Normas do Tribunal

Nome: ATO GP Nº 26/2012
Origem: Gabinete da Presidência
Data de edição: 12/11/2012
Data de publicação: 30/11/2012
Fonte:

DOELETRÔNICO - CAD. ADM. - 30/11/2012

Vigência:
Tema:
Institui o Comitê de Segurança da Informação e Comunicações do TRT da 2ª Região.
Indexação:
Comitê; comunicação; segurança; CNJ; tecnologia; política; planejamento; juiz; VT; servidor; diretor; secretaria; turmas; implantação; coordenação; recurso; banco de dados; backup; PJe; acesso; equipe; rede; web; antispam; internet; senha; certificado; descrição; justificativa; ciclo; criação; SPA; SISDOC; autenticação; assinatura; orientação.
Situação: REVOGADO
Observações: Vide Portaria GP nº 58/2012
Alterado pelo Ato GP n° 20/2018
Revogado pelo Ato GP n° 57/2018

ATO GP Nº 26/2012
Revogado pelo Ato GP n° 57/2018
Institui o Comitê de Segurança da Informação e Comunicações do Tribunal Regional do Trabalho da 2ª Região.

A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 2ª REGIÃO, no uso de suas atribuições legais e regimentais,

CONSIDERANDO o teor da Resolução CNJ nº 90 que dispõe sobre os requisitos de nivelamento de tecnologia da informação no âmbito do Poder Judiciário e determina a elaboração e aplicação da Política de Segurança da Informação, por meio de um Comitê Gestor;

CONSIDERANDO o teor da Resolução CNJ nº 99, de 24 de novembro de 2009, que institui o Planejamento Estratégico de Tecnologia da Informação e Comunicação no âmbito do Poder Judiciário e tem como um de seus objetivos a promoção da segurança da informação;

CONSIDERANDO a necessidade de acompanhar os indicadores relativos à Segurança em Tecnologia da Informação presentes no Planejamento Estratégico de Tecnologia da Informação do TRT da 2ª Região,

RESOLVE:

Art. 1º Instituir o Comitê de Segurança da Informação e Comunicações do TRT da 2ª Região.

Parágrafo único. O Comitê será composto por um Desembargador e dois Juízes Titulares de Vara indicados pela Presidente do Tribunal em portaria própria e contará com a assistência direta de:

a) servidores da Secretaria de Tecnologia da Informação, capacitados em segurança da informação;

b) todos os diretores de Secretaria das áreas administrativa e de apoio judiciário, observadas as respectivas competências funcionais;

c) diretores de Secretaria de Varas, de Turmas e de Seções Especializadas, indicados pela Presidência do Tribunal.


Parágrafo único. O Comitê será composto por, no mínimo, dois Desembargadores e um Juiz do Trabalho, indicados pelo Presidente do Tribunal em portaria própria, e contará, observadas as respectivas competências funcionais, com a assistência direta de: (Parágrafo alterado pelo Ato GP n° 20/2018 - DeJT 10/05/2018)

a) servidores da Secretaria de Tecnologia da Informação e Comunicações;

b) todos os diretores de Secretaria das áreas administrativa e de apoio judiciário;

c) diretores de Secretaria de Varas, de Turmas e de Seções Especializadas.

Art. 2º Compete ao Comitê a elaboração de Política de Segurança da Informação, que, depois de aprovada pela Presidência do Tribunal, terá sua implantação e acompanhamento definidos em plano próprio e será periodicamente revisada.

Art. 2º. As competências atribuídas ao Comitê estão dispostas no Ato GP nº 28/2012, que instituiu a Política de Segurança da Informação neste Tribunal. (Caput alterado pelo Ato GP n° 20/2018 - DeJT 10/05/2018)

Parágrafo único. Enquanto não aprovada a política desejada, as rotinas de segurança da informação atualmente utilizadas, constantes do anexo desta norma, deverão ser reavaliadas e revisadas pelo Comitê.

Art. 3º Este Ato entra em vigor na data de sua publicação, revogadas as disposições em contrário.

Registre-se, publique-se e cumpra-se.

São Paulo, 12 de novembro de 2012.


(a)MARIA DORALICE NOVAES

Desembargadora do Trabalho Presidente do Tribunal

DOELETRÔNICO - CAD. ADM. - 30/11/2012


                                                                                          ANEXO
                                                                        Revogado pelo Ato GP n° 20/2018

                                            PROCEDIMENTOS RELACIONADOS À SEGURANÇA DA INFORMAÇÃO


1. Coordenação de Administração de Recursos (CAR)

1.1. Processos da Seção de Administração de Banco de Dados
PROCESSO
DESCRIÇÃO
JUSTIFICATIVA
Checklist
Diariamente é feito checklist para verificação de backups realizados, tamanho das bases e disponibilidade dos bancos
Tem por objetivo verificar se a realização dos backups diários foi feita normalmente. Visa também fazer o acompanhamento do crescimento das bases, para identificar com antecedência a necessidade de acréscimos de espaço em discos.
Rotina de backup
Backups de todas as bases feitos diariamente e posteriormente recolhidos pelo TSM
Garantir a segurança dos dados em caso de falha
Aplicação de scripts de atualização das bases de dados do Pje e aplicações que utilizam o SGBD Oracle
Os scripts SQL aplicados nas bases de dados são executados apenas pelos DBAS da SABD.
Tem por objetivo restringir o acesso direto aos bancos de produção apenas às equipes especializadas.
Acesso externo aos bancos de
dados
O acesso externo às bases é feito apenas pelos Sistemas, através de servidores de aplicação
Impedir modificação nas bases por usuários não autorizados
Replicação das bases de produção do PJe
Os bancos de Produção de 1º e 2º grau do PJe - JT estão replicados em servidores diferentes daqueles em que se encontram
As réplicas visam garantir a alta disponibilidade do PJe, pois em caso de falha nas bases de produção, a reinicialização do PJe deverá ocorrer em pouco tempo.

1.2. Processos da Seção de Segurança em Tecnologia da Informação
PROCESSO
DESCRIÇÃO
JUSTIFICATIVA
Gerenciamento de atualizações e
correções de segurança de produtos Microsoft
Busca manter atualizadas as estações e servidores Windows (implementado na Sede, não implementado nas comarcas).
Busca corrigir falhas e vulnerabilidades dos sistemas antes que possam ser utilizadas para atividade mal intencionada
software contra códigos maliciosos: Antivírus/Antispyware
Estações e servidores Windows e Linux
Impedir a entrada de códigos maliciosos que possam comprometer a segurança dos sistemas.
Implementação e Gerenciamento de IPS
Segmentos de rede protegidos: Internet (WAN), DMZ, Servidores, estações(LAN), entre outros
Monitorar atividade de rede para prevenir e impedir ataques maliciosos / atividade mal intencionada, através da rede, nos sistemas.
Ferramenta de auditoria para
servidores de arquivos: Sentinel
Monitora atividade em servidores de arquivos OES e Novell - Instalado mas ainda não é gerenciado.
Manter registro das atividades efetuadas nos servidores de arquivos, possibilitando levantamento de informações quando necessário.
Hardening Windows
Configuração do Sistema Operacional com foco na mitigação de riscos, limitando o software instalado àquele que se destina à função desejada, desabilitando serviços desnecessários, revisando e modificando permissões dos sistemas de arquivos, logs do sistema
Tornar o ambiente mais seguro, menos vulnerável aos riscos relacionados.
Hardening Linux (em desenvolvimento)
Configuração do Sistema Operacional com foco na mitigação de riscos, limitando o software instalado àquele que se destina à função desejada, desabilitando serviços desnecessários, revisando e modificando permissões dos sistemas de arquivos, logs do sistema
Tornar o ambiente mais seguro, menos vulnerável aos riscos relacionados.
Checklists periódicos (checagens de disponibilidade de serviços e ferramentas)
Checagem do correto funcionamento das ferramentas de segurança geridas pelo SSTI nos períodos matutino e noturno
Busca antecipar a detecção de problemas, a fim de minimizar os eventuais transtornos decorrentes.
Sistema de armazenamento e
centralização de eventos dos
sistemas (logs)
Implementado nos servidores e serviços informatizados
Aumenta a segurança no processo de gerência dos logs, para auditoria de segurança de sistemas.
Gerenciamento do controle de
acesso à sala-cofre e demais
(ACECO)
Gerência do sistema de acesso biométrico às salas ACECO, incluindo a sala-cofre, que concentra os principais equipamentos de T.I.
O sistema de acesso biométrico minimiza a margem para ocorrência de fraudes, exigindo a presença física da pessoa para autenticação do acesso.
Gerenciamento do tráfego WEB através de ferramenta de filtro de conteúdo
Gerência da ferramenta que controla o acesso à internet na rede corporativa.
Restringir o acesso à internet a conteúdo relacionado ao cumprimento das atribuições funcionais do usuário, aumentando a proteção do ambiente ao impedir o acesso a sites indesejáveis, e racionalizando o uso dos recursos.
Gerenciamento de ferramenta
Antispam
A ferramenta monitora o fluxo de e-mails provenientes da internet. Atualmente está implantada a ferramenta Mcafee; estamos em migração (homologação) para VerticalIP.
Impedir que os usuários recebam spams ou mensagens com conteúdo mal intencionado.
Guarda do Certificado Digital Institucional
Guarda do certificado em cofre, bem como a senha para acesso, seguindo procedimentos pré-definidos para utilização.
Busca impedir o uso indevido do Certificado Digital Institucional.

1.3. Processos da Seção de Operação.
PROCESSO
DESCRIÇÃO
JUSTIFICATIVA
Ciclo de Desenvolvimento de Aplicações
Ciclo de Desenvolvimento de Aplicações
Visa aumentar a disponibilidade das aplicações.
Processo de Atualização de Aplicação
Realizado em janelas as terças e quintas pela manhã, uma lista das aplicações atualizadas é enviada por e-mail ao final do processo.
Tem por objetivo o controle de alterações no ambiente de infraestrutura computacional
Criação de Usuários nos Iseries
Os usuários nos Iseries são criados sem permissões administrativas: Apenas os diretamente envolvidos com a administração do servidor possuem essas permissões
Objetiva restringir o acesso aos ambientes de produção apenas as equipes especializadas.
Política de Senhas no SAP
As senhas do SAP são alteradas no primeiro login, expiram após 300 dias e não podem ser digitadas incorretamente por mais de 3 vezes.
As restrições tem como foco impedir violação de senha nos sistemas de acompanhamento processual.
Utilização de Captcha
Nas consultas de primeira instância, uma solução de capcha é apresentada ao consultar um processo.
Evita que acessos automatizados realizados por robôs sobrecarreguem os servidores de primeira instância.
Política de Backup
É realizado backup dos servidores do Tribunal, com solução adquirida para esse fim.
A existência de backups torna segura a recuperação do ambiente em caso de catástrofe ou mesmo falhas humanas.
Replicação de Servidores
Os servidores que possuem aplicações críticas para o Tribunal são replicados em 2 sites diferentes.
Objetiva garantir a disponibilidade das aplicações em caso de crise ou problemas em um dos datacenters do Tribunal.
Monitoramento de Servidores e Aplicações
Os componentes de infraestrutura são monitorados quanto a sua funcionalidade e disponibilidade.
A monitoração da infraestrutura pode detectar atividades suspeitas, além de garantir a disponibilidade dos serviços.

1.4. Processos da Seção de Administração de Redes e Telecomunicações.
PROCESSO
DESCRIÇÃO
JUSTIFICATIVA
Acesso aos volumes dos servidores de arquivos
Os privilégios de acesso às pastas são configurados para os respectivos contextos da Seção e, em casos específicos, os privilégios de acesso a determinadas pastas são configurados para usuários/grupos específicos.
Visa manter as informações disponibilizadas apenas para os
respectivos usuários.
Restrições de acesso aos servidores no Firewall
Apenas as máquinas da CAR possuem acesso, via SSH, aos servidores do TRT
Visa evitar acessos indevidos aos servidores do TRT
Acesso aos servidores com autenticação na rede Novell (LDAP) (EM IMPLANTAÇÃO)
Os usuários administrativos (SART, SO, SABD e, em determinados casos, SDS), acessam os servidores com login/senha da Novell
Identificar todo acesso aos servidores, bem como, quais os procedimentos administrativos executados
Segregação da rede em VLANs
A rede do Tribunal é segregada em VLANs.
Visaisolar equipamentos mais críticos do restante da rede, além de evitar que uma máquina vulnerável tenha acesso a toda rede do TRT.
Proteção dos servidores
Em todos os servidores em que não há incompatibilidade técnica com serviços e aplicações, é instalado o antivírus padrão da JT, do fabricante McAfee
Visa proteger os servidores de programas maliciosos.

2. Coordenadoria de Desenvolvimento de Sistemas (CDS).
2.1. Processos e práticas utilizadas na Coordenação de Desenvolvimento de Sistemas
PROCESSO
DESCRIÇÃO
JUSTIFICATIVA
Programação que evita ataque do tipo SQL Injection
Os programas java utilizam objetos da classe PreparedStatement para passar parâmetros para os comandos SQL.
Essa prática objetiva diminuir o risco de ataques do tipo “SQL Injection” .
Conexão com banco de dados por meio de data sources
As aplicações java realizam conexão nos bancos de dados Oracle e DB2 por meio de data sources.
Evitar inserir usuário e senha no código das aplicações; centralizar na Seção de Operação a configuração desses data sources.
Validação de usuário e senha pelo sistema operacional IMB i
A autenticação de usuários, nos sistemas SAP1, SAP2, SAPg, PJd, AD1, AD2, PRECAD e SISDOC, é realizada pelo sistema operacional (IBM i) dos servidores de 1ª Instância (trt.trtsp.jus.br) e de 2ª Instância (trtcons.trtsp.jus.br).
O controle de acesso feito pelo sistema operacional IBM i diminui o risco de acesso indevido às aplicações que utilizam essa forma de autenticação. A senha dos usuários controlada pelo IBM i não pode ser acessada nem mesmo pelos administradores do sistema.
Inclusão do recurso Captcha
Inclusão de captcha na consulta processual.
O uso de captcha visa evitar ataques de negação de serviço.
Levantamento de requisitos de segurança da informação
Na atividade Planejar Arquitetura, prevista no PDS-TRT2 – Processo de Desenvolvimento de Software do TRT2, normatizado pela Portaria GP 01/2012 – é realizado o levantamento de requisitos de segurança do sistema em análise.
Essa atividade visa descobrir os requisitos de segurança relacionados ao sistema, para garantir que esses requisitos sejam atendidos na implantação do sistema.
Sessão
Os sistemas web que exigem autenticação de usuário realizam gerenciamento por sessão .
O uso de sessão transfere para o servidor de aplicação o “conhecimento” da interação de um usuário com o sistema. Isso visa aumentar a segurança das informações tratadas na sessão, uma vez que estão disponíveis apenas no servidor.
Repositórios centralizado para controle de acesso e atualização dos arquivos-fontes
Os arquivos-fonte são gerenciados por um Sistema de controle de versão. Atualmente a CDS utiliza os seguintes sistemas de controle de versão: CVS, SVN e GxTend.
O acesso aos arquivos-fonte de um sistema é realizado após a autenticação do Usuário no sistema de controle de versão utilizado.
Uso de assinatura digital
A assinatura digital de documentos é utilizada nos sistemas PJe, SISAS, PJD e AD2.
A assinatura digital confere a verificação da autenticidade e da integridade do documento assinado.
Configuração dos ambientes homologação, treinamento e curso do PJe-JT
Quando é lançada uma nova versão do PJe-JT, a SSJ (Seção de Sistemas Judiciários) realiza a configuração do sistema nestes três ambientes.
Essa configuração é importante para evitar que algum ambiente aponte para o ambiente de produção.

3. Coordenadoria de Atendimento (CA).
3.1. Processos da Seção de Atendimento Remoto - Help Desk
PROCESSO
DESCRIÇÃO
JUSTIFICATIVA
Solicitações sobre mudança e reset de senhas dos usuários.
Às solicitações dos usuários referentes a troca de senhas para sistemas em geral (Rede, Intranet, SAP, entre outros), adota-se procedimento para identificar a pessoa do usuário.
Garantir que as senhas sejam pessoais e não compartilhadas com terceiros. Além de garantir o uso restrito aos usuários competentes, para cada sistema.
Mudança de informações
divergentes na base do SAP
Para mudanças de informações na base do SAP, por alguma divergência, adota-se procedimento de solicitação diferenciado.
Por tratar-se de mudança manual feita diretamente na base do sistema SAP, por segurança das informações lá contidas.
Solicitação de acesso e/ou liberação de sistemas e menus no SAP 2.
Procedimento diferenciado para solicitações de inclusão de usuário ou liberação de sistemas e menus dentro do SAP2
Devido ser um sistema de 2ª instancia, sensível a atuação dos senhores desembargados e seus assistentes.
Orientação inicial ao novos
servidores do TRT 2º região.
Orientação inicial no uso dos sistemas do tribunal, inclusive com recomendação para troca de senha.
Garantir correto uso dos sistemas e cumprimento do Ato GP Nº 10/2009.



Coordenadoria de Gestão Normativa e Jurisprudencial