tratamento e resposta de determinado incidente de segurança.
§ 4º Consultores externos poderão ser contratados para apoiar tecnicamente a ETIR/ANPD em atividades operacionais, situações específicas ou de maior complexidade.
§ 5º Sempre que necessário, a ETIR/ANPD poderá solicitar o apoio de profissionais de TI de empresas(s) contratadas(s) pela ANPD para a realização de suas atividades.
§ 6º A Equipe deve deverá ser composta, preferencialmente, por servidores públicos ocupantes de cargo efetivo ou militares de carreira com perfil técnico compatível.
§ 7º O Comitê de Segurança da Informação da ANPD poderá indicar representantes para acompanhar as atividades da ETIR/ANPD.
§ 8º A ETIR/ANPD poderá propor a instituição de grupos de trabalho temporários para tratar de temas específicos e para propor soluções sobre sua área de atuação.
§ 9º A atuação reativa da ETIR/ANPD que estiver diretamente relacionada ao tratamento de incidentes terá prioridade sobre aquela de caráter proativo.
Seção VI
Da Autonomia da ETIR
Art. 11. A ETIR/ANPD possui autonomia compartilhada para realizar as ações ou as medidas necessárias para reforçar a resposta ou a postura da organização na recuperação de incidentes de segurança.
Parágrafo único. A ETIR/ANPD, representada pelo Gestor da Segurança da Informação, participará dos processos decisórios junto ao CSIN/ANPD, relativos aos procedimentos e às medidas definidas no caput, e debaterá as ações a serem tomadas, seus impactos e a repercussão caso as recomendações não forem seguidas.
Art. 12. Durante um incidente de segurança, o Coordenador poderá decidir, ad referendum da ETIR/ANPD, a execução de medidas de tratamento, quando não for possível convocar uma reunião da Equipe.
Parágrafo único. As medidas decididas ad referendum constarão da reunião subsequente, com prioridade na ordem da pauta.
Seção VII
Dos Serviços
Art. 13. A ETIR/ANPD prestará os seguintes serviços:
I - tratamento de incidentes cibernéticos: receber, filtrar, classificar e responder às solicitações e aos alertas, bem como realizar análises dos incidentes cibernéticos, procurando extrair informações que permitam impedir a continuidade da ação maliciosa e identificar tendências;
II - tratamento de artefatos maliciosos: recebimento de informações ou cópias de artefatos maliciosos utilizados em ataques ou em qualquer outra atividade desautorizada ou maliciosa, que será analisado para identificar sua natureza, mecanismo, versão e objetivo, com vistas ao desenvolvimento ou recomendação de estratégias de detecção, remoção e defesa;
III - tratamento de vulnerabilidades: recebimento de informações sobre vulnerabilidades, sejam estas em hardware ou software, com o objetivo de analisar sua natureza, mecanismo e consequências, além de desenvolver estratégias para detecção e correção dessas vulnerabilidades;
IV - emissão de alertas, advertências e disseminação de informações relacionadas à segurança: divulgação de alertas ou advertências imediatas em reação a incidentes de segurança em redes de computadores, com o objetivo de advertir a comunidade atendida e fornecer orientações sobre as ações recomendadas, bem como disseminar informações relevantes sobre segurança da informação, incluindo processos de conscientização sobre incidentes cibernéticos, treinamentos para equipes técnicas envolvidas e divulgação de incidentes conforme pertinência;
V - avaliação de segurança: identifica e avalia vulnerabilidades e ameaças nas soluções de TIC da ANPD, alinhado com as melhores práticas e padrões do setor, a fim de preparar a instituição para enfrentar desafios de segurança em constante evolução;
VI - detecção e prevenção de intrusão: identifica atividades maliciosas, tentativas de comprometimento e intrusões nos sistemas e redes da ANPD e toma as medidas necessárias para a contenção do impacto negativo dessas ameaças; e
VII - prospecção de novas tecnologias: busca de soluções de tecnologia da informação disponíveis para a evolução da proteção da ANPD contra-ataques cibernéticos.
TÍTULO III
DISPOSIÇÕES FINAIS
Art. 14. A participação na ETIR/ANPD será considerada prestação de serviço público relevante não remunerada.
Art. 15. Os casos omissos serão resolvidos pelo CSIN/ANPD, com o apoio da ETIR/ANPD.
Art. 16. Esta Resolução entra em vigor na data de sua publicação.
ARTHUR PEREIRA SABBAT
Diretor-Presidente
Substituto
(DOU de 29.05.2025 – pág. 72 - Seção 1)