Normas do Tribunal
Nome: |
ATO GP Nº 38/2018
|
Origem: |
Gabinete da Presidência
|
Data de edição: |
05/09/2018
|
Data de disponibilização: |
12/09/2018
|
Fonte: |
DeJT - CAD. ADM.
- 12/09/2018
|
Vigência: |
|
Tema: |
Altera
o Ato GP nº 28/2012, que instituiu a Política de
Segurança da Informação no âmbito do Tribunal
Regional do Trabalho da 2ª Região.
|
Indexação: |
Política;
segurança; informação; serviço;
confidencialidade; acesso; integridade;
salvaguarda.
|
Situação: |
REVOGADO
|
Observações: |
Altera o Ato
GP nº 28/2012
Revogado pelo Ato n.
2/GP, de 7 de janeiro de 2022
|
Altera
o Ato
GP nº 28/2012,
que instituiu
a Política de
Segurança da
Informação no
âmbito do
Tribunal
Regional do
Trabalho da 2ª
Região.
O
PRESIDENTE DO
TRIBUNAL
REGIONAL DO
TRABALHO DA 2ª
REGIÃO, no uso
de suas
atribuições
legais e
regimentais,
CONSIDERANDO o
Ato
GP nº 28/2012,
que instituiu
a Política de
Segurança da
Informação no
âmbito do
Tribunal
Regional do
Trabalho da 2ª
Região,
especialmente
o artigo 12-A,
que determina
sua revisão
e atualização
periódica;
CONSIDERANDO
as Diretrizes
para a Gestão
de Segurança
da Informação
no âmbito do
Poder
Judiciário
(2012)
estabelecidas
pelo Conselho
Nacional de
Justiça,
RESOLVE:
Art. 1º.
Revisar e
atualizar a
Política de
Segurança
da Informação
e Comunicações
no âmbito
do Tribunal
Regional do
Trabalho da 2ª
Região de
acordo com os
termos deste
Ato.
Art. 2º.
Alterar os incisos
V, VI
e VII
e acrescentar
os incisos
VIII, XIX,
X
e XI
ao
art.
2º do Ato
GP nº 28/2012,
que passa a
vigorar com a
seguinte
redação:
Art.
2º. (...)
(...)
V.
Recurso de
TIC: qualquer
equipamento,
dispositivo,
serviço,
infraestrutura
ou sistema de
processamento
da informação,
ou as
instalações
físicas que os
abriguem;
VI.
Usuários:
magistrados e
servidores
ocupantes de
cargo efetivo
ou em
comissão,
requisitados e
cedidos,
empregados de
empresas
prestadoras de
serviços
terceirizados,
consultores,
estagiários e
outras pessoas
que,
devidamente
autorizadas,
utilizem os
recursos
tecnológicos
do TRT;
VII.
Plano de
Continuidade
de Serviço de
TIC: documento
com o objetivo
de
estabelecer os
procedimentos
necessários
para
restauração do
funcionamento
de um serviço
de TIC no
menor tempo
possível, caso
este serviço
seja atingido
por eventos
que afetem sua
disponibilidade;
VIII.
Princípio do
Menor
Privilégio:
orientação
para que
qualquer tipo
de acesso
configurado
seja realizado
da forma mais
restritiva
possível,
garantindo
que:
a.
O acesso seja
concedido
apenas às
pessoas
necessárias;
b.
O acesso seja
concedido
apenas pelo
tempo
necessário;
c.
O acesso seja
concedido
apenas aos
recursos
necessários;
d.
O acesso seja
concedido
apenas aos
perfis
necessários.
IX.
Registros de
Auditoria
(LOGS):
arquivos que
contém
informações
sobre eventos
relevantes,
como
informações de
autenticação
ou de ações
praticadas em
equipamento ou
serviço de
TIC;
X.
Representante
do Negócio:
pessoa ou
comitê
responsável
por negociar
com a
comunidade de
usuários quais
as regras,
demandas,
expectativas
de nível de
serviço e
solicitações
de mudanças
devem ser
feitas para os
serviços e
qual a
prioridade
destas;
XI.
Zona
Desmilitarizada:
área reservada
de rede de
computadores
responsável
por concentrar
os
equipamentos
que devem ser
acessíveis por
outras redes
menos seguras,
como a
Internet,
implementando
regras de
acesso
específicas e
suficientes
para a
proteção do
ambiente
computacional
da
instituição.
Art.
3º.
Alterar o teor
dos arts.
3º, 4º,
5º,
6º,
7º,
8º,
9º,
10,
11,
12
e 13
do Ato GP nº
28/2012, que
passam a
vigorar com a
seguinte
redação:
Art.
3º. As
disposições
deste Ato
aplicam-se a
todos os
usuários de
recursos de
TIC do
Tribunal
Regional do
Trabalho da 2ª
Região.
Art.
4º.
Compete ao
Comitê de
Segurança da
Informação e
Comunicações:
I.
Elaborar
propostas de
diretrizes,
normas e
políticas para
os assuntos
relacionados à
Segurança da
Informação e
Comunicações,
tais como:
a.
Auditoria e
conformidade
em segurança
de TIC;
b.
Classificação
das
informações;
c.
Contingência e
continuidade
dos serviços
de TIC;
d.
Controle de
acesso lógico
e físico;
e.
Divulgação e
conscientização;
f.
Geração e
restauração de
cópias de
segurança;
g.
Gestão de
riscos de TIC;
h.
Tratamento dos
incidentes
relacionados à
segurança de
TIC;
i.
Utilização de
recursos de
TIC.
II.
Rever
periodicamente
esta Política
de Segurança
da Informação
e
Comunicações,
sugerindo
possíveis
alterações;
III.
Estabelecer
diretrizes e
definições
estratégicas
para a
segurança da
informação e
comunicações;
IV.
Acompanhar
planos de ação
para aplicação
dessa política
e das normas a
ela
relacionadas,
assim como
campanhas de
divulgação
e
conscientização
dos usuários;
V.
Receber e
analisar as
comunicações
de
descumprimento
das normas
referentes a
essa política;
VI.
Solicitar,
sempre que
necessário, a
realização de
auditorias à
Coordenadoria
de Segurança
de TIC,
relativamente
ao uso dos
recursos de
Tecnologia da
Informação e
Comunicações,
no âmbito
deste
Tribunal;
VII.
Avaliar
relatórios e
resultados de
auditorias
apresentados
pela
Coordenadoria
de Segurança
de TIC;
VIII.
Definir quais
serviços de
TIC devem ser
considerados
críticos;
IX.
Realizar a
gestão de
riscos de TIC,
com base em
análises de
risco,
deliberando
sobre as
medidas
necessárias à
mitigação dos
riscos
identificados;
X.
Dirimir
dúvidas e
deliberar
sobre questões
relacionadas à
Política de
Segurança, não
contempladas
neste Ato ou
norma
correlata;
XI.
Apresentar à
Presidência do
Tribunal,
quando
solicitado, os
resultados
de suas ações
e atividades.
Art.
5º.
Compete ao
Gestor de
Segurança da
Informação e
Comunicações,
mais antigo
integrante do
Comitê de
Segurança da
Informação e
Comunicações:
I.
Coordenar as
atividades do
Comitê de
Segurança da
Informação e
Comunicações;
II.
Submeter à
Presidência,
propostas de
diretrizes,
normas e
políticas
relativas à
Segurança da
Informação e
Comunicações;
III.
Promover a
cultura de
segurança da
informação e
comunicações;
IV.
Acompanhar os
levantamentos
e as
avaliações dos
danos
decorrentes de
quebra de
segurança;
V.
Propor
recursos
necessários às
ações de
segurança da
informação e
comunicações;
VI.
Avaliar
estudos de
novas
tecnologias,
quanto a
possíveis
impactos na
segurança da
informação e
comunicações.
Art.
6º.
Compete à
Coordenadoria
de Segurança
de TIC, além
do disposto no
Ato
GP
nº 25/2016:
I.
Elaborar e
coordenar as
ações do Plano
Estratégico de
Segurança da
Informação,
com base nas
definições
estratégicas
estabelecidas
pelo Comitê de
Segurança da
Informação;
II.
Prestar apoio
técnico
especializado
às atividades
do Comitê de
Segurança da
Informação e
Comunicações
nos assuntos
relacionados à
Segurança de
TIC;
III.
Informar ao
Comitê de
Segurança da
Informação e
Comunicações a
respeito de
incidentes de
segurança de
TIC e riscos
identificados
no ambiente
computacional
do Tribunal.
Art.
7º. A
Secretaria de
Tecnologia da
Informação e
Comunicações
implantará
mecanismos de
proteção que
visem
assegurar a
confidencialidade,
integralidade
e
disponibilidade
do ambiente
computacional
do Tribunal.
Art.
8º. Os
equipamentos
que compõe o
parque
tecnológico do
Tribunal devem
ter seu
relógio e fuso
horário
sincronizados
com o
equipamento
responsável
pelo serviço
de relógio
mantido pela
Secretaria de
Tecnologia da
Informação e
Comunicações.
Art.
9º. Os
registros de
auditoria
(logs) gerados
nos
equipamentos
servidores
devem ser
armazenados em
equipamento
centralizado,
com controles
de acesso
implementados
de forma a
garantir a
integridade e
a
confidencialidade
das
informações.
Art.
10. As
configurações
de acesso ou
comunicação
realizadas nas
soluções de
infraestrutura
e segurança de
TIC devem
obedecer ao
princípio do
menor
privilégio.
§1º.
Qualquer
acesso ou
comunicação
que não tenha
necessidade de
ser liberado
deve ser
bloqueado.
§2º.
Deverá ser
implementada
uma zona
desmilitarizada
para
confinamento
de
equipamentos
acessíveis
publicamente
através da
internet.
§3º.
As redes que
contém
equipamentos
servidores
devem ser
segregadas das
redes que
contém
equipamentos
de
microinformática.
§4º.
Sempre que
possível, as
redes que
contêm
equipamentos
de
microinformática
devem ser
segregadas ao
nível das
Unidades
Organizacionais.
Art.
11. Sempre
que possível,
deverão ser
utilizados
protocolos de
comunicação
que
implementem
mecanismos de
criptografia
em detrimento
de protocolos
sem estes
mecanismos;
Art.
12. A
geração e
restauração de
cópias de
segurança do
ambiente
computacional
deverão seguir
o disposto no
Ato
GP nº 07/2015.
Art.
13. O
descarte
seguro de
mídias de
armazenamento
de dados no
âmbito deste
Tribunal
deverá seguir
o disposto no
Ato
GP nº 09/2015.
Art. 4º.
Acrescentar os
arts.
14, 15,
16,
17,
18,
19,
20,
21,
22,
23,
24,
25,
26,
27,
28,
29,
30,
31,
32,
33
e 34
ao Ato GP nº
28/2012, com o
seguinte teor:
Art.
14. O uso
adequado dos
recursos de
TIC visa
garantir a
continuidade
da prestação
jurisdicional
deste
Tribunal.
§1º.
Os recursos de
tecnologia da
informação,
pertencentes
ao Tribunal
que estão
disponíveis
para os
usuários,
devem ser
utilizados em
atividades
relacionadas
às suas
funções
institucionais.
§2º.
A utilização
dos recursos
de TIC será
monitorada,
podendo serem
realizadas
auditorias com
a finalidade
de detectar
eventos que
deponham
contra a
segurança da
informação e
comunicações,
as boas
práticas no
uso dos
recursos de
TIC ou eventos
que estejam
em
desconformidade
com os
normativos
vigentes.
§3º.
A utilização
dos recursos
de TIC deverá
seguir as
diretrizes
contidas no
Ato GP nº
10/2009.
Art.
15. O
serviço de
correio
eletrônico
deve ser
utilizado como
ferramenta
institucional
para execução
das
atribuições
funcionais de
magistrados e
servidores,
ativos e
inativos.
Parágrafo
único.
Assuntos
relacionados à
rotina de
trabalho devem
ser tratados
exclusivamente
através das
contas
corporativas
de correio
eletrônico,
fornecidas por
este Tribunal,
sendo vedada a
utilização de
contas
pessoais de
correio
eletrônico
para este fim.
Art.
16. O
serviço de
acesso à
Internet
provido
através da
rede do
Tribunal deve
restringir-se
às páginas com
conteúdo
estritamente
relacionado
com as
atividades
desempenhadas
pelo Órgão,
necessários ao
cumprimento
das
atribuições
funcionais do
usuário.
§1º.
O Comitê de
Segurança da
Informação e
Comunicações
deliberará a
respeito de
solicitações
de acesso a
sites
bloqueados
pela política
de acesso
vigente, mas
que sejam
necessários à
rotina
funcional das
unidades
solicitantes.
§2º.
Equipamentos
fornecidos
para
utilização do
público em
geral terão
regras de
acesso
específicas,
de acordo com
a necessidade
de cada
equipamento,
elaboradas de
acordo com o
princípio do
menor
privilégio.
Art.
17. Toda
informação
gerada no
Tribunal será
classificada
em termos de
seu valor,
requisitos
legais,
sensibilidade,
criticidade e
necessidade de
compartilhamento,
observadas as
diretrizes
contidas no Ato
GP nº 30/2014.
Art.
18. As
informações,
sistemas e
métodos
gerados ou
criados por
magistrados e
servidores, no
exercício de
suas funções,
independentemente
da forma de
sua
apresentação
ou
armazenamento,
são
propriedades
do Tribunal e
serão
utilizadas
exclusivamente
para fins
corporativos.
Art.
19. Quando
informações,
sistemas e
métodos forem
gerados ou
criados por
terceiros para
uso exclusivo
do Tribunal,
ficam os
criadores
obrigados ao
sigilo
permanente de
tais produtos,
sendo vedada a
sua
reutilização
em projetos
para outrem.
Art.
20. Os
contratos e
convênios
firmados pelo
Tribunal que
envolvam a
utilização de
recursos de
TIC devem
conter
cláusulas
contemplando
os requisitos
de segurança
de TIC
necessários à
manutenção da
integridade,
confidencialidade,
disponibilidade
e
autenticidade
das
informações.
Art.
21. O
gerenciamento
da
continuidade
dos serviços
de TIC será
realizado
mediante
processo que
deverá cobrir,
no mínimo, as
seguintes
atividades:
I.
Elaboração de
planos de
continuidade
de serviços de
TIC;
II.
Revisão dos
planos de
continuidade
de serviços de
TIC;
III.
Testes dos
planos de
continuidade
de serviços de
TIC.
§1º.
Deverão ser
elaborados
planos de
continuidade
de serviços de
TIC para, no
mínimo, todos
os serviços de
TIC
considerados
críticos;
§2º.
Os planos de
continuidade
deverão ser
atualizados
sempre que
houver
alteração no
ambiente
computacional
ou nos
procedimentos
necessários
para seu
restabelecimento;
§3º.
Deverá ser
elaborado
cronograma
para execução
de teste dos
planos de
continuidade
de todos os
serviços
considerados
críticos.
Art.
22.
Incidente de
segurança de
TIC é qualquer
evento,
confirmado ou
sob suspeita,
que:
I.
Viole este Ato
Normativo;
II.
Permita ou
facilite
acesso não
autorizado ao
ambiente
computacional
ou às
informações
armazenadas
digitalmente
por este
Tribunal;
III.
Represente
ameaça às
informações
armazenadas,
processadas ou
trafegadas
pelos serviços
de TIC;
IV.
Acarrete
exposição de
dados e
informações
confidenciais.
Art.
23. Os
incidentes de
segurança de
TIC serão
tratados
mediante
processo que
deverá cobrir,
no mínimo, as
seguintes
atividades:
I.
Registro;
II.
Avaliação;
III.
Tratamento;
IV.
Comunicação
dos
incidentes.
Art.
24. Os
usuários
deverão
notificar à
Central de
Serviços de
TIC qualquer
incidente de
segurança de
TIC
identificado.
Art.
25. Os
riscos de
segurança de
TIC serão
tratados
mediante
processo que
deverá cobrir,
no mínimo, as
seguintes
atividades:
I.
Definições
preliminares:
definição do
escopo
priorizando,
no mínimo, os
ativos
associados aos
serviços
considerados
críticos;
II.
Análise e
avaliação:
identificação,
comunicação,
avaliação,
aceitação e
priorização
dos riscos;
III.
Plano de
tratamento:
definição das
formas de
tratamento dos
riscos que
deve
relacionar, no
mínimo, as
ações a serem
tomadas, os
responsáveis,
as prioridades
e os prazos de
execução
necessários à
sua
implantação;
IV.
Execução do
plano de
tratamento:
execução das
ações
previstas no
plano de
tratamento dos
riscos
aprovado;
V.
Análise dos
resultados:
avaliação dos
resultados na
execução
do plano,
contendo quais
ações foram
executadas,
dificuldades
encontradas na
execução das
ações e
qualquer
outra
informação que
seja relevante
ao processo;
VI.
Melhoria do
processo:
avaliação da
eficiência e
eficácia do
processo, e
dos problemas
encontrados
durante sua
execução,
revisão das
etapas e ações
previstas,
revisão do
escopo para
próximas
análises e
implementações
de melhorias.
Art.
26. A
auditoria e
conformidade
em segurança
de TIC será
gerida
mediante
processo que
deverá cobrir,
no mínimo, as
seguintes
atividades:
I.
Planejamento:
definição do
escopo e do
calendário dos
trabalhos;
II.
Análise:
Identificação
e análise das
desconformidades,
para
elaboração de
cronograma de
ações para
tratamento das
desconformidades
identificadas;
III.
Tratamento:
execução das
atividades
previstas para
tratamento das
desconformidades
identificadas.
Art.
27. O
controle de
acesso aos
serviços de
TIC será
gerenciado
através do
processo de
Gerenciamento
de Cumprimento
de Requisição,
publicado
através da Portaria
GP nº 57/2015.
§1º.
O controle de
acesso lógico
deverá seguir
as diretrizes
contidas no Ato
GP nº 10/2009,
Capítulo IV –
Das
Competências.
§2º.
Os acessos
devem ser
geridos
através do
princípio do
menor
privilégio.
§3º.
O
representante
de negócio de
cada serviço
de TIC é
responsável
por definir as
regras de
acesso ao
respectivo
serviço.
§4º.
A criação ou
alteração de
credenciais de
acesso deve
seguir o
disposto no Ato
GP nº 08/2015,
que institui a
Política de
Senhas no
âmbito do
Tribunal.
Art.
28. O
acesso físico
ao Datacenter
e às
instalações de
TIC deverão
seguir o
disposto no Ato
GP nº 10/2015.
Art.
29. A
divulgação e
conscientização
em segurança
de TIC será
realizada
mediante
processo que
deverá cobrir,
no
mínimo, as
atividades de
elaboração,
revisão e
divulgação de
material sobre
o tema.
Art.
30. Deverá
ser
estabelecido
um programa de
conscientização
em segurança
de TIC, de
forma que os
usuários
recebam
informações
apropriadas ao
desempenho de
suas funções.
Parágrafo
único. O
programa
deverá
considerar as
seguintes
diretrizes:
I.
Ter por
objetivo
tornar os
usuários
conscientes
das suas
responsabilidades
para a
segurança da
informação e
comunicações e
os meios pelos
quais essas
responsabilidades
são
realizadas;
II.
Estar alinhado
com as
políticas e
procedimentos
relevantes de
segurança de
TIC;
III.
Considerar um
número mínimo
de atividades
de
conscientização,
tais como
campanhas e
notícias;
IV.
Contemplar
novos
usuários.
Art.
31. Todos
os processos
de segurança
de TIC
elaborados
devem ser
publicados na
Intranet, para
livre
consulta.
Art.
32.
Incumbe à
chefia
imediata do
servidor
verificar a
observância
desta
Política, no
âmbito de sua
unidade,
comunicando de
imediato à
Central de
Serviços de
TIC quaisquer
irregularidades
identificadas.
Parágrafo
único. O
descumprimento
desta Política
poderá
acarretar,
isolada ou
cumulativamente,
nos termos da
legislação
vigente,
sanções
administrativas,
civis e
penais.
Art.
33. A
Política, as
Normas e os
Processos de
Segurança da
Informação e
Comunicações
deverão ser
revisados
e atualizados
periodicamente,
sempre que
forem
observadas
mudanças
significativas
no ambiente
organizacional
ou
computacional
ou, no mínimo,
a cada 12
(doze) meses.
Parágrafo
único. A
revisão deverá
considerar,
quando
aplicável:
I.
Os resultados
provenientes
das análises
de risco;
II.
Os relatórios
sobre
incidentes de
segurança de
TIC;
III.
As seguintes
referências
normativas:
a.
Instrução
Normativa
GSI/PR nº 1
de 2008, do
Gabinete de
Segurança
Institucional
da Presidência
da República,
que disciplina
a Gestão da
Segurança da
Informação e
Comunicações
na
Administração
Pública
Federal, e
suas Normas
Complementares;
b.
ABNT NBR
ISO/IEC
27001:2013;
c.
ABNT NBR
ISO/IEC
27002:2013;
d.
ABNT NBR
ISO/IEC
27005:2011.
Art.
34. O
presente Ato
entra em vigor
a partir da
data de sua
publicação,
revogadas as
disposições em
contrário.
Art.
5º. Revogar os
arts.
12-A, 12-B,
12-C
e 12-D
e o Anexo
I, todos
do Ato GP nº
28/2012.
Art. 6º. O
presente Ato
entra em vigor
a partir da
data de sua
publicação,
revogadas as
disposições em
contrário.
Publique-se e
cumpra-se.
São Paulo, 05
de setembro de
2018.
WILSON
FERNANDES
Desembargador
Presidente do
Tribunal
DeJT - TRT 2ª REGIÃO - CAD. ADM. - 12/09/2018
|
Secretaria
de Gestão Jurisprudencial, Normativa e Documental |