PORTARIA CADE Nº 745, de 1 de outubro de 2019

O PRESIDENTE DO CONSELHO ADMINISTRATIVO DE DEFESA ECONÔMICA, no uso de suas atribuições legais e regimentais, tendo em vista o disposto no art. 10, incisos IX e X da Lei nº 12.529, de 30 de novembro de 2011; no art. 3º, caput e § 2º da Lei nº 13.848 de 25 de junho de 2019; e no art. 60, incisos IX e X do Regimento Interno do Cade,

Considerando o disposto no inciso VII do art. 5º da Instrução Normativa GSI/PR nº 01, de 13 de junho de 2008; e na Norma Complementar nº 03/IN01/DSIC/GSI/PR, de 30 de junho de 2009,

RESOLV E :

Art. 1º Fica instituída a Política de Segurança da Informação e Comunicações – POSIC do Cade, em consonância com o inciso VII, do art. 5º da Instrução Normativa nº 01 do Gabinete de Segurança Institucional da Presidência da República e com os itens 6 e 7 da Norma Complementar nº 03/IN01/DSIC/GSI/PR.

TÍTULO I

DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO CADE

CAPÍTULO I

DO ESCOPO

Seção I

Dos Princípios

Art. 2º A Política de Segurança da Informação e Comunicações – POSIC - do Cade é guiada pelos princípios da legalidade, segurança, publicidade, privacidade e ética, seguindo os princípios constitucionais, administrativos e das demais normas vigentes e que regem a Administração Pública Federal.

Seção II

Dos Objetivos

Art. 3º São objetivos da POSIC do Cade:

I- garantir a disponibilidade, integridade, confidencialidade e autenticidade – DICA das informações produzidas ou custodiadas pelo Cade;

II- observar as diretrizes, normas, procedimentos, mecanismos, competências e responsabilidades estabelecidos pela POSIC-MJ e legislação vigente;

III- estabelecer o arcabouço normativo acerca da Segurança da Informação e Comunicações do Cade e suas Normas Complementares;

IV- estimular a adoção de práticas de Segurança da Informação e Comunicação - SIC no Cade, aplicando as normas e os procedimentos sobre o assunto;

V- apoiar a Estrutura de Gestão de Segurança da Informação e Comunicações – GSIC a orientar a tomada de decisões institucionais em segurança que visem a eficiência, eficácia e efetividade das atividades de SIC.

Seção III

Da abrangência

Art. 4º As diretrizes, as normas complementares e os manuais de procedimentos desta POSIC se aplicam a servidores, prestadores de serviço, colaboradores, estagiários, consultores, servidores estrangeiros e usuários externos e a quem, de alguma forma, execute atividades vinculadas ao Cade.

Parágrafo único. Todos os sujeitos mencionados no caput são responsáveis e devem estar comprometidos com a segurança da informação e comunicações do Cade.

Art. 5º Os contratos, convênios, acordos, termos e outros instrumentos congêneres celebrados pelo Cade devem atender a esta POSIC.

Art. 6º Esta política também se aplica, no que couber, ao relacionamento do Cade com outros órgãos e entidades públicas ou privadas.

Parágrafo único. Se houver conflito entre normas, o Comitê de Segurança Institucional do Cade - CSIC - deliberará sobre o tema.

CAPÍTULO II

DOS CONCEITOS E DEFINIÇÕES

Art. 7º Os termos e definições da POSIC serão definidos em Glossário, a ser aprovado em portaria específica.

CAPÍTULO III

DAS DIRETRIZES

Seção I

Das Diretrizes Gerais

Art. 8º São diretrizes gerais da POSIC do Cade:

I - estabelecer medidas e procedimentos para assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;

II- elaborar e implementar mecanismos de auditoria e conformidade, com o objetivo de garantir a exatidão dos registros de acesso aos ativos de informação e avaliar sua conformidade com as normas de SIC em vigor;

III- implementar controles de acesso lógico aos softwares e redes de computadores e controles de acesso físico às instalações, com o objetivo de preservar os ativos de informação do Cade;

IV- definir regras claras e precisas de uso dos ativos de informação institucionais, com o objetivo de evitar o uso pelos agentes públicos para fins particulares, como abuso de direito ou violação à imagem da entidade, em desrespeito às leis, aos costumes e à dignidade da pessoa humana; e

V- observar as boas práticas e procedimentos de SIC recomendados por órgãos e entidades públicas e privadas responsáveis pelo estabelecimento de padrões.

Seção II

Das Diretrizes Específicas

Art. 9º O Comitê de Segurança da Informação e Comunicações – CSIC - estabelecerá normas e procedimentos destinados a disciplinar e proteger o uso da informação no âmbito do Cade, complementando os controles de Gestão de SIC contidos na POSIC, sobre os temas julgados relevantes para a atuação do Cade, tais como:

I - contratação, permanência e desligamento de pessoas;

II- controle de acesso físico;

III- controle de acesso lógico;

IV- uso de computadores;

V- dispositivos móveis;

VI- redes sociais;

VII- serviços de conectividade e acessos à internet;

VIII- correio eletrônico;

IX- arquivamento de documentos convertidos para o formato digital;

X- descarte de mídias;

XI- impressão; e

XII- ativos de infraestrutura.

CAPÍTULO IV

DAS COMPETÊNCIAS E RESPONSABILIDADES

Art. 10. A Estrutura de Gestão de SIC - GSIC é composta por:

I - Comitê de Segurança da Informação e Comunicações – CSIC;

II- gestor de SIC; e

III- Equipe de Tratamento e Resposta a Incidentes de Rede – ETIR.

Art. 11. Os membros da Estrutura de GSIC devem receber regularmente capacitação especializada nas disciplinas relacionadas à SIC.

Art. 12. A Estrutura de GSIC deve auxiliar a alta administração na priorização de ações e investimentos com vistas à correta aplicação de mecanismos de proteção, tendo como base as exigências estratégicas e necessidades operacionais do Cade e as consequências que riscos poderão trazer ao cumprimento dessas exigências.

Art. 13. Cabe ao CSIC, no seu âmbito de atuação específico:

I - executar os processos de SIC;

II- desenvolver, implementar e monitorar estratégias de segurança que atendam aos objetivos estratégicos do Cade;

III- avaliar, revisar, monitorar, analisar criticamente e supervisionar a aplicação da POSIC e suas normas complementares, visando sua aderência aos objetivos institucionais do Cade, Estratégia Geral de Segurança da Informação e legislações vigentes;

IV- promover a melhoria contínua nos processos e controles de GSIC;

V - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre SIC;

VI - dirimir eventuais dúvidas e deliberar sobre assuntos relativos à POSIC;

VII - desenvolver ações de conscientização dos usuários a respeito da implementação dos controles de SIC;

VIII - manter e atualizar o Glossário da POSIC;

IX - propor normas e procedimentos relativos à SIC no âmbito do Cade; e

X - propor seu Regimento Interno.

Parágrafo único. As atividades específicas do CSIC serão definidas em Regimento Interno.

Art. 14. Cabe ao Gestor de SIC, no seu âmbito de atuação específico:

I - executar os processos de SIC;

II - fornecer subsídios visando à verificação de conformidade de SIC;

III- avaliar, selecionar, administrar e monitorar controles apropriados de proteção dos ativos de informação;

IV- promover a cultura de SIC;

V- acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;

VI - propor recursos necessários às ações de SIC;

VII- coordenar e supervisionar a ETIR;

VIII - manter contato direto com o DSIC/GSI/PR para o trato de assuntos relativos à SIC;

IX- aprovar a carta de serviços da ETIR ao público do Cade;

X- propor normas e procedimentos relativos à SIC no âmbito do Cade; e

XI- observar as obrigações descritas nas Normas Complementares do GSI aplicáveis ao Cade.

Art. 15. Cabe à ETIR, no seu âmbito de atuação específico:

I - executar os processos de SIC;

II - fornecer subsídios visando à verificação de conformidade de SIC;

III - avaliar, selecionar, administrar e monitorar controles apropriados de proteção dos ativos de informação;

IV - executar as atividades de tratamento e resposta a incidentes de segurança da informação, junto a equipes envolvidas;

V - emitir alertas sobre vulnerabilidades e outras notificações relacionadas à SIC no âmbito do Cade;

VI - avaliar o uso de ferramentas de SIC;

VII - analisar ataques e intrusões na rede do Cade;

VIII - executar ações necessárias para tratar quebras de segurança da informação;

IX - cooperar com outras Equipes de Tratamento e Resposta a Incidentes;

X - agir proativamente, com o objetivo de evitar que ocorram incidentes de segurança da informação;

XI - realizar ações reativas que incluem recebimento de notificações de incidentes, orientação de equipes no reparo a danos e análise de sistemas comprometidos, buscando causas, danos e responsáveis;

XII - obter informações quantitativas acerca dos incidentes ocorridos;

XIII - participar de fóruns e redes nacionais e internacionais relativos à SIC;

XIV- auxiliar o Agente Responsável pela ETIR na elaboração de sua carta de serviços ao público do Cade.

Parágrafo único. As atividades específicas da ETIR serão definidas em Regimento Interno.

Art. 16. A ETIR será chefiada por um agente responsável, designado segundo os requisitos e forma previstos em seu Regimento Interno.

Art. 17. Cabe ao agente responsável pela ETIR:

I - coordenar as atividades de tratamento e resposta a incidentes de segurança da informação;

II - auxiliar o Gestor de SIC na comunicação com outras equipes, entes da Administração Pública e empresas para o trato de assuntos relativos à SIC;

III - propor ao Gestor de SIC a carta de serviços da ETIR ao público do Cade;

IV - assessorar tecnicamente o Gestor de SIC e os membros do CSIC;

Art. 18. A participação dos membros do CSIC, ETIR e as atividades de gestor de SIC e de agente responsável pela ETIR, a qualquer tempo, são considerados serviços de natureza relevante e não ensejam qualquer tipo de remuneração.

Art. 19. É dever dos usuários:

I - conhecer e cumprir os princípios, diretrizes e responsabilidades desta POSIC e demais normas e resoluções relacionados à SIC;

II - obedecer aos requisitos de controle especificados pelos gestores e custodiantes da informação; e

III - comunicar os incidentes que afetam a segurança dos ativos de informação à ETIR.

Art. 20. É vedado comprometer a integridade, confidencialidade ou a disponibilidade das informações criadas, manuseadas, armazenadas, transportadas, descartadas ou custodiadas pelo Cade.

CAPÍTULO V

DAS PENALIDADES

Art. 21. A desobediência às regras da POSIC e suas normas complementares implicará em:

I - advertência na primeira ocorrência;

II - bloqueio de acesso ao recurso, advertência ao chefe imediato e comunicação ao Gestor de Segurança da Informação e Comunicações na segunda ocorrência; e

III - advertência aos chefes em níveis superiores e comunicação ao Comitê de Segurança Institucional do Cade nas demais ocorrências.

Art. 22. A incidência de casos previstos no art. 21 não impedirá sanções éticas e administrativas nos termos da lei e normas complementares, sem prejuízo de outras previstas nas esferas cível e penal.

CAPÍTULO VI

DAS DISPOSIÇÕES FINAIS

Art. 23. O CSIC e a ETIR, e seus respectivos regimentos internos, serão instituídos por portarias específicas.

Art. 24. O Gestor de SIC, os membros e o agente responsável da ETIR serão designados por portaria específica.

Art. 25. A POSIC do Cade e suas normas complementares deverão ser revisadas sempre que se fizer necessário, não excedendo o período máximo de dois anos.

Art. 26. Fica revogada a Portaria Cade nº 403 de 20 de maio de 2019.

ALEXANDRE BARRETO DE SOUZA

Presidente do Cade

Este texto não substitui o original publicado nos veículos oficiais (Diário Oficial da União - DOU e Boletim de Serviço - BS).