POLÍTICA n° 83, de 11 DE JUNHO DE 2024.
Institui a Política de Segurança da Informação (PSI) e o Sistema de Gestão de Segurança da Informação (SGSI) no âmbito do Tribunal Regional do Trabalho da 9ª Região.
O DESEMBARGADOR DO TRABALHO, PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 9ª REGIÃO, no uso de suas atribuições legais e regimentais,
CONSIDERANDO:
- a Resolução nº 396, de 7 de junho de 2021, do Conselho Nacional de Justiça, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);
- a Resolução nº 370, de 28 de janeiro de 2021, do Conselho Nacional de Justiça, que estabelece a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD);
- a importância de se estabelecer objetivos, princípios e diretrizes de Segurança da Informação alinhados às recomendações constantes da norma NBR ISO/IEC 27002, que trata da segurança da informação;
- o Ato Presidência n° 118, de 06 de Setembro de 2022, que instituiu o Comitê de Segurança da Informação e Proteção de Dados (CSIPD);
- a Portaria Nº 162, de 10 de junho de 2021, do Conselho Nacional de Justiça, que aprova Protocolos e Manuais criados pela Resolução CNJ nº 396/2021;
RESOLVE, ad referendum do Tribunal Pleno:
CAPÍTULO I
DAS DISPOSIÇÕES INICIAIS
Art. 1° Instituir a POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI) e o SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO (SGSI) no âmbito do Tribunal Regional do Trabalho da 9ª Região, que é complementada pelas demais normas institucionais internas que fazem referência à Segurança da Informação, a exemplo das seguintes:
I - Backup e restauração de dados;
II - Utilização da Rede de Dados sem Fio;
III - Gestão de Riscos;
IV - Gestão de Ativos de TIC;
V - Identidade Digital e Gerenciamento de Acessos aos recursos de TIC; e
VI - Utilização dos Recursos de TIC.
Art. 2º As diretrizes, normas e procedimentos de segurança da informação de que trata esta política aplicam-se a todos os usuários de informações e de recursos de tecnologia da informação do Tribunal.
Parágrafo único. Todos os usuários, no âmbito de suas atribuições e competências, são corresponsáveis pela segurança da informação e devem, para tanto, zelar pelo correto conhecimento, entendimento e cumprimento das diretrizes, normas, procedimentos e instruções integrantes desta PSI, devendo comunicar à Central de Serviços de TIC do Tribunal Regional do Trabalho da 9ª Região a respeito de qualquer indício de falha, incidente ou irregularidade de que tiverem conhecimento.
Art. 3º Para os efeitos da PSI ficam estabelecidas as seguintes conceituações principais:
I - ADMINISTRADOR DOS SISTEMAS COMPUTACIONAIS: quaisquer pessoas integrantes do quadro funcional ou não, lotadas nas áreas de TIC, que tenham sido autorizadas a conhecer o código de acesso e senha de administração de recurso de Tecnologia da Informação e Comunicação (TIC), seja ele de uso geral, de uso restrito a uma unidade ou grupo de pessoas, ou de uso individual;
II - ÁREA DE TIC: Unidades administrativas do Tribunal responsáveis pelos serviços de TIC do Tribunal, tais como: infraestrutura e operações, desenvolvimento de soluções, governança e gestão de TIC e de segurança da informação;
III - CICLO DE VIDA DA INFORMAÇÃO: ciclo que compreende etapas e eventos de produção, recebimento, armazenamento, acesso, uso, alteração, cópia, transporte e descarte da informação;
IV - GESTOR DE SEGURANÇA DA INFORMAÇÃO: pessoa responsável pela coordenação das atividades relacionadas à segurança da informação no âmbito do Tribunal Regional do Trabalho da 9ª Região;
V - INCIDENTE DE SEGURANÇA DA INFORMAÇÃO: qualquer indício de fraude, sabotagem, espionagem, desvio, falha ou evento indesejado ou inesperado que tenha probabilidade de comprometer ou ameaçar um ou mais pilares da segurança da informação, a saber, Disponibilidade, Integridade e Confidencialidade;
VI - INFORMAÇÃO: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente do suporte em que resida ou da forma pela qual seja veiculado;
VII - PDCA - trata-se de um método iterativo de gestão de quatro etapas: Planejar (do inglês, Plan - P), Fazer (do inglês, Do - D), Checar (do inglês, Check - C) e Agir (do inglês, Act - A) utilizado para o controle e melhoria contínua de processos e produtos;
VIII - PLANO DE SEGURANÇA DA INFORMAÇÃO (PLSI): é um plano estratégico com objetivo de direcionar as ações relativas à segurança da informação que deverão ser implantadas na instituição, considerando os requisitos estabelecidos na Política e no Sistema de gestão de segurança da informação (PSI e SGSI) estabelecidos neste Regional;
IX - RECURSOS DE TIC: equipamentos relacionados à TIC, tais como microcomputadores e dispositivos de armazenamento de dados, softwares, serviços de rede e comunicação de dados, suprimentos e bens de consumo também relacionados à TIC, e dados armazenados em qualquer equipamento;
X - SEGURANÇA DA INFORMAÇÃO: é disciplina que, no âmbito do Tribunal Regional do Trabalho da 9ª Região tem por objetivo garantir a continuidade e eficiência da prestação jurisdicional, salvaguardar as informações, imagem e objetivos institucionais, por meio da preservação das propriedades de confidencialidade, integridade e disponibilidade da informação, com foco mais amplo, cuidando da redução de riscos no transporte de dados por qualquer meio, seja digital ou não;
XI - SEGURANÇA CIBERNÉTICA: é um conjunto de práticas que protege informação armazenada nos computadores e aparelhos de computação e transmitida por meio das redes de comunicação, incluindo a Internet e telefones celulares, e que se aplica a uma parte da segurança da informação com foco na proteção digital, cuidando das ameaças as informações transportadas por meios cibernéticos;
XII - SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO (SGSI): modelo de gestão, composto por um conjunto de políticas ou normas, que visa a estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação; e
XIII - USUÁRIOS: magistrados, servidores ocupantes de cargo efetivo ou em comissão, funcionários de empresas prestadoras de serviços terceirizados, consultores, estagiários, advogados, jurisdicionados em geral e outras pessoas que se encontrem a serviço da Justiça do Trabalho, ainda que em caráter temporário.
CAPÍTULO II
DAS DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO
Art. 4º São objetivos da PSI do Tribunal Regional do Trabalho da 9ª Região:
I - estabelecer princípios de governança e gestão de segurança da informação, definindo diretrizes e normas gerais para a sua efetiva implantação;
II - subsidiar ações para implementação e manutenção de processos de trabalho relacionados com a segurança cibernética;
III - subsidiar ações necessárias para implementação e manutenção de controles para atendimento a requisitos mínimos de segurança da informação nos demais processos de trabalho;
IV - apoiar a manutenção e a continuidade dos serviços críticos do órgão, ou o seu restabelecimento em menor tempo possível.
Parágrafo único. A PSI alinha-se ao objetivo institucional de aprimorar a governança de TIC, a proteção de dados e a segurança cibernética.
Art. 5º São princípios da Segurança da Informação no Tribunal:
I - O MENOR PRIVILÉGIO: exige que sejam concedidos aos usuários somente os privilégios necessários ao exercício de suas funções institucionais;
II - O CONTROLE DA RESPONSABILIDADE: estabelece que as pessoas que estejam em posições de maior responsabilidade e risco devam ser submetidas a controles mais rígidos de segurança da informação;
III - A PROPRIEDADE DA ORGANIZAÇÃO: garante que informações, sistemas, processos, procedimentos ou métodos específicos criados pelos usuários, no exercício de suas funções, independentemente da forma de sua apresentação ou armazenamento, são de propriedade deste Tribunal e deverão ser adequadamente protegidos e utilizados exclusivamente para fins relacionados às atividades institucionais;
IV - A IDENTIFICAÇÃO DIGITAL: preconiza que a identificação de qualquer usuário deve ser única, pessoal e intransferível, qualificando-o como responsável pelas ações realizadas por meio dessa identidade;
V - A TRANSPARÊNCIA: determina que as informações de interesse público devem permanecer públicas e disponíveis;
VI - A UNIVERSALIDADE: estabelece que os controles de segurança da informação devam ser aplicados a todos os meios e etapas do ciclo de vida da informação;
VII - O MONITORAMENTO CONTÍNUO: estabelece que os meios nos quais trafegam as informações devem ser constantemente monitorados e controlados, com o intuito de evitar ameaças à informação;
VIII - O REPOSITÓRIO ADEQUADO: estabelece que as informações devem ser armazenadas em repositórios ou locais compatíveis com suas características e requisitos de segurança;
IX - A NÃO EXCLUSIVIDADE: estabelece que não é permitido que apenas um usuário ou administrador de sistemas computacionais do Tribunal possua controle ou acesso exclusivo de um processo de negócio ou recurso imprescindível para a continuidade do negócio.
X - A CONFIDENCIALIDADE: garante que a informação só é acessada por indivíduos, entidades e processos autorizados;
XI - A INTEGRIDADE: garante que a informação armazenada ou transferida esteja correta e não tenha sofrido adulteração;
XII - A DISPONIBILIDADE: estabelece que a informação esteja acessível e utilizável sob demanda por uma entidade autorizada;
XIII - A AUTENTICIDADE: garante que os dados fornecidos são verdadeiros e de que o usuário é legítimo;
XIV - A CRITICIDADE: classificação de acordo com o grau de relevância do ativo de informação em relação à confidencialidade, à integridade e à disponibilidade, observadas as necessidades do negócio e a legislação em vigor;
XV - O NÃO-REPUDIO OU IRRETRATABILIDADE: garante que uma pessoa não consiga negar a autoria ou envio de uma informação; e
XVI - A PRIVACIDADE: garante a inviolabilidade da intimidade, da vida privada, da honra e da imagem das pessoas.
CAPÍTULO III
DO SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Art. 6º Esta política integra o Sistema de Gestão de Segurança da Informação (SGSI), composto, também, pelos processos relacionados ao tema, a exemplo dos seguintes:
I - gerenciamento de riscos de segurança da informação;
II - incidentes de segurança da informação;
III - continuidade de serviços essenciais;
IV - utilização dos recursos de TIC;
V - gerenciamento e controle de ativos de informação;
VI - gestão de backup e retenção de dados;
VII - identidade digital e gerenciamento de acesso;
VIII - gestão, monitoramento e segurança dos Data Centers.
Parágrafo único. O Sistema de Gestão de Segurança da Informação é um processo cíclico do tipo PDCA, de melhoria contínua, e deve ser realizado por meio das etapas de planejamento, execução, monitoramento e melhoria, seguindo as melhores práticas de gestão de segurança da informação vigentes.
Art. 7º Em relação à segurança da informação, cabe à Área de TIC:
I - executar os processos referidos no Art. 6º e outros que os complementem;
II - gerir a infraestrutura de hardware e software necessária à prestação dos serviços corporativos, estabelecendo os procedimentos de segurança e continuidade adequados;
III - registrar ações e eventos que possam ter um impacto na eficácia ou no desempenho do SGSI;
IV - executar ações preventivas e corretivas que impactem positivamente na gestão de segurança da informação;
V - monitorar a utilização dos recursos de tecnologia da informação, com o intuito de detectar infrações a normas, procedimentos e diretrizes que integram a PSI, fornecendo evidências no caso de incidentes de segurança.
Art. 8º Cabe ao GESTOR INSTITUCIONAL DE SEGURANÇA DA INFORMAÇÃO, com apoio da área de TIC:
I gerir o Sistema de Gestão de Segurança da Informação;
II propor controles internos fundamentados na gestão de riscos da segurança da informação;
III apoiar o planejamento e execução de programas, projetos e processos relativos à segurança da informação;
IV propor procedimento de tratamento e resposta a incidentes em segurança da informação;
V observar as normas e os procedimentos específicos aplicáveis em consonância com os princípios e as diretrizes da Resolução CNJ nº 396/2021 e da legislação de regência.
CAPÍTULO IV
DO MONITORAMENTO E MELHORIA
Art. 9º O Gestor de Segurança da Informação dará ciência ao Comitê de Segurança da Informação e Proteção de Dados (CSIPD) dos indicadores e eventos relevantes de segurança da informação, a fim de permitir o acompanhamento do cumprimento desta política.
CAPÍTULO V
DA PRESTAÇÃO DE CONTAS
Art. 10. O Gestor de Segurança da Informação disponibilizará por meio do painel informatizado a relação das políticas ou normas de segurança da informação vigentes, em elaboração, modificadas ou extintas.
CAPÍTULO VI
DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Art. 11. O descumprimento desta política, bem como das diretrizes, normas e procedimentos de segurança da informação estabelecidos poderá acarretar, nos termos da legislação vigente, sanções administrativas, civis e penais, assegurada a ampla defesa.
Art. 12. Os casos omissos e as dúvidas surgidas na aplicação desta política serão dirimidos pela Presidência do Tribunal.
Art. 13. Esta Política entra em vigor na data de sua publicação, revogando-se a Política Nº 28/2018, instituída pela Resolução Administrativa 85/2018, de 26 de novembro de 2018.
CÉLIO HORST WALDRAFF
Desembargador Presidente do TRT da 9ª Região
