CONTEÚDO
RESOLUÇÃO CFC Nº 1.665, DE 19.05.2022
Institui a Política de Segurança Física e do Ambiente do Conselho Federal de Contabilidade.
O CONSELHO FEDERAL DE CONTABILIDADE. no uso de suas atribuições legais e regimentais, resolve:
CAPÍTULO I
DA INSTITUIÇÃO, OBJETIVO E APLICAÇÃO
Art. 1º Fica instituída a Política de Segurança Física e do Ambiente (PSFA) para prevenir o acesso físico não autorizado, danos e interferências com os recursos de processamento de dados e nas informações no âmbito do Conselho Federal de Contabilidade.
Art. 2º Esta política de segurança norteia as ações necessárias para proteger tanto as instalações de processamento da informação como áreas que contenham informações críticas ou sensíveis.
Art. 3º A política deve ser observada por todas as pessoas envolvidas no tratamento de dados disponíveis no CFC, a fim de que as informações críticas ou sensíveis não sejam violadas.
Art. 4º Esta norma se aplica a todos os conselheiros, empregados ocupantes de cargos efetivos, ocupantes de cargos em comissão de livre nomeação e exoneração, aprendizes e estagiários que acessam o edifício do CFC.
Art. 5º A elaboração e atualização deste documento é de responsabilidade do Comitê de Segurança da Informação.
CAPÍTULO II
DOS TERMOS E DEFINIÇÕES
Art. 6º Para os efeitos dessa política, são estabelecidos os seguintes conceitos e definições:
I -Ativos de informação: qualquer dispositivo de software ou hardware que agrega valor ao negócio e compõe a infraestrutura de rede de dados do CFC, assim como também os locais onde se encontram estes dispositivos, o controle de acesso, além dos processos envolvidos na gestão e operacionalização dos ativos de informação;
II -Área restrita: local onde o acesso é permitido somente a pessoas autorizadas, sendo controlado por razões de segurança;
III -Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados;
IV -Controles de segurança: medidas adotadas para evitar acesso não autorizado a áreas restritas;
V -Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por um usuário autorizado;
VI -Integridade: propriedade de que a informação não foi modificada ou destruída, de maneira não autorizada ou acidental, por indivíduos, entidades ou processos;
VII -Segurança da informação: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;
VIII -Vulnerabilidade: fragilidade de um ativo ou grupo de ativos de informação que pode ser explorada negativamente por uma ou mais ameaças.
CAPÍTULO III
DAS DIRETRIZES E PROCEDIMENTOS
Art. 7º Para a proteção das instalações físicas no Conselho Federal de Contabilidade, independentemente das metodologias ou das tecnologias utilizadas, devem-se observar as seguintes diretrizes e procedimentos:
I -definir claramente os perímetros de segurança para proteger tanto as instalações de processamento da informação como as áreas que contenham informações críticas e sensíveis;
II -o local das instalações de processamento da informação deve ser de construção robusta, a fim de evitar pontos onde possa ocorrer facilmente uma invasão;
III -todas as portas externas devem ser adequadamente protegidas contra acesso não autorizado por meio de mecanismos de controle (por exemplo, barras, alarmes, fechaduras);
IV -as portas e janelas devem ser trancadas quando estiverem sem monitoramento e, se necessário, deve-se considerar proteção externa para as janelas, principalmente para o andar térreo ou outro andar de fácil acesso externo;
V -visitantes e prestadores de serviços devem se apresentar na recepção para identificação que permitirá acesso ao edifício CFC;
VI -todas as portas corta-fogo do perímetro de segurança devem ser providas de alarme, monitoradas e testadas, para estabelecer o nível de resistência exigido, de acordo com as normas regionais, nacionais e internacionais aceitáveis;
VII -as portas corta-fogo devem funcionar de acordo com os códigos locais de prevenção de incêndios e prevenção de falhas;
VIII -implementar controle de acesso às áreas sensíveis, a fim de assegurar que somente pessoas autorizadas tenham acesso permitido;
IX -o registro de acesso de visitantes deve conter data e hora de entrada e saída;
X -todo visitante ao acessar o edifício deve ser anunciado pela recepção e supervisionado durante toda a sua permanência no CFC pela unidade organizacional responsável;
XI -o registro de acesso deverá ser armazenado de forma segura em meio físico ou digital e, sempre que solicitada, a informação deverá ser disponibilizada;
XII -todos os empregados ocupantes de cargos efetivos, ocupantes de cargos em comissão de livre nomeação e exoneração, aprendizes, estagiários e prestadores de serviços devem manter forma de identificação visível, como crachás, contendo nome próprio e da empresa;
XIII -a identificação de visitantes dar-se-á por etiqueta adesiva fixada ou crachá próprio de visitante fornecido pelo CFC;
XIV -somente veículos autorizados pela Coordenadoria de Logística (Colog) e devidamente identificados por credencial podem adentrar na garagem do CFC;
XV -as credenciais de veículos de empregados ocupantes de cargos efetivos, ocupantes de cargos em comissão de livre nomeação e exoneração e demais visitantes previamente autorizados, deverão permanecer em local visível no interior do veículo, para que seja identificado quando necessário;
XVI -é vedado o pernoite de veículos na garagem do CFC, salvo em caso de viagem a trabalho de seu proprietário ou caso fortuito, condicionado à prévia solicitação e autorização da Colog;
XVII -o CFC não se responsabilizará por objetos deixados no interior dos veículos;
XVIII -evitar que informações confidenciais ou reuniões possam ser ouvidas da parte externa;
XIX -evitar que as informações identificadoras da localização das instalações que processam informações sensíveis sejam facilmente acessíveis a qualquer pessoa não autorizada;
XX -definir medidas necessárias para mitigar riscos com desastres naturais, ataques maliciosos ou acidentes;
XXI -implementar controle de segurança dos pontos de acesso, como áreas de entrega/carregamento e outros pontos em que pessoas não autorizadas possam adentrar, isolados das instalações de processamento da informação, para evitar o acesso não autorizado;
XXII -alocar os equipamentos em locais protegidos para reduzir os riscos, ameaças e perigos do meio ambiente, bem como acessos não autorizados;
XXIII -estabelecer medidas de proteção aos equipamentos contra falta de energia elétrica ou outras interrupções causadas por falhas das utilidades.
CAPÍTULO IV
DAS RESPONSABILIDADES
Art. 8º Todos os conselheiros, empregados ocupantes de cargos efetivos, ocupantes de cargos em comissão de livre nomeação e exoneração, aprendizes e estagiários devem ser informados das diretrizes e procedimentos para efetiva aplicação desta política.
Art. 9º O cumprimento desta política deve ser observado quando da elaboração dos processos de contratações de obras, serviços e aquisições de equipamentos necessários para a segurança física e do ambiente do edifício CFC nos respectivos Estudos Técnicos Preliminares, Termos de Referência ou Projetos Básicos e contratos.
Parágrafo único. A Coordenadoria de Logística (Colog) e/ou Coordenadoria de Gestão de TI (CGTI) devem supervisionar o processo desde o seu planejamento de aquisição, manutenção ou implementação;
Art. 10. A Colog, a CGTI ou o Comitê de Segurança da Informação do CFC podem estabelecer outros procedimentos com o objetivo de complementar o definido nesta política.
Art. 11. Os conselheiros, empregados ocupantes de cargos efetivos, ocupantes de cargos em comissão de livre nomeação e exoneração, aprendizes e estagiários do CFC devem reportar à Diretoria e à Colog as ocorrências de incidentes que afetem a segurança física e do ambiente ou descumprimento dessa norma tão logo da ciência do ocorrido.
Art. 12. Identificada a quebra de segurança física de área restrita, a Diretoria e a Colog devem ser imediatamente informadas para adotarem as providências necessárias, limitando o acesso aos locais onde contenham informações protegidas, se necessário.
Art. 13. Esta Resolução entra em vigor na data da sua publicação.
Aprovada na 1.086ª Reunião Plenária de 2022, realizada em 19 de maio de 2022.
AÉCIO PRADO DANTAS JÚNIOR
Presidente do Conselho
(DOU de 26.05.2022 - págs. 244 e 245 - Seção 1)
