PORTARIA CADE Nº 406, de 20 de maio de 2019

O PRESIDENTE DO CADE, no uso da atribuição que lhe é conferida pelo disposto no artigo 10, inciso IX, da Lei nº 12.529/2011, no artigo 21, inciso IX, do Decreto nº 9.011/2017, e no artigo 60, inciso IX, do Regimento Interno do Cade, aprovado pela Resolução nº 20, de 7 de junho de 2017,

RESOLVE:

Art. 1º Regulamentar o controle de acesso físico no âmbito do Conselho Administrativo de Defesa Econômica – Cade, em consonância com o inciso VII do artigo 5º da Instrução Normativa nº 01 do Gabinete de Segurança Institucional da Presidência da República, de 13 de junho de 2008, e com a Portaria Cade nº 403, de 20 de maio de 2019, que institui a Política de Segurança da Informação e Comunicações – Posic.

Seção I

Dos Papéis e Responsabilidades

Art. 2º Compete para os assuntos de segurança da informação:

I - à Coordenação-Geral de Orçamento, Finanças e Logística - CGOFL:

a) fomentar ações para tratar da segurança física e do ambiente;

b) submeter ao Comitê de Segurança Institucional do Cade - CSIC - planos e projetos para proteção física;

c) propor e institucionalizar, em consonância com o CSIC, controles de segurança física, observando os impactos diretos e indiretos do uso dos controles propostos;

d) apoiar ao CSIC nas ações de segurança da informação e riscos organizacionais;

e) monitorar a efetividade dos controles implementados;

f) realizar acionamento de equipes responsáveis pela recuperação de ambiente físico em caso de incidentes e recuperação de desastres;

g) registrar e reportar ao agente responsável pela Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais do Cade - ETIR - todo e qualquer incidente de segurança da informação no âmbito dos acessos físicos;

h) monitorar os acessos às dependências do Cade por parte de servidores, colaboradores e visitantes;

i) responder aos eventos e incidentes relacionados à segurança física e do ambiente;

j) acompanhar ações das forças de segurança pública, quando necessário;

k) apoiar os procedimentos de isolamento e custódia de perímetros atingidos por eventos de transposição de barreiras de segurança física;

l) garantir a sinalização adequada para identificação predial;

m) estabelecer mapas e rotas de fuga para situações de emergência; e

n) estabelecer perímetros de segurança, considerando o nível de classificação das informações.

II - à Coordenação-Geral de Tecnologia da Informação – CGTI:

a) auxiliar na implementação de recursos tecnológicos necessários à segurança física e do ambiente;

b) realizar acionamento de equipes responsáveis pela recuperação do ambiente tecnológico em caso de incidentes e recuperação de desastres; e

c) propor novas tecnologias para apoiar os controles físicos estabelecidos.

III - às unidades administrativas do Cade:

a) divulgar os normativos de segurança da informação para todos os seus servidores e colaboradores.

i. a Coordenação-Geral de Gestão de Pessoas - CGESP - e a Assessoria de Comunicação Social - Ascom - devem apoiar o processo de divulgação, avaliação e sensibilização dos assuntos referentes à segurança da informação e comunicação.

IV - aos chefes ocupantes de cargo ou função igual ou superior a DAS/FCPE 4:

a) divulgar e fomentar as diretrizes do controle de acessos lógicos entre seus servidores, colaboradores e estagiários; e

b) solicitar concessões de acesso especiais.

V - aos servidores, colaboradores e estagiários do Cade:

a) zelar pelo sigilo das contas e senhas de acesso;

i. a responsabilidade pelo uso de serviços, informações ou sistemas é pessoal de cada servidor, colaborador e estagiário do Cade.

b) cumprir as diretrizes e orientações das normas de segurança da informação do Cade, assim como apoiar o desenvolvimento e identificação de novas necessidades.

Seção II

Das Disposições Gerais

Art. 3º Para efeito no referido normativo, todos os termos e definições estão descritos no Glossário da Posic, instituído pela Portaria Cade nº 404, de 20 de maio de 2019.

Art. 4º Esta norma abrange todos os servidores, colaboradores, estagiários e visitantes que necessitem da concessão de acesso físico às dependências do Cade.

Art. 5º Controles de acesso físico devem ser implementados, monitorados e avaliados periodicamente, considerando os impactos operacionais.

Parágrafo único. Deve-se adotar uma visão holística do ambiente de sustentação dos processos finalísticos do Cade, considerando as especificidades, necessidades e os limites operacionais das demais unidades administrativas da autarquia.

Art. 6º As atividades de competência do Cade que necessitem de sigilo devem ser executadas em um ambiente de acesso restrito.

Parágrafo único. A unidade responsável por atividades que necessitem de sigilo deve definir, junto com a CGOFL, quais procedimentos de segurança física serão executados.

Art. 7º O acesso às áreas seguras é restrito aos servidores e colaboradores com atribuições relacionadas a estas áreas.

Art. 8º Visitantes devem ser acompanhados por servidor ou agente de segurança física por todo o período de permanência no Cade.

Art. 9º A sinalização de identificação de segurança dos perímetros físicos deve ser de fácil entendimento e visualização.

Art. 10. Casos de tentativa de acesso indevido devem ser comunicados à CGOFL.

Art. 11. Ex-servidores, incluindo ocupantes de cargos de natureza especial, excolaboradores, ex-estagiários, ex-consultores e servidores em gozo de licença devem seguir os mesmos procedimentos de acesso dos visitantes.

Seção III

Da Classificação e Sinalização dos Perímetros de Segurança

Art. 12. O programa de classificação dos perímetros de segurança do Cade deve considerar:

I - a exequibilidade de adesão aos critérios e diretrizes para a classificação dos perímetros de segurança;

II - a classificação do nível de sensibilidade dos ambientes, levando em consideração os impactos diretos e indiretos por vazamentos, modificações ou perda parcial ou total das informações;

III - a disseminação do mapeamento dos perímetros de segurança, a partir da classificação atribuída pelas unidades administrativas; e

IV - a classificação prévia das áreas ou instalações de processamento e/ou armazenamento de informações sensíveis como de “Acesso Restrito” deve possuir solidez em sua estrutura física.

a) as áreas de armazenamento físico de informações (arquivo) devem possuir segregação interna de acesso, considerando a menor e maior restrição.

Seção IV

Dos Controles de Acessos Físicos

Art. 13. Serão criadas barreiras físicas para inibir acessos indevidos, nas dependências do Cade.

Parágrafo único: Locais de armazenamento de informações sensíveis, em meio físico ou lógico, devem possuir reforço e alarme de violação e abertura em suas portas e janelas.

Art. 14. É vedado o ingresso no Cade de qualquer pessoa que:

I - não possua autorização de acesso por servidor do Cade;

II - execute comércio informal ou formal de qualquer produto que não seja de interesse dos processos operacionais do Cade ou para solicitar qualquer tipo de doação;

III - preste serviços autônomos que não estejam vinculados a contratos, convênios ou acordos firmados com o Cade; e

IV - esteja trajando roupas não condizentes com o ambiente de trabalho.

Parágrafo único. Para resposta a momentos de crise ou reação a um evento de restabelecimento dos processos operacionais do Cade, o servidor, colaborador ou estagiário acionado deverá ter acesso livre quanto à vestimenta, independente da roupa que esteja trajando.

Art. 15. Para ingresso e permanência nas dependências do Cade:

I - servidores ocupantes de cargo ou função igual ou superior a DAS/FCPE 4 ou de natureza especial, terão autorização formal para acesso, independente de dia ou horário, conforme procedimento previsto no inciso V;

II - todo e qualquer acesso deverá ser registrado, informando a data e hora de entrada e saída do servidor, colaborador e visitante;

III - independentemente do horário ou dia da semana, é obrigatório o uso de crachá de identificação para todos os servidores, colaboradores e visitantes, fornecido pela unidade responsável pela segurança do Cade, mediante a apresentação de documento de identidade oficial e, quando pertinente, após a comunicação formal da área competente;

IV - servidores ocupantes de cargo ou função igual ou superior a DAS/FCPE 5 utilizarão bóton;

V - somente será permitido o ingresso nas dependências do Cade fora do horário de expediente (antes das 8 horas e após 19 horas), de qualquer servidor ou colaborador quando autorizado preliminarmente pelo chefe ocupante de cargo ou função igual ou superior a DAS/FCPE 4, ratificado pela CGOFL;

a) para que seja autorizada a entrada fora do expediente normal, a unidade interessada deverá encaminhar comunicação formal motivada à CGOFL, autorizada pela chefia (ocupante de cargo ou função igual ou superior a DAS/FCPE 4), até as 17 horas do dia útil que antecede a necessidade, indicando: o nome, a matrícula no SIAPE e/ou o número da carteira de identidade, o tipo de serviço a ser executado, bem como o local, a data e o tempo previsto de permanência;

b) acessos fora do horário de expediente normal deverão ser registrados no livro de controle de acesso; e

i. a ausência de registro de entrada ou saída será considerado um evento de segurança da informação, sendo necessário o registro junto à CGOFL.

VI - o documento de identificação pessoal com foto (RG, CNH, Passaporte, crachá) deve ser solicitado para verificação de identidade do servidor (independentemente de seu cargo ou atribuição), colaborador ou visitante.

Art. 16. Para acesso às chaves das salas:

I - a CGOFL é custodiante de todos os claviculários, assim como de todas as chaves das salas e demais dependências do Cade;

II - os chefes no nível de DAS/FCPE 4, 5 ou 6 devem, obrigatoriamente, informar quais servidores ou colaboradores devem ter acesso às chaves durante e fora do horário de expediente normal do Cade; e

III - o acesso deverá ser registrado em livro de ocorrência contendo, no mínimo, a data e horário de recebimento da chave, assim como data e horário da devolução da chave.

Art. 17. Durante os eventos realizados nas dependências do Cade:

I - ficarão sujeitos ao uso de instrumento de identificação específico:

a) os participantes do evento; e

b) os prestadores de serviços que trabalharem no evento.

II - a entidade promotora deverá encaminhar, com antecedência de 48 horas, à unidade responsável pela segurança do Cade, relação detalhada e completa das pessoas envolvidas no evento, contendo nome, cargo ou função, matrícula ou número da carteira de identidade e, ainda, dados dos órgãos e das empresas participantes, bem como a identificação dos veículos utilizados, a saber: placa, modelo, cor e ano; e

III - para as sessões plenárias, somente servidores e colaboradores devidamente identificados por crachá poderão ter acesso à Galeria do Plenário, ficando vedado o acesso de visitantes, independentemente de sua ocupação (repórter, advogado, estudantes e demais).

Art. 18. O ingresso de visitantes será permitido somente de segunda à sexta, das 8 às 18 horas, salvo casos autorizados por servidores lotados no Cade, mediante justificativa.

Parágrafo único. Para acesso à dependência do Cade, o visitante deverá informar a pessoa e o local de destino e aguardar autorização de acesso:

I - o acesso de visitantes está restrito à área informada e autorizada por um servidor ou colaborador, devendo ser sempre monitorados pelos agentes de segurança física de cada andar, os quais farão o acompanhamento até seu destino;

II - em caso de tentativa de acesso em local não informado, o agente de segurança física deverá encaminhar o visitante para a portaria, afim de solicitar novo acesso; e

III - é vedado o acesso de qualquer tipo de visitante às áreas seguras, assim como ao conteúdo nela contido (informações, ativos de tecnologia e afins);

a) caso haja a necessidade de acesso de visitante às áreas seguras, este deve ser sempre acompanhado por um servidor do Cade, com autorização do chefe ocupante de cargo ou função igual ou superior a DAS/FCPE 4.

Art. 19. Em caso de recuperação de desastre, o Coordenador-Geral de Tecnologia da Informação ou substituto, o Coordenador-Geral de Orçamento, Finanças e Logística ou substituto, e o Chefe do Serviço de Atendimento e Administração Predial poderá solicitar acesso a servidores e prestadores de serviços em momento de recuperação de ambiente, conforme procedimento específico de recuperação de desastres.

Seção V

Dos Controles de Acesso dos Veículos

Art. 20. Para o acesso à garagem, é obrigatório o trânsito de veículos com os faróis acesos e velocidade máxima de 10 km.

Parágrafo único. A circulação de pessoas na garagem está condicionada àquelas que possuem autorização de estacionamento ou que desenvolvem atividades no referido local.

Art. 21. O uso de vagas da garagem é de exclusividade de servidores do Cade, ficando vedado o uso por colaboradores, consultores, estagiários e participantes do Programa PinCade (pincadistas).

§ 1º As vagas da garagem do Cade, destinadas aos ocupantes dos cargos em comissão, são inerentes ao cargo, podendo ser usadas tão somente pelos titulares ou respectivos substitutos eventuais.

§ 2º O uso das vagas pelos substitutos eventuais deverá ser precedido de comunicação formal do titular à CGOFL, com a indicação do período em que se dará a substituição.

Art. 22. Todos os servidores que farão uso das vagas de garagem deverão assinar o termo de responsabilização a ser entregue juntamente com a solicitação, à CGOFL contendo os seguintes dados:

I - nome completo;

II - matrícula SIAPE;

III - marca e modelo do veículo;

IV - placa;

V - cor;

VI - lotação; e

VII - telefone para contato.

Art. 23. Para permissão de estacionamento de veículos na garagem do Cade será disponibilizado "cartão de identificação" a ser colocado no para-brisa dianteiro dos veículos que tenham autorização para acesso à garagem.

Parágrafo único. Fica vedado o acesso de qualquer veículo, mesmo que previamente cadastrado, que não esteja com o “cartão de identificação” conforme caput.

Art. 24. O extravio ou o dano do “cartão de identificação” deverá ser imediatamente comunicado à CGOFL e implicará no ressarcimento, por parte do servidor responsável, do custo da confecção de novo cartão.

Art. 25. O acesso de veículo à garagem dar-se-á de forma automática para aqueles que estiverem previamente autorizados e portando instrumento de identificação de acesso a ser fornecido pelo Cade, conforme a seguinte distribuição de uso, no limite das vagas disponíveis:

I - permanente:

a) veículos de representação a serviço do Presidente e do Superintendente-Geral do Cade;

b) veículos de representação de outros órgãos ou entidades públicas, respeitando orientação do agente de segurança física para o local adequado de estacionamento; e

c) veículos de servidores ocupantes de cargo de natureza especial, cargos em comissão DAS/FCPE 4 a 6.

II - rotativas:

a) servidor que demonstrar interesse de uso da vaga através de solicitação à CGOFL.

Art. 26. Somente o veículo devidamente credenciado poderá utilizar as vagas rotativas.

Parágrafo único. Se porventura houver necessidade de alterar o credenciamento, o servidor deverá fazer a solicitação à CGESP, que providenciará a alteração junto à CGOFL.

Art. 27. Desfeito o vínculo do servidor com o Cade, tornar-se-á obrigatória a devolução do correspondente cartão de identificação para estacionamento diretamente à CGOFL.

Seção VI

Da Entrega e Descarregamento de Produtos e Materiais

Art. 28. Fica vedado o acesso de entregadores de produtos pessoais nas dependências do Cade.

Parágrafo único. O atendimento de entregadores ficará restrito à portaria. O agente de segurança entrará em contato com o solicitante ou solicitado e este deverá ir ao encontro do entregador para receber ou enviar a mercadoria;

Art. 29. Para o processo de descarga de material:

I - o acesso de colaboradores de empresas de entrega de produtos adquiridos pelo Cade, está restrito ao acompanhamento de um servidor da CGOFL, o qual deverá observar a integridade do material entregue;

II - o material entregue deverá ser descarregado no ambiente externo à garagem, e deslocado para uma sala indicada pelo servidor;

III - todos os acessos e saídas para carga e descarga deverão ser registrados no livro de ocorrência da garagem;

IV - o material adquirido pelo Cade deverá ser entregue à comissão de recebimento; e

V - os materiais de infraestrutura tecnológica, deverão ser desembalados em local específico indicado pela CGTI.

Seção VII

Sanções e Das Penalidades

Art. 30. Os colaboradores que não zelarem pela implementação e execução das diretrizes descritas neste normativo serão responsabilizados em caso de vazamento, total ou parcial, de informações sensíveis, ou ingressos em áreas consideradas de acesso controlado ou restrito, decorrentes de seus atos.

Art. 31. A violação ou a não aderência a este normativo será considerado um incidente de segurança da informação e acarretará a aplicação das penalidades previstas em lei.

Seção VIII

Das Disposições Finais

Art. 32. Os casos omissos serão resolvidos no âmbito da Diretoria de Administração e Planejamento.

Art. 33. Esta Portaria entra em vigor 30 dias após a data de sua publicação.

ALEXANDRE BARRETO DE SOUZA

Presidente

Este texto não substitui o original publicado nos veículos oficiais (Diário Oficial da União - DOU e Boletim de Serviço - BS).