CNPq

O Presidente Substituto do CONSELHO NACIONAL DE DESENVOLVIMENTO CIENTÍFICO E TECNOLÓGICO -CNPq, no uso das atribuições que lhe são conferidas pelo Estatuto aprovado pelo Decreto n° 8.866, de 10/03/2016 e em conformidade com a decisão do Comitê de Segurança da Informação e Comunicações em sua 23ª (vigésima terceira) reunião de 06/12/2016,

R E S O L V E:

Homologar norma complementar à Política de Segurança da Informação e Comunicações do CNPq - PoSIC, que estabelece os controles de acesso físico relativos à segurança da informação e comunicações no âmbito do CNPq.

1. Diretrizes

As diretrizes constantes desta norma visam:

a) estabelecer procedimentos e limites para o acesso e movimentação de pessoas e veículos, de forma a proteger os ativos de informação, evitar danos à imagem institucional e garantir a continuidade das atividades do CNPq;

b) fornecer aos usuários e visitantes orientações em relação ao acesso e movimentação nas suas dependências;

c) definir áreas de acesso físico restrito.

2. Conceitos e Definições

No âmbito desta Norma, considera-se:

 - Ativos de informação: os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso.

 - Credencial: permissão concedida por autoridade competente, que habilita usuários e visitantes ao acesso às dependências do CNPq.

 - Equipamento: todos os bens, eletrônicos ou não, registrados como patrimônio do CNPq;

 - Materiais: itens de consumo adquiridos pelo CNPq.

 - Usuário: servidores, estagiários, menores aprendizes, prestadores de serviço e membros de Comitês de Assessoramento que oficialmente executem atividades vinculadas à sua atuação institucional.

 - Visitante: pessoas que não possuem vínculo com a instituição e fazem uso eventual dos serviços providos pelo CNPq.

3. Controle de Acesso Físico

3.1. Acesso às Dependências do CNPq

3.1.1 O acesso às dependências do CNPq será permitido por meio do uso de equipamentos ou mecanismos de controle de entrada e saída e barreiras físicas de segurança.

3.1.2 O acesso às dependências do CNPq só será permitido por meio da identificação da credencial individual, possibilitando o registro de toda a movimentação dos usuários e visitantes.

3.1.2.1 O usuário receberá uma credencial que durará o período em que oficialmente execute atividades vinculadas à sua atuação institucional.

3.1.2.2 Ao visitante será exigida a apresentação de documento de identificação com foto para a liberação de credencial temporária de acesso.

3.1.2.3 A entrada de visitantes somente será permitida após autorização da área de destino especificada na entrada.

3.1.2.4 As credenciais de visitante somente darão acesso à área do CNPq especificada na entrada.

3.1.3 O acesso de veículos à garagem obedecerá a cadastro prévio e estará sujeito a vigilância ostensiva, mecanismos de controle e barreiras físicas de segurança.

3.1.4 As áreas de recepção de equipamentos e materiais, bem como seus pontos de entrega e carregamento, terão regras e procedimentos definidos para o seu funcionamento.

3.1.4.1 A entrega de documentos, malotes e encomendas ao CNPq serão feitos em áreas específicas com controle de acesso exclusivo a pessoas autorizadas.

3.1.5 As dependências do CNPq serão providas de sistemas de monitoramento, tais como sistema de vídeo vigilância, sensores, catracas eletrônicas e equipe de segurança ostensiva.

3.1.5.1 Todas as gravações de áudio, vídeo e registro lógico de acesso às dependências deverão ser armazenadas no Datacenter do CNPq.

3.1.5.2 Os sistemas devem permitir o acompanhamento on-line, o backup e o acesso posterior aos registros por período a ser definido em norma específica.

3.2 Acesso a Áreas Restritas

3.2.1 As unidades do CNPq onde ocorrem o processamento e a guarda de informações restritas e/ou sigilosas manterão áreas específicas para estes fins.

3.2.1.1 As áreas, dispostas no Anexo A desta norma, terão definições específicas de perímetros de segurança, suas dimensões, equipamentos e tipos especiais de acesso aos ativos de informação, que previnam vandalismos, sabotagens, ataques etc.

3.2.1.2 O acesso a estas áreas será restrito a usuários credenciados mediante aceitação de termo específico de responsabilidade.

3.2.1.3 Compete aos responsáveis pelas unidades que contenham áreas dispostas no Anexo A desta norma elaborar as definições previstas no item 3.2.1.1 e submetê-las à deliberação do CSIC.

3.2.2 As áreas que possuem ativos de informação com alto grau de criticidade terão controle específico de acesso por meio de autenticação de multifatores.

4. Normatização Específica para o Controle de Acesso Físico

O CNPq estabelecerá normas específicas que regulamentem:

a) a emissão, uso e bloqueio de credenciais que se destinam ao controle de acesso dos usuários e visitantes às suas áreas e instalações;

b) os controles e sistemas para detecção de intrusos nas suas áreas e instalações;

c) procedimentos para instalação e uso de barreiras físicas de segurança, bem como de equipamentos ou mecanismos de controle de entrada e saída de pessoas e veículos;

d) as áreas e procedimentos para recepção de pessoas e para entrega e carregamento de equipamentos e materiais;

e) as áreas de acesso físico restrito, dispostas no Anexo A desta norma, perímetros de segurança, suas dimensões, equipamentos e tipos especiais de acesso aos ativos de informação, contemplando ações que previnam vandalismos, sabotagens e ataques;

f) procedimentos, uso, controle e manutenção de sistemas de monitoramento, tais como de vídeo vigilância, sensores e catracas eletrônicas;

g) rotinas e procedimentos das equipes de recepção e vigilância.

5. Disposições Finais

5.1 A lista constante do ANEXO A não é exaustiva. Os responsáveis por áreas que contenham ativos de informação de acesso restrito, não contempladas na lista, deverão submeter pedido de inclusão ao CSIC.

5.2 Os casos omissos nesta Resolução serão dirimidos pelo Comitê de Segurança da Informação e Comunicações - CSIC.

 5.3 Esta Resolução Normativa entra em vigor na data de sua publicação.

ANEXOS

Anexo A - Áreas de Acesso Físico Restrito no CNPq

Anexo B - Modelo de Classificação de Ativos de Informação quanto ao Grau de Criticidade.

Brasília, 28 de dezembro de 2016.

MARCELO MARCOS MORALES

Presidente Substituto

PO nº 154/2016

REFERÊNCIAS NORMATIVAS:

 - Lei n° 8.112, de 11 de dezembro de 1990, dispõe sobre o regime jurídico dos servidores públicos civis da União, das autarquias e das fundações públicas federais.

 - Norma ABNT NBR ISO/IEC 27002/2013, que fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização.

 - Instrução Normativa GSI-PR n° 01 de 13 de junho de 2008, que disciplina a gestão de segurança da informação e comunicações na administração Pública Federal, direta e indireta.

 - Lei nº 12.527, de 18 de novembro de 2011,  regula o acesso a informações previsto no inciso XXXIII do art. 5^o, no inciso II do § 3^o do art. 37 e no § 2^o do art. 216 da Constituição Federal.

 - Decreto nº 7.724, de 16 de maio de 2012, que regulamenta a Lei no 12.527, de 18 de novembro de 2011, que dispõe sobre o acesso a informações previsto no inciso XXXIII do caput do art. 5o, no inciso II do § 3o do art. 37 e no § 2o do art. 216 da Constituição.

 - Resolução Normativa nº 033, de 23 de outubro de 2012, aprova a Política de Segurança da Informação e Comunicações - PoSIC do CNPq.

 - Portaria nº 312, de 30 de novembro de 2016, reconstitui o Comitê de Segurança da Informação e Comunicações - CSIC no CNPq.

 - Norma Complementar n° 07 do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional - DSIC/GSI, de 15 de julho de 2014, dispõe sobre diretrizes para implementação de controles de acesso relativos à Segurança da Informação e Comunicações.

Anexo A

Áreas de Acesso Físico Restrito no CNPq

Anexo B

Modelo de Classificação de Ativos de Informação quanto ao Grau de Criticidade