ÓRGÃO ESPECIAL

 

RESOLUÇÃO ADMINISTRATIVA Nº 56/2014

 

(Publicada em 15/12/2014, no DOERJ, Parte III, Seção II)

(REVOGADA pela Resolução Administrativa nº 29/2019, disponibilizada em 8/10/2019 no DEJT, Caderno Administrativo)

 

Dispõe sobre a Política de Segurança da Informação e Comunicações no âmbito do Tribunal Regional do Trabalho da 1ª Região.

 

 

O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA PRIMEIRA REGIÃO, no uso de suas atribuições legais e regimentais, tendo em vista o decidido, por unanimidade, pelo Órgão Especial, reunido em Sessão Ordinária, no dia 4 de dezembro de 2014,

 

CONSIDERANDO a necessidade de estabelecer diretrizes e padrões para garantir um ambiente tecnológico controlado e seguro de forma a oferecer todas as informações necessárias aos processos deste Tribunal com integridade, confidencialidade e disponibilidade;

 

CONSIDERANDO os danos potenciais decorrentes da instalação de programas não homologados e inadequados, mau uso dos recursos computacionais, bem como o risco de disseminação de vírus de computador a partir das estações de trabalho e do uso de dispositivos móveis;

 

CONSIDERANDO que a credibilidade da instituição na prestação jurisdicional deve ser preservada;

 

CONSIDERANDO as definições consagradas pela Associação Brasileira de Normas Técnicas - ABNT e por organismos internacionais (International Organization for Standardization - ISO, International Eletrothecnical Comission - IEC, International Telecomunication Union - ITU);

 

CONSIDERANDO a constante preocupação com a qualidade e celeridade na prestação de serviços à sociedade.

 

RESOLVE:

 

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

 

Art. 1º Criar a Política de Segurança da Informação e Comunicações (POSIC) no âmbito do Tribunal Regional do Trabalho da 1ª Região - TRT/RJ.

 

Art. 2º Para os efeitos desta Resolução Administrativa aplicam-se as seguintes definições:

 

I - Acordo de Nível de Serviço (ANS): contrato celebrado entre o provedor de serviço de Tecnologia da Informação (TI) e seus clientes, que define os parâmetros de capacidade do sistema, desempenho da rede e tempo de resposta global, necessários para atender aos objetivos institucionais. É o instrumento de validação do gerenciamento de nível de serviço;

 

II - Artefato de Software: item criado como parte da definição; manutenção ou utilização de um processo de software, incluindo, entre outros, descrição de processos, planos, procedimentos, especificações, projetos de arquitetura, projeto detalhado, código, documentação para o usuário;

 

III - Ativo: qualquer coisa que tenha valor para a organização;

 

IV - Banco de Dados: conjunto de dados organizados de forma a servir de base para que o usuário processe e recupere informações;

 

V - Serviço de Atendimento ao Usuário ou Central de Multisserviços de Tecnologia da Informação (service desk):  função técnica e administrativa que permite comunicação efetiva, eficiente e eficaz entre os usuários de serviços e recursos de Tecnologia da Informação (TI) e as unidades técnicas que são provedoras desses serviços e recursos;

 

VI - Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados;

 

VII - Disponibilidade: propriedade de estar acessível e utilizável, sob demanda, por entidade autorizada;

 

VIII - Gestão de Configuração: conjunto de procedimentos técnicos e gerenciais que são definidos para identificação de Ativos de Tecnologia da Informação e para a gestão de suas alterações;

 

IX - Gestão de riscos: atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos;

 

X - Gerenciamento de Serviços de Tecnologia da Informação: conjunto de capacidades organizacionais específicas (processos, métodos, funções, papéis e atividades) para prover valores aos clientes sob a forma de serviços;

 

XI - Incidente: interrupção não planejada de um serviço de TI ou redução da qualidade de um serviço de TI;

 

XII - Incidente de Segurança da Informação: evento simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação;

 

XIII - Integridade: propriedade de salvaguarda da exatidão e completeza da informação;

 

XIV - Item de Configuração: qualquer componente que necessite ser gerenciado para que se possa entregar um Serviço de TI (servidores, desktops, notebooks e outros);

 

XV - Janelas de Manutenção: grade de horários acordados e periódicos em que as alterações ou liberações são implantadas com o mínimo de impacto nos serviços, visando atuar de forma mais eficiente na diminuição do tempo de indisponibilidade não programado;

 

XVI - Gestão da Continuidade do Negócio: processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio, caso estas ameaças se concretizem, e que desenvolve uma resiliência organizacional capaz de responder eficazmente e salvaguardar os interesses das partes interessadas, a reputação e a marca da organização e suas atividades de valor agregado;

 

XVII - Provedor de Serviço de TI: unidade organizacional ou pessoa que oferece serviços de TI para clientes internos ou externos;

 

XVIII - Recurso de Tecnologia de Informação: qualquer equipamento, dispositivo, serviço, infraestrutura ou sistema de processamento da informação, ou as instalações físicas que os abriguem;

 

XIX - Segurança da informação: preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas;

 

XX - Serviços de TI: serviço baseado no uso da Tecnologia da Informação, provido para um ou mais clientes, e que oferece apoio aos processos de negócio destes, composto pela combinação de pessoas, processos e tecnologias que devem ser definidas por meio de um Acordo de Nível de Serviço;

 

XXI - Sistema de gestão da segurança da informação e Comunicações (SGSIC): parte do sistema de gestão global (estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos), baseada na abordagem de riscos do negócio, para estabelecer, implantar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação;

 

XXII - Spam: e-mails não solicitados, geralmente enviados para um grande número de pessoas;

 

XXIII - Tempo médio para restauração de serviço: medida do momento em que o Item de Configuração ou Serviços de TI falhou até quando ele estiver completamente restaurado e executando sua funcionalidade normal;

 

XXIV - Comitê Gestor de Segurança da Informação e Comunicações (CGSIC) - Órgão colegiado, de natureza deliberativa e de caráter permanente, que tem por finalidade propor diretrizes para a Gestão Corporativa de Segurança da Informação e Comunicações; e

 

XXV - Usuários: pessoas que fazem uso de recursos de TI.

 

Art.3º Os usuários dividem-se em:

 

I - Usuários Magistrados - Magistrados do TRT/RJ ou que estejam a serviço deste.

 

II - Usuários Servidores - Servidores ocupantes de cargo efetivo ou em comissão, requisitados e cedidos que tenham acesso legítimo aos recursos de TI;

 

III - Usuários colaboradores - empregados de empresas prestadoras de serviços terceirizados, consultores, estagiários ou qualquer outro colaborador que esteja a serviço do TRT/RJ; e

 

IV - Usuários externos - advogados, peritos, partes e outras pessoas que se utilizem dos serviços disponibilizados pelo TRT/RJ.

 

Art. 4º A POSIC se aplica a todos os usuários que exercem atividades no âmbito do TRT/RJ ou quem quer que venha a ter acesso a dados, informações, sistemas, ambientes e demais ativos protegidos por este regulamento.

 

Art. 5º O uso adequado dos recursos de tecnologia da informação visa garantir a continuidade da prestação jurisdicional do TRT/RJ.

 

§1º Os recursos de tecnologia da informação pertencentes ao TRT/RJ, disponíveis para o usuário, serão utilizados em atividades estritamente relacionadas às suas funções institucionais.

 

§ 2º A utilização dos recursos de tecnologia da informação será monitorada e auditada, sendo seus registros mantidos.

 

Art. 6º As informações geradas no TRT/RJ são de sua propriedade, independente da forma de sua apresentação ou armazenamento, e serão adequadamente protegidas e utilizadas exclusivamente para fins relacionados às suas atividades institucionais.

 

Parágrafo único. Toda informação gerada no TRT/RJ deverá ser classificada em termos de seu valor, requisitos legais, sensibilidade, criticidade e necessidade de compartilhamento.

 

Art. 7º Cada unidade administrativa terá disponível área de armazenamento em rede, controlada por cotas, para salvaguardar os arquivos e e-mails provenientes, exclusivamente, das atividades laborais de seus usuários, com garantia de integridade, disponibilidade, controle de acesso e cópia de segurança.

 

Parágrafo único. Os dados armazenados nas estações de trabalho dos usuários do Tribunal não estão contemplados pelas garantias mencionadas neste artigo.

 

Art. 8º Os usuários devem assumir atitude proativa e engajada, evitando a exposição a ameaças externas que podem afetar a segurança das informações do TRT/RJ, tais como vírus de computador, interceptações de mensagens eletrônicas, grampos telefônicos, comunicações em redes sociais, bem como fraudes destinadas a roubar senhas de acesso aos sistemas de informação.

 

Art. 9º O processo de Gestão de Risco de Segurança da Informação e Comunicações deve estar alinhado ao Sistema de Gestão de Segurança da Informação e Comunicações - SGSIC.

 

Parágrafo único. O processo de Gestão de Risco de Segurança da Informação e Comunicações deve ser composto pelas etapas de definição do contexto, análise/avaliação de risco, desenvolvimento do plano de tratamento do risco, aceitação do risco, implantação do plano de tratamento dos riscos, monitoramento e análise crítica de riscos, manutenção e melhoria do processo.

 

Art. 10 O processo de Gestão da Continuidade do Negócio deve conter o entendimento da instituição, a definição do contexto, as estratégias de continuidade de negócios e a avaliação de desempenho.

 

Art. 11 O Comitê Gestor de Segurança da Informação e Comunicações incentivará campanhas de conscientização e treinamentos sobre segurança da informação e a POSIC.

 

CAPÍTULO II

DO GERENCIAMENTO DE SERVIÇOS DE TI

 

Art. 12.  A gestão de serviços de TI compreende a administração dos serviços, desde a sua instalação até a sua manutenção, observadas, obrigatoriamente, atividades de planejamento, elaboração, entrega, monitoramento, avaliação e ajustes contínuos dos serviços de TI a serem oferecidos.

 

Art. 13. A Secretaria de Tecnologia da Informação (STI) deverá criar e manter um endereço eletrônico de informação a respeito dos serviços de TI existentes no âmbito do TRT/RJ, devendo conter descrição e níveis de serviço, clientes e a unidade organizacional responsável pela manutenção.

 

Art. 14.  Serão ajustados os níveis de serviço contendo a descrição explícita sobre:

 

I - serviço;

 

II - o tempo de serviço acordado entre as partes;

 

III - as expectativas de entrega do serviço, inclusive com definição de índice de indisponibilidade (planejada e não planejada);

 

IV - o tempo médio para restauração de serviço em caso de indisponibilidades;

 

V - as janelas de manutenção;

 

VI - os itens de configuração da arquitetura do serviço; e

 

VII - informações para contato dos responsáveis pelo fornecimento do serviço.

 

§ 1º Os acordos de níveis de serviços deverão ser assinados em conjunto pelo responsável da STI e por um ou mais representantes dos interessados na utilização do serviço, de preferência com alto poder decisório na instituição.

 

§ 2º Os acordos de níveis de serviços deverão ser revisados periodicamente, a fim de identificar possíveis melhorias na forma de prestação dos serviços acordados ou ainda distorção nos níveis de expectativa de entrega de serviço.

 

Art. 15.  A STI disponibilizará o suporte a usuários, formado por equipes distribuídas em três níveis de atendimento:

 

I - Primeiro Nível (telessuporte e/ou suporte a distância) - Tem por objetivo responder à maioria das dúvidas e orientações, bem como identificar, diagnosticar e resolver incidentes reportados pelos usuários que tenham solução conhecida. É utilizada uma base de conhecimento informatizada contendo as questões mais comuns e suas respostas e procedimentos de incidentes e falhas de equipamentos.

 

II - Segundo Nível - Trata-se também de serviço de telessuporte, com as mesmas características do 1º nível, com exceção de soluções mais complexas e especializadas; trata de soluções que exigem maior tempo de trabalho; composto por técnicos com maiores conhecimentos sobre o problema em questão; e

 

III - Terceiro Nível (Atendimento presencial ou atendimento de campo) -  tem por finalidade dar suporte técnico e manutenção de computadores e equipamentos eletrônicos cujas falhas/incidentes não podem ser realizados no 1º nível. Esses serviços são executados no local onde serão ou já se encontram instalados os serviços entregues ao cliente (hardware, software, rede e telecomunicação).

 

Art. 16.  O contato entre a área de tecnologia da informação e os usuários do TRT/RJ se dará por intermédio do Ponto Único de Atendimento, que possui as seguintes atribuições:

 

I - registrar, por meio de sistema específico, todas as chamadas e requisições dos usuários;

 

II - como atendimento de primeiro nível, tentar resolver incidentes registrados;

 

III - avaliar incidentes e, quando necessário, encaminhar as requisições de solução às equipes mais especializadas;

 

IV - manter os usuários informados sobre o progresso das requisições;

 

V - monitorar o cumprimento dos acordos de níveis de serviço;

 

VI - criar e manter um banco de dados de erros conhecidos;

 

VII - prover informações gerenciais para a governança de TI; e

 

VIII - manter canais apropriados para notificação de eventos de segurança.

 

Art. 17. Diretrizes técnicas adicionais serão descritas e mantidas em documentos à parte, disponíveis a partir da página principal da Intranet do TRT/RJ.

 

CAPÍTULO III

DO USO DO CORREIO ELETRÔNICO

 

Art. 18.  A utilização da Intranet como veículo oficial de comunicação e a política de acesso e utilização da ferramenta de correio eletrônico no âmbito do TRT/RJ deverão observar o inteiro teor do ATO Nº 31/2008 e suas edições.

 

Parágrafo único. O acesso ao serviço de correio eletrônico mediante contas de e-mail que não sejam de domínio do TRT/RJ (@trt1.jus.br) realizar-se-á, exclusivamente, via site de webmail disponibilizado pelo provedor da referida conta de e-mail.

 

Art. 19. Em caso de ausência superior a 2 (dois) dias, deverá o usuário utilizar o recurso “Ausência do escritório”, ensejando, o seu descumprimento, nas penalidades previstas na legislação em vigor.

 

Parágrafo único. A utilização do recurso “Ausência do escritório” deverá vir desacompanhada do motivo da ausência ou do telefone celular pessoal do usuário, devendo, no entanto, ser oferecida alternativa de contato para continuidade dos processos sob sua responsabilidade.

 

CAPÍTULO IV

DA SALA-COFRE

 

Art. 20.  O acesso à sala de operação e à sala-cofre será feito por controle de acesso biométrico e circuito fechado de TV, e registrado mediante software próprio, contendo a indicação de usuário, data e hora.

 

Parágrafo único. Deverão existir 2 (duas) cópias da chave da porta da sala-cofre, ficando uma de posse do Chefe da Divisão de Operação de Núcleos de Computação - DIONC/STI, e a outra de posse do Coordenador de Gestão de Núcleos - CGNC/STI.

 

Art. 21.  A solicitação de acesso ao interior da sala cofre é restrita e a autorização para acesso não emergencial deverá ser feita à CGNC, com antecedência mínima de 24 horas, e devidamente justificada.

 

Art. 22.  O acesso de usuários colaboradores à sala-cofre só será realizado com o acompanhamento de um responsável previamente designado pelo solicitante, ciente de que dependerá de autorização da CGNC e deverá observar os itens de segurança contidos na POSIC.

 

Art. 23.  Todas as entradas e saídas da sala-cofre e sala de operação serão controladas individualmente.

 

Parágrafo único. Para a entrada na sala-cofre deverão ser requeridos dois mecanismos de controle: identificação individual, como crachá, e identificação biométrica e/ou senha.

 

CAPÍTULO V

DO DESENVOLVIMENTO E MANUTENÇÃO DE SOFTWARE

 

Art. 24.  Para os projetos de desenvolvimento e de manutenção de softwares no TRT/RJ, pelo menos uma metodologia deve ser estabelecida, com base nas melhores práticas de mercado, contemplando, no mínimo, planejamento, análise de requisito, modelagem, codificação, revisão, teste, homologação e implantação.

 

Art. 25. O desenvolvimento ou a manutenção de software devem ser formalmente autorizados e realizados após uma análise de impacto.

 

Art. 26. As alterações de escopo de desenvolvimento ou manutenção de software devem ser documentadas e formalmente autorizadas.

 

Art. 27. As ferramentas de desenvolvimento devem ser homologadas e licenciadas.

 

Art. 28.  Os projetos de software devem conter um documento de especificação de segurança que descreva seus objetivos, os quais devem, entre outros, contemplar:

 

I - mecanismo de autenticação do usuário, que deve utilizar senhas com tamanho e complexidade mínima, cuja troca lhe seja periodicamente exigida;

 

II - mecanismo de autenticação do usuário, que deve bloquear o acesso após número definido de tentativas de login com falha;

 

III - mecanismo de verificação de senha que impeça fraudes de repetição, interceptação ou quebra de integridade na comunicação entre o cliente e o servidor;

 

IV - escolha da senha por novos usuários sem a interferência do pessoal de apoio ou o recebimento, por estes, de uma senha inicial que precise ser trocada;

 

V - armazenamento da senha pelo sistema, utilizando criptografia irreversível;

 

VI - uniformidade do controle de acesso em todo o sistema, utilizando-se uma única rotina de verificação;

 

VII - controles de segurança por múltiplas camadas, de acordo com a criticidade das informações tratadas pelo software;

 

VIII - registro, pelo sistema, dos eventos significativos para a segurança, principalmente, inicio e fim do mecanismo de auditoria;

 

IX - registro, pelo sistema, das falhas de login, indicando o número de tentativas;

 

X - registro, pelo sistema, da criação e remoção de usuários, bem como da atribuição e da remoção de direitos do usuário;

 

XI - proteção da trilha de auditoria contra remoção e alteração por parte de todos os usuários, exceto dos administradores de auditoria;

 

XII - capacidade de tolerância do sistema às falhas e retorno a operação;

 

XIII - inexistência, em aplicações web, de dados sensíveis em campos ocultos ou cookies;

 

XIV - realização no servidor, em aplicações web, das verificações e validações de segurança;

 

XV - acesso dos desenvolvedores aos códigos-fontes necessários para a alteração, quando autorizados pelo superior imediato;

 

XVI - maior semelhança possível entre o ambiente de homologação e o ambiente de produção;

 

XVII - exigência de que os aplicativos só passem do desenvolvimento para a homologação após verificação da existência e adequação de sua documentação; e

 

XVIII - existência de documentação de instalação, configuração e operação do sistema, ressaltando os aspectos de segurança, que deve ser mantida atualizada.

 

Art. 29.  Requisitos funcionais, não funcionais e de domínio devem ser especificados e documentados, bem como as manutenções necessárias, considerando os requisitos de segurança definidos no desenvolvimento do sistema.

 

Art. 30.  As especificações dos requisitos devem ser elaboradas em conjunto com a área de negócio solicitante da demanda.

 

Art. 31.  Durante o processo de desenvolvimento e manutenção de software deve ser implantado um mecanismo de controle de versão.

 

Art. 32.  Devem existir mecanismos de verificação de vulnerabilidades no código-fonte e programas de conscientização em Segurança da Informação para todos os usuários envolvidos nos processos de desenvolvimento de Software.

 

Art. 33. Incidentes de segurança devem ser controlados e restritos aos desenvolvedores envolvidos, em seus respectivos projetos.

 

Art. 34.  Os códigos-fonte não devem conter identificações e/ou senhas de acesso às bases de dados, sejam elas de teste, de homologação ou de produção.

 

Art. 35.  Ambientes de desenvolvimento e testes, de homologação e de produção devem ser isolados entre si.

 

Art. 36.  Deverá ser implantado processo de gestão de configuração, que abrangerá todo o procedimento de desenvolvimento e manutenção.

 

Art. 37.  Todo software que implique em manipulação de dados deve ser desenvolvido com controle de acesso lógico.

 

Art. 38.  Os projetos de desenvolvimento de novos softwares deverão ser submetidos previamente à aprovação da Comissão de Tecnologia da Informação - CTI, mediante apresentação formal de demanda por parte do requisitante do serviço, juntada a análise da viabilidade técnica das unidades de Tecnologia da Informação.

 

§ 1º Toda autorização de abertura de projeto de desenvolvimento de software deverá ser realizada por ordem de serviço individual e específica, que conterá, obrigatoriamente:

 

I - a indicação dos técnicos que compõem a equipe de trabalho;

 

II - a designação do gerente de projeto; e

 

III - as datas de início e conclusão do projeto.

 

§ 2º A ordem de serviço de que trata o parágrafo anterior deverá ser assinada pelo Presidente da Comissão de Tecnologia da Informação - CTI ou pelo diretor da Secretaria de Soluções em Tecnologia da Informação - SST.

 

Art. 39.  O processo a ser seguido na execução dos projetos autorizados deve abranger as práticas de Gerenciamento de Projetos e Gerenciamento de Requisitos.

 

Art. 40.  Todo projeto iniciado de desenvolvimento de software deverá ser encerrado formalmente, mediante Termo Específico de Encerramento de Projeto, independentemente da conclusão ou não do produto.

 

Parágrafo único. Nos casos de conclusão efetiva do produto de software, deverá ser gerado, ainda, o documento específico de aceitação do software assinado pelo gestor do sistema.

 

Art. 41.  Os códigos-fonte e demais artefatos resultantes dos processos de desenvolvimento dos softwares deverão ser catalogados e mantidos, inclusive com controle de versão, pela SST.

 

Parágrafo único. O processo de versionamento de artefatos de que trata este artigo deverá ser detalhado em documento específico.

 

Art. 42.  Diretrizes técnicas adicionais, inclusive de controle e garantia de qualidade, serão descritas e mantidas em documentos à parte, disponíveis na página principal da Intranet ou em site específico mantido pelo TRT/RJ.

 

CAPÍTULO VI

DA CÓPIA DE SEGURANÇA E RECUPERAÇÃO DE DADOS

 

Art. 43. Os procedimentos de backup e de recuperação deverão ser documentados e atualizados, além de testados de modo a garantir a disponibilidade das informações.

 

Art. 44.  A solicitação da inclusão de novas rotinas de backup será feita pela CGNC, que realizará estudos de viabilidade quanto a sua possibilidade e forma de realização.

 

Art. 45.  As cópias de segurança serão realizadas, periodicamente, de forma automática pelas ferramentas de backup ou manualmente pelos administradores de sistemas, devendo ser providenciadas cópias dos servidores físicos e virtuais, do banco de dados, do correio eletrônico, dos arquivos corporativos salvos nos servidores de arquivos.

 

Art. 46.  As cópias de segurança seguirão os períodos de retenção compatíveis com classificação definida em procedimento específico.

 

Art. 47.  Os prazos de recuperação de dados dependerão do acordo de nível de serviço.

 

Art. 48.  As estações de trabalho (desktops) e notebooks não estão contempladas nos procedimentos de cópia de segurança, retenção e recuperação de dados.

 

CAPÍTULO VII

DA INSTALAÇÃO E UTILIZAÇÃO DE PROGRAMAS

 

Art. 49.  A instalação e a utilização de programas de computador no âmbito do TRT/RJ serão feitas de acordo com os seguintes requisitos:

 

I - existência de licenças de uso em quantidade suficiente;

 

II - licenças compradas pelo TRT/RJ para uso exclusivo em equipamentos do TRT/RJ.

 

III - conformidade com a atividade da instituição e com a área de atuação de todas as unidades.

 

IV - compatibilidade com os demais programas utilizados e segurança da rede corporativa;

 

V - adequação aos recursos computacionais disponíveis;

 

VI - obediência a planejamentos, cronogramas e prioridades existentes: e

 

VII - programas classificados pelo fabricante como free para uso de forma corporativa, desde que não haja outro similar em uso pelo TRT/RJ e observado o contido na POSIC.

 

Art. 50.  A instalação de programa em equipamentos de informática do TRT/RJ deve ser realizada exclusivamente pelas equipes técnicas da STI, e, em caso de instalação ou qualquer alteração no sistema operacional por usuário cadastrado como administrador, sem registro de chamado junto à STI, o sujeitará às penalidades previstas em lei.

 

Art. 51.  É proibido executar ou instalar programa de terceiros, sem licença de uso regularmente contratada, recebido como anexo de mensagem de correio eletrônico, transferido via Internet, trazido por mídias removíveis ou obtido por qualquer outra fonte que não seja a STI, assim como copiar programas de computador contratados pelo TRT/RJ para uso particular, ficando o usuário sujeito às penalidades previstas em lei.

 

Art. 52.  A STI poderá realizar, para teste e avaliação, a instalação de programa, com autorização do produtor, distribuidor ou revendedor, pelo prazo estipulado na autorização.

 

Art. 53.  É vedada a utilização de programas de computador que descaracterizem os propósitos da instituição ou danifiquem, de alguma forma, o ambiente instalado, tais como jogos eletrônicos, bate-papo e outros.

 

Art. 54.  As solicitações para instalação de programas devem ser encaminhadas por escrito e acompanhadas de justificativa à STI, que, observando os pressupostos relacionados no art. 49, efetuará a instalação ou promoverá a contratação, quando não existirem licenças disponíveis.

 

Art. 55.  Compete à STI manter registro das licenças de uso de programas de terceiros contratados e dos programas de livre distribuição registrados pelo TRT/RJ.

 

Art. 56.  Os softwares homologados e permitidos para a utilização no TRT/RJ poderão ser consultados através de listagem que deverá ser mantida e atualizada na STI, caso haja necessidade.

 

Art. 57.  Os softwares provenientes de instalações irregulares serão removidos sem prévio aviso ao usuário.

 

CAPÍTULO VIII

DA MONITORAÇÃO E AUDITORIA DOS RECURSOS DE TI

 

Art. 58. Toda utilização de recursos tecnológicos no âmbito do TRT/RJ será monitorada com o intuito de detectar divergências entre a Política de Segurança da Informação e Comunicações e os registros de eventos monitorados, fornecendo evidências no caso de incidentes de segurança.

 

Art. 59.  Serão monitorados diversos ativos no ambiente computacional do TRT/RJ, tais como:

 

I - estações de trabalho (desktops, notebooks, netbooks etc.) e dispositivos móveis;

 

II - rede de computadores e demais equipamentos, tais como: switches, roteadores, firewalls, IPS/IDS, filtro de conteúdo de acesso à Internet (proxy);

 

III - correio eletrônico;

 

IV - Intranet, Extranet e Internet;

 

V - sistemas corporativos;

 

VI - equipamentos servidores; e

 

VII - banco de dados.

 

Art. 60. A correspondência eletrônica pessoal não poderá ser violada em respeito à privacidade, exceto em eventos de auditoria extraordinária.

 

Art. 61. Para fins de auditoria, os logs deverão ser armazenados eletronicamente com níveis de informação (detalhamento) e período de retenção compatíveis com a classificação da informação.

 

Art. 62.  A STI será responsável pela realização de auditorias ordinárias dos recursos tecnológicos do TRT/RJ e dará suporte às auditorias definidas no plano de atividades de auditoria.

 

Parágrafo único. As auditorias ordinárias compreendem todas aquelas realizadas periodicamente e têm como objetivo a avaliação da conformidade técnica dos serviços, ferramentas e equipamentos em funcionamento no TRT/RJ.

 

Art. 63.  As auditorias extraordinárias, alinhadas ao plano de atividades de auditorias designadas pelo Comitê Gestor da Segurança da Informação e Comunicações, compreendem todas as realizadas por solicitação superior para apurar eventos que depõem contra as boas práticas de utilização e/ou que coloquem em risco a segurança dos ativos de informação do TRT/RJ, e obedecerão ao seguinte fluxo para sua realização:

 

I - abertura de processo de auditoria na STI demandada por Comissões criadas pela Presidência do TRT/RJ, pelo Comitê Gestor de Segurança da Informação e Comunicações, ou outra autoridade; e

 

II - autorização formal do diretor da STI com a descrição de todas as ações que se fizerem necessárias para a execução da auditoria.

 

Art. 64.  As auditorias extraordinárias serão realizadas de modo a pesquisar, prevenir ou coibir ações ou práticas de manipulação indevida ou não autorizada dentro do ambiente de Tecnologia da Informação do TRT/RJ que possam acarretar prejuízo de qualquer ordem para a Instituição, ou para usuário pertencente ou não ao quadro de pessoal do TRT/RJ.

 

Art. 65. O resultado da auditoria extraordinária se fará constar em um relatório confidencial, que será disponibilizado única e exclusivamente à Comissão, ao Comitê e à Autoridade que formalizou a abertura do processo de auditoria.

 

CAPÍTULO IX

DA ADMINISTRAÇÃO DO BANCO DE DADOS

 

Art. 66. O banco de dados corporativo destina-se não somente a armazenar seus objetos de banco de dados, como também os utilizados por aplicações ou sistemas destinados a atender as necessidades do TRT/RJ.

 

Art. 67. A administração central do banco de dados corporativo, bem como tudo que se relacionar a ele e aos dados nele contidos, são de responsabilidade total e única da CGNC, através da equipe de administradores de banco de dados (DBAs).

 

Art. 68. O banco de dados corporativo deve utilizar software que permita criar, manter e administrar (usando ferramentas de apoio) um banco de dados relacional multiusuário com alta capacidade de armazenamento de dados e estruturas internas.

 

Art. 69. A atualização do software só será feita se verificada uma das seguintes condições:

 

I - quando o software atual apresentar limitações que impeçam o desenvolvimento ou implantação de novos sistemas ou aplicações; e

 

II - quando houver disponível, comercialmente, uma versão mais atual do software, devidamente testada e certificada (não se tratando de uma versão beta, por exemplo).

 

Art. 70. O software não poderá ser atualizado se alguma das condições a seguir se verificar:

 

I - falta de recursos financeiros ou orçamentários para realizar sua atualização ou para contratar serviços de suporte técnico para a versão mais recente do que está sendo pleiteado;

 

II - limitações técnicas ou de compatibilidade entre a versão mais recente do que está sendo pleiteado e a plataforma existente para a versão utilizada pelo TRT/RJ;

 

III - comprovação de que a versão mais recente do software que está sendo pleiteado ainda possui muitos defeitos a serem corrigidos (bugs), e ainda não se encontra estável;

 

IV - falta de profissionais capacitados a trabalharem com a versão mais recente do software que está sendo pleiteado;

 

V- comprovação de que uma atualização do software prejudicaria, de alguma forma, os sistemas ou aplicações já em produção (inclusive quanto ao fato de deixá-los indisponíveis durante o processo de atualização), mesmo que estes sofressem uma adaptação (customização) para a versão mais recente do software que está sendo pleiteado; e

 

VI - a nova versão do software pleiteado não estiver disponível comercialmente no Brasil ou não estiver certificado para a plataforma do sistema operacional que estiver sendo utilizada.

 

Art. 71.  Qualquer atividade a ser desempenhada no TRT/RJ e que afete o banco de dados corporativo deve ser previamente agendada de modo a não impactar o bom andamento dos trabalhos no banco de dados corporativo, bem como o andamento dos trabalhos dos usuários que dele necessitem;

 

Art. 72. As responsabilidades e deveres da equipe de DBAs da Secretaria de Tecnologia da Informação - STI são:

 

I - desempenhar tarefas de gerenciamento e administração de banco de dados, tais como monitoramento das atividades no banco de dados, monitoramento das sessões estabelecidas por usuários, verificação periódica do comportamento das estruturas de armazenamento, resolução de problemas levantados por usuários utilizando ou tentando utilizar o banco de dados, resolução de problemas técnicos que envolvam a recuperação de dados (tais como quando ocorre queda de energia), etc;

 

II - definir e executar procedimentos de cópias de segurança do banco de dados corporativo;

 

III - definir e executar normas de segurança para uso e acesso ao banco de dados corporativo, o que envolve, dentre outras tarefas, criar, gerenciar contas de usuários do banco de dados e monitorar o seu acesso a eles. Tais contas de usuários não estão vinculadas às contas de usuário de rede, de algum servidor ou do sistema operacional;

 

IV - atender e executar solicitações de equipes de desenvolvimento de software, para manutenção corretiva e evolutiva em objeto de banco de dados de sistemas ou aplicações em produção, e, ainda, em desenvolvimento e implantação de novos sistemas ou aplicações. Isto envolve para ambos os casos, as seguintes tarefas;

 

a) analisar, aprovar ou corrigir o modelo físico do sistema ou aplicação a ser desenvolvido e implantado;

 

b) planejar, criar e realizar manutenção de estruturas internas de armazenamento do banco de dados corporativo para armazenar os objetos de banco de dados e para armazenar os dados em si, prevendo também a expansão futura dessas estruturas internas de armazenamento, à medida que os sistemas ou aplicações evoluam, considerando o modelo físico do banco de dados;

 

c) adequar os scripts dos objetos de dados enviados pelas equipes de desenvolvimento ou pelos terceiros (quando houver necessidade e, se possível) e execução dos mesmos nos bancos de desenvolvimento e, posteriormente, no banco de produção;

 

d) planejamento, definição e execução das normas de segurança específicas de cada novo sistema ou aplicação;

 

e) apoiar as equipes de desenvolvimento e os terceiros, respondendo dúvidas sobre questões técnicas, fazendo recomendações e observando os scripts de criação de objetos de banco de dados que são enviados pelas equipes de desenvolvimento e pelos terceiros, corrigindo-os, se necessários, e reportando estas correções devidamente explicadas;

 

f) monitorar a evolução e crescimento dos dados de um sistema ou aplicação para definir os aspectos de tunning ou otimização da aplicação;

 

g) monitorar e acompanhar o comportamento do banco de dados corporativo em nível de objetos da aplicação, em nível de objetos e instâncias ativas;

 

h) instalar, sempre que necessário procedimentos de auditoria sobre os dados do banco de dados corporativo, em qualquer aplicação que se julgue necessário;

 

i) definir, conjuntamente com as equipes de desenvolvimento e terceiros, implantar e documentar a política de segurança de cada sistema ou aplicação;

 

j) criar e gerenciar contas de usuários;

 

k) criar, manter e documentar scripts de objetos de banco de dados referentes à segurança, usuários, privilégios de sistema, privilégios de objeto e cotas de armazenamento;

 

l) monitorar as sessões estabelecidas pelos usuários, tomando atitudes cabíveis caso alguma sessão esteja prejudicando o funcionamento do banco de dados corporativo;

 

m) manter-se atualizada quanto às inovações tecnológicas referentes à segurança no software que implementa o banco de dados corporativo;

 

n) orientar e dar suporte às equipes de desenvolvimento, aos terceiros e aos usuários do banco de dados corporativo quanto aos procedimentos para troca automática de senha, conexão no banco de dados e recomendações diversas;

 

o) recuperar senhas de usuários que porventura tenham esquecido a senha;

 

p) definir políticas gerais de segurança, que se aplicam a todos os sistemas ou aplicativos, tais como tempo de validade das senhas, limites de acesso, histórico de senhas etc; e

 

q) definir padrões, por intermédio de Normas Técnicas e recomendações técnicas, de modo que as equipes de desenvolvimento e os terceiros trabalhem de forma única.

 

Parágrafo único. Qualquer outra tarefa, que não foi apresentada na POSIC, deverá ser submetida ao Comitê Gestor de Segurança da Informação e Comunicações.

 

Art. 73. São deveres e responsabilidades das equipes de desenvolvimento das unidades e terceiros, com relação ao uso do banco de dados corporativo:

 

I - fornecer à equipe de DBAs a documentação básica para fins de banco de dados;

 

II - Apresentar propostas de melhoria, após análise da documentação básica, quando julgar necessário, visando evitar correções futuras na fase de desenvolvimento.

 

III - fornecer à equipe de DBAs uma cópia atualizada da documentação básica para fins de banco de dados de um sistema ou aplicação, sempre que houver alteração na versão anterior desta documentação; e

 

IV - fornecer à equipe de DBAs a Política de Segurança de cada sistema ou aplicação para análise. Sempre que esta política for alterada, a equipe de DBAs deverá ser notificada;

 

Art. 74. As equipes de desenvolvimento e os terceiros estão isentos da responsabilidade de escrever scripts referentes a usuários, a privilégios de sistema, a privilégios de objeto e a cotas de armazenamento, bastando apenas especificar, para a equipe de DBAs, detalhes sobre o objeto de banco de dados ou a política de segurança em termos de regras de segurança e a associação destas com usuários;

 

Art. 75.  Nenhuma Política de Segurança para um sistema ou aplicação pode ser definida sem a participação e consentimento da equipe de DBAs, que se reserva o direito de não aprovar a política de segurança proposta pela equipe de desenvolvimento ou pelos terceiros, caso seja verificado que tal política contrarie Normas Técnicas específicas ou não de segurança, sejam redundantes ou ameacem a segurança de dados considerados estratégicos para o TRT/RJ ou a segurança do banco de dados corporativo;

 

Art. 76.   São direitos das equipes de desenvolvimento das unidades e terceiros, com relação ao uso do banco de dados corporativo:

 

I - utilizar o banco de dados de desenvolvimento para toda a fase de desenvolvimento e testes de sistemas e aplicações, desde que os mesmos sejam utilizados para atender de forma única todo o TRT/RJ; e

 

II - utilizar o banco de dados de produção para implantar e colocar em produção o protótipo do sistema ou aplicação desenvolvido e testado previamente no banco de dados de desenvolvimento.

 

Art. 77. Por motivos de segurança, as senhas de todos os owners de schemas existentes no banco de dados de desenvolvimento e no banco de dados de produção devem estar sob responsabilidade apenas da equipe de DBAs. A equipe de DBAs se conectará ao banco de dados corporativo como owner de um schema sempre que for necessário executar alguma tarefa de manutenção corretiva ou evolutiva nos objetos de banco de dados deste schema.

 

Art. 78.  Deve-se observar que mesmo estando em andamento ou implantados sistemas ou aplicações por equipes de desenvolvimento ou por terceiros, estes deverão seguir esta POSIC.

 

CAPÍTULO X

DAS PENALIDADES E DISPOSIÇÕES GERAIS

 

Art. 79.  O usuário que fizer uso de forma indevida dos recursos e serviços de Tecnologia da Informação, bem como agir em desacordo com os termos aqui definidos, ficará sujeito à aplicação das penalidades previstas na legislação vigente.

 

Art. 80. Visando detalhar as obrigações indicadas nesta POSIC, discutidas e aprovadas pelo Comitê Gestor de Segurança da Informação e Comunicações, serão mantidas em documentos à parte, disponíveis a partir da página principal da Intranet institucional ou em site específico mantido pelo TRT/RJ.

 

Art. 81.  Os instrumentos normativos gerados a partir desta POSIC devem ser revisados sempre que se fizer necessário, não excedendo o período máximo de 1 (um) ano.

 

Art. 82.  Qualquer hipótese que não estiver contemplada na presente POSIC está automaticamente vedada e será submetida à apreciação do Comitê Gestor de Segurança da Informação e Comunicações - CGSIC.

 

Art. 83.  A presente Resolução Administrativa entra em vigor a partir da data de sua publicação.

 

Sala de Sessões, 4 de dezembro de 2014

 

 

DESEMBARGADOR DO TRABALHO CARLOS ALBERTO ARAUJO DRUMMOND

Presidente do Tribunal Regional do Trabalho da Primeira Região