Norma
14/04/2016
#231114

PORTARIA Nº 88, DE 12 DE ABRIL DE 2016

Institui a Política de Segurança da Informação e Comunicações do Conselho Administrativo de Defesa Econômica.

Institui a Política de Segurança da Informaçãoe Comunicações - POSIC no âmbitodo Conselho Administrativo de DefesaEconômica - Cade.

O PRESIDENTE DO CONSELHO ADMINISTRATIVO DEDEFESA ECONÔMICA, no uso da atribuição que lhe é conferidapelo disposto no artigo 10, inciso IX, da Lei nº 12.529/2011, no artigo22, inciso IX, do Anexo I do Decreto nº 7.738/2012, e no artigo 11,inciso IX, do Regimento Interno do Cade, aprovado pela Resoluçãonº 1, de 29 de maio de 2012, e tendo em vista o disposto no incisoVII do art. 5º da Instrução Normativa GSI/PR nº 01, de 13 de junhode 2008, e na Norma Complementar nº 03/IN01/DSIC/GSI/PR, de 30de junho de 2009, resolve:

Art. 1º Fica aprovada, na forma do Anexo a esta portaria, aPolítica de Segurança da Informação e Comunicações - POSIC - doConselho Administrativo de Defesa Econômica, em consonância como Parágrafo único do Art. 2º da Portaria nº 3.530, de 3 de dezembrode 2013, que institui a Política de Segurança da Informação e Comunicaçõesdo Ministério da Justiça, com o inciso VII do Art. 5º daInstrução Normativa nº 01 do Gabinete de Segurança Institucional daPresidência da República e dos itens 6 e 7 de sua Norma Complementarnº 03.

Art. 2º Esta Portaria entra em vigor na data de sua publicação

ANEXO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕESDO CADE

CAPÍTULO I

ESCOPO

Seção I

Dos princípios

Art. 1º A Política de Segurança da Informação e Comunicações- POSIC - do Cade é guiada pelos princípios da legalidade,segurança, publicidade, privacidade e ética, seguindo os princípiosconstitucionais, administrativos e das demais normas vigentes e queregem a Administração Pública Federal.

Seção II

Dos objetivos

Art. 2º São objetivos da POSIC do Cade:

I. Garantir a disponibilidade, integridade, confidencialidade eautenticidade - DICA - das informações produzidas ou custodiadaspelo Cade;

II. Observar as diretrizes, normas, procedimentos, mecanismos,competências e responsabilidades estabelecidos pela POSIC-MJe legislação vigente;

III. Estabelecer o arcabouço normativo acerca da Segurançada Informação e Comunicações do Cade e suas Normas Complementares;

IV.Estimular a adoção de práticas de Segurança da Informaçãoe Comunicação - SIC - no Cade, aplicando as normas e osprocedimentos sobre o assunto;

V. Apoiar a Estrutura de Gestão de Segurança da Informaçãoe Comunicações - GSIC - a orientar a tomada de decisões institucionaisem segurança que visem a eficiência, eficácia e efetividadedas atividades de SIC.

Seção III

Da abrangência

Art. 3º As diretrizes, normas complementares e manuais deprocedimentos desta POSIC aplicam-se a servidores, prestadores deserviço, colaboradores, estagiários, consultores e usuários externos e aquem, de alguma forma, execute atividades vinculadas ao Cade.

Parágrafo único. Todos os sujeitos mencionados no caput sãoresponsáveis e devem estar comprometidos com a segurança da informaçãoe comunicações do CADE.

Art. 4º Os contratos, convênios, acordos, termos e outrosinstrumentos congêneres celebrados pelo Cade devem atender a estaPOSIC.

Art. 5º Esta política também se aplica, no que couber, aorelacionamento do Cade com outros órgãos e entidades públicos ouprivados.

Parágrafo único. Se houver conflito entre normas, o Comitêde Segurança Institucional do Cade - CSIC - deliberará sobre otema.

CAPÍTULO II

CONCEITOS E DEFINIÇÕES

Art. 6º Os termos e definições da POSIC serão definidos emGlossário, a ser aprovado em portaria específica.

CAPÍTULO III

DIRETRIZES

Seção I

Das Diretrizes Gerais

Art. 7º São diretrizes gerais da POSIC do Cade:

I. Estar consoante aos objetivos estratégicos, processos, requisitoslegais e estrutura do Cade, bem como os princípios e diretrizesgerais da POSIC do Ministério da Justiça;

II. Estabelecer medidas e procedimentos para assegurar adisponibilidade, a integridade, a confidencialidadeeaautenticidadedas informações;

III. Elaborar e implementar mecanismos de auditoria e conformidade,com o objetivo de garantir a exatidão dos registros deacesso aos ativos de informação e avaliar sua conformidade com asnormas de SIC em vigor;

IV. Implementar controles de acesso lógico aos softwares eredes de computadores e controles de acesso físico às instalações,com o objetivo de preservar os ativos de informação do Cade;

V. Definir regras claras e precisas de uso dos ativos deinformação institucionais, com o objetivo de evitar o uso pelos agentespúblicos para fins particulares, como abuso de direito ou violaçãoà imagem da entidade, em desrespeito às leis, aos costumes e àdignidade da pessoa humana; e

VI. Observar as boas práticas e procedimentos de SIC recomendadospor órgãos e entidades públicas e privadas responsáveispelo estabelecimento de padrões.

Seção II

Das Diretrizes Específicas

Art. 8º O Comitê de Segurança da Informação e Cominicações- CSIC - estabelecerá normas e procedimentos destinados adisciplinar e proteger o uso da informação no âmbito do Cade, complementandoos controles de Gestão de SIC contidos na POSIC, sobreos temas julgados relevantes para a atuação do Cade, tais como:

I. Classificação da Informação;

II. Tratamento da Informação;

III. Gestão de Ativos de Informação;

IV. Gestão de Riscos de Segurança da Informação;

V. Gestão de Recuperação de Desastres e Continuidade deNegócios;

VI. Gestão de Incidentes de SIC;

VII. Política de Uso Aceitável de Infraestrutura de Redes doCade;

VIII. Controles de Acesso Físico e Lógico;

IX. Uso de email; e

X. Acesso à Internet.

CAPÍTULO IV

COMPETÊNCIAS E RESPONSABILIDADES

Art. 9º A Estrutura de Gestão de SIC é composta por:

I. Comitê de Segurança da Informação e Comunicações CSIC;

II.Gestor de SIC;

III. Equipe de Tratamento e Resposta a Incidentes de Rede ETIR;

Art.10 Os membros da Estrutura de GSIC devem receberregularmente capacitação especializada nas disciplinas relacionadas àSIC.

Art. 11 A Estrutura de GSIC deve auxiliar a alta administraçãona priorização de ações e investimentos com vistas à corretaaplicação de mecanismos de proteção, tendo como base as exigênciasestratégicas e necessidades operacionais do Cade e as consequênciasque riscos poderão trazer ao cumprimento dessas exigências.

Art. 12 Cabe ao CSIC, no seu âmbito de atuação específico:

I.Executar os processos de SIC;

II. Desenvolver, implementar e monitorar estratégias de segurançaque atendam aos objetivos estratégicos do Cade;

III. Avaliar, revisar, monitorar, analisar criticamente e supervisionara aplicação da POSIC e suas normas complementares,visando sua aderência aos objetivos institucionais do Cade, EstratégiaGeral de Segurança da Informação e legislações vigentes;

IV. Promover a melhoria contínua nos processos e controlesde GSIC;

V. Constituir grupos de trabalho para tratar de temas e proporsoluções específicas sobre SIC;

VI. Dirimir eventuais dúvidas e deliberar sobre assuntos relativosà POSIC;

VII. Desenvolver ações de conscientização dos usuários arespeito da implementação dos controles de SIC;

VIII. Manter e atualizar o Glossário da POSIC;

IX. Propor normas e procedimentos relativos à SIC no âmbitodo Cade; e

X. Propor seu Regimento Interno.

Parágrafo único. As atividades específicas do CSIC serãodefinidas em Regimento Interno.

Art. 13 Cabe ao Gestor de SIC, no seu âmbito de atuaçãoespecífico:

I. Executar os processos de SIC;

II. Fornecer subsídios visando à verificação de conformidadede SIC;

III. Avaliar, selecionar, administrar e monitorar controlesapropriados de proteção dos ativos de informação;

IV. Promover a cultura de SIC;

V. Acompanhar as investigações e as avaliações dos danosdecorrentes de quebras de segurança;

VI. Propor recursos necessários às ações de SIC;

VII. Coordenar e supervisionar a ETIR;

VIII. Manter contato direto com o DSIC/GSI/PR para o tratode assuntos relativos à SIC;

IX. Aprovar a carta de serviços da ETIR ao público doCade;

X. Propor normas e procedimentos relativos à SIC no âmbitodo Cade; e

XI. Observar as obrigações descritas nas Normas Complementaresdo GSI aplicáveis ao Cade.

Art. 14 Cabe à ETIR, no seu âmbito de atuação específico:

I. Executar os processos de SIC;

II. Fornecer subsídios visando à verificação de conformidadede SIC;

III. Avaliar, selecionar, administrar e monitorar controlesapropriados de proteção dos ativos de informação;

IV. Executar as atividades de tratamento e resposta a incidentesde segurança da informação, junto a equipes envolvidas;

V. Emitir alertas sobre vulnerabilidades e outras notificaçõesrelacionadas à SIC no âmbito do Cade;

VI. Avaliar o uso de ferramentas de SIC;

VII. Analisar ataques e intrusões na rede do Cade;

VIII. Executar ações necessárias para tratar quebras de segurançada informação;

IX. Cooperar com outras Equipes de Tratamento e Respostaa Incidentes;

X. Agir proativamente, com o objetivo de evitar que ocorramincidentes de segurança da informação;

XI. Realizar ações reativas que incluem recebimento de notificaçõesde incidentes, orientação de equipes no reparo a danos eanálise de sistemas comprometidos, buscando causas, danos e responsáveis;

XII.Obter informações quantitativas acerca dos incidentesocorridos;

XIII. Participar de fóruns, redes nacionais e internacionaisrelativos à SIC;

XIV. Auxiliar o Agente Responsável pela ETIR na elaboraçãode sua carta de serviços ao público do Cade.

Parágrafo único. As atividades específicas da ETIR serãodefinidas em Regimento Interno.

Art. 15 A ETIR será chefiada por um Agente Responsável,designado segundo os requisitos e forma previstos em seu RegimentoInterno.

Art. 16 Cabe ao Agente Responsável pela ETIR:

I. Coordenar as atividades de tratamento e resposta a incidentesde segurança da informação;

II. Auxiliar o Gestor de SIC na comunicação com outrasequipes, entes da Administração Pública e empresas para o trato deassuntos relativos à SIC;

III. Propor ao Gestor de SIC a carta de serviços da ETIR aopúblico do Cade;

IV. Assessorar tecnicamente o Gestor de SIC e os membrosdo CSIC;

Art. 17 A participação dos membros do CSIC, ETIR e asatividades de Gestor de SIC e de agente responsável pela ETIR, aqualquer tempo, são considerados serviços de natureza relevante enão ensejam qualquer tipo de remuneração.

Art. 18 É dever dos usuários:

I. Conhecer e cumprir os princípios, diretrizes e responsabilidadesdesta POSIC e demais normas e resoluções relacionados àSIC;

II. Obedecer aos requisitos de controle especificados pelosgestores e custodiantes da informação; e

III. Comunicar os incidentes que afetam a segurança dosativos de informação à ETIR.

Art. 19 É vedado comprometer a integridade, confidencialidadeou a disponibilidade das informações criadas, manuseadas,armazenadas, transportadas, descartadas ou custodiadas pelo Cade.

CAPÍTULO V

PENALIDADES

Art. 20 A desobediência às regras da POSIC do Cade e suasnormas complementares implicará em sanções administrativas nostermos da lei e normas complementares, sem prejuízo de outras previstasnas esferas cível e penal.

CAPÍTULO VI

DISPOSIÇÕES FINAIS

Art. 21 O CSIC e a ETIR, e seus respectivos regimentosinternos, serão instituídos por portarias específicas.

Art. 22 O Gestor de SIC, os membros e o agente responsávelda ETIR serão designados por portaria específica.

Art. 23 A POSIC do Cade e suas normas complementaresdeverão ser revisadas sempre que se fizer necessário, não excedendoo período máximo de dois anos.