ÓRGÃO ESPECIAL
RESOLUÇÃO
ADMINISTRATIVA Nº 57/2014
(Publicada em 15/12/2014, no DOERJ, Parte III,
Seção II)
Dispõe
sobre a Política de Controle de Acesso relativo à Segurança da Informação no
âmbito do Tribunal Regional do Trabalho da 1ª Região.
O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO
DA PRIMEIRA REGIÃO, no uso de suas atribuições legais e regimentais, tendo
em vista o decidido, por maioria, pelo Órgão Especial, reunido em Sessão
Ordinária, no dia 4 de dezembro de 2014,
CONSIDERANDO a necessidade de
estabelecer diretrizes e padrões para garantir o acesso aos recursos
computacionais de forma a oferecer todas as informações necessárias aos
processos deste Tribunal com integridade, confidencialidade e disponibilidade;
CONSIDERANDO fornecer aos usuários
e provedores de serviços uma declaração nítida dos requisitos do negócio a
serem atendidos pelos controles de acessos;
CONSIDERANDO que a credibilidade
da instituição na prestação jurisdicional deve ser preservada;
CONSIDERANDO as definições
consagradas pela Associação Brasileira de Normas Técnicas - ABN e por
organismos internacionais (International Organization for Standardization
- ISO);
CONSIDERANDO a constante
preocupação com a qualidade e celeridade na prestação de serviços à sociedade.
RESOLVE:
CAPÍTULO
I
DAS
DISPOSIÇÕES PRELIMINARES
Art. 1º Criar a
Política de Controle de Acesso (PCA) no âmbito do Tribunal Regional do Trabalho
da 1ª Região - TRT/RJ.
Art. 2º Para os
efeitos desta Resolução Administrativa aplicam-se as seguintes definições:
I - Ativo:
qualquer coisa que tenha valor para a organização;
II- Controle de acesso: conjunto de
procedimentos, recursos e meios utilizados com a finalidade de conceder ou
bloquear o acesso;
III - Acesso: ato de ingressar, transitar,
conhecer ou consultar a informação, bem como a possibilidade de usar os ativos
de informação de um órgão ou entidade;
IV - Confidencialidade: propriedade de que a
informação não esteja disponível ou revelada a indivíduos, entidades ou
processos não autorizados;
V - Disponibilidade: propriedade de estar
acessível e utilizável, sob demanda, por entidade
autorizada;
VI - Integridade: propriedade de salvaguarda
da exatidão e completeza da informação;
VII - Segurança da informação: preservação da
confidencialidade, integridade e disponibilidade da informação; adicionalmente,
outras propriedades, tais como autenticidade, responsabilidade, não repúdio e
confiabilidade, podem também estar envolvidas;
VIII - Serviços de TI: serviço baseado no uso da Tecnologia da Informação,
provido para um ou mais clientes, e que oferece apoio aos processos de negócio destes,
composto pela combinação de pessoas, processos e tecnologias que devem ser
definidas por meio de um Acordo de Nível de Serviço;
IX - Comitê
Gestor de Segurança da Informação e Comunicações (CGSIC) - Órgão colegiado,
de natureza deliberativa e de caráter permanente, que tem por finalidade propor
diretrizes para a Gestão Corporativa de Segurança da Informação; e
X - Usuários: pessoas que fazem uso de
recursos de TI.
Art.3º Os usuários
dividem-se em:
I -
Usuários magistrados - magistrados do TRT/RJ
ou que estejam a serviço deste.
II - Usuários servidores -
servidores ocupantes de cargo efetivo ou em
comissão, requisitados e cedidos que tenham acesso legítimo aos recursos de TI;
III - Usuários colaboradores - empregados de
empresas prestadoras de serviços terceirizados, consultores, estagiários ou
qualquer outro colaborador que esteja a serviço do TRT/RJ; e
IV - Usuários externos - advogados, peritos, partes e outras pessoas que se utilizem dos serviços
disponibilizados pelo TRT/RJ.
Art. 4º A PCA se aplica a todos os usuários que exercem
atividades no âmbito do TRT/RJ ou quem quer que venha a ter acesso a dados,
informações, sistemas, ambientes e demais ativos protegidos por este
regulamento.
Art. 5º O Processo de gerenciamento de acesso ao usuário
deverá assegurar o acesso ao usuário autorizado e impedir o acesso ao usuário
não autorizado a sistemas de informação e serviços de TI.
Art. 6º O acesso à
rede corporativa deverá ser gravada em logs
para posterior auditoria.
Art. 7º A implementação, divulgação e conscientização dos controles de
acesso deverão estar em conformidade com a POSIC (Política de Segurança da
Informação e Comunicações).
CAPÍTULO II
DO CONTROLE DE ACESSO AOS SERVIÇOS DE TI
Art. 8º A solicitação
de acesso dos usuários servidores aos serviços no ambiente de Tecnologia da
Informação, compreendidos Intranet, Internet, Extranet, correio eletrônico,
estrutura de diretórios e sistemas corporativos do TRT/RJ, deverá ser feita
pela chefia imediata, ou conforme a hierarquia de responsabilidades, sempre que
se julgar necessário, ou, ainda, pelo fiscal do contrato ou responsável
imediato, quando se tratar de usuários colaboradores.
§1º No caso de
usuários magistrados, o acesso será solicitado pela Presidência do Tribunal.
§2º Na solicitação de
acesso estará descrito o tipo de vínculo, identificação do usuário e a
justificativa, de acordo com o formulário definido no anexo
II.
§3º No caso de
usuários colaboradores, o acesso será permitido somente enquanto estiverem
realizando suas atividades profissionais sob a vigência do contrato de
prestação de serviços ao qual encontrarem-se vinculados, cabendo ao fiscal do
contrato, à chefia imediata ou superior verificar a correta realização das
atividades.
§4º Tratando-se de
visitantes, somente será concedido o acesso mediante solicitação ao Serviço de
Atendimento ao Usuário, que acionará a área competente, definindo os níveis de
acesso a serem concedidos, ficando restrito a uma conta de usuário, desde que
possibilite a realização das atividades laborais.
§5º O cuidado com a
senha e o uso da identificação é responsabilidade do usuário a ele vinculado.
Art. 9º A alteração e a revogação de acesso aos serviços de
TI do TRT/RJ serão efetuadas mediante solicitação da chefia imediata ou
conforme a hierarquia de responsabilidade, ou, ainda, pelo fiscal do contrato.
§1º No caso de
usuários magistrados, a revogação e alteração será solicitada pela Presidência
do Tribunal.
§2º O solicitante
poderá requerer alterações nos níveis de acesso do usuário, de acordo com as
necessidades laborais.
§3º Na solicitação de
revogação será descrito o tipo de vínculo a ser excluído e a justificativa, o
que inclui o término do vínculo com a unidade, para o caso de usuários
magistrados e servidores. A revogação será automática quando ocorrer o fim do
tempo de validade, de acordo com o formulário definido no anexo
II.
§4º Cabe à chefia
imediata ou superior comunicar à STI a movimentação de servidores efetivos,
comissionados, estagiários ou visitantes sob sua responsabilidade para a
revogação e/ou modificação de acesso a recursos de TI.
CAPÍTULO
III
DO
CONTROLE DE ACESSO À INTERNET
Art. 10. Os usuários servidores e colaboradores ao
utilizarem a Internet deverão fazê-lo, adequadamente, no estrito interesse
profissional do TRT/RJ, sendo vedado o acesso de forma considerada indevida,
inadequada ou abusiva, de conteúdo considerado ofensivo, ilegal, impróprio ou
incompatível com as atividades laborais, relacionado a hackers, a páginas que
possuam conteúdos invasivos ou prejudiciais ao ambiente tecnológico do TRT/RJ,
ou que busquem burlar os sistemas de bloqueio, filtro e segurança
estabelecidos.
Art. 11. Aos usuários magistrados será facultado o
acesso a sites que executem download de áudio, vídeos e streamings, bem como acesso a redes
sociais, considerando que esses acessos são necessários à execução de suas
atividades laborais;
Art. 12. Será
permitido aos usuários magistrados e servidores o acesso a sites bancários (Internet
banking). O usuário deverá observar as políticas de segurança vigentes, não
repassando a terceiros informações de natureza
pessoal, como senhas e códigos de acesso, cabendo-lhe solicitar a instalação de
módulos de segurança em sites
bancários ao Serviço de Atendimento ao Usuário.
Parágrafo único. O TRT/RJ
não se responsabilizará por eventuais prejuízos da quebra de sigilo de senhas
eletrônicas, códigos de acesso, informações bancárias e outros de seu uso
pessoal. O usuário será inteiramente responsável pelo seu acesso à sua conta
bancária, bem como pelas transações eletrônicas nela realizadas.
Art. 13. Cabe à STI o
bloqueio de sites, através de
ferramenta apropriada, cujo conteúdo expresse as situações acima descritas.
§ 1º Caso algum site, cujo conteúdo esteja de acordo com
o que estabelecido nesta PCA, encontre-se bloqueado, seu desbloqueio poderá ser
solicitado pelo Serviço de Atendimento ao Usuário. Da mesma forma, o usuário
poderá solicitar o bloqueio de algum site
que julgue em desacordo com a PCA.
§ 2º Sites cujo conteúdo esteja em desacordo
com a PCA, mas que o usuário julgue necessário acessar,
deverão ser apreciados pelo Comitê Gestor de Segurança da Informação e
Comunicações.
§ 3º O fato de um site não
estar explicitamente bloqueado pelos sistemas de segurança não significa que ele
possa ser acessado pelos usuários. Assim, para todo acesso realizado, deverão
ser observados os preceitos da PCA, o uso apropriado dos recursos tecnológicos,
o desempenho das funções profissionais do usuário, as boas práticas de acesso,
bem como as proibições legais e internas.
CAPÍTULO IV
DO
CONTROLE DE ACESSO À REDE CORPORATIVA DE DADOS
Art. 14. A rede
corporativa de dados é um ativo tecnológico estratégico para as atividades do
TRT/RJ e a sua utilização deverá ser realizada apenas para atividades
funcionais dos usuários magistrados e servidores, obedecidos
os critérios de segurança exigidos.
Art. 15. Entende-se
como rede de dados do TRT/RJ o conjunto de ativos tecnológicos de hardware e software para acesso às informações, composta por uma parte
denominada rede cabeada, e por outra, denominada rede sem fio (wireless).
Art. 16. O acesso dos
usuários magistrados e servidores à rede de dados cabeada ou sem fio será
validado por método de autenticação de usuário e senha e outros que se façam
necessários.
Art. 17. A todos os
usuários magistrados, servidores e colaboradores da rede de dados do TRT/RJ
(rede cabeada ou rede sem fio) somente será permitido
o acesso utilizando-se equipamentos de propriedade do TRT/RJ, corretamente
incluídos no domínio de rede e homologados pela STI, incluindo-se, para esse
fim, equipamentos do tipo desktops, notebooks, netbooks,
tablets, palmtops,
smartphones etc.
§ 1º Todos os
equipamentos conectados à rede de dados do TRT/RJ (rede cabeada e rede sem fio)
deverão atender aos padrões de configuração e segurança definidos e homologados
pela STI.
§ 2º O acesso à rede
de dados do TRT/RJ, com equipamentos externos, deverá ser feito exclusivamente
por intermédio de VPN (Virtual Private
Networks), devendo o usuário, nesses casos, utilizar recursos próprios de
acesso (GPRS, Edge, 3G, 4G etc) à Internet.
§ 3º Exceções ao
previsto no presente dispositivo deverão ser analisadas pelo Comitê Gestor de
Segurança da Informação e Comunicações.
Art. 18. É vedado o acesso a redes de terceiros ou a
redes particulares, com equipamentos de propriedade do TRT/RJ, de dentro de
suas dependências.
Art. 19. O acesso à
internet, utilizando-se tecnologias de acesso móvel banda larga (GPRS, Edge,
3G, 4G etc),
não pode ser realizado simultaneamente ao acesso da rede corporativa de dados
(cabeada ou sem fio) do TRT/RJ.
Art. 20. Salvo
autorização expressa, após análise do Comitê Gestor de Segurança da Informação
e Comunicações, é vedado o acesso à Internet
móvel (GPRS, Edge, 3G, 4G etc) utilizando-se equipamentos desktops de propriedade do TRT/RJ.
Art. 21. A rede sem
fio do TRT/RJ terá um segmento especial denominado “Rede de Visitantes”, que
possibilitará, exclusivamente aos usuários colaboradores, acesso temporário à Internet, quando necessário.
§ 1º Nesses casos, o
acesso concedido obedecerá ao definido no Capítulo II.
§ 2º A unidade
requisitante ou o fiscal do contrato deverá solicitar o acesso à STI,
informando os dados pessoais do usuário (nome completo, CPF, telefone de
contato) e o tempo de acesso requerido.
Art. 22.
Constatando-se prejuízos ao tráfego ou ao armazenamento de dados corporativos
gerados pela utilização indevida de rede sem fio de terceiros, o titular da
Unidade ao qual o equipamento está vinculado, ou o seu detentor direto, será
responsabilizado pelos danos causados.
CAPÍTULO
V
DO
CONTROLE DE ACESSO À VPN
Art. 23. O acesso por VPN (Virtual Private Networks ou
Rede Virtual Privativa) poderá ser realizado por computador particular do
usuário, e será utilizado, para acesso remoto, por usuários devidamente
cadastrados e obedecendo, quando aplicados, aos artigos 8º e 9º.
Parágrafo único.
Caberá à STI a análise de recursos disponíveis para embasar a decisão de
autorização para utilização da VPN.
Art. 24. Cada usuário
possuirá uma conta pessoal de acesso VPN, acessível mediante autenticação,
através de componentes de segurança complementares (clients, certificados digitais e
afins), definidos e homologados pela STI, sendo de sua responsabilidade todas
as atividades realizadas com essa conta.
Parágrafo único.
Compete exclusivamente ao usuário providenciar as estruturas física,
tecnológica e instalações necessárias à realização do trabalho à distância,
mediante uso de equipamentos ergonômicos e adequados, independentemente de
serem recursos tecnológicos do TRT-RJ ou de propriedade do usuário. Sob
quaisquer circunstâncias, esse Tribunal se exime em ressarcir eventuais
despesas realizadas pelo usuário com instalações e equipamentos para a
realização do trabalho à distância.
Art. 25. À STI cabe o
monitoramento, o registro e a auditoria de todos os acessos, comunicações e
transações realizados a partir da VPN, visando a garantir a
aderência às normas e requisitos de segurança estabelecidos.
Parágrafo único. O acesso
de VPN de qualquer usuário poderá ser suspenso, sem prévio aviso, por motivos
de segurança e auditoria.
Art. 26. Com o
objetivo de prover um adequado nível de segurança ao ambiente tecnológico, o
acesso por VPN será dividido em três grupos distintos de usuários:
I - Grupo I,
referente a servidores da STI;
II - Grupo II,
referente a usuários magistrados e servidores do TRT/RJ; e
III - Grupo III,
referente a usuários colaboradores (contratados, terceirizados, prestadores de
serviço e afins) do TRT/RJ.
Art. 27. Os usuários
pertencentes ao Grupo III deverão assinar um
termo de confidencialidade e de responsabilidade (Anexo
I) para utilização dos recursos de TI. A
utilização da VPN pelo Grupo III deverá estar prevista em contrato, convênio ou
outro documento formal, devendo ser observada a sua utilização para fins
profissionais, sob a vigência do contrato de prestação de serviços a que estão
vinculados.
Parágrafo único. O TRT/RJ não se responsabilizará por eventuais prejuízos
causados pela indisponibilidade dos serviços de VPN oferecidos aos usuários do
Grupo III.
CAPÍTULO VI
DO
CONTROLE DE ACESSO AOS ARQUIVOS E DIRETÓRIOS
Art. 28. Cada unidade administrativa e judiciária do
TRT/RJ possui um diretório de rede com o nome da unidade para armazenamento
exclusivo de arquivos institucionais relativos ao setor.
§ 1º O acesso de leitura,
modificação e execução aos arquivos gravados no diretório de uma unidade é
automaticamente concedido aos servidores lotados na respectiva unidade, que
poderão acessá-lo com seu login e senha de rede.
§ 2º A chefia deverá
abrir chamado para a concessão/inclusão ou retirada de acesso à unidade de
diretório de servidores do setor.
§ 3º A capacidade do
diretório de cada unidade estará limitada por cotas de acordo com o espaço
livre disponível.
§ 4º A cópia de
qualquer arquivo de determinada unidade para outra ou para mídias removíveis
(CD-ROM, pen drive, disquete) deverá
ser autorizado pela chefia da unidade detentora dos arquivos.
§ 5º Todos os
arquivos de uso institucional deverão ficar no diretório de rede.
Art. 29. O sistema de
compartilhamento de arquivos disponibilizará um diretório temporário com acesso
permitido a todos os usuários, chamado de “\\nomedamaquina\Publico”,
que é automaticamente disponibilizado pelo sistema, quando o usuário realiza
seu “login”.
Parágrafo único. O
conteúdo deste diretório temporário não terá cópia de segurança e será apagado
diariamente, em horário noturno.
Art. 30. Cabe à STI
efetuar a cópia de segurança (backup)
dos dados armazenados no servidor de arquivos de rede disponibilizada pelo
TRT/RJ, não se responsabilizando por arquivos lançados em outros dispositivos
que não a unidade de rede.
Art. 31. É proibida a
cópia em qualquer diretório na rede do Tribunal, de arquivos de fotos, músicas
e filmes que não sejam de interesse específico do trabalho, de programas não
homologados ou não licenciados ou de material protegido por lei de propriedade
intelectual (livros, apostilas, cursos, filmes, músicas etc.), ou de programas de conteúdo prejudicial à segurança do
parque computacional do TRT/RJ.
Parágrafo único. O backup dos arquivos autorizados após
deliberação do Comitê Gestor de Segurança da Informação e Comunicações não será
automaticamente realizado pela STI, cabendo, ao responsável pelo conteúdo, a
solicitação de suas inclusões.
CAPÍTULO
VII
DAS
PENALIDADES E DISPOSIÇÕES GERAIS
Art. 32. O usuário que agir em desacordo com os termos
aqui definidos, ficará sujeito à aplicação das penalidades previstas na
legislação vigente.
Art. 33. Com o
objetivo de detalhar as obrigações indicadas nesta PCA, discutidas e aprovadas
pelo Comitê Gestor de Segurança da Informação e Comunicações, serão mantidas em
documentos à parte, disponíveis a partir da
página principal da Intranet
institucional ou em site específico
mantido pelo TRT/RJ.
Art. 34. Os instrumentos normativos gerados a partir
desta PCA devem ser revisados sempre que se fizer necessário, não excedendo o
período máximo de 1 (um) ano.
Art. 35. Qualquer hipótese que não estiver contemplada
na presente PCA está automaticamente vedada e será submetida à apreciação do
Comitê Gestor de Segurança da Informação e Comunicações.
Art. 36. A presente Resolução Administrativa entra em
vigor a partir da data de sua publicação.
Sala de Sessões, 4 de dezembro de 2014
DESEMBARGADOR
DO TRABALHO CARLOS ALBERTO ARAUJO DRUMMOND
Presidente
do Tribunal Regional do Trabalho da Primeira Região