ÓRGÃO
ESPECIAL
RESOLUÇÃO
ADMINISTRATIVA Nº 16/2018
(Disponibilizada em
22/6/17 no DEJT, Caderno Administrativo)
Estabelece a nova Política
de Controle de Acesso relativo à Segurança da Informação no âmbito do Tribunal
Regional do Trabalho da Primeira Região e revoga a Resolução
Administrativa nº 57, de 4 de dezembro de 2014.
O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO
DA PRIMEIRA REGIÃO, no uso de suas atribuições legais e regimentais, tendo
em vista o decidido, por unanimidade, pelo Órgão Especial, reunido em Sessão
Ordinária, no dia 21 de junho de 2018,
CONSIDERANDO a Resolução
Administrativa nº 57, de 4 de dezembro de 2014, do
Órgão Especial, publicada no Diário Oficial do Estado do Rio de Janeiro, em 15
de dezembro de 2014, que aprovou a Política de Controle de Acesso relativo à
Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 1ª
Região;
CONSIDERANDO a necessidade de
aprimoramento da Política de Controle de Acesso no âmbito deste Tribunal para
aderência às diretrizes dos Órgãos Reguladores;
CONSIDERANDO a Norma Complementar
nº 07/IN01/DSIC/GSIPR, do Gabinete de Segurança Institucional da Presidência da
República, que teve como objetivo estabelecer as diretrizes para implementação de controles de acesso relativos à segurança
da informação e comunicação nos órgãos e entidades da Administração Pública
Federal, direta e indireta;
CONSIDERANDO o posicionamento do
Tribunal de Contas da União, fomentando a análise crítica e monitoramento das
Políticas de Segurança da Informação, observada a recomendação inserta nas
práticas NBR ISO/27002, dentre elas a constante do item 11.1.1, que determina
que a Política de Controle de Acesso seja estabelecida documentada e analisada
criticamente, para assegurar a sua contínua pertinência, adequação e eficácia; e
CONSIDERANDO a importância da
Segurança de Tecnologia da Informação para o funcionamento da rede corporativa
e de todos os sistemas hoje utilizados, bem como daqueles que venham a ser implementados,
RESOLVE:
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1º Estabelecer a
nova Política de Controle de Acesso (PCA) relativo à Segurança da Informação no
âmbito do Tribunal Regional do Trabalho da Primeira Região.
Art. 2º Para os efeitos
desta Resolução Administrativa aplicam-se as seguintes definições:
I - Ativo: qualquer
coisa que tenha valor para a organização;
II - Controle de
acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade
de conceder ou bloquear o acesso;
III - Acesso: ato de
ingressar, transitar, conhecer ou consultar a informação, bem como a
possibilidade de usar os ativos de informação de um órgão ou entidade;
IV -
Confidencialidade: propriedade de que a informação não esteja disponível ou
revelada a indivíduos, entidades ou processos não autorizados;
V - Disponibilidade:
propriedade que garante que as informações estejam acessíveis às pessoas e aos
processos autorizados, no momento requerido;
VI - Integridade:
propriedade de salvaguarda da exatidão e completeza da informação;
VII - Segurança da
informação: preservação da confidencialidade, integridade e disponibilidade da
informação; adicionalmente, outras propriedades, tais como autenticidade,
responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas;
VIII - Serviços de
TIC: serviço baseado no uso da Tecnologia da Informação e Comunicação, provido para um ou mais clientes, e que oferece apoio aos
processos de negócio destes, composto pela combinação de pessoas, processos e
tecnologias que devem ser definidas por meio de um Acordo de Nível de Serviço;
IX - Comitê Gestor de
Segurança da Informação (CGSI) - Órgão colegiado, de natureza deliberativa e de
caráter permanente, que tem por finalidade propor diretrizes para a Gestão
Corporativa de Segurança da Informação;
X - Usuários: pessoas
que fazem uso de recursos de TIC; e
XI - Segregação de
Função: consiste na separação de funções de
autorização, aprovação, execução, controle e contabilização das operações,
evitando o acúmulo de funções por parte de um mesmo servidor.
CAPÍTULO II
DA PROPRIEDADE E MONITORAÇÃO
Art. 3º Os sistemas
de informação são de propriedade ou de concessão do TRT/RJ, fornecidos a seus usuários
para apoiar as atividades comprovadamente do TRT/RJ e podem ser revogados a
qualquer tempo. Os usuários não têm direito de propriedade ou à privacidade
sobre qualquer informação obtida através dos sistemas de informação do TRT/RJ,
ou neles armazenada, com exceção feita ao que for exigido por lei.
Art. 4º O TRT/RJ tem
o direito de monitorar rotineiramente a utilização dos seus sistemas de
informação ou sempre que se faça necessário para assegurar a utilização
adequada de seus ativos e serviços, objetivando a melhor condução das suas
atividades, não importando se o equipamento utilizado esteja fisicamente dentro
de instalações do TRT/RJ ou em qualquer outro local.
Art. 5º O TRT/RJ se
reserva o direito de passar as informações gravadas ou torná-las públicas a
pedido de terceiros, desde que atendendo as exigências estabelecidas por lei.
Art. 6º Para cada
serviço de TIC os usuários são divididos em perfis de acesso e de acordo com a
definição destes perfis terão direitos e permissões diferenciadas.
Art. 7º A PCA se
aplica a todos os usuários que exercem atividades no âmbito do TRT/RJ ou a quem
quer que venha a ter acesso a dados, informações,
sistemas, ambientes e demais ativos protegidos por este regulamento.
Art. 8º A implementação, divulgação e conscientização dos controles de
acesso deverão estar em conformidade com a Política de Segurança de Tecnologia
da Informação e Comunicação (POSIC).
CAPÍTULO III
DO CONTROLE DE ACESSO AOS SISTEMAS E SERVIÇOS
DE TIC
Art. 9º O Processo de
gerenciamento de acesso ao usuário deverá assegurar o acesso ao usuário
autorizado e impedir o acesso ao usuário não autorizado a sistemas e serviços
de TIC, alinhando-se às diretrizes de classificação da informação quanto à
confidencialidade no âmbito do TRT/RJ.
Art. 10. Os acessos
serão viabilizados pelo uso de credenciais de acesso (conjunto de nome de
usuário e senha) únicas, de uso individual, e que permitam relacionar os
usuários que delas se utilizam com suas responsabilidades e ações, observado o
seguinte:
I - os acessos serão
criados sob demanda, excetuando-se casos os quais seja
utilizado um serviço de TIC que possa automatizar o processo, desde que seja
mantida a linha de responsabilidade prevista;
II - os entes
responsáveis pela solicitação de acesso também são responsáveis por solicitar
eventuais modificações nos privilégios de acesso, bem como a revogação do
acesso, cabendo-lhes, ainda, verificar a correta utilização dos acessos
concedidos na realização das atividades dos usuários;
III - Os usuários
deverão assinar um termo de confidencialidade e de responsabilidade (Anexo
I) para utilização dos recursos de TIC.
Art. 11. O uso compartilhado
de credenciais de acesso somente será permitido onde eles são necessários por
razões operacionais ou de negócios e deve ser aprovado pelo Comitê Gestor de
Segurança da Informação.
Art. 12. O usuário é
responsável por todas as ações realizadas por meio dos seus acessos, sendo o
cuidado com a senha e o uso da identificação, que é pessoal e intransferível,
de sua responsabilidade.
Art. 13. A concessão,
alteração e a revogação de acesso aos serviços de TIC do TRT/RJ serão efetuadas
mediante solicitação do gestor da unidade judiciária ou administrativa,
observando a segregação de funções.
Art. 14. Os acessos
aos sistemas e serviços de Tecnologia da Informação e Comunicação continuarão a
ser gravados em logs para posterior auditoria.
Parágrafo único. Cabe
ao Comitê Gestor de Segurança da Informação a análise referente à divulgação
dos logs.
CAPÍTULO IV
DO CONTROLE DE ACESSO À INTERNET
Art. 15. Os usuários
ao utilizarem a Internet deverão fazê-lo de acordo com a regulamentação
pertinente, no estrito interesse profissional do TRT/RJ, sendo vedado o acesso
de forma considerada indevida, inadequada ou abusiva, de conteúdo considerado
ofensivo, ilegal, impróprio ou incompatível com as atividades laborais,
relacionado a hackers, a páginas que possuam conteúdos invasivos ou
prejudiciais ao ambiente tecnológico do TRT/RJ, ou que busquem burlar os
sistemas de bloqueio, filtro e segurança estabelecidos.
Art. 16. Cabe ao
Comitê Gestor de Segurança da Informação a análise referente ao bloqueio de
sites cujo conteúdo expresse as situações descritas no artigo 15 desta
Resolução.
Parágrafo único. O
não bloqueio de conteúdo incompatível aos interesses do TRT/RJ não exime o
usuário da responsabilidade de observar as orientações de uso descritas neste
Capítulo.
CAPÍTULO V
DO CONTROLE DE ACESSO À REDE CORPORATIVA DE
DADOS
Art. 17. A rede
corporativa de dados do TRT/RJ é um ativo tecnológico estratégico para as
atividades do TRT/RJ e a sua utilização deverá ser realizada apenas para atividades
funcionais dos usuários, obedecidos os critérios de
segurança exigidos.
Art. 18. Entende-se
como rede corporativa de dados do TRT/RJ o conjunto de ativos tecnológicos de
hardware e software para acesso às informações, composta por uma parte denominada
rede cabeada, e por outra, denominada rede sem fio (wireless).
Art. 19. O acesso dos
usuários aos recursos disponibilizados pela rede será validado por método de
autenticação de usuário e senha e outros que se façam necessários, observado o
seguinte:
I - todos os
equipamentos conectados à rede corporativa de dados do TRT/RJ (rede cabeada e
rede sem fio) deverão atender aos padrões de configuração e
segurança definidos e homologados pela STI;
II - o acesso à rede
corporativa de dados do TRT/RJ com equipamentos externos deverá ser feito
exclusivamente por intermédio de VPN (Virtual Private Networks), devendo o
usuário, nesses casos, utilizar recursos próprios de acesso à Internet.
Art. 20. É vedado o
acesso a redes de terceiros ou a redes particulares com equipamentos de
propriedade do TRT/RJ, de dentro de suas dependências, excetuando-se os casos
em que o acesso seja fornecido pela STI.
Art. 21. O acesso à
internet utilizando-se tecnologias de acesso móvel banda larga não pode ser
realizado simultaneamente ao acesso da rede corporativa de dados (cabeada ou
sem fio) do TRT/RJ.
Art. 22. Salvo
autorização expressa, após análise do Comitê Gestor de Segurança da Informação,
é vedado o acesso à Internet móvel utilizando-se equipamentos desktops de
propriedade do TRT/RJ, excetuando-se os casos os quais o Tribunal forneça o
meio de acesso.
CAPÍTULO VI
DO CONTROLE DE ACESSO FÍSICO À SALA-COFRE
Art. 23. O acesso à
sala de operação e à sala-cofre será feito por controle de acesso biométrico e
circuito fechado de TV, e registrado mediante software próprio, contendo a
indicação de usuário, data e hora.
Parágrafo único.
Deverão existir 2 (duas) cópias da chave da porta da
sala-cofre, ficando uma de posse do Chefe da Divisão de Operação de Núcleos de
Computação - DIONC/STI, e a outra de posse do Coordenador de Gestão de Núcleos
- CGNC/STI.
Art. 24. A
solicitação de acesso ao interior da sala cofre é restrita e a autorização para
acesso não emergencial deverá ser feita à CGNC, com antecedência mínima de 24
horas, e devidamente justificada.
Art. 25. O acesso de
usuários colaboradores à sala-cofre só será realizado com o acompanhamento de
um responsável previamente designado pelo solicitante, ciente de que dependerá
de autorização da CGNC e deverá observar os itens de segurança contidos na
Política de Segurança de Tecnologia da Informação e Comunicação.
Art. 26. Todas as
entradas e saídas da sala-cofre e sala de operação serão controladas individualmente.
Parágrafo único. Para
a entrada na sala-cofre deverão ser requeridos dois mecanismos de controle:
identificação individual, como crachá, e identificação biométrica e/ou senha.
CAPÍTULO VII
DO CONTROLE DE ACESSO À VPN
Art. 27. O acesso por
VPN (Virtual Private Networks ou Rede Virtual Privativa) poderá ser realizado
por computador particular do usuário, e será utilizado, para acesso remoto, por
usuários devidamente cadastrados e obedecendo aos requisitos de segurança
descritos em documentos à parte.
Art. 28. Caberá à STI
a análise de recursos disponíveis para embasar a decisão de autorização para
utilização da VPN.
Art. 29. Cada usuário
possuirá uma conta pessoal de acesso VPN, acessível mediante autenticação,
através de componentes de segurança complementares (clients,
certificados digitais e afins), definidos e homologados pela STI, sendo de sua
responsabilidade todas as atividades realizadas com essa conta.
§1º Compete
exclusivamente ao usuário providenciar as estruturas física e tecnológica, bem
como as instalações necessárias à realização do trabalho à distância, mediante
uso de equipamentos ergonômicos e adequados, independentemente de serem
recursos tecnológicos do TRT/RJ ou de propriedade do usuário.
§2º Sob quaisquer
circunstâncias, este Tribunal se exime em ressarcir eventuais despesas
realizadas pelo usuário com instalações e equipamentos para a realização do
trabalho à distância.
§3º Aplica-se a este
Capítulo o disposto no inciso III do artigo 10 desta Resolução.
CAPÍTULO VIII
DO CONTROLE DE ACESSO AOS ARQUIVOS E
DIRETÓRIOS
Art. 30. Cada unidade
administrativa e judiciária do TRT/RJ possui um diretório de rede com o nome da
unidade para armazenamento exclusivo de arquivos institucionais relativos ao
setor.
CAPÍTULO IX
DAS PENALIDADES E DISPOSIÇÕES GERAIS
Art. 31. O usuário
que agir em desacordo com os termos aqui definidos, ficará sujeito à aplicação
das penalidades previstas na legislação vigente.
Art. 32. O
detalhamento das obrigações indicadas nesta PCA, discutidas e aprovadas pelo
Comitê Gestor de Segurança da Informação, será tratado em documentos à parte,
disponíveis a partir da página principal da Intranet institucional ou em site
específico mantido pelo TRT/RJ.
Art. 33. Os
instrumentos normativos gerados a partir desta PCA devem ser revisados a cada 2 (dois) anos, ou sempre que se fizer necessário.
Art. 34. Qualquer
hipótese que não estiver contemplada na presente PCA está automaticamente
vedada e será submetida à apreciação do Comitê Gestor de Segurança da
Informação.
Art. 35. A presente
Resolução Administrativa entra em vigor a partir da data de sua publicação,
revogando-se a Resolução
Administrativa nº 57/2014.
Sala de Sessões, 21
de junho de 2018
FERNANDO
ANTONIO ZORZENON DA SILVA
Desembargador Presidente do
Tribunal
Regional do Trabalho da 1ª Região