ÓRGÃO ESPECIAL
RESOLUÇÃO
ADMINISTRATIVA Nº 56/2014
(Publicada em 15/12/2014, no DOERJ, Parte
III, Seção II)
Dispõe
sobre a Política de Segurança da Informação e Comunicações no âmbito do
Tribunal Regional do Trabalho da 1ª Região.
O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO
DA PRIMEIRA REGIÃO, no uso de suas atribuições legais e regimentais, tendo
em vista o decidido, por unanimidade, pelo Órgão Especial, reunido em Sessão
Ordinária, no dia 4 de dezembro de 2014,
CONSIDERANDO a necessidade de
estabelecer diretrizes e padrões para garantir um ambiente tecnológico
controlado e seguro de forma a oferecer todas as informações necessárias aos
processos deste Tribunal com integridade, confidencialidade e disponibilidade;
CONSIDERANDO os danos potenciais
decorrentes da instalação de programas não homologados e inadequados, mau uso
dos recursos computacionais, bem como o risco de disseminação de vírus de
computador a partir das estações de trabalho e do uso de dispositivos móveis;
CONSIDERANDO que a credibilidade
da instituição na prestação jurisdicional deve ser preservada;
CONSIDERANDO as definições
consagradas pela Associação Brasileira de Normas Técnicas - ABNT e por
organismos internacionais (International Organization for Standardization
- ISO, International Eletrothecnical Comission - IEC, International Telecomunication Union - ITU);
CONSIDERANDO a constante
preocupação com a qualidade e celeridade na prestação de serviços à sociedade.
RESOLVE:
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1º Criar a
Política de Segurança da Informação e Comunicações (POSIC) no âmbito do
Tribunal Regional do Trabalho da 1ª Região - TRT/RJ.
Art. 2º Para os
efeitos desta Resolução Administrativa aplicam-se as seguintes definições:
I - Acordo
de Nível de Serviço (ANS): contrato celebrado
entre o provedor de serviço de Tecnologia da Informação (TI) e seus clientes,
que define os parâmetros de capacidade do sistema, desempenho da rede e tempo
de resposta global, necessários para atender aos objetivos institucionais. É o
instrumento de validação do gerenciamento de nível de serviço;
II - Artefato
de Software: item criado como
parte da definição; manutenção ou utilização de um processo de software,
incluindo, entre outros, descrição de processos,
planos, procedimentos, especificações, projetos de arquitetura, projeto
detalhado, código, documentação para o usuário;
III - Ativo:
qualquer coisa que tenha valor para a organização;
IV - Banco
de Dados: conjunto de dados organizados de
forma a servir de base para que o usuário processe e recupere informações;
V - Serviço de Atendimento ao Usuário ou Central de Multisserviços de Tecnologia
da Informação (service desk): função técnica e
administrativa que permite comunicação efetiva, eficiente e eficaz entre os
usuários de serviços e recursos de Tecnologia da Informação (TI) e as unidades
técnicas que são provedoras desses serviços e recursos;
VI - Confidencialidade: propriedade de que a
informação não esteja disponível ou revelada a indivíduos, entidades ou
processos não autorizados;
VII - Disponibilidade: propriedade de estar
acessível e utilizável, sob demanda, por entidade
autorizada;
VIII - Gestão de Configuração: conjunto de procedimentos
técnicos e gerenciais que são definidos para identificação de Ativos de
Tecnologia da Informação e para a gestão de suas alterações;
IX
- Gestão de riscos: atividades
coordenadas para direcionar e controlar uma organização no que se refere a
riscos;
X - Gerenciamento de Serviços de Tecnologia da Informação: conjunto de capacidades organizacionais
específicas (processos, métodos, funções, papéis e atividades) para prover
valores aos clientes sob a forma de serviços;
XI - Incidente:
interrupção não planejada de um serviço de TI ou redução da qualidade de um
serviço de TI;
XII - Incidente de Segurança da Informação:
evento simples ou uma série de eventos de segurança da informação indesejados
ou inesperados, que tenham grande probabilidade de comprometer as operações do
negócio e ameaçar a segurança da informação;
XIII - Integridade: propriedade de salvaguarda
da exatidão e completeza da informação;
XIV - Item
de Configuração: qualquer componente que necessite ser gerenciado para que
se possa entregar um Serviço de TI (servidores, desktops, notebooks e
outros);
XV - Janelas
de Manutenção: grade de horários acordados e periódicos em que as
alterações ou liberações são implantadas com o mínimo de impacto nos serviços, visando
atuar de forma mais eficiente na diminuição do tempo de indisponibilidade não
programado;
XVI - Gestão da Continuidade do Negócio: processo abrangente de gestão que identifica ameaças potenciais para uma
organização e os possíveis impactos nas operações de negócio, caso estas
ameaças se concretizem, e que desenvolve uma resiliência organizacional capaz
de responder eficazmente e salvaguardar os interesses das partes interessadas,
a reputação e a marca da organização e suas atividades de valor agregado;
XVII - Provedor
de Serviço de TI: unidade organizacional ou pessoa que oferece serviços de
TI para clientes internos ou externos;
XVIII - Recurso de Tecnologia de Informação: qualquer equipamento,
dispositivo, serviço, infraestrutura ou sistema de processamento da informação,
ou as instalações físicas que os abriguem;
XIX - Segurança da informação: preservação da
confidencialidade, integridade e disponibilidade da informação; adicionalmente,
outras propriedades, tais como autenticidade, responsabilidade, não repúdio e
confiabilidade, podem também estar envolvidas;
XX - Serviços de TI: serviço baseado no uso da Tecnologia da Informação,
provido para um ou mais clientes, e que oferece apoio aos processos de negócio
destes, composto pela combinação de pessoas, processos e tecnologias que devem
ser definidas por meio de um Acordo de Nível de Serviço;
XXI -
Sistema de gestão da segurança da
informação e Comunicações (SGSIC): parte do sistema de gestão global (estrutura
organizacional, políticas, atividades de planejamento, responsabilidades,
práticas, procedimentos, processos e recursos), baseada na abordagem de riscos
do negócio, para estabelecer, implantar, operar, monitorar, analisar
criticamente, manter e melhorar a segurança da informação;
XXII - Spam:
e-mails não solicitados, geralmente
enviados para um grande número de pessoas;
XXIII - Tempo
médio para restauração de serviço: medida do momento em que o Item de
Configuração ou Serviços de TI falhou até quando ele estiver completamente
restaurado e executando sua funcionalidade normal;
XXIV - Comitê
Gestor de Segurança da Informação e Comunicações (CGSIC) - Órgão colegiado,
de natureza deliberativa e de caráter permanente, que tem por finalidade propor
diretrizes para a Gestão Corporativa de Segurança da Informação e Comunicações;
e
XXV - Usuários: pessoas que fazem uso de
recursos de TI.
Art.3º Os usuários
dividem-se em:
I -
Usuários Magistrados - Magistrados do TRT/RJ
ou que estejam a serviço deste.
II - Usuários Servidores -
Servidores ocupantes de cargo efetivo ou em
comissão, requisitados e cedidos que tenham acesso legítimo aos recursos de TI;
III - Usuários colaboradores - empregados de
empresas prestadoras de serviços terceirizados, consultores, estagiários ou
qualquer outro colaborador que esteja a serviço do TRT/RJ; e
IV - Usuários externos - advogados, peritos, partes e outras pessoas que se utilizem dos serviços
disponibilizados pelo TRT/RJ.
Art. 4º A POSIC se aplica a todos os usuários que exercem
atividades no âmbito do TRT/RJ ou quem quer que venha a ter acesso a dados,
informações, sistemas, ambientes e demais ativos protegidos por este
regulamento.
Art. 5º O uso adequado dos recursos de tecnologia da
informação visa garantir a continuidade da prestação jurisdicional do TRT/RJ.
§1º Os recursos de
tecnologia da informação pertencentes ao TRT/RJ, disponíveis para o usuário,
serão utilizados em atividades estritamente relacionadas às suas funções institucionais.
§ 2º A utilização dos
recursos de tecnologia da informação será monitorada e auditada, sendo seus
registros mantidos.
Art. 6º As informações geradas no TRT/RJ são de sua propriedade,
independente da forma de sua apresentação ou armazenamento, e serão
adequadamente protegidas e utilizadas exclusivamente para fins relacionados às
suas atividades institucionais.
Parágrafo único. Toda
informação gerada no TRT/RJ deverá ser classificada em termos de seu valor,
requisitos legais, sensibilidade, criticidade e necessidade de
compartilhamento.
Art. 7º Cada unidade administrativa terá disponível área de
armazenamento em rede, controlada por cotas, para salvaguardar os arquivos e e-mails
provenientes, exclusivamente, das atividades laborais de seus usuários, com
garantia de integridade, disponibilidade, controle de acesso e cópia de
segurança.
Parágrafo único. Os
dados armazenados nas estações de trabalho dos usuários do Tribunal não estão
contemplados pelas garantias mencionadas neste artigo.
Art. 8º Os usuários
devem assumir atitude proativa e engajada, evitando a exposição a ameaças
externas que podem afetar a segurança das informações do TRT/RJ, tais como
vírus de computador, interceptações de mensagens eletrônicas, grampos
telefônicos, comunicações em redes sociais, bem
como fraudes destinadas a roubar senhas de acesso aos sistemas de informação.
Art. 9º O processo de
Gestão de Risco de Segurança da Informação e Comunicações deve estar alinhado
ao Sistema de Gestão de Segurança da Informação e Comunicações - SGSIC.
Parágrafo único. O
processo de Gestão de Risco de Segurança da Informação e Comunicações deve ser
composto pelas etapas de definição do contexto, análise/avaliação de risco,
desenvolvimento do plano de tratamento do risco, aceitação do risco,
implantação do plano de tratamento dos riscos, monitoramento e análise crítica
de riscos, manutenção e melhoria do processo.
Art. 10 O processo de
Gestão da Continuidade do Negócio deve conter o entendimento da instituição, a
definição do contexto, as estratégias de continuidade de negócios e a avaliação
de desempenho.
Art.
11 O Comitê Gestor de Segurança da Informação e Comunicações incentivará
campanhas de conscientização e treinamentos sobre segurança da informação e a
POSIC.
CAPÍTULO II
DO GERENCIAMENTO DE SERVIÇOS DE TI
Art. 12. A gestão de serviços de TI compreende
a administração dos serviços, desde a sua instalação até a sua manutenção, observadas,
obrigatoriamente, atividades de planejamento, elaboração, entrega,
monitoramento, avaliação e ajustes contínuos dos serviços de TI a serem
oferecidos.
Art. 13. A Secretaria de Tecnologia da Informação
(STI) deverá criar e manter um endereço eletrônico de informação a respeito dos
serviços de TI existentes no âmbito do TRT/RJ, devendo conter descrição e
níveis de serviço, clientes e a unidade organizacional responsável pela
manutenção.
Art. 14. Serão ajustados os níveis de serviço contendo
a descrição explícita sobre:
I - serviço;
II - o tempo de serviço acordado entre as partes;
III - as expectativas de entrega do serviço,
inclusive com definição de índice de indisponibilidade (planejada e não
planejada);
IV - o tempo médio para restauração de serviço em
caso de indisponibilidades;
V - as janelas de manutenção;
VI - os itens de configuração da arquitetura do
serviço; e
VII - informações para contato dos responsáveis
pelo fornecimento do serviço.
§ 1º Os acordos de níveis de serviços deverão ser
assinados em conjunto pelo responsável da STI e por um ou mais representantes
dos interessados na utilização do serviço, de preferência com alto poder
decisório na instituição.
§ 2º Os acordos de níveis de serviços deverão ser
revisados periodicamente, a fim de identificar possíveis melhorias na forma de
prestação dos serviços acordados ou ainda distorção nos níveis de expectativa
de entrega de serviço.
Art. 15. A STI disponibilizará o suporte a
usuários, formado por equipes distribuídas em três níveis de atendimento:
I - Primeiro Nível (telessuporte
e/ou suporte a distância) - Tem por objetivo responder à maioria das dúvidas e
orientações, bem como identificar, diagnosticar e resolver incidentes
reportados pelos usuários que tenham solução conhecida. É utilizada uma base de
conhecimento informatizada contendo as questões mais comuns e suas respostas e
procedimentos de incidentes e falhas de equipamentos.
II - Segundo Nível - Trata-se também de serviço de telessuporte,
com as mesmas características do 1º nível, com exceção de soluções mais
complexas e especializadas; trata de soluções que exigem maior tempo de
trabalho; composto por técnicos com maiores conhecimentos sobre o problema em
questão; e
III - Terceiro Nível (Atendimento presencial ou
atendimento de campo) -
tem por finalidade dar suporte técnico e manutenção de
computadores e equipamentos eletrônicos cujas falhas/incidentes não podem ser
realizados no 1º nível. Esses serviços são executados no local onde serão ou já
se encontram instalados os serviços entregues ao cliente (hardware, software,
rede e telecomunicação).
Art. 16. O contato entre a área de tecnologia da
informação e os usuários do TRT/RJ se dará por intermédio do
Ponto Único de Atendimento, que possui as seguintes atribuições:
I - registrar, por meio de sistema específico,
todas as chamadas e requisições dos usuários;
II - como atendimento de primeiro nível, tentar
resolver incidentes registrados;
III - avaliar incidentes e, quando necessário,
encaminhar as requisições de solução às equipes mais especializadas;
IV - manter os usuários informados sobre o
progresso das requisições;
V - monitorar o cumprimento dos acordos de níveis
de serviço;
VI - criar e manter um banco de dados de erros
conhecidos;
VII - prover informações gerenciais para a
governança de TI; e
VIII - manter canais apropriados para notificação
de eventos de segurança.
Art. 17. Diretrizes
técnicas adicionais serão descritas e mantidas em documentos à parte, disponíveis a partir da página principal da Intranet do TRT/RJ.
CAPÍTULO III
DO USO DO CORREIO
ELETRÔNICO
Art.
18. A
utilização da Intranet como veículo
oficial de comunicação e a política de acesso e utilização da ferramenta de
correio eletrônico no âmbito do TRT/RJ deverão observar o inteiro teor do ATO
Nº 31/2008 e suas edições.
Parágrafo único. O acesso
ao serviço de correio eletrônico mediante contas de e-mail que não sejam de domínio do TRT/RJ (@trt1.jus.br)
realizar-se-á, exclusivamente, via site
de webmail disponibilizado pelo
provedor da referida conta de e-mail.
Art. 19. Em caso de
ausência superior a 2 (dois) dias, deverá o usuário
utilizar o recurso “Ausência do escritório”, ensejando, o seu descumprimento,
nas penalidades previstas na legislação em vigor.
Parágrafo único. A
utilização do recurso “Ausência do escritório” deverá vir desacompanhada do
motivo da ausência ou do telefone celular pessoal do usuário, devendo, no
entanto, ser oferecida alternativa de contato para continuidade dos processos
sob sua responsabilidade.
CAPÍTULO IV
DA SALA-COFRE
Art. 20. O acesso à sala de operação e à sala-cofre
será feito por controle de acesso biométrico e circuito fechado de TV, e
registrado mediante software próprio,
contendo a indicação de usuário, data e hora.
Parágrafo único.
Deverão existir 2 (duas) cópias da chave da porta da
sala-cofre, ficando uma de posse do Chefe da
Divisão de Operação de Núcleos de Computação - DIONC/STI, e a outra de posse do
Coordenador de Gestão de Núcleos - CGNC/STI.
Art. 22. O acesso de
usuários colaboradores à sala-cofre só será realizado com o acompanhamento de
um responsável previamente designado pelo solicitante, ciente de que dependerá
de autorização da CGNC e deverá observar os itens de segurança contidos na
POSIC.
Art. 23. Todas as entradas e saídas da sala-cofre e
sala de operação serão controladas individualmente.
Parágrafo único. Para
a entrada na sala-cofre deverão ser requeridos dois mecanismos de controle:
identificação individual, como crachá, e identificação biométrica e/ou senha.
CAPÍTULO V
Art. 24. Para os projetos de desenvolvimento e de manutenção
de softwares no TRT/RJ, pelo menos
uma metodologia deve ser estabelecida, com base
nas melhores práticas de mercado, contemplando, no mínimo, planejamento,
análise de requisito, modelagem, codificação, revisão, teste, homologação e
implantação.
Art. 25. O desenvolvimento ou a manutenção de software devem ser formalmente
autorizados e realizados após uma análise de impacto.
Art. 26. As
alterações de escopo de desenvolvimento ou manutenção de software devem ser documentadas e formalmente autorizadas.
Art. 27. As ferramentas de desenvolvimento devem ser
homologadas e licenciadas.
Art. 28. Os projetos de software devem conter um documento de especificação de segurança
que descreva seus objetivos, os quais devem, entre outros, contemplar:
I - mecanismo de
autenticação do usuário, que deve utilizar senhas com tamanho e complexidade
mínima, cuja troca lhe seja periodicamente exigida;
II - mecanismo de
autenticação do usuário, que deve bloquear o acesso após número definido de
tentativas de login
com falha;
III - mecanismo de
verificação de senha que impeça fraudes de repetição, interceptação ou quebra
de integridade na comunicação entre o cliente e o servidor;
IV - escolha da senha
por novos usuários sem a interferência do pessoal de apoio ou o recebimento,
por estes, de uma senha inicial que precise ser trocada;
V - armazenamento da senha pelo sistema, utilizando
criptografia irreversível;
VI - uniformidade do
controle de acesso em todo o sistema, utilizando-se uma única rotina de
verificação;
VII - controles de
segurança por múltiplas camadas, de acordo com a criticidade das informações
tratadas pelo software;
VIII - registro, pelo sistema, dos eventos significativos
para a segurança, principalmente, inicio e fim do mecanismo de auditoria;
IX - registro, pelo
sistema, das falhas de login,
indicando o número de tentativas;
X - registro, pelo
sistema, da criação e remoção de usuários, bem como da atribuição e da remoção
de direitos do usuário;
XI - proteção da
trilha de auditoria contra remoção e alteração por parte de todos os usuários,
exceto dos administradores de auditoria;
XII - capacidade de
tolerância do sistema às falhas e retorno a operação;
XIII - inexistência,
em aplicações web, de dados sensíveis
em campos ocultos ou cookies;
XIV - realização no
servidor, em aplicações web, das
verificações e validações de segurança;
XV - acesso dos
desenvolvedores aos códigos-fontes necessários para a alteração, quando
autorizados pelo superior imediato;
XVI - maior
semelhança possível entre o ambiente de homologação e o
ambiente de produção;
XVII - exigência de
que os aplicativos só passem do desenvolvimento para a homologação após
verificação da existência e adequação de sua documentação; e
XVIII - existência de
documentação de instalação, configuração e operação do sistema, ressaltando os
aspectos de segurança, que deve ser mantida atualizada.
Art. 29. Requisitos funcionais, não funcionais e de
domínio devem ser especificados e documentados, bem como as manutenções
necessárias, considerando os requisitos de segurança definidos no
desenvolvimento do sistema.
Art. 30. As especificações dos requisitos devem ser
elaboradas em conjunto com a área de negócio solicitante da demanda.
Art. 31. Durante o processo
de desenvolvimento e manutenção de software
deve ser implantado um mecanismo de controle de versão.
Art. 32. Devem existir mecanismos de verificação de
vulnerabilidades no código-fonte e programas de conscientização em Segurança da
Informação para todos os usuários envolvidos nos processos de desenvolvimento
de Software.
Art. 33. Incidentes
de segurança devem ser controlados e restritos aos desenvolvedores envolvidos,
em seus respectivos projetos.
Art. 34. Os códigos-fonte não devem conter identificações
e/ou senhas de acesso às bases de dados, sejam elas de teste, de homologação ou de produção.
Art. 35. Ambientes de
desenvolvimento e testes, de homologação e de produção devem ser isolados entre
si.
Art. 36. Deverá ser implantado processo de gestão de
configuração, que abrangerá todo o procedimento de desenvolvimento e
manutenção.
Art. 37. Todo software que implique em manipulação de
dados deve ser desenvolvido com controle de acesso lógico.
Art. 38. Os projetos de
desenvolvimento de novos softwares
deverão ser submetidos previamente à aprovação da Comissão de Tecnologia da
Informação - CTI, mediante apresentação formal de demanda por parte do
requisitante do serviço, juntada a análise da viabilidade técnica das unidades
de Tecnologia da Informação.
§ 1º Toda autorização
de abertura de projeto de desenvolvimento de software deverá ser realizada por ordem de serviço individual e
específica, que conterá, obrigatoriamente:
I - a indicação dos
técnicos que compõem a equipe de trabalho;
II - a designação do
gerente de projeto; e
III - as datas de
início e conclusão do projeto.
§ 2º A ordem de
serviço de que trata o parágrafo anterior deverá ser assinada pelo Presidente
da Comissão de Tecnologia da Informação - CTI ou pelo diretor da Secretaria de
Soluções em Tecnologia da Informação - SST.
Art. 39. O processo a
ser seguido na execução dos projetos autorizados deve abranger as práticas de
Gerenciamento de Projetos e Gerenciamento de Requisitos.
Art. 40. Todo projeto iniciado de desenvolvimento de software deverá ser encerrado
formalmente, mediante Termo Específico de Encerramento de Projeto,
independentemente da conclusão ou não do produto.
Parágrafo único. Nos
casos de conclusão efetiva do produto de software,
deverá ser gerado, ainda, o documento específico de aceitação do software assinado pelo gestor do
sistema.
Art. 41. Os
códigos-fonte e demais artefatos resultantes dos processos de desenvolvimento
dos softwares deverão ser catalogados
e mantidos, inclusive com controle de versão, pela SST.
Parágrafo único. O
processo de versionamento de artefatos de que trata este artigo deverá ser
detalhado em documento específico.
Art. 42. Diretrizes
técnicas adicionais, inclusive de controle e garantia de qualidade, serão
descritas e mantidas em documentos à parte, disponíveis na página principal da Intranet ou em site específico mantido pelo TRT/RJ.
CAPÍTULO VI
DA CÓPIA DE SEGURANÇA E RECUPERAÇÃO DE DADOS
Art. 43. Os
procedimentos de backup e de
recuperação deverão ser documentados e atualizados, além de testados de modo a
garantir a disponibilidade das informações.
Art. 44. A solicitação da inclusão de novas rotinas de
backup será feita pela CGNC, que
realizará estudos de viabilidade quanto a sua possibilidade e forma de
realização.
Art. 45. As cópias de segurança serão realizadas,
periodicamente, de forma automática pelas ferramentas de backup ou manualmente pelos administradores de sistemas, devendo
ser providenciadas cópias dos servidores físicos e virtuais, do banco de dados,
do correio eletrônico, dos arquivos corporativos salvos nos servidores de
arquivos.
Art. 46. As cópias de segurança seguirão os períodos
de retenção compatíveis com classificação definida em procedimento específico.
Art. 47. Os prazos de recuperação de dados dependerão
do acordo de nível de serviço.
Art. 48. As estações de
trabalho (desktops) e notebooks não estão contempladas nos
procedimentos de cópia de segurança, retenção e recuperação de dados.
CAPÍTULO VII
DA INSTALAÇÃO E
UTILIZAÇÃO DE PROGRAMAS
Art.
49. A instalação e a utilização de
programas de computador no âmbito do TRT/RJ serão feitas de acordo com os
seguintes requisitos:
I - existência de
licenças de uso em quantidade suficiente;
II - licenças compradas
pelo TRT/RJ para uso exclusivo em equipamentos do TRT/RJ.
III - conformidade
com a atividade da instituição e com a área de atuação de todas as unidades.
IV - compatibilidade
com os demais programas utilizados e segurança da rede corporativa;
V - adequação aos
recursos computacionais disponíveis;
VI - obediência a
planejamentos, cronogramas e prioridades existentes: e
VII - programas
classificados pelo fabricante como free para uso de forma corporativa, desde que não haja outro
similar em uso pelo TRT/RJ e observado o contido na POSIC.
Art. 50. A instalação
de programa em equipamentos de informática do TRT/RJ deve ser realizada
exclusivamente pelas equipes técnicas da STI, e, em caso de instalação ou
qualquer alteração no sistema operacional por usuário cadastrado como
administrador, sem registro de chamado junto à STI, o sujeitará às penalidades
previstas em lei.
Art. 51. É proibido executar ou instalar programa de
terceiros, sem licença de uso regularmente contratada, recebido como anexo de
mensagem de correio eletrônico, transferido via Internet, trazido por mídias removíveis ou obtido por qualquer
outra fonte que não seja a STI, assim como copiar programas de computador
contratados pelo TRT/RJ para uso particular, ficando o usuário sujeito às
penalidades previstas em lei.
Art. 52. A STI poderá realizar, para teste e
avaliação, a instalação de programa, com autorização do produtor, distribuidor
ou revendedor, pelo prazo estipulado na autorização.
Art. 53. É vedada a
utilização de programas de computador que descaracterizem os propósitos da
instituição ou danifiquem, de alguma forma, o ambiente
instalado, tais como jogos eletrônicos, bate-papo e outros.
Art. 54. As solicitações para instalação de programas devem
ser encaminhadas por escrito e acompanhadas de justificativa à STI, que,
observando os pressupostos relacionados no art. 49, efetuará a instalação ou
promoverá a contratação, quando não existirem licenças disponíveis.
Art. 55. Compete à STI manter registro das licenças de
uso de programas de terceiros contratados e dos programas de livre distribuição
registrados pelo TRT/RJ.
Art. 56. Os softwares
homologados e permitidos para a utilização no TRT/RJ poderão ser consultados
através de listagem que deverá ser mantida e atualizada na STI, caso haja
necessidade.
Art. 57. Os softwares
provenientes de instalações irregulares serão removidos sem prévio aviso ao
usuário.
CAPÍTULO VIII
DA MONITORAÇÃO E AUDITORIA DOS RECURSOS DE TI
Art. 58. Toda utilização de recursos tecnológicos no âmbito do
TRT/RJ será monitorada com o intuito de detectar divergências entre a Política
de Segurança da Informação e Comunicações e os registros de eventos
monitorados, fornecendo evidências no caso de incidentes de segurança.
Art. 59. Serão
monitorados diversos ativos no ambiente computacional do TRT/RJ, tais como:
I - estações de
trabalho (desktops, notebooks, netbooks etc.) e dispositivos móveis;
II - rede de
computadores e demais equipamentos, tais como: switches, roteadores, firewalls, IPS/IDS, filtro de conteúdo de
acesso à Internet (proxy);
III - correio
eletrônico;
IV - Intranet, Extranet e Internet;
V - sistemas
corporativos;
VI - equipamentos
servidores; e
VII - banco de dados.
Art. 60. A correspondência
eletrônica pessoal não poderá ser violada em respeito à privacidade, exceto em
eventos de auditoria extraordinária.
Art. 61. Para fins de
auditoria, os logs deverão ser
armazenados eletronicamente com níveis de informação (detalhamento) e período
de retenção compatíveis com a classificação da informação.
Art. 62. A STI será responsável pela realização de
auditorias ordinárias dos recursos tecnológicos do TRT/RJ e dará suporte às
auditorias definidas no plano de atividades de auditoria.
Parágrafo único. As
auditorias ordinárias compreendem todas aquelas realizadas periodicamente e têm
como objetivo a avaliação da conformidade técnica dos serviços, ferramentas e
equipamentos em funcionamento no TRT/RJ.
Art. 63. As auditorias extraordinárias, alinhadas ao
plano de atividades de auditorias designadas pelo Comitê Gestor da Segurança da
Informação e Comunicações, compreendem todas as realizadas por solicitação
superior para apurar eventos que depõem contra as boas práticas de utilização
e/ou que coloquem em risco a segurança dos ativos de informação do TRT/RJ, e
obedecerão ao seguinte fluxo para sua realização:
I - abertura de
processo de auditoria na STI demandada por Comissões criadas pela Presidência
do TRT/RJ, pelo Comitê Gestor de Segurança da Informação e Comunicações, ou
outra autoridade; e
II - autorização
formal do diretor da STI com a descrição de todas as ações que se fizerem
necessárias para a execução da auditoria.
Art. 64. As auditorias extraordinárias serão
realizadas de modo a pesquisar, prevenir ou coibir ações ou práticas de
manipulação indevida ou não autorizada dentro do ambiente de Tecnologia da
Informação do TRT/RJ que possam acarretar prejuízo de qualquer ordem para a
Instituição, ou para usuário pertencente ou não ao quadro de pessoal do TRT/RJ.
Art. 65. O resultado
da auditoria extraordinária se fará constar em um relatório confidencial, que
será disponibilizado única e exclusivamente à Comissão, ao Comitê e à
Autoridade que formalizou a abertura do processo de auditoria.
CAPÍTULO IX
DA ADMINISTRAÇÃO DO
BANCO DE DADOS
Art.
66. O banco de dados corporativo destina-se não somente a armazenar seus
objetos de banco de dados, como também os utilizados por aplicações ou sistemas
destinados a atender as necessidades do TRT/RJ.
Art. 67. A
administração central do banco de dados corporativo, bem como tudo que se
relacionar a ele e aos dados nele contidos, são de responsabilidade total e única da CGNC, através da
equipe de administradores de banco de dados (DBAs).
Art. 68. O banco de dados corporativo deve utilizar software
que permita criar, manter e administrar (usando ferramentas de apoio) um banco
de dados relacional multiusuário com alta capacidade de armazenamento de dados e
estruturas internas.
Art. 69. A atualização do software
só será feita se verificada uma das seguintes condições:
I - quando o software atual apresentar limitações que
impeçam o desenvolvimento ou implantação de novos sistemas ou aplicações; e
II - quando houver
disponível, comercialmente, uma versão mais atual do software, devidamente testada e certificada (não se tratando de uma
versão beta, por exemplo).
Art. 70. O software não poderá ser atualizado se
alguma das condições a seguir se verificar:
I - falta de recursos
financeiros ou orçamentários para realizar sua atualização ou para contratar
serviços de suporte técnico para a versão mais recente do que está sendo
pleiteado;
II - limitações
técnicas ou de compatibilidade entre a versão mais recente do que está sendo
pleiteado e a plataforma existente para a versão utilizada pelo TRT/RJ;
III - comprovação de
que a versão mais recente do software
que está sendo pleiteado ainda possui muitos defeitos a serem corrigidos (bugs), e ainda não se encontra estável;
IV - falta de
profissionais capacitados a trabalharem com a versão mais recente do software
que está sendo pleiteado;
V-
comprovação de que uma atualização do software prejudicaria,
de alguma forma, os sistemas ou aplicações já em produção (inclusive quanto ao
fato de deixá-los indisponíveis durante o processo de atualização), mesmo que
estes sofressem uma adaptação (customização) para a versão mais recente do
software que está sendo pleiteado; e
VI
- a nova versão do software pleiteado não estiver disponível comercialmente no
Brasil ou não estiver certificado para a plataforma do sistema operacional que
estiver sendo utilizada.
Art. 71. Qualquer atividade a ser desempenhada no
TRT/RJ e que afete o banco de dados corporativo deve ser previamente agendada
de modo a não impactar o bom andamento dos trabalhos no banco de dados
corporativo, bem como o andamento dos trabalhos dos usuários que dele necessitem;
Art. 72. As responsabilidades e deveres da equipe
de DBAs da Secretaria de Tecnologia da Informação -
STI são:
I
- desempenhar tarefas de gerenciamento e administração de banco de dados, tais
como monitoramento das atividades no banco de dados, monitoramento das sessões
estabelecidas por usuários, verificação periódica do comportamento das
estruturas de armazenamento, resolução de problemas levantados por usuários
utilizando ou tentando utilizar o banco de dados, resolução de problemas
técnicos que envolvam a recuperação de dados (tais como quando ocorre queda de
energia), etc;
II
- definir e executar procedimentos de cópias de segurança do banco de dados
corporativo;
III
- definir e executar normas de segurança para uso e acesso ao banco de dados
corporativo, o que envolve, dentre outras tarefas, criar, gerenciar contas de
usuários do banco de dados e monitorar o seu acesso a eles. Tais contas de
usuários não estão vinculadas às contas de usuário de rede, de algum servidor
ou do sistema operacional;
IV
- atender e executar solicitações de equipes de desenvolvimento de software, para manutenção corretiva e
evolutiva em objeto de banco de dados de sistemas ou aplicações em produção, e,
ainda, em desenvolvimento e implantação de novos sistemas ou aplicações. Isto
envolve para ambos os casos, as seguintes tarefas;
a) analisar, aprovar
ou corrigir o modelo físico do sistema ou aplicação a ser desenvolvido e
implantado;
b)
planejar, criar e realizar manutenção de estruturas internas de armazenamento
do banco de dados corporativo para armazenar os objetos de banco de dados e
para armazenar os dados em si, prevendo também a expansão futura dessas
estruturas internas de armazenamento, à medida que os sistemas ou aplicações
evoluam, considerando o modelo físico do banco de dados;
c)
adequar os scripts dos objetos de
dados enviados pelas equipes de desenvolvimento ou pelos terceiros (quando
houver necessidade e, se possível) e execução dos mesmos nos bancos de
desenvolvimento e, posteriormente, no banco de produção;
d)
planejamento, definição e execução das normas de segurança específicas de cada
novo sistema ou aplicação;
e)
apoiar as equipes de desenvolvimento e os terceiros, respondendo dúvidas sobre
questões técnicas, fazendo recomendações e observando os scripts de criação de
objetos de banco de dados que são enviados pelas equipes de desenvolvimento e
pelos terceiros, corrigindo-os, se necessários, e reportando estas correções
devidamente explicadas;
f)
monitorar a evolução e crescimento dos dados de um sistema ou aplicação para
definir os aspectos de tunning
ou otimização da aplicação;
g)
monitorar e acompanhar o comportamento do banco de dados corporativo em nível
de objetos da aplicação, em nível de objetos e instâncias ativas;
h)
instalar, sempre que necessário procedimentos de
auditoria sobre os dados do banco de dados corporativo, em qualquer aplicação
que se julgue necessário;
i)
definir, conjuntamente com as equipes de desenvolvimento e terceiros, implantar
e documentar a política de segurança de cada sistema ou aplicação;
j)
criar e gerenciar contas de usuários;
k)
criar, manter e documentar scripts de
objetos de banco de dados referentes à segurança, usuários, privilégios de
sistema, privilégios de objeto e cotas de armazenamento;
l)
monitorar as sessões estabelecidas pelos usuários, tomando atitudes cabíveis
caso alguma sessão esteja prejudicando o funcionamento do banco de dados
corporativo;
m)
manter-se atualizada quanto às inovações tecnológicas referentes à segurança no
software que implementa o banco de dados corporativo;
n)
orientar e dar suporte às equipes de desenvolvimento, aos terceiros e aos
usuários do banco de dados corporativo quanto aos procedimentos para troca
automática de senha, conexão no banco de dados e recomendações diversas;
o)
recuperar senhas de usuários que porventura tenham esquecido a senha;
p)
definir políticas gerais de segurança, que se aplicam a todos os sistemas ou
aplicativos, tais como tempo de validade das senhas, limites de acesso,
histórico de senhas etc;
e
q)
definir padrões, por intermédio de Normas Técnicas e recomendações técnicas, de
modo que as equipes de desenvolvimento e os terceiros trabalhem de forma única.
Parágrafo
único. Qualquer outra tarefa, que não foi apresentada na POSIC, deverá ser
submetida ao Comitê Gestor de Segurança da Informação e Comunicações.
Art. 73. São deveres e responsabilidades das
equipes de desenvolvimento das unidades e terceiros, com relação ao uso do
banco de dados corporativo:
I - fornecer à equipe de DBAs
a documentação básica para fins de banco de dados;
II - Apresentar propostas de melhoria, após análise
da documentação básica, quando julgar necessário, visando evitar correções
futuras na fase de desenvolvimento.
III - fornecer à equipe de DBAs
uma cópia atualizada da documentação básica para fins de banco de dados de um
sistema ou aplicação, sempre que houver alteração na versão anterior desta
documentação; e
IV - fornecer à equipe de DBAs
a Política de Segurança de cada sistema ou aplicação para análise. Sempre que
esta política for alterada, a equipe de DBAs deverá
ser notificada;
Art. 74. As equipes de desenvolvimento e os
terceiros estão isentos da responsabilidade de escrever scripts referentes a usuários, a privilégios de sistema, a
privilégios de objeto e a cotas de armazenamento, bastando apenas especificar, para
a equipe de DBAs, detalhes sobre o objeto de banco de
dados ou a política de segurança em termos de regras de segurança e a
associação destas com usuários;
Art. 75.
Nenhuma Política de Segurança para um sistema ou aplicação pode ser
definida sem a participação e consentimento da equipe de DBAs,
que se reserva o direito de não aprovar a política de segurança proposta pela
equipe de desenvolvimento ou pelos terceiros, caso seja verificado que tal
política contrarie Normas Técnicas específicas ou não de segurança, sejam
redundantes ou ameacem a segurança de dados considerados estratégicos para o
TRT/RJ ou a segurança do banco de dados corporativo;
Art. 76.
São direitos das equipes de desenvolvimento das unidades e terceiros,
com relação ao uso do banco de dados corporativo:
I - utilizar o banco de dados de desenvolvimento
para toda a fase de desenvolvimento e testes de sistemas e aplicações, desde
que os mesmos sejam utilizados para atender de forma única todo o TRT/RJ; e
II - utilizar o banco de dados de produção para
implantar e colocar em produção o protótipo do sistema ou aplicação
desenvolvido e testado previamente no banco de dados de desenvolvimento.
Art. 77. Por motivos de segurança, as senhas de
todos os owners
de schemas existentes no banco de dados de
desenvolvimento e no banco de dados de produção
devem estar sob responsabilidade apenas da equipe de DBAs. A equipe de DBAs se
conectará ao banco de dados corporativo como owner de um schema sempre que for necessário executar alguma tarefa de manutenção
corretiva ou evolutiva nos objetos de banco de dados deste schema.
Art. 78.
Deve-se observar que mesmo estando em andamento ou implantados sistemas
ou aplicações por equipes de desenvolvimento ou por terceiros, estes deverão
seguir esta POSIC.
CAPÍTULO X
DAS PENALIDADES E DISPOSIÇÕES GERAIS
Art. 79. O usuário que fizer uso de forma indevida dos
recursos e serviços de Tecnologia da Informação, bem como agir em desacordo com
os termos aqui definidos, ficará sujeito à aplicação das penalidades previstas
na legislação vigente.
Art. 80. Visando
detalhar as obrigações indicadas nesta POSIC, discutidas e aprovadas pelo
Comitê Gestor de Segurança da Informação e Comunicações, serão mantidas em documentos
à parte, disponíveis a partir da página
principal da Intranet institucional
ou em site específico mantido pelo
TRT/RJ.
Art. 81. Os instrumentos normativos gerados a partir
desta POSIC devem ser revisados sempre que se fizer necessário, não excedendo o
período máximo de 1 (um) ano.
Art. 82. Qualquer hipótese que não estiver contemplada
na presente POSIC está automaticamente vedada e será submetida à apreciação do
Comitê Gestor de Segurança da Informação e Comunicações - CGSIC.
Art. 83. A presente Resolução Administrativa entra em
vigor a partir da data de sua publicação.
Sala de Sessões, 4 de dezembro de 2014
DESEMBARGADOR DO TRABALHO CARLOS ALBERTO
ARAUJO DRUMMOND
Presidente do Tribunal Regional do Trabalho
da Primeira Região