A DESEMBARGADORA DO TRABALHO PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 2ª REGIÃO, no uso de suas atribuições legais e regimentais,

CONSIDERANDO o Ato GP nº 28/2012 que instituiu a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 2ª Região;

CONSIDERANDO a necessidade de estabelecer critérios de classificação das informações a fim de que estas possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade;

CONSIDERANDO a Lei nº 12.527/11 que dispõe sobre o acesso a informação previsto no inciso XXXIII do caput do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal, regulamentada pelo Decreto nº 7.724/12;

CONSIDERANDO o teor do Decreto nº 7.845/2012 que regulamenta procedimentos para credenciamento de segurança e tratamento de informação classificada em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento;

CONSIDERANDO a Norma Complementar nº 10/IN01/DSIC/GSIPR, do Departamento de Segurança da Informação e Comunicações, que estabelece diretrizes para o processo de Inventário e Mapeamento de Ativos de Informação, para apoiar a Segurança da Informação e Comunicações, dos órgãos e entidades da Administração Pública Federal, direta e indireta;

CONSIDERANDO a necessidade de priorizar e elaborar as diretrizes, planos e ações para assegurar a disponibilidade, integridade, confidencialidade e autenticidade da informação no âmbito do Tribunal Regional do Trabalho da 2ª Região,

RESOLVE:

Art. 1º Estabelecer que toda informação gerada no Tribunal Regional do Trabalho da 2ª Região será classificada em termos de seu valor, requisitos legais, sensibilidade, criticidade e necessidade de compartilhamento, observadas as diretrizes contidas neste Ato e nos demais normativos legais pertinentes à matéria.

§ 1º Para fins deste Ato, informação é o conjunto de dados utilizado para transferência de mensagem entre indivíduos, usuários e máquinas em processos comunicativos, podendo existir sob as mais diversas formas, incluindo material impresso, escrito, falado, filmes, meios analógicos, eletrônicos ou magnéticos como CD’s, DVD’s, discos de armazenamento em equipamentos de servidores, estações de trabalho e qualquer outro meio existente ou que venha ser criado no âmbito do Tribunal Regional do Trabalho da 2ª Região.

§ 2º Os agentes responsáveis pela classificação das informações, bem como os procedimentos a serem adotados serão definidos, conjuntamente, pela Presidência e o Comitê de Segurança da Informação e Comunicações, objetivando sempre que os ativos de informação recebam o nível adequado de proteção requerida para a geração, o manuseio, a tramitação, o acesso, a guarda e a eliminação, de acordo com seu grau de sigilo.

Art. 2º O Tribunal providenciará meios de proteção proporcionais ao grau de criticidade da informação, independentemente do suporte em que resida ou da forma pela qual seja veiculada, observando os requisitos de segurança a seguir definidos:

I. Confidencialidade, que consiste na garantia de que somente pessoas autorizadas tenham acesso às informações armazenadas ou transmitidas por meio de redes de comunicação.

II. Autenticidade, que consiste na garantia da veracidade da fonte das informações. Asseveração de que o dado ou informação são verdadeiros e fidedignos tanto na origem quanto no destino.

III. Integridade, consistente na fidedignidade de informações, ou seja, a conformidade de dados armazenados com relação às inserções, alterações e processamentos autorizados efetuados, bem como a conformidade dos dados transmitidos pelo emissor com os recebidos pelo destinatário.

IV. Disponibilidade, que é a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

Art. 3º Para os efeitos desta norma, são estabelecidos os seguintes conceitos e definições:

I. ativos de informação: os meios de armazenamento, transmissão e processamento da informação, os equipamentos e sistemas utilizados, bem como o local onde se encontram e as pessoas que a eles têm acesso;

II. agente responsável: servidor público ocupante de cargo efetivo incumbido de chefiar ou gerenciar o processo de inventário e mapeamento de ativos de informação;

III. classificação: atribuição, pela autoridade competente, de grau de sigilo a dado, informação, documento, material, área ou instalação;

IV. comprometimento: perda de segurança resultante do acesso não-autorizado;

V. contêineres dos ativos de informação: local onde está armazenado o ativo de informação, onde é transportado ou processado;

VI. credencial de segurança: certificado, concedido por autoridade competente, que habilita determinada pessoa a ter acesso a dados ou informações em diferentes graus de sigilo;

VII. custodiante: o colaborador ou unidade organizacional responsável pela guarda ou transporte de documentos e pela manutenção das medidas de proteção estabelecidas, observada a legislação vigente. É o responsável pelos contêineres dos ativos de informação;

VIII. desclassificação: cancelamento, pela autoridade competente ou pelo transcurso de prazo da classificação, tornando ostensivos dados ou informações;

IX. gestor: pessoa responsável pela administração de informações geradas em seu processo de trabalho e/ou sistemas de informação relacionados às atividades do Tribunal;

X. grau de sigilo: gradação atribuída a dados, informações, área ou instalação considerados sigilosos em decorrência de sua natureza ou conteúdo;

XI. inventário e mapeamento de ativos de informação: processo interativo e evolutivo composto por três etapas: identificação e classificação de ativos de informação; identificação de potenciais ameaças e vulnerabilidade e avaliação dos riscos;

XII. investigação para credenciamento: averiguação sobre a existência dos requisitos indispensáveis para concessão de credencial de segurança;

XIII. legitimidade: asseveração de que o emissor e o receptor de dados ou informações são legítimos e fidedignos tanto na origem quanto no destino;

XIV. logs: registros cronológicos de atividades do sistema que possibilitam a reconstrução, revisão e análise dos ambientes e atividades relativas a uma operação, procedimento ou evento, acompanhados do início ao fim;

XV. medidas especiais de segurança: medidas destinadas a garantir sigilo, inviolabilidade, integridade, autenticidade, legitimidade e disponibilidade de dados e informações sigilosos. Também objetivam prevenir, detectar, anular e registrar ameaças reais ou potenciais a esses dados e informações;

XVI. necessidade de conhecer: condição pessoal, inerente ao efetivo exercício de cargo, função, emprego ou atividade, indispensável para que uma pessoa possuidora de credencial de segurança tenha acesso a dados ou informações sigilosas;

XVII. reclassificação: alteração, pela autoridade competente, da classificação de dado, informação, área ou instalação sigilosos;

XVIII. sigilo: segredo; de conhecimento restrito a pessoas credenciadas; proteção contra revelação não autorizada;

XIX. tratamento da informação: conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação;

XX. valor do ativo de informação: valor tangível e intangível, que reflete a importância do ativo de informação para o alcance dos objetivos estratégicos do Tribunal;

XXI. visita: pessoa cuja entrada foi admitida, em caráter excepcional, em área sigilosa.

Art. 4º A produção, manuseio, consulta, transmissão, manutenção e guarda de dados ou informações sigilosas observarão medidas especiais de segurança a serem definidas na forma do § 2º do art. 1º desta norma.

Parágrafo único. Toda autoridade responsável pelo tratamento de dados ou informações sigilosas providenciará para que o pessoal sob sua coordenação conheça integralmente as medidas de segurança estabelecidas, zelando pelo seu fiel cumprimento.

Art. 5º Os dados e informações gerados neste Regional serão classificados, de acordo com o grau de sigilo e em razão do seu teor ou dos seus elementos intrínsecos.

§ 1º São passíveis de classificação como sigilosos as informações referentes à integridade do Tribunal, planos e operações, projetos de pesquisa e desenvolvimento tecnológico e de interesse da Administração, programas econômicos, informações referentes a sistemas, informações pessoais de magistrados e servidores cujo conhecimento não autorizado possa acarretar dano excepcionalmente grave à segurança e integridade deste Regional, bem como de seus membros e servidores.

§ 2º São passíveis de classificação como corporativos (informação reservada), dados ou informações de interesse exclusivo do Tribunal Regional do Trabalho da 2ª Região, cuja divulgação não seja necessária ou aconselhável enquanto projeto ou pesquisa em desenvolvimento podendo, futuramente, ser disponibilizado para conhecimento público.

§ 3º Ostensivos são os dados ou informações disponibilizadas para o público em geral.

Art. 6º A classificação dos ativos de informação deste Tribunal, definida pelo Comitê de Segurança da Informação nos termos das disposições do artigo 5º desta norma, está indicada no Anexo desta norma, sendo que o detalhamento dos grupos definidos é ativo corporativo, atualizado e tratado no âmbito do respectivo Comitê.

Art. 7º O acesso a dados ou informações sigilosas no âmbito do Tribunal Regional do Trabalho da 2ª Região será permitido:

I. ao agente público, assim entendido como magistrado ou servidor autorizado no exercício de suas funções, que tenham necessidade motivada de conhecê-los;

II. ao cidadão, mediante análise de requerimento, devidamente motivado.

§ 1º Os agentes de que trata o inciso I deste artigo comprometem-se a, quando em atividade e após o desligamento de seus cargos ou funções, não revelar ou divulgar dados ou informações sigilosas dos quais tenham tido conhecimento no exercício de cargo ou função comissionada.

§ 2º Todo aquele que tiver conhecimento, nos termos deste Ato, de assuntos sigilosos fica sujeito às sanções administrativas, civis e penais decorrentes da eventual divulgação dos mesmos.

Art. 8º O acesso a dados ou informações reservados, ressalvado o previsto no inciso II do artigo anterior, é condicionado a autorização específica no correspondente grau de sigilo, que deve ser limitada ao período de exercício da respectiva função.

Art. 9º O Comitê de Segurança da Informação e Comunicações no tratamento de documento com informação classificada, neste Ato ou em suas revisões posteriores, em qualquer grau de sigilo ou prevista na legislação como sigilosa, poderá adotar os seguintes procedimentos adicionais de controle:

I. identificação dos destinatários em protocolo e recibo específicos;

II. lavratura de termo de custódia e registro em protocolo específico;

III. lavratura anual de termo de inventário, pelo órgão ou entidade expedidor e pelo órgão ou entidade receptor;

IV. lavratura de termo de transferência de custódia ou guarda.

§ 1º O documento previsto no caput será denominado Documento Controlado - DC.

§ 2º O termo de inventário previsto no inciso III do caput deverá conter no mínimo os seguintes elementos:

I. numeração sequencial e data;

II. órgãos produtor e custodiante do DC;

III. rol de documentos controlados;

IV. local e assinatura.

§ 3º O termo de transferência previsto no inciso IV do caput deverá conter no mínimo os seguintes elementos:

I. numeração sequencial e data;

II. agentes públicos substituto e substituído;

III. identificação dos documentos ou termos de inventário a serem transferidos; e

IV. local e assinatura.

Art. 10. Compete à Presidência do Tribunal, após parecer do Comitê de Segurança da Informação e Comunicações, a decisão de classificação, desclassificação, reclassificação ou redução do prazo de sigilo de informação classificada em qualquer grau de sigilo, observados os procedimentos previstos no art. 31 do Decreto nº 7.724/2012, a qual deverá ser formalizada em decisão consubstanciada em Termo de Classificação de Informação.

Art. 11. O Comitê de Segurança da Informação e Comunicações publicará, anualmente, na página do Tribunal Regional do Trabalho da 2ª Região:

I. rol das informações que tenham sido desclassificadas nos últimos 12 (doze) meses;

II. rol de documentos classificados em cada grau de sigilo, com identificação para referência futura;

III. relatório estatístico contendo a quantidade de pedidos de informação recebidos, atendidos e indeferidos, bem como informações genéricas sobre os solicitantes.

Art. 12. A Presidência do Tribunal Regional do Trabalho da 2ª Região, após análise do Comitê de Segurança da Informação e Comunicações, poderá determinar a exibição reservada de qualquer documento sigiloso, sempre que indispensável à defesa de direito próprio ou esclarecimento de situação pessoal da parte.

Art. 13. Este Ato entra em vigor na data de sua publicação, ficando revogadas as disposições em contrário.

Publique-se e cumpra-se.

São Paulo, 15 de dezembro de 2014.