Institui a Política de Segurança da Informaçãoe Comunicações - POSIC no âmbitodo Conselho Administrativo de DefesaEconômica - Cade.
O PRESIDENTE DO CONSELHO ADMINISTRATIVO DEDEFESA ECONÔMICA, no uso da atribuição que lhe é conferidapelo disposto no artigo 10, inciso IX, da Lei nº 12.529/2011, no artigo22, inciso IX, do Anexo I do Decreto nº 7.738/2012, e no artigo 11,inciso IX, do Regimento Interno do Cade, aprovado pela Resoluçãonº 1, de 29 de maio de 2012, e tendo em vista o disposto no incisoVII do art. 5º da Instrução Normativa GSI/PR nº 01, de 13 de junhode 2008, e na Norma Complementar nº 03/IN01/DSIC/GSI/PR, de 30de junho de 2009, resolve:
Art. 1º Fica aprovada, na forma do Anexo a esta portaria, aPolítica de Segurança da Informação e Comunicações - POSIC - doConselho Administrativo de Defesa Econômica, em consonância como Parágrafo único do Art. 2º da Portaria nº 3.530, de 3 de dezembrode 2013, que institui a Política de Segurança da Informação e Comunicaçõesdo Ministério da Justiça, com o inciso VII do Art. 5º daInstrução Normativa nº 01 do Gabinete de Segurança Institucional daPresidência da República e dos itens 6 e 7 de sua Norma Complementarnº 03.
Art. 2º Esta Portaria entra em vigor na data de sua publicação
ANEXO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕESDO CADE
CAPÍTULO I
ESCOPO
Seção I
Dos princípios
Art. 1º A Política de Segurança da Informação e Comunicações- POSIC - do Cade é guiada pelos princípios da legalidade,segurança, publicidade, privacidade e ética, seguindo os princípiosconstitucionais, administrativos e das demais normas vigentes e queregem a Administração Pública Federal.
Seção II
Dos objetivos
Art. 2º São objetivos da POSIC do Cade:
I. Garantir a disponibilidade, integridade, confidencialidade eautenticidade - DICA - das informações produzidas ou custodiadaspelo Cade;
II. Observar as diretrizes, normas, procedimentos, mecanismos,competências e responsabilidades estabelecidos pela POSIC-MJe legislação vigente;
III. Estabelecer o arcabouço normativo acerca da Segurançada Informação e Comunicações do Cade e suas Normas Complementares;
IV.Estimular a adoção de práticas de Segurança da Informaçãoe Comunicação - SIC - no Cade, aplicando as normas e osprocedimentos sobre o assunto;
V. Apoiar a Estrutura de Gestão de Segurança da Informaçãoe Comunicações - GSIC - a orientar a tomada de decisões institucionaisem segurança que visem a eficiência, eficácia e efetividadedas atividades de SIC.
Seção III
Da abrangência
Art. 3º As diretrizes, normas complementares e manuais deprocedimentos desta POSIC aplicam-se a servidores, prestadores deserviço, colaboradores, estagiários, consultores e usuários externos e aquem, de alguma forma, execute atividades vinculadas ao Cade.
Parágrafo único. Todos os sujeitos mencionados no caput sãoresponsáveis e devem estar comprometidos com a segurança da informaçãoe comunicações do CADE.
Art. 4º Os contratos, convênios, acordos, termos e outrosinstrumentos congêneres celebrados pelo Cade devem atender a estaPOSIC.
Art. 5º Esta política também se aplica, no que couber, aorelacionamento do Cade com outros órgãos e entidades públicos ouprivados.
Parágrafo único. Se houver conflito entre normas, o Comitêde Segurança Institucional do Cade - CSIC - deliberará sobre otema.
CAPÍTULO II
CONCEITOS E DEFINIÇÕES
Art. 6º Os termos e definições da POSIC serão definidos emGlossário, a ser aprovado em portaria específica.
CAPÍTULO III
DIRETRIZES
Seção I
Das Diretrizes Gerais
Art. 7º São diretrizes gerais da POSIC do Cade:
I. Estar consoante aos objetivos estratégicos, processos, requisitoslegais e estrutura do Cade, bem como os princípios e diretrizesgerais da POSIC do Ministério da Justiça;
II. Estabelecer medidas e procedimentos para assegurar adisponibilidade, a integridade, a confidencialidadeeaautenticidadedas informações;
III. Elaborar e implementar mecanismos de auditoria e conformidade,com o objetivo de garantir a exatidão dos registros deacesso aos ativos de informação e avaliar sua conformidade com asnormas de SIC em vigor;
IV. Implementar controles de acesso lógico aos softwares eredes de computadores e controles de acesso físico às instalações,com o objetivo de preservar os ativos de informação do Cade;
V. Definir regras claras e precisas de uso dos ativos deinformação institucionais, com o objetivo de evitar o uso pelos agentespúblicos para fins particulares, como abuso de direito ou violaçãoà imagem da entidade, em desrespeito às leis, aos costumes e àdignidade da pessoa humana; e
VI. Observar as boas práticas e procedimentos de SIC recomendadospor órgãos e entidades públicas e privadas responsáveispelo estabelecimento de padrões.
Seção II
Das Diretrizes Específicas
Art. 8º O Comitê de Segurança da Informação e Cominicações- CSIC - estabelecerá normas e procedimentos destinados adisciplinar e proteger o uso da informação no âmbito do Cade, complementandoos controles de Gestão de SIC contidos na POSIC, sobreos temas julgados relevantes para a atuação do Cade, tais como:
I. Classificação da Informação;
II. Tratamento da Informação;
III. Gestão de Ativos de Informação;
IV. Gestão de Riscos de Segurança da Informação;
V. Gestão de Recuperação de Desastres e Continuidade deNegócios;
VI. Gestão de Incidentes de SIC;
VII. Política de Uso Aceitável de Infraestrutura de Redes doCade;
VIII. Controles de Acesso Físico e Lógico;
IX. Uso de email; e
X. Acesso à Internet.
CAPÍTULO IV
COMPETÊNCIAS E RESPONSABILIDADES
Art. 9º A Estrutura de Gestão de SIC é composta por:
I. Comitê de Segurança da Informação e Comunicações CSIC;
II.Gestor de SIC;
III. Equipe de Tratamento e Resposta a Incidentes de Rede ETIR;
Art.10 Os membros da Estrutura de GSIC devem receberregularmente capacitação especializada nas disciplinas relacionadas àSIC.
Art. 11 A Estrutura de GSIC deve auxiliar a alta administraçãona priorização de ações e investimentos com vistas à corretaaplicação de mecanismos de proteção, tendo como base as exigênciasestratégicas e necessidades operacionais do Cade e as consequênciasque riscos poderão trazer ao cumprimento dessas exigências.
Art. 12 Cabe ao CSIC, no seu âmbito de atuação específico:
I.Executar os processos de SIC;
II. Desenvolver, implementar e monitorar estratégias de segurançaque atendam aos objetivos estratégicos do Cade;
III. Avaliar, revisar, monitorar, analisar criticamente e supervisionara aplicação da POSIC e suas normas complementares,visando sua aderência aos objetivos institucionais do Cade, EstratégiaGeral de Segurança da Informação e legislações vigentes;
IV. Promover a melhoria contínua nos processos e controlesde GSIC;
V. Constituir grupos de trabalho para tratar de temas e proporsoluções específicas sobre SIC;
VI. Dirimir eventuais dúvidas e deliberar sobre assuntos relativosà POSIC;
VII. Desenvolver ações de conscientização dos usuários arespeito da implementação dos controles de SIC;
VIII. Manter e atualizar o Glossário da POSIC;
IX. Propor normas e procedimentos relativos à SIC no âmbitodo Cade; e
X. Propor seu Regimento Interno.
Parágrafo único. As atividades específicas do CSIC serãodefinidas em Regimento Interno.
Art. 13 Cabe ao Gestor de SIC, no seu âmbito de atuaçãoespecífico:
I. Executar os processos de SIC;
II. Fornecer subsídios visando à verificação de conformidadede SIC;
III. Avaliar, selecionar, administrar e monitorar controlesapropriados de proteção dos ativos de informação;
IV. Promover a cultura de SIC;
V. Acompanhar as investigações e as avaliações dos danosdecorrentes de quebras de segurança;
VI. Propor recursos necessários às ações de SIC;
VII. Coordenar e supervisionar a ETIR;
VIII. Manter contato direto com o DSIC/GSI/PR para o tratode assuntos relativos à SIC;
IX. Aprovar a carta de serviços da ETIR ao público doCade;
X. Propor normas e procedimentos relativos à SIC no âmbitodo Cade; e
XI. Observar as obrigações descritas nas Normas Complementaresdo GSI aplicáveis ao Cade.
Art. 14 Cabe à ETIR, no seu âmbito de atuação específico:
I. Executar os processos de SIC;
II. Fornecer subsídios visando à verificação de conformidadede SIC;
III. Avaliar, selecionar, administrar e monitorar controlesapropriados de proteção dos ativos de informação;
IV. Executar as atividades de tratamento e resposta a incidentesde segurança da informação, junto a equipes envolvidas;
V. Emitir alertas sobre vulnerabilidades e outras notificaçõesrelacionadas à SIC no âmbito do Cade;
VI. Avaliar o uso de ferramentas de SIC;
VII. Analisar ataques e intrusões na rede do Cade;
VIII. Executar ações necessárias para tratar quebras de segurançada informação;
IX. Cooperar com outras Equipes de Tratamento e Respostaa Incidentes;
X. Agir proativamente, com o objetivo de evitar que ocorramincidentes de segurança da informação;
XI. Realizar ações reativas que incluem recebimento de notificaçõesde incidentes, orientação de equipes no reparo a danos eanálise de sistemas comprometidos, buscando causas, danos e responsáveis;
XII.Obter informações quantitativas acerca dos incidentesocorridos;
XIII. Participar de fóruns, redes nacionais e internacionaisrelativos à SIC;
XIV. Auxiliar o Agente Responsável pela ETIR na elaboraçãode sua carta de serviços ao público do Cade.
Parágrafo único. As atividades específicas da ETIR serãodefinidas em Regimento Interno.
Art. 15 A ETIR será chefiada por um Agente Responsável,designado segundo os requisitos e forma previstos em seu RegimentoInterno.
Art. 16 Cabe ao Agente Responsável pela ETIR:
I. Coordenar as atividades de tratamento e resposta a incidentesde segurança da informação;
II. Auxiliar o Gestor de SIC na comunicação com outrasequipes, entes da Administração Pública e empresas para o trato deassuntos relativos à SIC;
III. Propor ao Gestor de SIC a carta de serviços da ETIR aopúblico do Cade;
IV. Assessorar tecnicamente o Gestor de SIC e os membrosdo CSIC;
Art. 17 A participação dos membros do CSIC, ETIR e asatividades de Gestor de SIC e de agente responsável pela ETIR, aqualquer tempo, são considerados serviços de natureza relevante enão ensejam qualquer tipo de remuneração.
Art. 18 É dever dos usuários:
I. Conhecer e cumprir os princípios, diretrizes e responsabilidadesdesta POSIC e demais normas e resoluções relacionados àSIC;
II. Obedecer aos requisitos de controle especificados pelosgestores e custodiantes da informação; e
III. Comunicar os incidentes que afetam a segurança dosativos de informação à ETIR.
Art. 19 É vedado comprometer a integridade, confidencialidadeou a disponibilidade das informações criadas, manuseadas,armazenadas, transportadas, descartadas ou custodiadas pelo Cade.
CAPÍTULO V
PENALIDADES
Art. 20 A desobediência às regras da POSIC do Cade e suasnormas complementares implicará em sanções administrativas nostermos da lei e normas complementares, sem prejuízo de outras previstasnas esferas cível e penal.
CAPÍTULO VI
DISPOSIÇÕES FINAIS
Art. 21 O CSIC e a ETIR, e seus respectivos regimentosinternos, serão instituídos por portarias específicas.
Art. 22 O Gestor de SIC, os membros e o agente responsávelda ETIR serão designados por portaria específica.
Art. 23 A POSIC do Cade e suas normas complementaresdeverão ser revisadas sempre que se fizer necessário, não excedendoo período máximo de dois anos.