Normas do Tribunal

Nome: ATO GP Nº 28/2012
Origem: Gabinete da Presidência
Data de edição: 10/12/2012
Data de publicação: 12/12/2012
Fonte:

DOELETRÔNICO - CAD. ADM. - 12/12/2012
Vigência:
Tema:
Institui a Política de Segurança da Informação no âmbito do TRT da 2ª Região.
Indexação:
Política; segurança; informação; serviço; confidencialidade; acesso; integridade; salvaguarda; método; disponibilidade; garantia; usuário; recurso; tecnologia; equipamento; infraestrutura; instalação;  magistrado; servidor; cargo; comissão; empregado; empresa; consultor; estagiário; negócio; procedimento; acidente; desastre; contrato; convênio; sítio; internet; monitoramento; auditoria; evento; relatório; comitê; registro; classificação; restauração; cópia; norma; alteração; estratégia; elaboração; divulgação; autoridade; órgão; avaliação; administração; secretaria; informática; competência; subsídio; palestra; treinamento; ambiente; irregularidade; chefia; legislação; civl; penal.
Situação: EM VIGOR
Observações: Alterado pelo Ato GP nº 29/2014
Alterado pelo Ato GP nº 06/2015
Alterado pelo Ato GP nº 38/2018

ATO GP Nº 28/2012
Institui a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 2ª Região.

A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 2ª REGIÃO, no uso de suas atribuições legais e regimentais,

CONSIDERANDO a necessidade de estabelecer diretrizes e padrões para garantir um ambiente tecnológico controlado e seguro de forma a oferecer todas as informações necessárias aos processos deste Tribunal com integridade, confidencialidade e disponibilidade;

CONSIDERANDO que a credibilidade da instituição na prestação jurisdicional deve ser preservada;

CONSIDERANDO a constante preocupação com a qualidade e celeridade na prestação de serviços à sociedade;

RESOLVE:

Art. 1º Instituir a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 2ª Região.

Art. 2º Para os efeitos deste Ato aplicam-se as seguintes definições:

I - Confidencialidade: Garantia de que o acesso à informação seja obtido apenas por pessoas autorizadas;

II - Integridade: Salvaguarda de exatidão e completeza da informação e dos métodos de processamento;

III - Disponibilidade: Garantia de que os usuários autorizados obtenham acesso à informação e aos recursos correspondentes sempre que necessário;

IV - Segurança da Informação: preservação da confidencialidade, integridade e disponibilidade da informação;

V - Recurso de Tecnologia de Informação: qualquer equipamento, dispositivo, serviço, infraestrutura ou sistema de processamento da informação, ou as instalações físicas que os abriguem;

V. Recurso de TIC: qualquer equipamento, dispositivo, serviço, infraestrutura ou sistema de processamento da informação, ou as instalações físicas que os abriguem; (Inciso alterado pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

VI - Usuários: magistrados e servidores ocupantes de cargo efetivo ou em comissão, requisitados e cedidos, desde que previamente autorizados, empregados de empresas prestadoras de serviços terceirizados, consultores, estagiários, e outras pessoas que se encontrem a serviço da Justiça do Trabalho, utilizando em caráter temporário os recursos tecnológicos do TRT;

VI. Usuários: magistrados e servidores ocupantes de cargo efetivo ou em comissão, requisitados e cedidos, empregados de empresas prestadoras de serviços terceirizados, consultores, estagiários e outras pessoas que, devidamente autorizadas, utilizem os recursos tecnológicos do TRT; (Inciso alterado pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

VII - Plano de Continuidade de Negócio: conjunto de ações de prevenção e procedimentos de recuperação a serem seguidos para proteger os processos críticos de trabalho contra efeitos de falhas de equipamentos, acidentes, ações intencionais ou desastres naturais significativos, assegurando a disponibilidade das informações.

VII - Plano de Continuidade de Serviços de TI: conjunto de ações de prevenção e procedimentos de recuperação a serem seguidos para proteger os sistemas informatizados críticos de trabalho contra efeitos de falhas de equipamentos, acidentes, ações intencionais ou desastres naturais significativos, assegurando a disponibilidade das informações. (Inciso alterado pelo Ato GP nº 29/2014 - DOEletrônico 16/12/2014)

VII. Plano de Continuidade de Serviço de TIC: documento com o objetivo de estabelecer os procedimentos necessários para restauração do funcionamento de um serviço de TIC no menor tempo possível, caso este serviço seja atingido por eventos que afetem sua disponibilidade; (Inciso alterado pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

VIII. Princípio do Menor Privilégio: orientação para que qualquer tipo de acesso configurado seja realizado da forma mais restritiva possível, garantindo que: (Inciso incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

a. O acesso seja concedido apenas às pessoas necessárias;

b. O acesso seja concedido apenas pelo tempo necessário;

c. O acesso seja concedido apenas aos recursos necessários;

d. O acesso seja concedido apenas aos perfis necessários.

IX. Registros de Auditoria (LOGS): arquivos que contém informações sobre eventos relevantes, como informações de autenticação ou de ações praticadas em equipamento ou serviço de TIC; (Inciso incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

X. Representante do Negócio: pessoa ou comitê responsável por negociar com a comunidade de usuários quais as regras, demandas, expectativas de nível de serviço e solicitações de mudanças devem ser feitas para os serviços e qual a prioridade destas; (Inciso incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

XI. Zona Desmilitarizada: área reservada de rede de computadores responsável por concentrar os equipamentos que devem ser acessíveis por outras redes menos seguras, como a Internet, implementando regras de acesso específicas e suficientes para a proteção do ambiente computacional da instituição. (Inciso incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Art. 3º As disposições deste Ato aplicam-se a todos os usuários de recursos de tecnologia da informação do Tribunal Regional do Trabalho da 2ª Região.

Parágrafo único. Os contratos e os convênios firmados pelo Tribunal que envolvam utilização de recursos de tecnologia da informação devem conter cláusula exigindo a observância deste Ato, que estará disponível no sítio eletrônico do Tribunal na Internet.

Art. 4º O uso adequado dos recursos de tecnologia da informação visa a garantir a continuidade da prestação jurisdicional deste Tribunal.

Parágrafo único. Os recursos de tecnologia da informação, pertencentes ao Tribunal Regional do Trabalho da 2ª Região que estão disponíveis para os usuários, devem ser utilizados em atividades relacionadas às suas funções institucionais.

Art. 5º A utilização dos recursos de tecnologia da informação será monitorada, com a finalidade de detectar divergências entre as normas que integram a Política de Segurança da Informação e os registros resultantes do monitoramento, fornecendo evidências nos casos de incidentes de segurança.

Parágrafo único. Serão realizadas auditorias com o intuito de apurar eventos que deponham contra a segurança e as boas práticas no uso dos recursos de tecnologia da informação, cujos relatórios serão encaminhados ao Comitê de Segurança da Informação.

Art. 6º Toda informação gerada no Tribunal será classificada em termos de seu valor, requisitos legais, sensibilidade, criticidade e necessidade de compartilhamento.

Parágrafo único. O Tribunal providenciará dispositivos de proteção proporcionais ao grau de confidencialidade e de criticidade da informação, independentemente do suporte em que resida ou da forma pela qual seja veiculada, capazes de assegurar a sua autenticidade, integridade e disponibilidade.

Art. 7º As informações, sistemas e métodos gerados ou criados pelos usuários, no exercício de suas funções, independentemente da forma de sua apresentação ou armazenamento, são propriedade do Tribunal e serão utilizadas exclusivamente para fins relacionados às atividades a ele afetas.

Parágrafo único. Quando as informações, sistemas e métodos forem gerados ou criados por terceiros para uso exclusivo do Tribunal, ficam os criadores obrigados ao sigilo permanente de tais produtos, sendo vedada a sua reutilização em projetos para outrem.

  Art. 8º Compete ao Comitê de Segurança da Informação, além do disposto no Ato GP 26/2012, de 30 de novembro de 2012:

 I - Elaborar e submeter à Presidência do Tribunal, propostas de normas e políticas de uso dos recursos de informação, tais como:

 I - Elaborar propostas de normas e políticas de uso dos recursos de informação, tais como: (Inciso alterado pelo Ato GP nº 29/2014 - DOEletrônico 16/12/2014)

a) Classificação das informações;

b) Contingência e continuidade do negócio;

b) Contingência e continuidade de serviços de TI; (Alínea alterada pelo Ato GP nº 29/2014 - DOEletrônico 16/12/2014)
c) Controle de acesso lógico e físico;

d) Utilização de recursos de tecnologia da informação e da comunicação;

e) Tratamento dos incidentes relacionados à segurança da informação;

f) Política de geração e restauração de cópias de segurança.

II - Rever periodicamente as normas relacionadas a essa Política de Segurança da Informação, sugerindo possíveis alterações;

III - Estabelecer diretrizes e definições estratégicas para a elaboração do Plano Estratégico de Segurança da Informação;

IV - Dirimir dúvidas e deliberar sobre questões não contempladas nessa política e normas relacionadas;

V - Propor e acompanhar planos de ação para aplicação dessa política e das normas a ela relacionadas, assim como campanhas de divulgação e conscientização dos usuários;

VI - Receber as comunicações de descumprimento das normas referentes a essa política, instruindo-as com os elementos necessários à sua análise e apresentando parecer à autoridade/órgão competente à sua apreciação;

VII - Solicitar, sempre que necessário, a realização de auditorias à Seção de Segurança da Informação, relativamente ao uso dos recursos de tecnologia da informação, no âmbito do Tribunal;

VIII - Avaliar relatórios e resultados de auditorias apresentados pela Seção de Segurança da Informação;

IX - Apresentar à Administração os resultados da Política de Segurança da Informação do Tribunal;

X - Realizar a gestão de riscos, com base nas análises de risco, apresentando as medidas de segurança necessárias à mitigação destes.

Art. 3º. As disposições deste Ato aplicam-se a todos os usuários de recursos de TIC do Tribunal Regional do Trabalho da 2ª Região.   (Artigo alterado pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Art. 4º. Compete ao Comitê de Segurança da Informação e Comunicações: (Artigo alterado pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

I. Elaborar propostas de diretrizes, normas e políticas para os assuntos relacionados à Segurança da Informação e Comunicações, tais como:

a. Auditoria e conformidade em segurança de TIC;

b. Classificação das informações;

c. Contingência e continuidade dos serviços de TIC;

d. Controle de acesso lógico e físico;

e. Divulgação e conscientização;

f. Geração e restauração de cópias de segurança;

g. Gestão de riscos de TIC;

h. Tratamento dos incidentes relacionados à segurança de TIC;

i. Utilização de recursos de TIC.

II. Rever periodicamente esta Política de Segurança da Informação e Comunicações, sugerindo possíveis alterações;

III. Estabelecer diretrizes e definições estratégicas para a segurança da informação e comunicações;

IV. Acompanhar planos de ação para aplicação dessa política e das normas a ela relacionadas, assim como campanhas de divulgação e conscientização dos usuários;

V. Receber e analisar as comunicações de descumprimento das normas referentes a essa política;

VI. Solicitar, sempre que necessário, a realização de auditorias à Coordenadoria de Segurança de TIC, relativamente ao uso dos recursos de Tecnologia da Informação e Comunicações, no âmbito deste Tribunal;

VII. Avaliar relatórios e resultados de auditorias apresentados pela Coordenadoria de Segurança de TIC;

VIII. Definir quais serviços de TIC devem ser considerados críticos;

IX. Realizar a gestão de riscos de TIC, com base em análises de risco, deliberando sobre as medidas necessárias à mitigação dos riscos identificados;

X. Dirimir dúvidas e deliberar sobre questões relacionadas à Política de Segurança, não contempladas neste Ato ou norma correlata;

XI. Apresentar à Presidência do Tribunal, quando solicitado, os resultados de suas ações e atividades.

Art. 5º. Compete ao Gestor de Segurança da Informação e Comunicações, mais antigo integrante do Comitê de Segurança da Informação e Comunicações:   (Artigo alterado pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

I. Coordenar as atividades do Comitê de Segurança da Informação e Comunicações;

II. Submeter à Presidência, propostas de diretrizes, normas e políticas relativas à Segurança da Informação e Comunicações;

III. Promover a cultura de segurança da informação e comunicações;

IV. Acompanhar os levantamentos e as avaliações dos danos decorrentes de quebra de segurança;

V. Propor recursos necessários às ações de segurança da informação e comunicações;

VI. Avaliar estudos de novas tecnologias, quanto a possíveis impactos na segurança da informação e comunicações.

Art. 6º. Compete à Coordenadoria de Segurança de TIC, além do disposto no Ato GP nº 25/2016: (Artigo alterado pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

I. Elaborar e coordenar as ações do Plano Estratégico de Segurança da Informação, com base nas definições estratégicas estabelecidas pelo Comitê de Segurança da Informação;

II. Prestar apoio técnico especializado às atividades do Comitê de Segurança da Informação e Comunicações nos assuntos relacionados à Segurança de TIC;

III. Informar ao Comitê de Segurança da Informação e Comunicações a respeito de incidentes de segurança de TIC e riscos identificados no ambiente computacional do Tribunal.

Art. 7º. A Secretaria de Tecnologia da Informação e Comunicações implantará mecanismos de proteção que visem assegurar a confidencialidade, integralidade e disponibilidade do ambiente computacional do Tribunal.   (Artigo alterado pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Art. 8º. Os equipamentos que compõe o parque tecnológico do Tribunal devem ter seu relógio e fuso horário sincronizados com o equipamento responsável pelo serviço de relógio mantido pela Secretaria de Tecnologia da Informação e Comunicações.   (Artigo alterado pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Art. 8º-A. Compete ao Gestor de Segurança da Informação, Desembargador do Trabalho mais antigo integrante do Comitê de Segurança da Informação e Comunicações, instituído pelo Ato GP nº 26/2012: (Artigo acrescentado pelo Ato GP nº 29/2014 - DOEletrônico 16/12/2014)

I. Submeter à Presidência as propostas de normas relativas à segurança da informação, elaboradas nos termos do inciso I, do art. 8º desta norma;

II. Promover e motivar a cultura de segurança da informação e comunicações;

III. Acompanhar as investigações e as avaliações dos danos decorrentes de quebra de segurança;

IV. Propor recursos necessários às ações de segurança da informação e comunicações;

V. Coordenar as atividades do Comitê de Segurança da Informação e Comunicações;

VI. Realizar e acompanhar estudos de novas tecnologias quanto a possíveis impactos na segurança da informação e comunicações.

Art. 9º A Seção de Segurança da Informação, vinculada à Secretaria de Informática, tem por objetivo prover soluções de segurança que agreguem valor aos serviços prestados pelo TRT da 2ª Região, pautadas na conscientização e no comprometimento de seus servidores para com a preservação da confidencialidade, da integridade e da disponibilidade das informações, a segurança nas operações e a excelente imagem perante a sociedade.

Art. 9º A Seção de Segurança em Tecnologia da Informação, vinculada à Secretaria de Tecnologia da Informação, tem por objetivo prover soluções de segurança que agreguem valor aos serviços prestados pelo TRT da 2ª Região, pautadas na conscientização e no comprometimento de seus servidores para com a preservação da confidencialidade, da integridade e da disponibilidade das informações, a segurança nas operações e a excelente imagem perante a sociedade. (Artigo alterado pelo Ato GP nº 29/2014 - DOEletrônico 16/12/2014)

Art. 10. Compete à Seção de Segurança da Informação:

Art. 10. Compete à Seção de Segurança em Tecnologia da Informação: (Caput alterado pelo Ato GP nº 29/2014 - DOEletrônico 16/12/2014)
I - Elaborar um Plano Estratégico de Segurança da Informação, com base nas definições estratégicas estabelecidas pelo Comitê de Segurança da Informação;

II - Coordenar as ações do Plano Estratégico de Segurança da Informação e dos projetos a ele relacionados;

III - Gerir a Política de Segurança da Informação e as normas a ela relacionadas;

IV - Apoiar o Comitê de Segurança da Informação na elaboração das normas e procedimentos relativos à segurança da informação;

V - Fornecer subsídios para as atividades do Comitê de Segurança da Informação;

VI - Indicar eventual necessidade de promover palestras e treinamentos para conscientização dos usuários e atualização das ações de segurança, apoiando sua realização;

VII - Realizar análises de risco periódicas no que tange à tecnologia, ambientes, processos e pessoas, reportando os resultados ao Comitê de Segurança da Informação;

VIII - Manter os registros de monitoramento sobre o uso dos recursos de tecnologia;

IX - Realizar auditorias, quando necessário, com emissão de relatórios sobre o uso dos recursos de tecnologia, apontando irregularidades e não-conformidades na utilização, quando estas existirem;

X - Atuar de forma coordenada com outras áreas nos assuntos relativos à Segurança da Informação;

XI - Informar ao Comitê de Segurança da Informação:

a) Nível de segurança alcançado nos ambientes tecnológicos, por meio de relatórios gerenciais provenientes das análises de risco;

b) Incidentes de segurança tecnológica.

Art. 11. Incumbe à chefia imediata e superior do usuário verificar a observância da Política de Segurança da Informação no âmbito de sua unidade, comunicando, de imediato, ao Comitê de Segurança da Informação, as irregularidades constatadas, para as providências cabíveis.

Art. 12. O descumprimento das normas referentes à Política de Segurança da Informação deste Tribunal poderá acarretar, isolada ou cumulativamente, nos termos da legislação vigente, sanções administrativas, civis e penais.

Art. 9º. Os registros de auditoria (logs) gerados nos equipamentos servidores devem ser armazenados em equipamento centralizado, com controles de acesso implementados de forma a garantir a integridade e a confidencialidade das informações.   (Artigo alterado pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Art. 10. As configurações de acesso ou comunicação realizadas nas soluções de infraestrutura e segurança de TIC devem obedecer ao princípio do menor privilégio.   (Artigo alterado pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

§1º. Qualquer acesso ou comunicação que não tenha necessidade de ser liberado deve ser bloqueado.

§2º. Deverá ser implementada uma zona desmilitarizada para confinamento de equipamentos acessíveis publicamente através da internet.

§3º. As redes que contém equipamentos servidores devem ser segregadas das redes que contém equipamentos de microinformática.

§4º. Sempre que possível, as redes que contêm equipamentos de microinformática devem ser segregadas ao nível das Unidades Organizacionais.

Art. 11. Sempre que possível, deverão ser utilizados protocolos de comunicação que implementem mecanismos de criptografia em detrimento de protocolos sem estes mecanismos;   (Artigo alterado pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Art. 12. A geração e restauração de cópias de segurança do ambiente computacional deverão seguir o disposto no Ato GP nº 07/2015.   (Artigo alterado pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Art. 12-A. A Política de Segurança da Informação deverá ser revisada e atualizada periodicamente, sempre que forem observadas mudanças significativas no ambiente organizacional ou técnico, ou, no mínimo, a cada vinte e quatro meses. (Artigo acrescentado pelo Ato GP nº 29/2014 - DOEletrônico 16/12/2014) (Artigo revogado pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Parágrafo único. A revisão e atualização da Política de Segurança da Informação deverá considerar os resultados provenientes das Análises de Risco e dos relatos sobre incidentes de segurança da informação efetuados no período, de forma a obter melhoria dos controles e recursos utilizados, bem como na definição de responsabilidades.

Art. 12-B. As Normas de Segurança da Informação deverão ser revisadas e atualizadas periodicamente, sempre que forem observadas mudanças significativas no ambiente organizacional ou técnico, ou, no mínimo, uma vez a cada vinte e quatro meses. (Artigo acrescentado pelo Ato GP nº 29/2014 - DOEletrônico 16/12/2014) (Artigo revogado pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Art. 12-C. As diretrizes e procedimentos adotados na Política de Segurança da Informação, no âmbito deste Regional, devem observar as disposições contidas neste Ato, a legislação vigente e, em especial, as seguintes referências normativas: (Artigo acrescentado pelo Ato GP nº 29/2014 - DOEletrônico 16/12/2014) (Artigo revogado pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

I. ABNT NBR ISO/IEC 27002:2005: Norma que estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta norma proveem diretrizes gerais sobre as metas geralmente aceitas para a gestão de segurança da informação;

II. ABNT NBR ISO/IEC 27005:2008 - Norma que fornece diretrizes para o processo de gestão de riscos de segurança da informação.

Art. 12-D. Os riscos de segurança da informação serão tratados mediante um processo de gestão de riscos, de acordo com o Anexo I. Este processo deverá cobrir as seguintes atividades: (Artigo acrescentado pelo Ato GP nº 06/2015 - DOEletrônico 26/03/2015) (Artigo revogado pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

I. Definições preliminares: definição do escopo priorizando, no mínimo, os ativos associados aos processos mais críticos do negócio definidos pela organização;

II. Análise e avaliação: identificação, comunicação, avaliação, aceitação e priorização dos riscos;

III. Plano de tratamento: definição das formas de tratamento dos riscos que deve relacionar, no mínimo, as ações a serem tomadas, os responsáveis, as prioridades e os prazos de execução necessários à sua implantação;

IV. Execução do plano de tratamento: execução das ações previstas no plano de tratamento dos riscos aprovado;

V. Análise dos resultados: avaliação dos resultados na execução do plano, contendo que ações foram executadas, dificuldades encontradas na execução das ações, e qualquer outra informação que seja relevante ao processo;

VI. Melhoria do processo: avaliação da eficiência e eficácia do processo, e dos problemas encontrados durante sua execução; revisão das etapas e ações previstas; revisão do escopo para próximas análises e implementações de melhorias.

Art. 13. O presente Ato entra em vigor a partir da data de sua publicação, revogadas as disposições em contrário.

Art. 13. O descarte seguro de mídias de armazenamento de dados no âmbito deste Tribunal deverá seguir o disposto no Ato GP nº 09/2015.   (Artigo alterado pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Art. 14. O uso adequado dos recursos de TIC visa garantir a continuidade da prestação jurisdicional deste Tribunal. (Artigo incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

§1º. Os recursos de tecnologia da informação, pertencentes ao Tribunal que estão disponíveis para os usuários, devem ser utilizados em atividades relacionadas às suas funções institucionais.

§2º. A utilização dos recursos de TIC será monitorada, podendo serem realizadas auditorias com a finalidade de detectar eventos que deponham contra a segurança da informação e comunicações, as boas práticas no uso dos recursos de TIC ou eventos que estejam em desconformidade com os normativos vigentes.

§3º. A utilização dos recursos de TIC deverá seguir as diretrizes contidas no Ato GP nº 10/2009.

Art. 15. O serviço de correio eletrônico deve ser utilizado como ferramenta institucional para execução das atribuições funcionais de magistrados e servidores, ativos e inativos. (Artigo incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Parágrafo único. Assuntos relacionados à rotina de trabalho devem ser tratados exclusivamente através das contas corporativas de correio eletrônico, fornecidas por este Tribunal, sendo vedada a utilização de contas pessoais de correio eletrônico para este fim.

Art. 16. O serviço de acesso à Internet provido através da rede do Tribunal deve restringir-se às páginas com conteúdo estritamente relacionado com as atividades desempenhadas pelo Órgão, necessários ao cumprimento das atribuições funcionais do usuário. (Artigo incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

§1º. O Comitê de Segurança da Informação e Comunicações deliberará a respeito de solicitações de acesso a sites bloqueados pela política de acesso vigente, mas que sejam necessários à rotina funcional das unidades solicitantes.

§2º. Equipamentos fornecidos para utilização do público em geral terão regras de acesso específicas, de acordo com a necessidade de cada equipamento, elaboradas de acordo com o princípio do menor privilégio.

Art. 17. Toda informação gerada no Tribunal será classificada em termos de seu valor, requisitos legais, sensibilidade, criticidade e necessidade de compartilhamento, observadas as diretrizes contidas no Ato GP nº 30/2014. (Artigo incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Art. 18. As informações, sistemas e métodos gerados ou criados por magistrados e servidores, no exercício de suas funções, independentemente da forma de sua apresentação ou armazenamento, são propriedades do Tribunal e serão utilizadas exclusivamente para fins corporativos. (Artigo incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Art. 19. Quando informações, sistemas e métodos forem gerados ou criados por terceiros para uso exclusivo do Tribunal, ficam os criadores obrigados ao sigilo permanente de tais produtos, sendo vedada a sua reutilização em projetos para outrem. (Artigo incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Art. 20. Os contratos e convênios firmados pelo Tribunal que envolvam a utilização de recursos de TIC devem conter cláusulas contemplando os requisitos de segurança de TIC necessários à manutenção da integridade, confidencialidade, disponibilidade e autenticidade das informações. (Artigo incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Art. 21. O gerenciamento da continuidade dos serviços de TIC será realizado mediante processo que deverá cobrir, no mínimo, as seguintes atividades: (Artigo incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

I. Elaboração de planos de continuidade de serviços de TIC;

II. Revisão dos planos de continuidade de serviços de TIC;

III. Testes dos planos de continuidade de serviços de TIC.

§1º. Deverão ser elaborados planos de continuidade de serviços de TIC para, no mínimo, todos os serviços de TIC considerados críticos;

§2º. Os planos de continuidade deverão ser atualizados sempre que houver alteração no ambiente computacional ou nos procedimentos necessários para seu restabelecimento;

§3º. Deverá ser elaborado cronograma para execução de teste dos planos de continuidade de todos os serviços considerados críticos.

Art. 22. Incidente de segurança de TIC é qualquer evento, confirmado ou sob suspeita, que: (Artigo incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

I. Viole este Ato Normativo;

II. Permita ou facilite acesso não autorizado ao ambiente computacional ou às informações armazenadas digitalmente por este Tribunal;

III. Represente ameaça às informações armazenadas, processadas ou trafegadas pelos serviços de TIC;

IV. Acarrete exposição de dados e informações confidenciais.

Art. 23. Os incidentes de segurança de TIC serão tratados mediante processo que deverá cobrir, no mínimo, as seguintes atividades: (Artigo incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

I. Registro;

II. Avaliação;

III. Tratamento;

IV. Comunicação dos incidentes.

Art. 24. Os usuários deverão notificar à Central de Serviços de TIC qualquer incidente de segurança de TIC identificado. (Artigo incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Art. 25. Os riscos de segurança de TIC serão tratados mediante processo que deverá cobrir, no mínimo, as seguintes atividades: (Artigo incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

I. Definições preliminares: definição do escopo priorizando, no mínimo, os ativos associados aos serviços considerados críticos;

II. Análise e avaliação: identificação, comunicação, avaliação, aceitação e priorização dos riscos;

III. Plano de tratamento: definição das formas de tratamento dos riscos que deve relacionar, no mínimo, as ações a serem tomadas, os responsáveis, as prioridades e os prazos de execução necessários à sua implantação;

IV. Execução do plano de tratamento: execução das ações previstas no plano de tratamento dos riscos aprovado;

V. Análise dos resultados: avaliação dos resultados na execução do plano, contendo quais ações foram executadas, dificuldades encontradas na execução das ações e qualquer outra informação que seja relevante ao processo;

VI. Melhoria do processo: avaliação da eficiência e eficácia do processo, e dos problemas encontrados durante sua execução, revisão das etapas e ações previstas, revisão do escopo para próximas análises e implementações de melhorias.

Art. 26. A auditoria e conformidade em segurança de TIC será gerida mediante processo que deverá cobrir, no mínimo, as seguintes atividades: (Artigo incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

I. Planejamento: definição do escopo e do calendário dos trabalhos;

II. Análise: Identificação e análise das desconformidades, para elaboração de cronograma de ações para tratamento das desconformidades identificadas;

III. Tratamento: execução das atividades previstas para tratamento das desconformidades identificadas.

Art. 27. O controle de acesso aos serviços de TIC será gerenciado através do processo de Gerenciamento de Cumprimento de Requisição, publicado através da Portaria GP nº 57/2015. (Artigo incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

§1º. O controle de acesso lógico deverá seguir as diretrizes contidas no Ato GP nº 10/2009, Capítulo IV – Das Competências.

§2º. Os acessos devem ser geridos através do princípio do menor privilégio.

§3º. O representante de negócio de cada serviço de TIC é responsável por definir as regras de acesso ao respectivo serviço.

§4º. A criação ou alteração de credenciais de acesso deve seguir o disposto no Ato GP nº 08/2015, que institui a Política de Senhas no âmbito do Tribunal.

Art. 28. O acesso físico ao Datacenter e às instalações de TIC deverão seguir o disposto no Ato GP nº 10/2015. (Artigo incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Art. 29. A divulgação e conscientização em segurança de TIC será realizada mediante processo que deverá cobrir, no mínimo, as atividades de elaboração, revisão e divulgação de material sobre o tema. (Artigo incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Art. 30. Deverá ser estabelecido um programa de conscientização em segurança de TIC, de forma que os usuários recebam informações apropriadas ao desempenho de suas funções. (Artigo incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Parágrafo único. O programa deverá considerar as seguintes diretrizes:

I. Ter por objetivo tornar os usuários conscientes das suas responsabilidades para a segurança da informação e comunicações e os meios pelos quais essas responsabilidades são realizadas;

II. Estar alinhado com as políticas e procedimentos relevantes de segurança de TIC;

III. Considerar um número mínimo de atividades de conscientização, tais como campanhas e notícias;

IV. Contemplar novos usuários.

Art. 31. Todos os processos de segurança de TIC elaborados devem ser publicados na Intranet, para livre consulta. (Artigo incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Art. 32. Incumbe à chefia imediata do servidor verificar a observância desta Política, no âmbito de sua unidade, comunicando de imediato à Central de Serviços de TIC quaisquer irregularidades identificadas. (Artigo incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Parágrafo único. O descumprimento desta Política poderá acarretar, isolada ou cumulativamente, nos termos da legislação vigente, sanções administrativas, civis e penais.

Art. 33. A Política, as Normas e os Processos de Segurança da Informação e Comunicações deverão ser revisados e atualizados periodicamente, sempre que forem observadas mudanças significativas no ambiente organizacional ou computacional ou, no mínimo, a cada 12 (doze) meses. (Artigo incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Parágrafo único. A revisão deverá considerar, quando aplicável:

I. Os resultados provenientes das análises de risco;

II. Os relatórios sobre incidentes de segurança de TIC;

III. As seguintes referências normativas:

a. Instrução Normativa GSI/PR nº 1 de 2008, do Gabinete de Segurança Institucional da Presidência da República, que disciplina a Gestão da Segurança da Informação e Comunicações na Administração Pública Federal, e suas Normas Complementares;

b. ABNT NBR ISO/IEC 27001:2013;

c. ABNT NBR ISO/IEC 27002:2013;

d. ABNT NBR ISO/IEC 27005:2011.

Art. 34. O presente Ato entra em vigor a partir da data de sua publicação, revogadas as disposições em contrário. (Artigo incluído pelo Ato GP nº 38/2018 - DeJT 12/09/2018)

Publique-se e cumpra-se.

São Paulo, 10 de dezembro de 2012.

(a)MARIA DORALICE NOVAES
Desembargadora do Trabalho Presidente do Tribunal

ANEXO I
(Anexo acrescentado pelo Ato GP nº 06/2015 - DOEletrônico 26/03/2015)
Processo de Gestão de Riscos de Segurança da Informação (conteúdo sigiloso)
 (Anexo revogado pelo Ato GP nº 38/2018 - DeJT 12/09/2018)



DOELETRÔNICO - CAD. ADM. - 12/12/2012