ÓRGÃO ESPECIAL
RESOLUÇÃO
ADMINISTRATIVA Nº 1/2018
(Disponibilizada em 29/1/2018 no DEJT,
Caderno Administrativo)
Altera a Política de Segurança de Tecnologia da Informação e Comunicação
no âmbito do Tribunal Regional do Trabalho da Primeira Região.
O PRESIDENTE
DO TRIBUNAL REGIONAL DO TRABALHO DA PRIMEIRA REGIÃO, no uso de suas
atribuições legais e regimentais, tendo em vista o decidido, por
unanimidade, pelo Órgão Especial, reunido em Sessão Ordinária, no dia 25
de janeiro de 2018,
CONSIDERANDO a Norma
Complementar nº 03/IN01/DSIC/GSIPR, do Departamento de Segurança da Informação
e Comunicações do Gabinete de Segurança Institucional da Presidência da
República, que teve como objetivo estabelecer as diretrizes, critérios e
procedimentos para elaboração, institucionalização, divulgação e atualização da
Política de Segurança da Informação e Comunicação (POSIC) nos órgãos e
entidades da Administração Pública Federal, direta e indireta;
CONSIDERANDO o Ato nº 69/2012, que instituiu o Comitê Gestor
de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da
Primeira Região;
CONSIDERANDO a Resolução Administrativa nº 56, de 4 de
dezembro de 2014, do Órgão Especial desta Corte, que dispôs sobre a
Política de Segurança da Informação e Comunicação no âmbito do Tribunal
Regional do Trabalho da Primeira Região;
CONSIDERANDO as
recomendações constantes da Resolução nº 211, de 15 de dezembro de 2015, do
Conselho Nacional de Justiça, no sentido de que os Tribunais componentes do
Poder Judiciário aprimorassem as práticas de segurança da informação;
CONSIDERANDO as definições
consagradas pela Associação Brasileira de Normas Técnicas (ABNT) e por
organismos internacionais (International Organization for Standardization -
ISO, International Eletrothecnical Comission -
IEC, International Telecomunication Union - ITU);
CONSIDERANDO a preservação
da credibilidade da instituição na prestação jurisdicional;
CONSIDERANDO a necessidade
de estabelecer diretrizes e padrões para garantir um ambiente tecnológico
controlado e seguro de forma a oferecer as informações necessárias aos processos
deste Tribunal com integridade, confidencialidade e disponibilidade;
CONSIDERANDO os danos
potenciais decorrentes da instalação de programas não homologados e
inadequados, do mau uso dos recursos computacionais, bem como do risco de
disseminação de vírus de computador a partir das estações de trabalho e do uso
de dispositivos móveis;
CONSIDERANDO a constante
preocupação com a qualidade e celeridade na prestação de serviços à sociedade;
RESOLVE:
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1º Estabelecer a
Política de Segurança de Tecnologia da Informação e Comunicação (POSIC) no
âmbito do Tribunal Regional do Trabalho da Primeira Região (TRT/RJ).
Art. 2º Para os
efeitos desta Resolução aplicam-se as seguintes definições e conceitos:
I - alinhamento
estratégico: alinhamento entre a política, as normas, as ações de segurança de
Tecnologia da informação, a missão institucional e o planejamento estratégico
do TRT/RJ;
II - aplicabilidade: usar de forma coordenada e integrada entre si a política,
as normas, as ações de segurança de tecnologia da informação de forma a
incorporá-las nos processos de trabalho e práticas do TRT/RJ;
III - ativo: qualquer componente
humano ou tecnológico que tenha valor para a organização;
IV - confidencialidade:
propriedade de que a informação não esteja disponível ou revelada a indivíduos,
entidades ou processos não autorizados;
V
- disponibilidade: propriedade de que a informação esteja acessível e
utilizável sob demanda por uma órgão ou
entidade, pessoa física ou sistema autorizados, de
acordo com a necessidade do conhecer de cada um;
VI - diversidade
organizacional: a política, as normas e as ações de segurança de tecnologia da
informação devem levar em consideração a diversidade das atividades do TRT/RJ,
respeitando a natureza e finalidade de cada Unidade Administrativa;
VII - gestão de riscos: atividades
coordenadas que permitem identificar e implementar as
medidas de proteção necessárias para minimizar ou eliminar os riscos a que
estão sujeitos os ativos de informação;
VIII - informação: conjunto de
dados, processados ou não, métodos, sistemas que podem ser utilizados para
produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou
formato;
IX - incidente de segurança da
informação: evento simples ou série de eventos relacionados à segurança da
informação indesejados ou inesperados, que tenham grande probabilidade de
comprometer as operações do negócio e ameaçar a segurança da informação;
X - integridade: propriedade
de salvaguarda da exatidão e completeza da informação. A informação não pode ser modificada ou destruída de maneira não
autorizada ou acidental, seja na sua origem, no trânsito e no seu destino;
XI - necessidade de conhecer:
condição pessoal, inerente ao efetivo exercício do cargo, função, emprego ou
atividade, indispensável para que uma pessoa possuidora de credencial de
segurança tenha acesso a dados ou informações sigilosas;
XII - plano de Continuidade
do Negócio: conjunto de ações de prevenção e de procedimentos de
recuperação a serem seguidos para proteger os processos críticos de trabalho
contra efeitos de falhas de equipamentos, acidentes, ações intencionais ou
desastres naturais significativos, assegurando a disponibilidade das informações;
XIII - propriedade da
informação: toda informação produzida ou armazenada no TRT/RJ é de sua
propriedade e não dos usuários nele em exercício, exceto nos casos em que o
TRT/RJ atua como custodiante da informação
de outrem;
XIV - recurso de tecnologia
de informação: qualquer equipamento, dispositivo, serviço, infraestrutura ou
sistema de processamento da informação, ou as instalações físicas que
os abriguem;
XV - segurança da informação:
preservação da confidencialidade, integridade e disponibilidade da informação;
adicionalmente, outras propriedades, tais como autenticidade, responsabilidade,
não repúdio e confiabilidade, podem também estar envolvidas; e
XVI - usuários: pessoas que fazem
uso de recursos de tecnologia de informação.
Art. 3º O
escopo desta Política de Segurança está restrita a Tecnologia da Informação e
Comunicação do Tribunal sob a supervisão e orientação do Comitê Gestor de
Segurança da Informação (CGSI) do TRT/RJ.
Art. 4º São
princípios de segurança de tecnologia da informação no TRT/RJ:
I -
confidencialidade;
II - integridade;
III -
disponibilidade;
IV - alinhamento
estratégico;
V - aplicabilidade;
VI - diversidade
organizacional; e
VII - propriedade da
informação.
Art. 5º A
POSIC se aplica a todos os usuários que exercem atividades no âmbito do TRT/RJ
ou a quem tiver acesso a dados, informações, sistemas, ambientes e demais
ativos protegidos por este regulamento.
Art. 6º Todos
os usuários do TRT/RJ, com qualquer vínculo, função ou nível hierárquico, são
responsáveis pela proteção e salvaguarda dos ativos e informações que utilizem,
bem como dos ambientes físicos e computacionais a que tenham acesso direto,
independentemente das medidas de segurança implementadas.
Art. 7º A
gestão da segurança de Tecnologia da Informação do TRT/RJ deve ser exercida
pela Seção de Segurança de Tecnologia da Informação designada pela Resolução Administrativa nº 29/2010 , com as alterações dadas pela Resolução Administrativa nº 7/2012, para este
fim, de forma integradora e sistêmica.
§1º As
competências e responsabilidades da Seção de Segurança de Tecnologia da
Informação, além das atribuições já contidas da Resolução Administrativa nº 29/2010, incluem:
I - apoiar a promoção
da cultura de segurança de tecnologia da informação no âmbito do TRT/RJ;
II - acompanhar as
investigações e as avaliações dos danos decorrentes de incidentes de segurança
de Tecnologia da Informação;
III - propor recursos
necessários às ações de segurança de tecnologia da informação;
IV - apoiar e
subsidiar o Comitê Gestor de Segurança da Informação;
V - gerir o processo
de gestão de tratamento e resposta a
incidentes de segurança de tecnologia da informação, inclusive sugerindo
melhoria contínua do processo;
VI - sugerir e
acompanhar estudos de novas tecnologias quanto a possíveis impactos na
segurança de tecnologia da informação;
VII - manter contato
permanente e estreito com outros órgãos do Poder Judiciário para o trato de
assuntos relativos à segurança de tecnologia da informação; e
VIII - propor e
revisar normas e procedimentos relativos à segurança de tecnologia da
informação no âmbito do TRT/RJ.
Art. 8º Os processos,
os sistemas e os serviços desenvolvidos, adquiridos, implementados ou
disponibilizados pela Tecnologia da Informação devem ser submetidos a um
processo formal de gestão de riscos, já normatizado pelo Ato Nº 112/2017, visando a atingir o grau de
segurança adequado para o TRT/RJ.
Art. 9º A
gestão de continuidade de negócios de Tecnologia da Informação alinha-se ao
disposto na Política de Continuidade de Negócios de Tecnologia da Informação
aprovada pela Resolução nº 32, de 20 de agosto de 2015.
Art. 10. Todas
as informações e os ativos de Tecnologia da Informação que as suportam devem
ser classificados de acordo com seu grau de sigilo e receber o devido
tratamento visando assegurar sua proteção durante todo o ciclo de vida. As
diretrizes relacionadas ao uso da informação de Tecnologia da Informação serão
objeto de normativo da Presidência do TRT/RJ.
Art. 11. O
acesso aos ambientes físicos e lógicos do TRT/RJ alinha-se as diretrizes
contidas na Política de Controle de Acesso aprovada pela Resolução nº 57, de 4 de
dezembro de 2014.
Art. 12. Os
usuários do TRT/RJ devem reportar imediatamente quaisquer incidentes de
segurança de tecnologia da informação de que tomarem conhecimento, para que
possam ser registrados, avaliados e tratados.
§ 1º Os
incidentes de segurança de tecnologia da informação reportados pelos usuários
serão classificados de acordo com o impacto que possam trazer para as
atividades do TRT/RJ.
§ 2º A equipe
multidisciplinar responsável pelo tratamento e resposta
a incidentes de segurança de tecnologia da informação considerados críticos é
composta pelos membros da área de Tecnologia da Informação e, em caso de
necessidade, representantes de outras unidades em virtude da especialização dos
temas em análises, conforme disposto na Norma Complementar de Gestão de
Tratamento e Resposta a Incidentes de Segurança de Tecnologia da Informação e
Comunicação.
Art. 13. O
usuário que agir em desacordo com os termos aqui definidos ficará sujeito à
aplicação das sanções previstas na legislação vigente.
Art.
14. Os instrumentos normativos gerados a partir desta POSIC devem
ser revisados a cada 2 (dois) anos, ou
sempre que se fizer necessário.
Art.
15. Situações não tratadas nesta POSIC devem ser submetidas à
apreciação do Comitê Gestor de Segurança da Informação.
Art.
16. Esta Resolução Administrativa entrará em vigor a partir da data
de sua publicação.
Sala de Sessões, 25
de janeiro de 2018
FERNANDO ANTONIO ZORZENON DA SILVA
Desembargador Presidente do
Tribunal Regional do Trabalho da 1ª
Região