DOCUMENTO DE FORMALIZAÇÃO DA DEMANDA

Referência: Decreto nº 10.947, de 25 de janeiro de 2022.

Informações gerais 

Justificativa de necessidade

A segurança cibernética e, por conseguinte, a segurança da informação é atualmente fator preponderante para efetividade da entrega de serviços públicos em toda Administração Pública, e assim também é na Agência Nacional de Aviação Civil - ANAC. O Estado Brasileiro tem investido grandes esforços em serviços digitais conforme se observa nas estratégias de transformação digital refletidas no DECRETO Nº 10.332, DE 28 DE ABRIL DE 2020, que institui a Estratégia de Governo Digital para o período de 2020 a 2022, no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional e dá outras providências.

Para auxiliar a definição de estratégias para a proteção contra ataques cibernéticos, organizações do mercado criaram uma série de políticas e procedimentos, que está documentada para conhecimento teórico e procedimentos de implementação práticos. Os mais relevantes que podem ser citados são frameworks, normas e padrões de gestão de risco em cibersegurança que incluem padrões ISO 27000, o Framework de Cibersegurança do NIST, a norma PCI DSS e os Controles Críticos de Segurança para Efetiva Defesa Cibernética do Center for Internet Security (CIS Controls).

Na mesma toada o Governo Brasileiro desenvolveu o Programa de Privacidade e Segurança da Informação (PPSI), disponível em https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/PPSI, acessado em 30/03/2023, que por sua vez guarda relação com os frameworks, normas e padrões de gestão de mercado citado anteriormente.

Nos últimos anos a ANAC tem dedicado especial atenção ao assunto da segurança cibernéticas dos seus serviços de TI e ativos de informação. Em 2019, foi revisada a Política de Segurança da Informação e operacionalizado o Comitê de Segurança da Informação – CSIP. Desde então, diversos esforços já foram feitos no desenvolvimento de normas internas, renovação e aquisição de novas ferramentas de segurança de redes, e operacionalização de processos de trabalhos. Chegou-se ao ponto que para evoluir a maturidade nos processos e ferramentas relacionadas é necessário dispor de novos investimentos em mão de obra especializada e ferramentas avançadas de monitoração, prevenção e tratamento de incidentes cibernéticos. Além disso, a atenção do TCU, GSI/PR e SGD/ME tem sido reforçada nesse assunto. O GSI junto com a Presidência da República tem revisado e editada novas normas, instruções normativas e decretos. O TCU estabeleceu em 2020 a “Estratégia de Fiscalização do TCU em Segurança da Informação e Segurança Cibernética 2020-2023”. A SGD/ME estabeleceu em 2022 o Programa de Privacidade e Segurança da Informação (PPSI).

Nesse caminho, as exigências impostas à APF são substancialmente maiores que a capacidade da equipe de TI da ANAC, e para suprir essa necessidade é comum no mercado e em órgãos da APF se recorrer a contratação de serviços especializados de segurança.

A equipe de TI da ANAC, lotados na STI, é reduzida e estão na sua maioria alocados em tarefas de gestão, coordenação e fiscalização de contratos, sendo que a STI conta com contratos de serviços terceirizados para grande parcela do serviço operacional, incluindo desenvolvimento e manutenção de software, apoio técnico em soluções de TI, suporte técnico de TI ao usuário da ANAC, também denominado de Service Desk, e o suporte técnicos para soluções de TI e equipamentos de Data Center, entre outros contratos. faz-se mister, contudo, frisar que os normativos e orientações dos órgãos centrais, vedam a contratação de serviços que envolvam a gestão da segurança da informação, conforme se verifica na IN SGD/ME n° 94/2022, in verbis:

" (...)
Art. 3º Não poderão ser objeto de contratação:

I - mais de uma solução de TIC em um único contrato, devendo o órgão ou entidade observar o disposto nos §§ 2º e 3º do art. 12; e

II - os serviços dispostos no art. 3º do Decreto nº 9.507, de 2018, inclusive a gestão de processos de TIC e a gestão de segurança da informação.

Parágrafo único. O apoio técnico aos processos de gestão, de planejamento e de avaliação da qualidade das soluções de TIC poderá ser objeto de contratação, desde que sob supervisão exclusiva de servidores do órgão ou entidade.

(...)"

A ANAC/STI atualmente não dispõe de um ou mais contratos para lidar com uma parte significativa do grande arcabouço de disciplinas e tarefas operacionais relacionas a segurança cibernética e segurança da informação. Sendo assim, dado todo o contexto anterior da importância da segurança da informação, é imprescindível que a STI/ANAC disponha de contrato de serviço técnico especializado que possa complementar e permitir que a STI/ANAC evolua a abrangência e maturidade dos processos relacionados ao tema.

Cumpre ainda esclarecer que a STI/ANAC dispõem no contrato de suporte de infraestrutura de TI (Contrato n° 21/ANAC/2021) do serviço de NOC, ou Network Operation Center, que opera em regime 24x7 e que tem o principal objetivo de monitorar a disponibilidade de serviços de TI e reagir no caso de incidentes diversos no sentido de reativar os serviços. Esse serviço, contudo, não tem o mister para lidar com ataques cibernéticos, pois requer equipe de TI com habilidades específicas.

Para a defesa cibernéticas, a prevenção, tratamento e resposta a incidentes cibernéticos (equipe ETIR), faz-se mister dispor de serviço em regime de 24x7 que possa monitorar os serviços e a infraestrutura de TI da ANAC. Este serviço é geralmente denominado SOC. O SOC, ou Security Operations Center (Centro de operações de segurança, em tradução livre), tem por objetivo maior o de responder a quaisquer incidentes que venham a ocorrer, fazendo uso de uma gama de soluções e tecnologias, desde sistemas de gerenciamento de eventos (SIEM), SOAR (Security Orchestration, Automation and response) até firewalls para detecção de invasão. Com esse tipo de monitoramento a mitigação das ocorrências acontecem de forma muito eficaz. Além disso, o SOC tem como atividade a execução contínua de verificação de vulnerabilidades da rede em busca de ameaças e fraquezas do sistema verificado. Dentre as vantagens do SOC, podem ser destacados: monitoramento em tempo real; eficiência no tratamento de incidentes; equipe de segurança especializada; redução de custos/danos; e serviço personalizável, de acordo com nas necessidades de cada empresa.

A elaboração do Estudo Técnico Preliminar deverá considerar os processos de trabalho que podem ser apoiados pelo eventual novo contrato serviços gerenciados de segurança cibernética e pelo SOC, para atender a implementação das medidas de segurança relativas ao tema, inclusive quanto os controles do PPSI, mas não limitados a este:

• Controles de Segurança Cibernética
• Controle 1: Inventário e Controle de Ativos Institucionais
• Controle 2: Inventário e Controle de Ativos de Software
• Controle 3: Proteção de Dados
• Controle 4: Configuração Segura de Ativos Institucionais e Software
• Controle 5: Gestão de Contas
• Controle 6: Gestão do Controle de Acesso
• Controle 7: Gestão Contínua de Vulnerabilidades
• Controle 8: Gestão de Registros de Auditoria
• Controle 9: Proteções de E-mail e Navegador Web
• Controle 10: Defesas Contra Malware
• Controle 11: Recuperação de Dados
• Controle 12: Gestão da Infraestrutura de Rede
• Controle 13: Monitoramento e Defesa da Rede
• Controle 14: Conscientização e Treinamento de Competências sobre Segurança
• Controle 15: Gestão de Provedor de Serviços
• Controle 16: Segurança de Aplicações
• Controle 17: Gestão de Resposta a Incidentes
• Controle 18: Testes de Invasão

• Controles de Privacidade:
• Controle 19: Inventário e Mapeamento
• Controle 20: Finalidade e Hipóteses Legais
• Controle 21: Governança
• Controle 22: Políticas, Processos e Procedimentos
• Controle 23: Conscientização e Treinamento
• Controle 24: Minimização de Dados
• Controle 25: Gestão do Tratamento
• Controle 26: Acesso e Qualidade
• Controle 27: Compartilhamento, Transferência e Divulgação
• Controle 28: Supervisão em Terceiros
• Controle 29: Abertura, Transparência e Notificação
• Controle 30: Avaliação de Impacto, Monitoramento e Auditoria
• Controle 31: Segurança Aplicada à Privacidade

O Estudo Técnico Preliminar deverá considerar ainda a maturidade da equipe TI na gestão de contratos, na absorção de novos processos de trabalho, as ferramentas e soluções de TI disponíveis ou que precisam ser implantadas, em caso de software livre, ou adquiridas quando for necessário soluções de TI específicas. Por fim, o Estudo Técnico preliminar deve considerar a fronteira de serviços e processos de trabalho com outras equipes da STI/ANAC e outros contratos já em execução, em especial o contrato de operação de infraestrutura de TI e Service Desk.
 

Materiais/Serviços

Materiais

Neste momento, não se verifica a necessidade de aquisição de material.

Serviços

Contratações relacionadas

Não há contratação em curso ou planejada que tenha relação direta com esta.

INDICAÇÃO DE INTEGRANTE REQUISITANTE PARA EQUIPE DE PLANEJAMENTO

Nome: Felipe Santos Sarmanho

Cargo: Gerente de Infraestrutura Tecnológica - GEIT/STI

E-mail: felipe.sarmanho@anac.gov.br

Telefone: (61) 3314-4213

Declaração de Ciência

Por este instrumento declaro ter ciência das competências do INTEGRANTE REQUISITANTE definidas na IN SGD/ME nº 94/2022, bem como da minha indicação para exercer esse papel na Equipe de Planejamento da Contratação.

alinhamento da necessidade ao pdtic

InFormações adicionais

Não há informações adicionais relevantes.

Observações:

Caso o objeto se trate de uma solução de Tecnologia da Informação e Comunicação – TIC, a demanda deverá ser enviada à Superintendência de Tecnologia da Informação (STI); para os demais objetos, a demanda deverá ser direcionada à Superintendência de Administração e Finanças (SAF).

Idealmente as demandas são planejadas para o exercício subsequente, contudo, caso seja necessário o início imediato da elaboração dos documentos para a contratação (Estudo Técnico Preliminar, Mapa de Riscos e Termo de Referência), indique o(s) servidor(es) para a Equipe de Planejamento da Contratação. Caso se tratar de bens/serviços de TIC, informar, adicionalmente, o alinhamento da demanda ao Plano Estratégico da ANAC e ao Plano Diretor de Tecnologia da Informação e Comunicação (PDTIC) vigentes.

Para as demandas apresentadas tempestivamente orienta-se a constituição da Equipe de Planejamento da Contratação, por meio de despacho da autoridade competente com a indicação do(s) servidor(es) responsável(eis) e, para contratações de TIC, o registro do alinhamento ao Plano Estratégico da ANAC e ao PDTIC vigentes, com antecedência de 6 a 8 meses da data em que a demanda deve ser finalizada com a entrega do bem ou início da execução do serviço. O despacho deve ser direcionado à unidade competente, conforme item 1 acima.

Para eventuais esclarecimentos, enviar e-mail para gtpp.sti@anac.gov.br (para as demandas de TIC) ou licitacao@anac.gov.br (para as demais demandas).

---

Documento assinado eletronicamente por José Assumpção Rodrigues de Almeida, Superintendente de Tecnologia da Informação, em 10/04/2023, às 21:11, conforme horário oficial de Brasília, com fundamento no art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020.

---

A autenticidade deste documento pode ser conferida no site https://sei.anac.gov.br/sei/autenticidade, informando o código verificador 8206616 e o código CRC C33857C4.

---