|
PORTARIA CADE Nº 745, de 1 de outubro de 2019
Altera a Política de Segurança da Informação e Comunicações – POSIC no âmbito do Conselho Administrativo de Defesa Econômica – Cade e dá outras providências. |
O PRESIDENTE DO CONSELHO ADMINISTRATIVO DE DEFESA ECONÔMICA, no uso de suas atribuições legais e regimentais, tendo em vista o disposto no art. 10, incisos IX e X da Lei nº 12.529, de 30 de novembro de 2011; no art. 3º, caput e § 2º da Lei nº 13.848 de 25 de junho de 2019; e no art. 60, incisos IX e X do Regimento Interno do Cade,
Considerando o disposto no inciso VII do art. 5º da Instrução Normativa GSI/PR nº 01, de 13 de junho de 2008; e na Norma Complementar nº 03/IN01/DSIC/GSI/PR, de 30 de junho de 2009,
RESOLV E :
Art. 1º Fica instituída a Política de Segurança da Informação e Comunicações – POSIC do Cade, em consonância com o inciso VII, do art. 5º da Instrução Normativa nº 01 do Gabinete de Segurança Institucional da Presidência da República e com os itens 6 e 7 da Norma Complementar nº 03/IN01/DSIC/GSI/PR.
TÍTULO I
DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO CADE
CAPÍTULO I
DO ESCOPO
Seção I
Dos Princípios
Art. 2º A Política de Segurança da Informação e Comunicações – POSIC - do Cade é guiada pelos princípios da legalidade, segurança, publicidade, privacidade e ética, seguindo os princípios constitucionais, administrativos e das demais normas vigentes e que regem a Administração Pública Federal.
Seção II
Dos Objetivos
Art. 3º São objetivos da POSIC do Cade:
I- garantir a disponibilidade, integridade, confidencialidade e autenticidade – DICA das informações produzidas ou custodiadas pelo Cade;
II- observar as diretrizes, normas, procedimentos, mecanismos, competências e responsabilidades estabelecidos pela POSIC-MJ e legislação vigente;
III- estabelecer o arcabouço normativo acerca da Segurança da Informação e Comunicações do Cade e suas Normas Complementares;
IV- estimular a adoção de práticas de Segurança da Informação e Comunicação - SIC no Cade, aplicando as normas e os procedimentos sobre o assunto;
V- apoiar a Estrutura de Gestão de Segurança da Informação e Comunicações – GSIC a orientar a tomada de decisões institucionais em segurança que visem a eficiência, eficácia e efetividade das atividades de SIC.
Seção III
Da abrangência
Art. 4º As diretrizes, as normas complementares e os manuais de procedimentos desta POSIC se aplicam a servidores, prestadores de serviço, colaboradores, estagiários, consultores, servidores estrangeiros e usuários externos e a quem, de alguma forma, execute atividades vinculadas ao Cade.
Parágrafo único. Todos os sujeitos mencionados no caput são responsáveis e devem estar comprometidos com a segurança da informação e comunicações do Cade.
Art. 5º Os contratos, convênios, acordos, termos e outros instrumentos congêneres celebrados pelo Cade devem atender a esta POSIC.
Art. 6º Esta política também se aplica, no que couber, ao relacionamento do Cade com outros órgãos e entidades públicas ou privadas.
Parágrafo único. Se houver conflito entre normas, o Comitê de Segurança Institucional do Cade - CSIC - deliberará sobre o tema.
CAPÍTULO II
DOS CONCEITOS E DEFINIÇÕES
Art. 7º Os termos e definições da POSIC serão definidos em Glossário, a ser aprovado em portaria específica.
CAPÍTULO III
DAS DIRETRIZES
Seção I
Das Diretrizes Gerais
Art. 8º São diretrizes gerais da POSIC do Cade:
I - estabelecer medidas e procedimentos para assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;
II- elaborar e implementar mecanismos de auditoria e conformidade, com o objetivo de garantir a exatidão dos registros de acesso aos ativos de informação e avaliar sua conformidade com as normas de SIC em vigor;
III- implementar controles de acesso lógico aos softwares e redes de computadores e controles de acesso físico às instalações, com o objetivo de preservar os ativos de informação do Cade;
IV- definir regras claras e precisas de uso dos ativos de informação institucionais, com o objetivo de evitar o uso pelos agentes públicos para fins particulares, como abuso de direito ou violação à imagem da entidade, em desrespeito às leis, aos costumes e à dignidade da pessoa humana; e
V- observar as boas práticas e procedimentos de SIC recomendados por órgãos e entidades públicas e privadas responsáveis pelo estabelecimento de padrões.
Seção II
Das Diretrizes Específicas
Art. 9º O Comitê de Segurança da Informação e Comunicações – CSIC - estabelecerá normas e procedimentos destinados a disciplinar e proteger o uso da informação no âmbito do Cade, complementando os controles de Gestão de SIC contidos na POSIC, sobre os temas julgados relevantes para a atuação do Cade, tais como:
I - contratação, permanência e desligamento de pessoas;
II- controle de acesso físico;
III- controle de acesso lógico;
IV- uso de computadores;
V- dispositivos móveis;
VI- redes sociais;
VII- serviços de conectividade e acessos à internet;
VIII- correio eletrônico;
IX- arquivamento de documentos convertidos para o formato digital;
X- descarte de mídias;
XI- impressão; e
XII- ativos de infraestrutura.
CAPÍTULO IV
DAS COMPETÊNCIAS E RESPONSABILIDADES
Art. 10. A Estrutura de Gestão de SIC - GSIC é composta por:
I - Comitê de Segurança da Informação e Comunicações – CSIC;
II- gestor de SIC; e
III- Equipe de Tratamento e Resposta a Incidentes de Rede – ETIR.
Art. 11. Os membros da Estrutura de GSIC devem receber regularmente capacitação especializada nas disciplinas relacionadas à SIC.
Art. 12. A Estrutura de GSIC deve auxiliar a alta administração na priorização de ações e investimentos com vistas à correta aplicação de mecanismos de proteção, tendo como base as exigências estratégicas e necessidades operacionais do Cade e as consequências que riscos poderão trazer ao cumprimento dessas exigências.
Art. 13. Cabe ao CSIC, no seu âmbito de atuação específico:
I - executar os processos de SIC;
II- desenvolver, implementar e monitorar estratégias de segurança que atendam aos objetivos estratégicos do Cade;
III- avaliar, revisar, monitorar, analisar criticamente e supervisionar a aplicação da POSIC e suas normas complementares, visando sua aderência aos objetivos institucionais do Cade, Estratégia Geral de Segurança da Informação e legislações vigentes;
IV- promover a melhoria contínua nos processos e controles de GSIC;
V - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre SIC;
VI - dirimir eventuais dúvidas e deliberar sobre assuntos relativos à POSIC;
VII - desenvolver ações de conscientização dos usuários a respeito da implementação dos controles de SIC;
VIII - manter e atualizar o Glossário da POSIC;
IX - propor normas e procedimentos relativos à SIC no âmbito do Cade; e
X - propor seu Regimento Interno.
Parágrafo único. As atividades específicas do CSIC serão definidas em Regimento Interno.
Art. 14. Cabe ao Gestor de SIC, no seu âmbito de atuação específico:
I - executar os processos de SIC;
II - fornecer subsídios visando à verificação de conformidade de SIC;
III- avaliar, selecionar, administrar e monitorar controles apropriados de proteção dos ativos de informação;
IV- promover a cultura de SIC;
V- acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;
VI - propor recursos necessários às ações de SIC;
VII- coordenar e supervisionar a ETIR;
VIII - manter contato direto com o DSIC/GSI/PR para o trato de assuntos relativos à SIC;
IX- aprovar a carta de serviços da ETIR ao público do Cade;
X- propor normas e procedimentos relativos à SIC no âmbito do Cade; e
XI- observar as obrigações descritas nas Normas Complementares do GSI aplicáveis ao Cade.
Art. 15. Cabe à ETIR, no seu âmbito de atuação específico:
I - executar os processos de SIC;
II - fornecer subsídios visando à verificação de conformidade de SIC;
III - avaliar, selecionar, administrar e monitorar controles apropriados de proteção dos ativos de informação;
IV - executar as atividades de tratamento e resposta a incidentes de segurança da informação, junto a equipes envolvidas;
V - emitir alertas sobre vulnerabilidades e outras notificações relacionadas à SIC no âmbito do Cade;
VI - avaliar o uso de ferramentas de SIC;
VII - analisar ataques e intrusões na rede do Cade;
VIII - executar ações necessárias para tratar quebras de segurança da informação;
IX - cooperar com outras Equipes de Tratamento e Resposta a Incidentes;
X - agir proativamente, com o objetivo de evitar que ocorram incidentes de segurança da informação;
XI - realizar ações reativas que incluem recebimento de notificações de incidentes, orientação de equipes no reparo a danos e análise de sistemas comprometidos, buscando causas, danos e responsáveis;
XII - obter informações quantitativas acerca dos incidentes ocorridos;
XIII - participar de fóruns e redes nacionais e internacionais relativos à SIC;
XIV- auxiliar o Agente Responsável pela ETIR na elaboração de sua carta de serviços ao público do Cade.
Parágrafo único. As atividades específicas da ETIR serão definidas em Regimento Interno.
Art. 16. A ETIR será chefiada por um agente responsável, designado segundo os requisitos e forma previstos em seu Regimento Interno.
Art. 17. Cabe ao agente responsável pela ETIR:
I - coordenar as atividades de tratamento e resposta a incidentes de segurança da informação;
II - auxiliar o Gestor de SIC na comunicação com outras equipes, entes da Administração Pública e empresas para o trato de assuntos relativos à SIC;
III - propor ao Gestor de SIC a carta de serviços da ETIR ao público do Cade;
IV - assessorar tecnicamente o Gestor de SIC e os membros do CSIC;
Art. 18. A participação dos membros do CSIC, ETIR e as atividades de gestor de SIC e de agente responsável pela ETIR, a qualquer tempo, são considerados serviços de natureza relevante e não ensejam qualquer tipo de remuneração.
Art. 19. É dever dos usuários:
I - conhecer e cumprir os princípios, diretrizes e responsabilidades desta POSIC e demais normas e resoluções relacionados à SIC;
II - obedecer aos requisitos de controle especificados pelos gestores e custodiantes da informação; e
III - comunicar os incidentes que afetam a segurança dos ativos de informação à ETIR.
Art. 20. É vedado comprometer a integridade, confidencialidade ou a disponibilidade das informações criadas, manuseadas, armazenadas, transportadas, descartadas ou custodiadas pelo Cade.
CAPÍTULO V
DAS PENALIDADES
Art. 21. A desobediência às regras da POSIC e suas normas complementares implicará em:
I - advertência na primeira ocorrência;
II - bloqueio de acesso ao recurso, advertência ao chefe imediato e comunicação ao Gestor de Segurança da Informação e Comunicações na segunda ocorrência; e
III - advertência aos chefes em níveis superiores e comunicação ao Comitê de Segurança Institucional do Cade nas demais ocorrências.
Art. 22. A incidência de casos previstos no art. 21 não impedirá sanções éticas e administrativas nos termos da lei e normas complementares, sem prejuízo de outras previstas nas esferas cível e penal.
CAPÍTULO VI
DAS DISPOSIÇÕES FINAIS
Art. 23. O CSIC e a ETIR, e seus respectivos regimentos internos, serão instituídos por portarias específicas.
Art. 24. O Gestor de SIC, os membros e o agente responsável da ETIR serão designados por portaria específica.
Art. 25. A POSIC do Cade e suas normas complementares deverão ser revisadas sempre que se fizer necessário, não excedendo o período máximo de dois anos.
Art. 26. Fica revogada a Portaria Cade nº 403 de 20 de maio de 2019.
ALEXANDRE BARRETO DE SOUZA
Presidente do Cade
Este texto não substitui o original publicado nos veículos oficiais (Diário Oficial da União - DOU e Boletim de Serviço - BS).