ATO GP Nº 38/2018
Revogado pelo Ato n. 2/GP, de 7 de janeiro de 2022

O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 2ª REGIÃO, no uso de suas atribuições legais e regimentais,

CONSIDERANDO o Ato GP nº 28/2012, que instituiu a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 2ª Região, especialmente o artigo 12-A, que determina sua revisão e atualização periódica;

CONSIDERANDO as Diretrizes para a Gestão de Segurança da Informação no âmbito do Poder Judiciário (2012) estabelecidas pelo Conselho Nacional de Justiça,

RESOLVE:

Art. 1º. Revisar e atualizar a Política de Segurança da Informação e Comunicações no âmbito do Tribunal Regional do Trabalho da 2ª Região de acordo com os termos deste Ato.

Art. 2º. Alterar os incisos V, VI e VII e acrescentar os incisos VIII, XIX, X e XI ao art. 2º do Ato GP nº 28/2012, que passa a vigorar com a seguinte redação:

Art. 2º. (...)

(...)

V. Recurso de TIC: qualquer equipamento, dispositivo, serviço, infraestrutura ou sistema de processamento da informação, ou as instalações físicas que os abriguem;

VI. Usuários: magistrados e servidores ocupantes de cargo efetivo ou em comissão, requisitados e cedidos, empregados de empresas prestadoras de serviços terceirizados, consultores, estagiários e outras pessoas que, devidamente autorizadas, utilizem os recursos tecnológicos do TRT;

VII. Plano de Continuidade de Serviço de TIC: documento com o objetivo de estabelecer os procedimentos necessários para restauração do funcionamento de um serviço de TIC no menor tempo possível, caso este serviço seja atingido por eventos que afetem sua disponibilidade;

VIII. Princípio do Menor Privilégio: orientação para que qualquer tipo de acesso configurado seja realizado da forma mais restritiva possível, garantindo que:

a. O acesso seja concedido apenas às pessoas necessárias;

b. O acesso seja concedido apenas pelo tempo necessário;

c. O acesso seja concedido apenas aos recursos necessários;

d. O acesso seja concedido apenas aos perfis necessários.

IX. Registros de Auditoria (LOGS): arquivos que contém informações sobre eventos relevantes, como informações de autenticação ou de ações praticadas em equipamento ou serviço de TIC;

X. Representante do Negócio: pessoa ou comitê responsável por negociar com a comunidade de usuários quais as regras, demandas, expectativas de nível de serviço e solicitações de mudanças devem ser feitas para os serviços e qual a prioridade destas;

XI. Zona Desmilitarizada: área reservada de rede de computadores responsável por concentrar os equipamentos que devem ser acessíveis por outras redes menos seguras, como a Internet, implementando regras de acesso específicas e suficientes para a proteção do ambiente computacional da instituição.

Art. 3º. Alterar o teor dos arts. 3º, 4º, 5º, 6º, 7º, 8º, 9º, 10, 11, 12 e 13 do Ato GP nº 28/2012, que passam a vigorar com a seguinte redação:

Art. 3º. As disposições deste Ato aplicam-se a todos os usuários de recursos de TIC do Tribunal Regional do Trabalho da 2ª Região.

Art. 4º. Compete ao Comitê de Segurança da Informação e Comunicações:

I. Elaborar propostas de diretrizes, normas e políticas para os assuntos relacionados à Segurança da Informação e Comunicações, tais como:

a. Auditoria e conformidade em segurança de TIC;

b. Classificação das informações;

c. Contingência e continuidade dos serviços de TIC;

d. Controle de acesso lógico e físico;

e. Divulgação e conscientização;

f. Geração e restauração de cópias de segurança;

g. Gestão de riscos de TIC;

h. Tratamento dos incidentes relacionados à segurança de TIC;

i. Utilização de recursos de TIC.

II. Rever periodicamente esta Política de Segurança da Informação e Comunicações, sugerindo possíveis alterações;

III. Estabelecer diretrizes e definições estratégicas para a segurança da informação e comunicações;

IV. Acompanhar planos de ação para aplicação dessa política e das normas a ela relacionadas, assim como campanhas de divulgação e conscientização dos usuários;

V. Receber e analisar as comunicações de descumprimento das normas referentes a essa política;

VI. Solicitar, sempre que necessário, a realização de auditorias à Coordenadoria de Segurança de TIC, relativamente ao uso dos recursos de Tecnologia da Informação e Comunicações, no âmbito deste Tribunal;

VII. Avaliar relatórios e resultados de auditorias apresentados pela Coordenadoria de Segurança de TIC;

VIII. Definir quais serviços de TIC devem ser considerados críticos;

IX. Realizar a gestão de riscos de TIC, com base em análises de risco, deliberando sobre as medidas necessárias à mitigação dos riscos identificados;

X. Dirimir dúvidas e deliberar sobre questões relacionadas à Política de Segurança, não contempladas neste Ato ou norma correlata;

XI. Apresentar à Presidência do Tribunal, quando solicitado, os resultados de suas ações e atividades.

Art. 5º. Compete ao Gestor de Segurança da Informação e Comunicações, mais antigo integrante do Comitê de Segurança da Informação e Comunicações:

I. Coordenar as atividades do Comitê de Segurança da Informação e Comunicações;

II. Submeter à Presidência, propostas de diretrizes, normas e políticas relativas à Segurança da Informação e Comunicações;

III. Promover a cultura de segurança da informação e comunicações;

IV. Acompanhar os levantamentos e as avaliações dos danos decorrentes de quebra de segurança;

V. Propor recursos necessários às ações de segurança da informação e comunicações;

VI. Avaliar estudos de novas tecnologias, quanto a possíveis impactos na segurança da informação e comunicações.

Art. 6º. Compete à Coordenadoria de Segurança de TIC, além do disposto no Ato GP nº 25/2016:

I. Elaborar e coordenar as ações do Plano Estratégico de Segurança da Informação, com base nas definições estratégicas estabelecidas pelo Comitê de Segurança da Informação;

II. Prestar apoio técnico especializado às atividades do Comitê de Segurança da Informação e Comunicações nos assuntos relacionados à Segurança de TIC;

III. Informar ao Comitê de Segurança da Informação e Comunicações a respeito de incidentes de segurança de TIC e riscos identificados no ambiente computacional do Tribunal.

Art. 7º. A Secretaria de Tecnologia da Informação e Comunicações implantará mecanismos de proteção que visem assegurar a confidencialidade, integralidade e disponibilidade do ambiente computacional do Tribunal.

Art. 8º. Os equipamentos que compõe o parque tecnológico do Tribunal devem ter seu relógio e fuso horário sincronizados com o equipamento responsável pelo serviço de relógio mantido pela Secretaria de Tecnologia da Informação e Comunicações.

Art. 9º. Os registros de auditoria (logs) gerados nos equipamentos servidores devem ser armazenados em equipamento centralizado, com controles de acesso implementados de forma a garantir a integridade e a confidencialidade das informações.

Art. 10. As configurações de acesso ou comunicação realizadas nas soluções de infraestrutura e segurança de TIC devem obedecer ao princípio do menor privilégio.

§1º. Qualquer acesso ou comunicação que não tenha necessidade de ser liberado deve ser bloqueado.

§2º. Deverá ser implementada uma zona desmilitarizada para confinamento de equipamentos acessíveis publicamente através da internet.

§3º. As redes que contém equipamentos servidores devem ser segregadas das redes que contém equipamentos de microinformática.

§4º. Sempre que possível, as redes que contêm equipamentos de microinformática devem ser segregadas ao nível das Unidades Organizacionais.

Art. 11. Sempre que possível, deverão ser utilizados protocolos de comunicação que implementem mecanismos de criptografia em detrimento de protocolos sem estes mecanismos;

Art. 12. A geração e restauração de cópias de segurança do ambiente computacional deverão seguir o disposto no Ato GP nº 07/2015.

Art. 13. O descarte seguro de mídias de armazenamento de dados no âmbito deste Tribunal deverá seguir o disposto no Ato GP nº 09/2015.

Art. 4º. Acrescentar os arts. 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33 e 34 ao Ato GP nº 28/2012, com o seguinte teor:

Art. 14. O uso adequado dos recursos de TIC visa garantir a continuidade da prestação jurisdicional deste Tribunal.

§1º. Os recursos de tecnologia da informação, pertencentes ao Tribunal que estão disponíveis para os usuários, devem ser utilizados em atividades relacionadas às suas funções institucionais.

§2º. A utilização dos recursos de TIC será monitorada, podendo serem realizadas auditorias com a finalidade de detectar eventos que deponham contra a segurança da informação e comunicações, as boas práticas no uso dos recursos de TIC ou eventos que estejam em desconformidade com os normativos vigentes.

§3º. A utilização dos recursos de TIC deverá seguir as diretrizes contidas no Ato GP nº 10/2009.

Art. 15. O serviço de correio eletrônico deve ser utilizado como ferramenta institucional para execução das atribuições funcionais de magistrados e servidores, ativos e inativos.

Parágrafo único. Assuntos relacionados à rotina de trabalho devem ser tratados exclusivamente através das contas corporativas de correio eletrônico, fornecidas por este Tribunal, sendo vedada a utilização de contas pessoais de correio eletrônico para este fim.

Art. 16. O serviço de acesso à Internet provido através da rede do Tribunal deve restringir-se às páginas com conteúdo estritamente relacionado com as atividades desempenhadas pelo Órgão, necessários ao cumprimento das atribuições funcionais do usuário.

§1º. O Comitê de Segurança da Informação e Comunicações deliberará a respeito de solicitações de acesso a sites bloqueados pela política de acesso vigente, mas que sejam necessários à rotina funcional das unidades solicitantes.

§2º. Equipamentos fornecidos para utilização do público em geral terão regras de acesso específicas, de acordo com a necessidade de cada equipamento, elaboradas de acordo com o princípio do menor privilégio.

Art. 17. Toda informação gerada no Tribunal será classificada em termos de seu valor, requisitos legais, sensibilidade, criticidade e necessidade de compartilhamento, observadas as diretrizes contidas no Ato GP nº 30/2014.

Art. 18. As informações, sistemas e métodos gerados ou criados por magistrados e servidores, no exercício de suas funções, independentemente da forma de sua apresentação ou armazenamento, são propriedades do Tribunal e serão utilizadas exclusivamente para fins corporativos.

Art. 19. Quando informações, sistemas e métodos forem gerados ou criados por terceiros para uso exclusivo do Tribunal, ficam os criadores obrigados ao sigilo permanente de tais produtos, sendo vedada a sua reutilização em projetos para outrem.

Art. 20. Os contratos e convênios firmados pelo Tribunal que envolvam a utilização de recursos de TIC devem conter cláusulas contemplando os requisitos de segurança de TIC necessários à manutenção da integridade, confidencialidade, disponibilidade e autenticidade das informações.

Art. 21. O gerenciamento da continuidade dos serviços de TIC será realizado mediante processo que deverá cobrir, no mínimo, as seguintes atividades:

I. Elaboração de planos de continuidade de serviços de TIC;

II. Revisão dos planos de continuidade de serviços de TIC;

III. Testes dos planos de continuidade de serviços de TIC.

§1º. Deverão ser elaborados planos de continuidade de serviços de TIC para, no mínimo, todos os serviços de TIC considerados críticos;

§2º. Os planos de continuidade deverão ser atualizados sempre que houver alteração no ambiente computacional ou nos procedimentos necessários para seu restabelecimento;

§3º. Deverá ser elaborado cronograma para execução de teste dos planos de continuidade de todos os serviços considerados críticos.

Art. 22. Incidente de segurança de TIC é qualquer evento, confirmado ou sob suspeita, que:

I. Viole este Ato Normativo;

II. Permita ou facilite acesso não autorizado ao ambiente computacional ou às informações armazenadas digitalmente por este Tribunal;

III. Represente ameaça às informações armazenadas, processadas ou trafegadas pelos serviços de TIC;

IV. Acarrete exposição de dados e informações confidenciais.

Art. 23. Os incidentes de segurança de TIC serão tratados mediante processo que deverá cobrir, no mínimo, as seguintes atividades:

I. Registro;

II. Avaliação;

III. Tratamento;

IV. Comunicação dos incidentes.

Art. 24. Os usuários deverão notificar à Central de Serviços de TIC qualquer incidente de segurança de TIC identificado.

Art. 25. Os riscos de segurança de TIC serão tratados mediante processo que deverá cobrir, no mínimo, as seguintes atividades:

I. Definições preliminares: definição do escopo priorizando, no mínimo, os ativos associados aos serviços considerados críticos;

II. Análise e avaliação: identificação, comunicação, avaliação, aceitação e priorização dos riscos;

III. Plano de tratamento: definição das formas de tratamento dos riscos que deve relacionar, no mínimo, as ações a serem tomadas, os responsáveis, as prioridades e os prazos de execução necessários à sua implantação;

IV. Execução do plano de tratamento: execução das ações previstas no plano de tratamento dos riscos aprovado;

V. Análise dos resultados: avaliação dos resultados na execução do plano, contendo quais ações foram executadas, dificuldades encontradas na execução das ações e qualquer outra informação que seja relevante ao processo;

VI. Melhoria do processo: avaliação da eficiência e eficácia do processo, e dos problemas encontrados durante sua execução, revisão das etapas e ações previstas, revisão do escopo para próximas análises e implementações de melhorias.

Art. 26. A auditoria e conformidade em segurança de TIC será gerida mediante processo que deverá cobrir, no mínimo, as seguintes atividades:

I. Planejamento: definição do escopo e do calendário dos trabalhos;

II. Análise: Identificação e análise das desconformidades, para elaboração de cronograma de ações para tratamento das desconformidades identificadas;

III. Tratamento: execução das atividades previstas para tratamento das desconformidades identificadas.

Art. 27. O controle de acesso aos serviços de TIC será gerenciado através do processo de Gerenciamento de Cumprimento de Requisição, publicado através da Portaria GP nº 57/2015.

§1º. O controle de acesso lógico deverá seguir as diretrizes contidas no Ato GP nº 10/2009, Capítulo IV – Das Competências.

§2º. Os acessos devem ser geridos através do princípio do menor privilégio.

§3º. O representante de negócio de cada serviço de TIC é responsável por definir as regras de acesso ao respectivo serviço.

§4º. A criação ou alteração de credenciais de acesso deve seguir o disposto no Ato GP nº 08/2015, que institui a Política de Senhas no âmbito do Tribunal.

Art. 28. O acesso físico ao Datacenter e às instalações de TIC deverão seguir o disposto no Ato GP nº 10/2015.

Art. 29. A divulgação e conscientização em segurança de TIC será realizada mediante processo que deverá cobrir, no mínimo, as atividades de elaboração, revisão e divulgação de material sobre o tema.

Art. 30. Deverá ser estabelecido um programa de conscientização em segurança de TIC, de forma que os usuários recebam informações apropriadas ao desempenho de suas funções.

Parágrafo único. O programa deverá considerar as seguintes diretrizes:

I. Ter por objetivo tornar os usuários conscientes das suas responsabilidades para a segurança da informação e comunicações e os meios pelos quais essas responsabilidades são realizadas;

II. Estar alinhado com as políticas e procedimentos relevantes de segurança de TIC;

III. Considerar um número mínimo de atividades de conscientização, tais como campanhas e notícias;

IV. Contemplar novos usuários.

Art. 31. Todos os processos de segurança de TIC elaborados devem ser publicados na Intranet, para livre consulta.

Art. 32. Incumbe à chefia imediata do servidor verificar a observância desta Política, no âmbito de sua unidade, comunicando de imediato à Central de Serviços de TIC quaisquer irregularidades identificadas.

Parágrafo único. O descumprimento desta Política poderá acarretar, isolada ou cumulativamente, nos termos da legislação vigente, sanções administrativas, civis e penais.

Art. 33. A Política, as Normas e os Processos de Segurança da Informação e Comunicações deverão ser revisados e atualizados periodicamente, sempre que forem observadas mudanças significativas no ambiente organizacional ou computacional ou, no mínimo, a cada 12 (doze) meses.

Parágrafo único. A revisão deverá considerar, quando aplicável:

I. Os resultados provenientes das análises de risco;

II. Os relatórios sobre incidentes de segurança de TIC;

III. As seguintes referências normativas:

a. Instrução Normativa GSI/PR nº 1 de 2008, do Gabinete de Segurança Institucional da Presidência da República, que disciplina a Gestão da Segurança da Informação e Comunicações na Administração Pública Federal, e suas Normas Complementares;

b. ABNT NBR ISO/IEC 27001:2013;

c. ABNT NBR ISO/IEC 27002:2013;

d. ABNT NBR ISO/IEC 27005:2011.

Art. 34. O presente Ato entra em vigor a partir da data de sua publicação, revogadas as disposições em contrário.

Art. 5º. Revogar os arts. 12-A, 12-B, 12-C e 12-D e o Anexo I, todos do Ato GP nº 28/2012.

Art. 6º. O presente Ato entra em vigor a partir da data de sua publicação, revogadas as disposições em contrário.

Publique-se e cumpra-se.

São Paulo, 05 de setembro de 2018.