Boletim de Serviço Eletrônico em 13/04/2016
Timbre
Ministério da Justiça - MJ
Conselho Administrativo de Defesa Econômica - CADE

SEPN 515 Conjunto D, Lote 4 Ed. Carlos Taurisano, 1º andar - Bairro Asa Norte, Brasília/DF, CEP 70770-504
Telefone: (61) 3221-8552 e Fax: (61) 3326-9733 - www.cade.gov.br
  

PORTARIA CADE Nº 88, de 12 de abril de 2016.

  

Institui a Política de Segurança da Informação e Comunicações – POSIC no âmbito do Conselho Administrativo de Defesa Econômica – Cade.

PRESIDENTE DO CONSELHO ADMINISTRATIVO DE DEFESA ECONÔMICA, no uso da atribuição que lhe é conferida pelo disposto no artigo 10, inciso IX, da Lei nº 12.529/2011, no artigo 22, inciso IX, do Anexo I do Decreto nº 7.738/2012, e no artigo 11, inciso IX, do Regimento Interno do Cade, aprovado pela Resolução nº 1, de 29 de maio de 2012, e tendo em vista o disposto no inciso VII do art. 5º da Instrução Normativa GSI/PR nº 01, de 13 de junho de 2008, e na Norma Complementar nº 03/IN01/DSIC/GSI/PR, de 30 de junho de 2009, resolve:

 

Art. 1º Fica aprovada, na forma do Anexo a esta portaria, a Política de Segurança da Informação e Comunicações – POSIC - do Conselho Administrativo de Defesa Econômica, em consonância com o Parágrafo único do Art. 2º da Portaria nº 3.530, de 3 de dezembro de 2013, que institui a Política de Segurança da Informação e Comunicações do Ministério da Justiça, com o inciso VII do Art. 5º da Instrução Normativa nº 01 do Gabinete de Segurança Institucional da Presidência da República e dos itens 6 e 7 de sua Norma Complementar nº 03.

 

Art. 2º Esta Portaria entra em vigor na data de sua publicação

 

 

 

 

VINICIUS MARQUES DE CARVALHO

Presidente

 

 

ANEXO

 

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO CADE

 

CAPÍTULO I

ESCOPO

Seção I

Dos princípios

 

Art. 1º A Política de Segurança da Informação e Comunicações – POSIC - do Cade é guiada pelos princípios da legalidade, segurança, publicidade, privacidade e ética, seguindo os princípios constitucionais, administrativos e das demais normas vigentes e que regem a Administração Pública Federal.

 

Seção II

Dos objetivos

 

Art. 2º São objetivos da POSIC do Cade:

  1. Garantir a disponibilidade, integridade, confidencialidade e autenticidade – DICA – das informações produzidas ou custodiadas pelo Cade;
  2. Observar as diretrizes, normas, procedimentos, mecanismos, competências e responsabilidades estabelecidos pela POSIC-MJ e legislação vigente;
  3. Estabelecer o arcabouço normativo acerca da Segurança da Informação e Comunicações do Cade e suas Normas Complementares;
  4. Estimular a adoção de práticas de Segurança da Informação e Comunicação - SIC - no Cade, aplicando as normas e os procedimentos sobre o assunto;
  5. Apoiar a Estrutura de Gestão de Segurança da Informação e Comunicações – GSIC – a orientar a tomada de decisões institucionais em segurança que visem a eficiência, eficácia e efetividade das atividades de SIC.

 

Seção III

Da abrangência

 

Art. 3º As diretrizes, normas complementares e manuais de procedimentos desta POSIC aplicam-se a servidores, prestadores de serviço, colaboradores, estagiários, consultores e usuários externos e a quem, de alguma forma, execute atividades vinculadas ao Cade.

Parágrafo único. Todos os sujeitos mencionados no caput são responsáveis e devem estar comprometidos com a segurança da informação e comunicações do CADE.

 

Art. 4º Os contratos, convênios, acordos, termos e outros instrumentos congêneres celebrados pelo Cade devem atender a esta POSIC.

 

Art. 5º Esta política também se aplica, no que couber, ao relacionamento do Cade com outros órgãos e entidades públicos ou privados.

Parágrafo único. Se houver conflito entre normas, o Comitê de Segurança Institucional do Cade - CSIC - deliberará sobre o tema.

 

CAPÍTULO II

CONCEITOS E DEFINIÇÕES

 

Art. 6º Os termos e definições da POSIC serão definidos em Glossário, a ser aprovado em portaria específica.

 

CAPÍTULO III

DIRETRIZES

Seção I

Das Diretrizes Gerais

 

Art. 7º São diretrizes gerais da POSIC do Cade:

  1. Estar consoante aos objetivos estratégicos, processos, requisitos legais e estrutura do Cade, bem como os princípios e diretrizes gerais da POSIC do Ministério da Justiça;
  2. Estabelecer medidas e procedimentos para assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;
  3. Elaborar e implementar mecanismos de auditoria e conformidade, com o objetivo de garantir a exatidão dos registros de acesso aos ativos de informação e avaliar sua conformidade com as normas de SIC em vigor;
  4. Implementar controles de acesso lógico aos softwares e redes de computadores e controles de acesso físico às instalações, com o objetivo de preservar os ativos de informação do Cade;
  5. Definir regras claras e precisas de uso dos ativos de informação institucionais, com o objetivo de evitar o uso pelos agentes públicos para fins particulares, como abuso de direito ou violação à imagem da entidade, em desrespeito às leis, aos costumes e à dignidade da pessoa humana; e
  6. Observar as boas práticas e procedimentos de SIC recomendados por órgãos e entidades públicas e privadas responsáveis pelo estabelecimento de padrões.

 

Seção II

Das Diretrizes Específicas

 

Art. 8º O Comitê de Segurança da Informação e Cominicações – CSIC -  estabelecerá normas e procedimentos destinados a disciplinar e proteger o uso da informação no âmbito do Cade, complementando os controles de Gestão de SIC contidos na POSIC, sobre os temas julgados relevantes para a atuação do Cade, tais como:

  1. Classificação da Informação;
  2. Tratamento da Informação;
  3. Gestão de Ativos de Informação;
  4. Gestão de Riscos de Segurança da Informação;
  5. Gestão de Recuperação de Desastres e Continuidade de Negócios;
  6. Gestão de Incidentes de SIC;
  7. Política de Uso Aceitável de Infraestrutura de Redes do Cade;
  8. Controles de Acesso Físico e Lógico;
  9. Uso de email; e
  10. Acesso à Internet.

 

 

CAPÍTULO IV

COMPETÊNCIAS E RESPONSABILIDADES

 

Art. 9º A Estrutura de Gestão de SIC é composta por:

  1. Comitê de Segurança da Informação e Comunicações – CSIC;
  2. Gestor de SIC;
  3. Equipe de Tratamento e Resposta a Incidentes de Rede – ETIR;

 

Art. 10 Os membros da Estrutura de GSIC devem receber regularmente capacitação especializada nas disciplinas relacionadas à SIC.

 

Art. 11 A Estrutura de GSIC deve auxiliar a alta administração na priorização de ações e investimentos com vistas à correta aplicação de mecanismos de proteção, tendo como base as exigências estratégicas e necessidades operacionais do Cade e as consequências que riscos poderão trazer ao cumprimento dessas exigências.

 

Art. 12 Cabe ao CSIC, no seu âmbito de atuação específico:

  1. Executar os processos de SIC;
  2. Desenvolver, implementar e monitorar estratégias de segurança que atendam aos objetivos estratégicos do Cade;
  3. Avaliar, revisar, monitorar, analisar criticamente e supervisionar a aplicação da POSIC e suas normas complementares, visando sua aderência aos objetivos institucionais do Cade, Estratégia Geral de Segurança da Informação e legislações vigentes;
  4. Promover a melhoria contínua nos processos e controles de GSIC;
  5. Constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre SIC;
  6. Dirimir eventuais dúvidas e deliberar sobre assuntos relativos à POSIC;
  7. Desenvolver ações de conscientização dos usuários a respeito da implementação dos controles de SIC;
  8. Manter e atualizar o Glossário da POSIC;
  9. Propor normas e procedimentos relativos à SIC no âmbito do Cade; e
  10. Propor seu Regimento Interno.

Parágrafo único. As atividades específicas do CSIC serão definidas em Regimento Interno.

 

Art. 13 Cabe ao Gestor de SIC, no seu âmbito de atuação específico:

  1. Executar os processos de SIC;
  2. Fornecer subsídios visando à verificação de conformidade de SIC;
  3. Avaliar, selecionar, administrar e monitorar controles apropriados de proteção dos ativos de informação;
  4. Promover a cultura de SIC;
  5. Acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;
  6. Propor recursos necessários às ações de SIC;
  7. Coordenar e supervisionar a ETIR;
  8. Manter contato direto com o DSIC/GSI/PR para o trato de assuntos relativos à SIC;
  9. Aprovar a carta de serviços da ETIR ao público do Cade;
  10. Propor normas e procedimentos relativos à SIC no âmbito do Cade; e
  11. Observar as obrigações descritas nas Normas Complementares do GSI aplicáveis ao Cade.

 

Art. 14 Cabe à ETIR, no seu âmbito de atuação específico:

  1. Executar os processos de SIC;

  2. Fornecer subsídios visando à verificação de conformidade de SIC;

  3. Avaliar, selecionar, administrar e monitorar controles apropriados de proteção dos ativos de informação;

  4. Executar as atividades de tratamento e resposta a incidentes de segurança da informação, junto a equipes envolvidas;

  5. Emitir alertas sobre vulnerabilidades e outras notificações relacionadas à SIC no âmbito do Cade;

  6. Avaliar o uso de ferramentas de SIC;

  7. Analisar ataques e intrusões na rede do Cade;

  8. Executar ações necessárias para tratar quebras de segurança da informação;

  9. Cooperar com outras Equipes de Tratamento e Resposta a Incidentes;

  10. Agir proativamente, com o objetivo de evitar que ocorram incidentes de segurança da informação;

  11. Realizar ações reativas que incluem recebimento de notificações de incidentes, orientação de equipes no reparo a danos e análise de sistemas comprometidos, buscando causas, danos e responsáveis;

  12. Obter informações quantitativas acerca dos incidentes ocorridos;

  13. Participar de fóruns, redes nacionais e internacionais relativos à SIC;

  14. Auxiliar o Agente Responsável pela ETIR na elaboração de sua carta de serviços ao público do Cade.

Parágrafo único. As atividades específicas da ETIR serão definidas em Regimento Interno.

 

Art. 15 A ETIR será chefiada por um Agente Responsável, designado segundo os requisitos e forma previstos em seu Regimento Interno.

 

Art. 16 Cabe ao Agente Responsável pela ETIR:

  1. Coordenar as atividades de tratamento e resposta a incidentes de segurança da informação;

  2. Auxiliar o Gestor de SIC na comunicação com outras equipes, entes da Administração Pública e empresas para o trato de assuntos relativos à SIC;

  3. Propor ao Gestor de SIC a carta de serviços da ETIR ao público do Cade;

  4. Assessorar tecnicamente o Gestor de SIC e os membros do CSIC;

 

Art. 17 A participação dos membros do CSIC, ETIR e as atividades de Gestor de SIC e de agente responsável pela ETIR, a qualquer tempo, são considerados serviços de natureza relevante e não ensejam qualquer tipo de remuneração.

 

Art. 18 É dever dos usuários:

  1. Conhecer e cumprir os princípios, diretrizes e responsabilidades desta POSIC e demais normas e resoluções relacionados à SIC;
  2. Obedecer aos requisitos de controle especificados pelos gestores e custodiantes da informação; e
  3. Comunicar os incidentes que afetam a segurança dos ativos de informação à ETIR.

 

Art. 19 É vedado comprometer a integridade, confidencialidade ou a disponibilidade das informações criadas, manuseadas, armazenadas, transportadas, descartadas ou custodiadas pelo Cade.

 

CAPÍTULO V

PENALIDADES

 

Art. 20 A desobediência às regras da POSIC do Cade e suas normas complementares implicará em sanções administrativas nos termos da lei e normas complementares, sem prejuízo de outras previstas nas esferas cível e penal.

 

CAPÍTULO VI

DISPOSIÇÕES FINAIS

 

Art. 21 O CSIC e a ETIR, e seus respectivos regimentos internos, serão instituídos por portarias específicas.

 

Art. 22 O Gestor de SIC, os membros e o agente responsável da ETIR serão designados por portaria específica.

 

Art. 23 A POSIC do Cade e suas normas complementares deverão ser revisadas sempre que se fizer necessário, não excedendo o período máximo de dois anos.


logotipo

Documento assinado eletronicamente por Vinícius Marques de Carvalho, Presidente, em 12/04/2016, às 18:39, conforme horário oficial de Brasília e Resolução Cade nº 11, de 02 de dezembro de 2014.


QRCode Assinatura

A autenticidade deste documento pode ser conferida no site http://sei.cade.gov.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 0185356 e o código CRC B20B376B.




Referência: Processo nº 08700.000342/2014-58 SEI nº 0185356