Ato GP nº 26/2012 (Revogado)

Normas do Tribunal

Nome:	ATO GP Nº 26/2012
Origem:	Gabinete da Presidência
Data de edição:	12/11/2012
Data de publicação:	30/11/2012
Fonte:	DOELETRÔNICO - CAD. ADM. - 30/11/2012
Vigência:
Tema:	Institui o Comitê de Segurança da Informação e Comunicações do TRT da 2ª Região.
Indexação:	Comitê; comunicação; segurança; CNJ; tecnologia; política; planejamento; juiz; VT; servidor; diretor; secretaria; turmas; implantação; coordenação; recurso; banco de dados; backup; PJe; acesso; equipe; rede; web; antispam; internet; senha; certificado; descrição; justificativa; ciclo; criação; SPA; SISDOC; autenticação; assinatura; orientação.
Situação:	REVOGADO
Observações:	Vide Portaria GP nº 58/2012 Alterado pelo Ato GP n° 20/2018 Revogado pelo Ato GP n° 57/2018

ATO GP Nº 26/2012

Revogado pelo Ato GP n° 57/2018

Institui o Comitê de Segurança da Informação e Comunicações do Tribunal Regional do Trabalho da 2ª Região.

A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 2ª REGIÃO, no uso de suas atribuições legais e regimentais,

CONSIDERANDO o teor da Resolução CNJ nº 90 que dispõe sobre os requisitos de nivelamento de tecnologia da informação no âmbito do Poder Judiciário e determina a elaboração e aplicação da Política de Segurança da Informação, por meio de um Comitê Gestor;

CONSIDERANDO o teor da Resolução CNJ nº 99, de 24 de novembro de 2009, que institui o Planejamento Estratégico de Tecnologia da Informação e Comunicação no âmbito do Poder Judiciário e tem como um de seus objetivos a promoção da segurança da informação;

CONSIDERANDO a necessidade de acompanhar os indicadores relativos à Segurança em Tecnologia da Informação presentes no Planejamento Estratégico de Tecnologia da Informação do TRT da 2ª Região,

RESOLVE:

Art. 1º Instituir o Comitê de Segurança da Informação e Comunicações do TRT da 2ª Região.

Parágrafo único. O Comitê será composto por um Desembargador e dois Juízes Titulares de Vara indicados pela Presidente do Tribunal em portaria própria e contará com a assistência direta de:

a) servidores da Secretaria de Tecnologia da Informação, capacitados em segurança da informação;

b) todos os diretores de Secretaria das áreas administrativa e de apoio judiciário, observadas as respectivas competências funcionais;

c) diretores de Secretaria de Varas, de Turmas e de Seções Especializadas, indicados pela Presidência do Tribunal.

Parágrafo único. O Comitê será composto por, no mínimo, dois Desembargadores e um Juiz do Trabalho, indicados pelo Presidente do Tribunal em portaria própria, e contará, observadas as respectivas competências funcionais, com a assistência direta de: (Parágrafo alterado pelo Ato GP n° 20/2018 - DeJT 10/05/2018)

a) servidores da Secretaria de Tecnologia da Informação e Comunicações;

b) todos os diretores de Secretaria das áreas administrativa e de apoio judiciário;

c) diretores de Secretaria de Varas, de Turmas e de Seções Especializadas.

Art. 2º Compete ao Comitê a elaboração de Política de Segurança da Informação, que, depois de aprovada pela Presidência do Tribunal, terá sua implantação e acompanhamento definidos em plano próprio e será periodicamente revisada.

Art. 2º. As competências atribuídas ao Comitê estão dispostas no Ato GP nº 28/2012, que instituiu a Política de Segurança da Informação neste Tribunal. (Caput alterado pelo Ato GP n° 20/2018 - DeJT 10/05/2018)

Parágrafo único. Enquanto não aprovada a política desejada, as rotinas de segurança da informação atualmente utilizadas, constantes do anexo desta norma, deverão ser reavaliadas e revisadas pelo Comitê.

Art. 3º Este Ato entra em vigor na data de sua publicação, revogadas as disposições em contrário.

Registre-se, publique-se e cumpra-se.

São Paulo, 12 de novembro de 2012.

(a)MARIA DORALICE NOVAES
Desembargadora do Trabalho Presidente do Tribunal

DOELETRÔNICO - CAD. ADM. - 30/11/2012

ANEXO

Revogado pelo Ato GP n° 20/2018

~~PROCEDIMENTOS RELACIONADOS À SEGURANÇA DA INFORMAÇÃO~~

1. Coordenação de Administração de Recursos (CAR)
1.1. Processos da Seção de Administração de Banco de Dados

~~PROCESSO~~	~~DESCRIÇÃO~~	~~JUSTIFICATIVA~~
~~Checklist~~	~~Diariamente é feito checklist para verificação de backups realizados, tamanho das bases e disponibilidade dos bancos~~	Tem por objetivo verificar se a realização dos backups diários foi feita normalmente. Visa também fazer o acompanhamento do crescimento das bases, para identificar com antecedência a necessidade de acréscimos de espaço em discos.
~~Rotina de backup~~	~~Backups de todas as bases feitos diariamente e posteriormente recolhidos pelo TSM~~	~~Garantir a segurança dos dados em caso de falha~~
~~Aplicação de scripts de atualização das bases de dados do Pje e aplicações que utilizam o SGBD Oracle~~	~~Os scripts SQL aplicados nas bases de dados são executados apenas pelos DBAS da SABD.~~	~~Tem por objetivo restringir o acesso direto aos bancos de produção apenas às equipes especializadas.~~
~~Acesso externo aos bancos de~~ ~~dados~~	~~O acesso externo às bases é feito apenas pelos Sistemas, através de servidores de aplicação~~	~~Impedir modificação nas bases por usuários não autorizados~~
~~Replicação das bases de produção do PJe~~	~~Os bancos de Produção de 1º e 2º grau do PJe - JT estão replicados em servidores diferentes daqueles em que se encontram~~	~~As réplicas visam garantir a alta disponibilidade do PJe, pois em caso de falha nas bases de produção, a reinicialização do PJe deverá ocorrer em pouco tempo.~~

~~1.2. Processos da Seção de Segurança em Tecnologia da Informação~~

~~PROCESSO~~	~~DESCRIÇÃO~~	~~JUSTIFICATIVA~~
~~Gerenciamento de atualizações e~~ ~~correções de segurança de produtos Microsoft~~	~~Busca manter atualizadas as estações e servidores Windows (implementado na Sede, não implementado nas comarcas).~~	~~Busca corrigir falhas e vulnerabilidades dos sistemas antes que possam ser utilizadas para atividade mal intencionada~~
~~software contra códigos maliciosos: Antivírus/Antispyware~~	~~Estações e servidores Windows e Linux~~	~~Impedir a entrada de códigos maliciosos que possam comprometer a segurança dos sistemas.~~
~~Implementação e Gerenciamento de IPS~~	~~Segmentos de rede protegidos: Internet (WAN), DMZ, Servidores, estações(LAN), entre outros~~	~~Monitorar atividade de rede para prevenir e impedir ataques maliciosos / atividade mal intencionada, através da rede, nos sistemas.~~
~~Ferramenta de auditoria para~~ ~~servidores de arquivos: Sentinel~~	~~Monitora atividade em servidores de arquivos OES e Novell - Instalado mas ainda não é gerenciado.~~	~~Manter registro das atividades efetuadas nos servidores de arquivos, possibilitando levantamento de informações quando necessário.~~
~~Hardening Windows~~	Configuração do Sistema Operacional com foco na mitigação de riscos, limitando o software instalado àquele que se destina à função desejada, desabilitando serviços desnecessários, revisando e modificando permissões dos sistemas de arquivos, logs do sistema	~~Tornar o ambiente mais seguro, menos vulnerável aos riscos relacionados.~~
~~Hardening Linux (em desenvolvimento)~~	Configuração do Sistema Operacional com foco na mitigação de riscos, limitando o software instalado àquele que se destina à função desejada, desabilitando serviços desnecessários, revisando e modificando permissões dos sistemas de arquivos, logs do sistema	~~Tornar o ambiente mais seguro, menos vulnerável aos riscos relacionados.~~
~~Checklists periódicos (checagens de disponibilidade de serviços e ferramentas)~~	~~Checagem do correto funcionamento das ferramentas de segurança geridas pelo SSTI nos períodos matutino e noturno~~	~~Busca antecipar a detecção de problemas, a fim de minimizar os eventuais transtornos decorrentes.~~
~~Sistema de armazenamento e~~ centralização de eventos dos sistemas (logs)	~~Implementado nos servidores e serviços informatizados~~	~~Aumenta a segurança no processo de gerência dos logs, para auditoria de segurança de sistemas.~~
~~Gerenciamento do controle de~~ acesso à sala-cofre e demais (ACECO)	~~Gerência do sistema de acesso biométrico às salas ACECO, incluindo a sala-cofre, que concentra os principais equipamentos de T.I.~~	~~O sistema de acesso biométrico minimiza a margem para ocorrência de fraudes, exigindo a presença física da pessoa para autenticação do acesso.~~
~~Gerenciamento do tráfego WEB através de ferramenta de filtro de conteúdo~~	~~Gerência da ferramenta que controla o acesso à internet na rede corporativa.~~	Restringir o acesso à internet a conteúdo relacionado ao cumprimento das atribuições funcionais do usuário, aumentando a proteção do ambiente ao impedir o acesso a sites indesejáveis, e racionalizando o uso dos recursos.
~~Gerenciamento de ferramenta~~ ~~Antispam~~	~~A ferramenta monitora o fluxo de e-mails provenientes da internet. Atualmente está implantada a ferramenta Mcafee; estamos em migração (homologação) para VerticalIP.~~	~~Impedir que os usuários recebam spams ou mensagens com conteúdo mal intencionado.~~
~~Guarda do Certificado Digital Institucional~~	~~Guarda do certificado em cofre, bem como a senha para acesso, seguindo procedimentos pré-definidos para utilização.~~	~~Busca impedir o uso indevido do Certificado Digital Institucional.~~

~~1.3. Processos da Seção de Operação.~~

~~PROCESSO~~	~~DESCRIÇÃO~~	~~JUSTIFICATIVA~~
~~Ciclo de Desenvolvimento de Aplicações~~	~~Ciclo de Desenvolvimento de Aplicações~~	~~Visa aumentar a disponibilidade das aplicações.~~
~~Processo de Atualização de Aplicação~~	~~Realizado em janelas as terças e quintas pela manhã, uma lista das aplicações atualizadas é enviada por e-mail ao final do processo.~~	~~Tem por objetivo o controle de alterações no ambiente de infraestrutura computacional~~
~~Criação de Usuários nos Iseries~~	~~Os usuários nos Iseries são criados sem permissões administrativas: Apenas os diretamente envolvidos com a administração do servidor possuem essas permissões~~	~~Objetiva restringir o acesso aos ambientes de produção apenas as equipes especializadas.~~
~~Política de Senhas no SAP~~	~~As senhas do SAP são alteradas no primeiro login, expiram após 300 dias e não podem ser digitadas incorretamente por mais de 3 vezes.~~	~~As restrições tem como foco impedir violação de senha nos sistemas de acompanhamento processual.~~
~~Utilização de Captcha~~	~~Nas consultas de primeira instância, uma solução de capcha é apresentada ao consultar um processo.~~	~~Evita que acessos automatizados realizados por robôs sobrecarreguem os servidores de primeira instância.~~
~~Política de Backup~~	~~É realizado backup dos servidores do Tribunal, com solução adquirida para esse fim.~~	~~A existência de backups torna segura a recuperação do ambiente em caso de catástrofe ou mesmo falhas humanas.~~
~~Replicação de Servidores~~	~~Os servidores que possuem aplicações críticas para o Tribunal são replicados em 2 sites diferentes.~~	~~Objetiva garantir a disponibilidade das aplicações em caso de crise ou problemas em um dos datacenters do Tribunal.~~
~~Monitoramento de Servidores e Aplicações~~	~~Os componentes de infraestrutura são monitorados quanto a sua funcionalidade e disponibilidade.~~	~~A monitoração da infraestrutura pode detectar atividades suspeitas, além de garantir a disponibilidade dos serviços.~~

~~1.4. Processos da Seção de Administração de Redes e Telecomunicações.~~

~~PROCESSO~~	~~DESCRIÇÃO~~	~~JUSTIFICATIVA~~
~~Acesso aos volumes dos servidores de arquivos~~	Os privilégios de acesso às pastas são configurados para os respectivos contextos da Seção e, em casos específicos, os privilégios de acesso a determinadas pastas são configurados para usuários/grupos específicos.	~~Visa manter as informações disponibilizadas apenas para os~~ ~~respectivos usuários.~~
~~Restrições de acesso aos servidores no Firewall~~	~~Apenas as máquinas da CAR possuem acesso, via SSH, aos servidores do TRT~~	~~Visa evitar acessos indevidos aos servidores do TRT~~
~~Acesso aos servidores com autenticação na rede Novell (LDAP) (EM IMPLANTAÇÃO)~~	~~Os usuários administrativos (SART, SO, SABD e, em determinados casos, SDS), acessam os servidores com login/senha da Novell~~	~~Identificar todo acesso aos servidores, bem como, quais os procedimentos administrativos executados~~
~~Segregação da rede em VLANs~~	~~A rede do Tribunal é segregada em VLANs.~~	~~Visaisolar equipamentos mais críticos do restante da rede, além de evitar que uma máquina vulnerável tenha acesso a toda rede do TRT.~~
~~Proteção dos servidores~~	~~Em todos os servidores em que não há incompatibilidade técnica com serviços e aplicações, é instalado o antivírus padrão da JT, do fabricante McAfee~~	~~Visa proteger os servidores de programas maliciosos.~~

2. Coordenadoria de Desenvolvimento de Sistemas (CDS).
2.1. Processos e práticas utilizadas na Coordenação de Desenvolvimento de Sistemas

~~PROCESSO~~	~~DESCRIÇÃO~~	~~JUSTIFICATIVA~~
~~Programação que evita ataque do tipo SQL Injection~~	~~Os programas java utilizam objetos da classe PreparedStatement para passar parâmetros para os comandos SQL.~~	~~Essa prática objetiva diminuir o risco de ataques do tipo “SQL Injection” .~~
~~Conexão com banco de dados por meio de data sources~~	~~As aplicações java realizam conexão nos bancos de dados Oracle e DB2 por meio de data sources.~~	~~Evitar inserir usuário e senha no código das aplicações; centralizar na Seção de Operação a configuração desses data sources.~~
~~Validação de usuário e senha pelo sistema operacional IMB i~~	A autenticação de usuários, nos sistemas SAP1, SAP2, SAPg, PJd, AD1, AD2, PRECAD e SISDOC, é realizada pelo sistema operacional (IBM i) dos servidores de 1ª Instância (trt.trtsp.jus.br) e de 2ª Instância (trtcons.trtsp.jus.br).	O controle de acesso feito pelo sistema operacional IBM i diminui o risco de acesso indevido às aplicações que utilizam essa forma de autenticação. A senha dos usuários controlada pelo IBM i não pode ser acessada nem mesmo pelos administradores do sistema.
~~Inclusão do recurso Captcha~~	~~Inclusão de captcha na consulta processual.~~	~~O uso de captcha visa evitar ataques de negação de serviço.~~
~~Levantamento de requisitos de segurança da informação~~	Na atividade Planejar Arquitetura, prevista no PDS-TRT2 – Processo de Desenvolvimento de Software do TRT2, normatizado pela Portaria GP 01/2012 – é realizado o levantamento de requisitos de segurança do sistema em análise.	~~Essa atividade visa descobrir os requisitos de segurança relacionados ao sistema, para garantir que esses requisitos sejam atendidos na implantação do sistema.~~
~~Sessão~~	~~Os sistemas web que exigem autenticação de usuário realizam gerenciamento por sessão .~~	O uso de sessão transfere para o servidor de aplicação o “conhecimento” da interação de um usuário com o sistema. Isso visa aumentar a segurança das informações tratadas na sessão, uma vez que estão disponíveis apenas no servidor.
~~Repositórios centralizado para controle de acesso e atualização dos arquivos-fontes~~	~~Os arquivos-fonte são gerenciados por um Sistema de controle de versão. Atualmente a CDS utiliza os seguintes sistemas de controle de versão: CVS, SVN e GxTend.~~	~~O acesso aos arquivos-fonte de um sistema é realizado após a autenticação do Usuário no sistema de controle de versão utilizado.~~
~~Uso de assinatura digital~~	~~A assinatura digital de documentos é utilizada nos sistemas PJe, SISAS, PJD e AD2.~~	~~A assinatura digital confere a verificação da autenticidade e da integridade do documento assinado.~~
~~Configuração dos ambientes homologação, treinamento e curso do PJe-JT~~	~~Quando é lançada uma nova versão do PJe-JT, a SSJ (Seção de Sistemas Judiciários) realiza a configuração do sistema nestes três ambientes.~~	~~Essa configuração é importante para evitar que algum ambiente aponte para o ambiente de produção.~~

3. Coordenadoria de Atendimento (CA).
3.1. Processos da Seção de Atendimento Remoto - Help Desk

~~PROCESSO~~	~~DESCRIÇÃO~~	~~JUSTIFICATIVA~~
~~Solicitações sobre mudança e reset de senhas dos usuários.~~	~~Às solicitações dos usuários referentes a troca de senhas para sistemas em geral (Rede, Intranet, SAP, entre outros), adota-se procedimento para identificar a pessoa do usuário.~~	~~Garantir que as senhas sejam pessoais e não compartilhadas com terceiros. Além de garantir o uso restrito aos usuários competentes, para cada sistema.~~
~~Mudança de informações~~ ~~divergentes na base do SAP~~	~~Para mudanças de informações na base do SAP, por alguma divergência, adota-se procedimento de solicitação diferenciado.~~	~~Por tratar-se de mudança manual feita diretamente na base do sistema SAP, por segurança das informações lá contidas.~~
~~Solicitação de acesso e/ou liberação de sistemas e menus no SAP 2.~~	~~Procedimento diferenciado para solicitações de inclusão de usuário ou liberação de sistemas e menus dentro do SAP2~~	~~Devido ser um sistema de 2ª instancia, sensível a atuação dos senhores desembargados e seus assistentes.~~
~~Orientação inicial ao novos~~ ~~servidores do TRT 2º região.~~	~~Orientação inicial no uso dos sistemas do tribunal, inclusive com recomendação para troca de senha.~~	~~Garantir correto uso dos sistemas e cumprimento do Ato GP Nº 10/2009.~~

Coordenadoria de Gestão Normativa e Jurisprudencial