ÓRGÃO ESPECIAL

 

RESOLUÇÃO ADMINISTRATIVA Nº 16/2018

 

(Disponibilizada em 22/6/17 no DEJT, Caderno Administrativo)

(Vide Anexo I)

 

(REVOGADO pela Resolução Administrativa nº 4/2024, disponibilizada no DEJT, Caderno Administrativo em 15/2/2024)

 

Estabelece a nova Política de Controle de Acesso relativo à Segurança da Informação no âmbito do Tribunal Regional do Trabalho da Primeira Região e revoga a Resolução Administrativa nº 57, de 4 de dezembro de 2014.

 

 

O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA PRIMEIRA REGIÃO, no uso de suas atribuições legais e regimentais, tendo em vista o decidido, por unanimidade, pelo Órgão Especial, reunido em Sessão Ordinária, no dia 21 de junho de 2018,

 

CONSIDERANDO a Resolução Administrativa nº 57, de 4 de dezembro de 2014, do Órgão Especial, publicada no Diário Oficial do Estado do Rio de Janeiro, em 15 de dezembro de 2014, que aprovou a Política de Controle de Acesso relativo à Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 1ª Região;

 

CONSIDERANDO a necessidade de aprimoramento da Política de Controle de Acesso no âmbito deste Tribunal para aderência às diretrizes dos Órgãos Reguladores;

 

CONSIDERANDO a Norma Complementar nº 07/IN01/DSIC/GSIPR, do Gabinete de Segurança Institucional da Presidência da República, que teve como objetivo estabelecer as diretrizes para implementação de controles de acesso relativos à segurança da informação e comunicação nos órgãos e entidades da Administração Pública Federal, direta e indireta;

 

CONSIDERANDO o posicionamento do Tribunal de Contas da União, fomentando a análise crítica e monitoramento das Políticas de Segurança da Informação, observada a recomendação inserta nas práticas NBR ISO/27002, dentre elas a constante do item 11.1.1, que determina que a Política de Controle de Acesso seja estabelecida documentada e analisada criticamente, para assegurar a sua contínua pertinência, adequação e eficácia; e

 

CONSIDERANDO a importância da Segurança de Tecnologia da Informação para o funcionamento da rede corporativa e de todos os sistemas hoje utilizados, bem como daqueles que venham a ser implementados,

 

RESOLVE:

 

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

 

Art. 1º Estabelecer a nova Política de Controle de Acesso (PCA) relativo à Segurança da Informação no âmbito do Tribunal Regional do Trabalho da Primeira Região.

 

Art. 2º Para os efeitos desta Resolução Administrativa aplicam-se as seguintes definições:

 

I - Ativo: qualquer coisa que tenha valor para a organização;

 

II - Controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso;

 

III - Acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem como a possibilidade de usar os ativos de informação de um órgão ou entidade;

 

IV - Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados;

 

V - Disponibilidade: propriedade que garante que as informações estejam acessíveis às pessoas e aos processos autorizados, no momento requerido;

 

VI - Integridade: propriedade de salvaguarda da exatidão e completeza da informação;

 

VII - Segurança da informação: preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas;

 

VIII - Serviços de TIC: serviço baseado no uso da Tecnologia da Informação e Comunicação, provido para um ou mais clientes, e que oferece apoio aos processos de negócio destes, composto pela combinação de pessoas, processos e tecnologias que devem ser definidas por meio de um Acordo de Nível de Serviço;

 

IX - Comitê Gestor de Segurança da Informação (CGSI) - Órgão colegiado, de natureza deliberativa e de caráter permanente, que tem por finalidade propor diretrizes para a Gestão Corporativa de Segurança da Informação;

 

X - Usuários: pessoas que fazem uso de recursos de TIC; e

 

XI - Segregação de Função: consiste na separação de funções de autorização, aprovação, execução, controle e contabilização das operações, evitando o acúmulo de funções por parte de um mesmo servidor.

 

CAPÍTULO II

DA PROPRIEDADE E MONITORAÇÃO

 

Art. 3º Os sistemas de informação são de propriedade ou de concessão do TRT/RJ, fornecidos a seus usuários para apoiar as atividades comprovadamente do TRT/RJ e podem ser revogados a qualquer tempo. Os usuários não têm direito de propriedade ou à privacidade sobre qualquer informação obtida através dos sistemas de informação do TRT/RJ, ou neles armazenada, com exceção feita ao que for exigido por lei.

 

Art. 4º O TRT/RJ tem o direito de monitorar rotineiramente a utilização dos seus sistemas de informação ou sempre que se faça necessário para assegurar a utilização adequada de seus ativos e serviços, objetivando a melhor condução das suas atividades, não importando se o equipamento utilizado esteja fisicamente dentro de instalações do TRT/RJ ou em qualquer outro local.

 

Art. 5º O TRT/RJ se reserva o direito de passar as informações gravadas ou torná-las públicas a pedido de terceiros, desde que atendendo as exigências estabelecidas por lei.

 

Art. 6º Para cada serviço de TIC os usuários são divididos em perfis de acesso e de acordo com a definição destes perfis terão direitos e permissões diferenciadas.

 

Art. 7º A PCA se aplica a todos os usuários que exercem atividades no âmbito do TRT/RJ ou a quem quer que venha a ter acesso a dados, informações, sistemas, ambientes e demais ativos protegidos por este regulamento.

 

Art. 8º A implementação, divulgação e conscientização dos controles de acesso deverão estar em conformidade com a Política de Segurança de Tecnologia da Informação e Comunicação (POSIC).

 

CAPÍTULO III

DO CONTROLE DE ACESSO AOS SISTEMAS E SERVIÇOS DE TIC

 

Art. 9º O Processo de gerenciamento de acesso ao usuário deverá assegurar o acesso ao usuário autorizado e impedir o acesso ao usuário não autorizado a sistemas e serviços de TIC, alinhando-se às diretrizes de classificação da informação quanto à confidencialidade no âmbito do TRT/RJ.

 

Art. 10. Os acessos serão viabilizados pelo uso de credenciais de acesso (conjunto de nome de usuário e senha) únicas, de uso individual, e que permitam relacionar os usuários que delas se utilizam com suas responsabilidades e ações, observado o seguinte:

 

I - os acessos serão criados sob demanda, excetuando-se casos os quais seja utilizado um serviço de TIC que possa automatizar o processo, desde que seja mantida a linha de responsabilidade prevista;

 

II - os entes responsáveis pela solicitação de acesso também são responsáveis por solicitar eventuais modificações nos privilégios de acesso, bem como a revogação do acesso, cabendo-lhes, ainda, verificar a correta utilização dos acessos concedidos na realização das atividades dos usuários;

 

III - Os usuários deverão assinar um termo de confidencialidade e de responsabilidade (Anexo I) para utilização dos recursos de TIC.

 

Art. 11. O uso compartilhado de credenciais de acesso somente será permitido onde eles são necessários por razões operacionais ou de negócios e deve ser aprovado pelo Comitê Gestor de Segurança da Informação.

 

Art. 12. O usuário é responsável por todas as ações realizadas por meio dos seus acessos, sendo o cuidado com a senha e o uso da identificação, que é pessoal e intransferível, de sua responsabilidade.

 

Art. 13. A concessão, alteração e a revogação de acesso aos serviços de TIC do TRT/RJ serão efetuadas mediante solicitação do gestor da unidade judiciária ou administrativa, observando a segregação de funções.

 

Art. 14. Os acessos aos sistemas e serviços de Tecnologia da Informação e Comunicação continuarão a ser gravados em logs para posterior auditoria.

 

Parágrafo único. Cabe ao Comitê Gestor de Segurança da Informação a análise referente à divulgação dos logs.

 

CAPÍTULO IV

DO CONTROLE DE ACESSO À INTERNET

 

Art. 15. Os usuários ao utilizarem a Internet deverão fazê-lo de acordo com a regulamentação pertinente, no estrito interesse profissional do TRT/RJ, sendo vedado o acesso de forma considerada indevida, inadequada ou abusiva, de conteúdo considerado ofensivo, ilegal, impróprio ou incompatível com as atividades laborais, relacionado a hackers, a páginas que possuam conteúdos invasivos ou prejudiciais ao ambiente tecnológico do TRT/RJ, ou que busquem burlar os sistemas de bloqueio, filtro e segurança estabelecidos.

 

Art. 16. Cabe ao Comitê Gestor de Segurança da Informação a análise referente ao bloqueio de sites cujo conteúdo expresse as situações descritas no artigo 15 desta Resolução.

 

Parágrafo único. O não bloqueio de conteúdo incompatível aos interesses do TRT/RJ não exime o usuário da responsabilidade de observar as orientações de uso descritas neste Capítulo.

 

CAPÍTULO V

DO CONTROLE DE ACESSO À REDE CORPORATIVA DE DADOS

 

Art. 17. A rede corporativa de dados do TRT/RJ é um ativo tecnológico estratégico para as atividades do TRT/RJ e a sua utilização deverá ser realizada apenas para atividades funcionais dos usuários, obedecidos os critérios de segurança exigidos.

 

Art. 18. Entende-se como rede corporativa de dados do TRT/RJ o conjunto de ativos tecnológicos de hardware e software para acesso às informações, composta por uma parte denominada rede cabeada, e por outra, denominada rede sem fio (wireless).

 

Art. 19. O acesso dos usuários aos recursos disponibilizados pela rede será validado por método de autenticação de usuário e senha e outros que se façam necessários, observado o seguinte:

 

I - todos os equipamentos conectados à rede corporativa de dados do TRT/RJ (rede cabeada e rede sem fio) deverão atender aos padrões de configuração e segurança definidos e homologados pela STI;

 

II - o acesso à rede corporativa de dados do TRT/RJ com equipamentos externos deverá ser feito exclusivamente por intermédio de VPN (Virtual Private Networks), devendo o usuário, nesses casos, utilizar recursos próprios de acesso à Internet.

 

Art. 20. É vedado o acesso a redes de terceiros ou a redes particulares com equipamentos de propriedade do TRT/RJ, de dentro de suas dependências, excetuando-se os casos em que o acesso seja fornecido pela STI.

 

Art. 21. O acesso à internet utilizando-se tecnologias de acesso móvel banda larga não pode ser realizado simultaneamente ao acesso da rede corporativa de dados (cabeada ou sem fio) do TRT/RJ.

 

Art. 22. Salvo autorização expressa, após análise do Comitê Gestor de Segurança da Informação, é vedado o acesso à Internet móvel utilizando-se equipamentos desktops de propriedade do TRT/RJ, excetuando-se os casos os quais o Tribunal forneça o meio de acesso.

 

CAPÍTULO VI

DO CONTROLE DE ACESSO FÍSICO À SALA-COFRE

 

Art. 23. O acesso à sala de operação e à sala-cofre será feito por controle de acesso biométrico e circuito fechado de TV, e registrado mediante software próprio, contendo a indicação de usuário, data e hora.

 

Parágrafo único. Deverão existir 2 (duas) cópias da chave da porta da sala-cofre, ficando uma de posse do Chefe da Divisão de Operação de Núcleos de Computação - DIONC/STI, e a outra de posse do Coordenador de Gestão de Núcleos - CGNC/STI.

 

Art. 24. A solicitação de acesso ao interior da sala cofre é restrita e a autorização para acesso não emergencial deverá ser feita à CGNC, com antecedência mínima de 24 horas, e devidamente justificada.

 

Art. 25. O acesso de usuários colaboradores à sala-cofre só será realizado com o acompanhamento de um responsável previamente designado pelo solicitante, ciente de que dependerá de autorização da CGNC e deverá observar os itens de segurança contidos na Política de Segurança de Tecnologia da Informação e Comunicação.

 

Art. 26. Todas as entradas e saídas da sala-cofre e sala de operação serão controladas individualmente.

 

Parágrafo único. Para a entrada na sala-cofre deverão ser requeridos dois mecanismos de controle: identificação individual, como crachá, e identificação biométrica e/ou senha.

 

CAPÍTULO VII

DO CONTROLE DE ACESSO À VPN

 

Art. 27. O acesso por VPN (Virtual Private Networks ou Rede Virtual Privativa) poderá ser realizado por computador particular do usuário, e será utilizado, para acesso remoto, por usuários devidamente cadastrados e obedecendo aos requisitos de segurança descritos em documentos à parte.

 

Art. 28. Caberá à STI a análise de recursos disponíveis para embasar a decisão de autorização para utilização da VPN.

 

Art. 29. Cada usuário possuirá uma conta pessoal de acesso VPN, acessível mediante autenticação, através de componentes de segurança complementares (clients, certificados digitais e afins), definidos e homologados pela STI, sendo de sua responsabilidade todas as atividades realizadas com essa conta.

 

§1º Compete exclusivamente ao usuário providenciar as estruturas física e tecnológica, bem como as instalações necessárias à realização do trabalho à distância, mediante uso de equipamentos ergonômicos e adequados, independentemente de serem recursos tecnológicos do TRT/RJ ou de propriedade do usuário.

 

§2º Sob quaisquer circunstâncias, este Tribunal se exime em ressarcir eventuais despesas realizadas pelo usuário com instalações e equipamentos para a realização do trabalho à distância.

 

§3º Aplica-se a este Capítulo o disposto no inciso III do artigo 10 desta Resolução.

 

CAPÍTULO VIII

DO CONTROLE DE ACESSO AOS ARQUIVOS E DIRETÓRIOS

 

Art. 30. Cada unidade administrativa e judiciária do TRT/RJ possui um diretório de rede com o nome da unidade para armazenamento exclusivo de arquivos institucionais relativos ao setor.

 

CAPÍTULO IX

DAS PENALIDADES E DISPOSIÇÕES GERAIS

 

Art. 31. O usuário que agir em desacordo com os termos aqui definidos, ficará sujeito à aplicação das penalidades previstas na legislação vigente.

 

Art. 32. O detalhamento das obrigações indicadas nesta PCA, discutidas e aprovadas pelo Comitê Gestor de Segurança da Informação, será tratado em documentos à parte, disponíveis a partir da página principal da Intranet institucional ou em site específico mantido pelo TRT/RJ.

 

Art. 33. Os instrumentos normativos gerados a partir desta PCA devem ser revisados a cada 2 (dois) anos, ou sempre que se fizer necessário.

 

Art. 34. Qualquer hipótese que não estiver contemplada na presente PCA está automaticamente vedada e será submetida à apreciação do Comitê Gestor de Segurança da Informação.

 

Art. 35. A presente Resolução Administrativa entra em vigor a partir da data de sua publicação, revogando-se a Resolução Administrativa nº 57/2014.

 

Sala de Sessões, 21 de junho de 2018

 

 

FERNANDO ANTONIO ZORZENON DA SILVA

Desembargador Presidente do

Tribunal Regional do Trabalho da 1ª Região