O PRESIDENTE DO TRIBUNAL DE JUSTIÇA DO ESTADO DE RONDÔNIA, no uso de suas atribuições legais,

CONSIDERANDO a necessidade de estabelecer diretrizes e padrões para garantir um ambiente tecnológico controlado e seguro de forma a oferecer todas as informações necessárias aos processos do Poder Judiciário do Estado de Rondônia com integridade, confidencialidade e disponibilidade;

CONSIDERANDO a necessidade de preservação da credibilidade da instituição, a constante preocupação com a qualidade e celeridade na prestação jurisdicional, bem como a necessidade de assegurar o acesso às informações apenas a usuários autorizados;

CONSIDERANDO o número progressivo de incidentes cibernéticos no ambiente da rede mundial de computadores e a necessidade de processos de trabalho orientados para a boa gestão da segurança da informação;

CONSIDERANDO o Ato n. 028/2016-PR e o Ato n. 029/2016-PR, de 21 de junho de 2016, que instituem, respectivamente, o Comitê de Gestão de Tecnologia da Informação e Comunicação (CGesTIC) e Comitê de Gestor de Segurança da Informação Multidisciplinar (CGSI), do Tribunal de Justiça do Estado de Rondônia;

CONSIDERANDO a Resolução n. 018/2016-PR, de 20 de junho de 2016, que institui o Comitê de Governança de Tecnologia da Informação e Comunicação (CGTIC) no âmbito do Poder Judiciário do Estado de Rondônia;

CONSIDERANDO os termos da Resolução CNJ n. 211, de 15 de dezembro de 2015, que institui a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD), estabelecendo as diretrizes de governança, gestão e infraestrutura tecnológica;

CONSIDERANDO o Processo n. 0022368-80.2017;

CONSIDERANDO a decisão do Tribunal Pleno em sessão administrativa realizada no dia 8/4/2019,

R E S O L V E:

CAPÍTULO I

DAS DISPOSIÇÕES GERAIS

Seção I

Dos Princípios Básicos da Política de Segurança da Informação

Art. 1º Fica aprovada a alteração da Política de Segurança da Informação (PSI) do Poder Judiciário do Estado de Rondônia (PJRO), na forma desta Resolução e de seu Anexo Único, que tem como princípios básicos:

I – a proteção do direito individual e coletivo das pessoas à inviolabilidade da sua intimidade e ao sigilo da correspondência e das comunicações, nos termos previstos na Constituição Federal;

II – a proteção de informações relacionadas a assuntos que mereçam tratamento especial;

III – a criação, desenvolvimento e manutenção de cultura relacionada à segurança da informação, alinhada às diretrizes nacionais de segurança da informação.

Seção II

Das Referências legais e normativas

Art. 2º A presente Política de Segurança da Informação tem por fundamento as seguintes referências legais e normativas:

I – Norma n. 03/IN01/DSIC/GSIPR, de 30 de junho de 2009, que cria diretrizes para elaboração de Política de Segurança da Informação e Comunicações nos órgãos e entidades da Administração Pública Federal;

II – Resolução n. 198, de 1 de julho de 2014, do Conselho Nacional de Justiça, que dispõe sobre o Planejamento e a Gestão Estratégica no âmbito do Poder Judiciário e dá outras providências;

III – Resolução n. 211, de 15 de dezembro de 2015, do Conselho Nacional de Justiça, institui a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD).

IV – Norma ABNT NBR ISO/IEC 27001:2013, que normatiza o Sistema de Gestão da Segurança da Informação;

V - Norma ABNT NBR ISO/IEC 27002:2013, que normatiza o Código de Prática para Controles da Segurança da Informação;

Seção III

Das Definições relativas à PSI

Art. 3º Para efeitos desta Política, ficam estabelecidos os seguintes conceitos e definições:

I – ameaça: qualquer circunstância ou evento com o potencial de causar impacto negativo sobre a confidencialidade, a integridade, a autenticidade e a disponibilidade da informação;

II – ativo de informação: os meios de armazenamento, transmissão e processamento, os sistemas de informação e os locais onde se encontram esses meios;

III – confidencialidade: propriedade de que a informação não será disponibilizada ou divulgada a indivíduos, entidades ou processos sem autorização;

IV – integridade: propriedade de que a informação não foi modificada ou destruída, de maneira não autorizada ou acidental, por indivíduos, entidades ou processos;

V – disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por indivíduo, entidades ou processos;

VI – autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por um determinado indivíduo, entidade ou processo;

VII – gestor de ativo de informação: são os titulares das unidades responsáveis pela gestão e operação dos ativos de informação;

VIII – incidente de segurança: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores levando a perda de um ou mais princípios básicos de Segurança da Informação: confidencialidade, integridade e disponibilidade.

IX – informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente do meio em que resida ou da forma pela qual seja veiculado;

X – plano de continuidade de serviços essenciais: documentação dos procedimentos e informações necessárias para manter os ativos de informação críticos e a continuidade de suas atividades críticas em local alternativo previamente definido, em casos de incidentes;

XI – plano de recuperação de serviços essenciais: documentação dos procedimentos e informações necessárias para que se operacionalize o retorno das atividades críticas à normalidade;

XII – público alvo: é o conjunto de usuários internos e externos atendidos pela área de segurança da informação da STIC;

XIII – risco: possibilidade potencial de uma ameaça comprometer a informação ou o sistema de informação pela exploração da vulnerabilidade;

XIV – segurança da informação: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;

XV – serviços essenciais de TIC: serviços de TIC definidos como estratégicos e com alto impacto no negócio em caso de indisponibilidade;

XVI – unidade gestora de segurança da informação: é a unidade responsável pela gestão e operação da segurança da informação no Tribunal de Justiça do Estado de Rondônia (TJRO);

XVII – usuário externo: qualquer pessoa física ou jurídica, não caracterizada como usuário interno, que tenha acesso a informações produzidas pelo TJRO de forma autorizada;

XVIII – usuário interno: magistrado, servidor, prestador de serviço terceirizado, estagiário ou qualquer outro colaborador que tenha acesso às informações produzidas pelo Tribunal de forma autorizada; e

XIX – vulnerabilidade: fragilidade de um ativo ou grupo de ativos de informação que pode ser explorado negativamente por uma ou mais ameaças.

Seção IV

Dos Objetivos da PSI

Art. 4º São objetivos desta PSI:

I – dotar as unidades do PJRO de instrumentos jurídicos, normativos e organizacionais que as capacitem a assegurar a confidencialidade, a integridade, a autenticidade e a disponibilidade das informações produzidas e armazenadas;

II – estabelecer diretrizes e normas gerais para a efetiva implementação da segurança da informação;

III – subsidiar a promoção das ações necessárias à implementação e à manutenção dos processos de gestão de riscos, gestão de incidentes de segurança da informação, gestão da continuidade de serviços essenciais e gestão do uso dos recursos de Tecnologia da Informação e Comunicação; e

IV – promover o intercâmbio científico-tecnológico entre o TJRO, os órgãos e entidades do Poder Judiciário e as instituições públicas e privadas sobre as atividades de segurança da informação.

CAPÍTULO II

DAS DIRETRIZES GERAIS

Seção I

Da Classificação e do Tratamento da Informação

Art. 5º A classificação e o tratamento da informação serão regulamentados por normativo próprio e realizado por um processo contínuo, definido de maneira formal, abrangendo informações provenientes dos serviços essenciais de Tecnologia da Informação e Comunicação do TJRO.

Parágrafo único. As informações deverão ser classificadas de forma a permitir tratamento diferenciado de acordo com seu grau de importância, criticidade, sensibilidade, e em conformidade com requisitos legais.

Art. 6º Os critérios gerais aplicáveis à classificação e ao tratamento da informação serão definidos por normativo elaborado pelo Comitê Gestor de Segurança da Informação, com a participação de todas as unidades do TJRO que produzam, recepcionem ou custodiem informações essenciais às atividades finalísticas, e submetido à apreciação da Presidência.

Seção II

Da Gestão de Riscos de Segurança da Informação e Comunicação

Art. 7º A gestão de riscos de Segurança da Informação deverá ser regulamentada por normativo próprio e realizado por um processo contínuo, definido de maneira formal, aplicado na implementação e operação da Gestão de Segurança da Informação e Comunicação, contendo no mínimo as fases de análise, avaliação e tratamento dos riscos.

Art. 8º As diretrizes gerais do processo de Gestão de Riscos de Segurança da Informação e Comunicação (GRSIC) deverão considerar, prioritariamente, os objetivos estratégicos, os processos, os requisitos legais e a estrutura do TJRO, além de estarem alinhadas com essa Política de Segurança.

Parágrafo único. O processo de gestão de riscos deverá, sempre que possível e necessário, ser apoiado por uma ferramenta computacional que contemple as atividades mencionadas no caput deste artigo.

Art. 9º Os gestores dos ativos de informação são os responsáveis pela execução das fases de análise, avaliação e tratamento dos riscos.

Parágrafo único. A unidade gestora de segurança da informação supervisionará os gestores de ativos de informação nas atividades mencionadas no caput deste artigo.

Art. 10. O escopo da gestão de riscos será definido anualmente pelo Departamento de Serviços e Infraestrutura de Tecnologia da Informação e Comunicação (Desein), com a anuência do Comitê Gestor de Segurança da Informação Multidisciplinar (CGSI), e deverá produzir subsídios para suportar o Sistema de Gestão de Segurança da Informação e Comunicação, com os serviços essenciais, preferencialmente.

Parágrafo único. Os critérios gerais aplicáveis para aceitação de riscos serão definidos anualmente pelo CGSI, com a orientação técnica do Desein.

Seção III

Da Gestão do Acesso e Uso dos Recursos de Tecnologia da Informação e Comunicação

Art. 11. A gestão de acesso e uso dos recursos de Tecnologia da Informação e Comunicação disponibilizados pelo TJRO é regulado pelo Anexo Único desta Resolução.

Art. 12. Estão sujeitos à regulamentação de que trata o art. 11 os usuários internos e externos do PJRO que tenham acesso aos recursos de Tecnologia da Informação e Comunicação prestados por este Tribunal.

Parágrafo único. A utilização desses recursos está condicionada à aceitação desta Política por parte dos usuários mediante assinatura de termo de responsabilidade e confidencialidade, preferencialmente em meio eletrônico.

Seção IV

Da Gestão e Controle de Ativos de Informação

Art. 13. A gestão e o controle dos ativos de informação são realizados por meio de processo definido de maneira formal, contendo as fases de cadastro, atualização e exclusão.

Parágrafo único. O processo de gestão e controle dos ativos de informação deverá, sempre que possível e necessário, ser apoiado por ferramenta computacional que contemple as atividades mencionadas no caput deste artigo.

Art. 14. Os gestores dos ativos de informação são os responsáveis pela execução das fases de cadastro, atualização e exclusão.

Parágrafo único. O responsável pelo Processo de Gerenciamento da Configuração e dos Ativos de Serviço do TJRO supervisionará os gestores de ativos de informação nas atividades mencionadas no caput deste artigo.

Seção V

Da Gestão de Incidentes de Segurança da Informação

Art. 15. A gestão de incidentes de segurança da informação deverá ser regulamentada por normativo próprio e realizado por um processo definido de maneira formal, contendo as fases de análise do evento de segurança da informação, detecção e registro, investigação, contenção e correção, encerramento e avaliação do incidente de segurança.

Parágrafo único. O processo de gestão de incidentes de segurança de informação deverá, sempre que possível e necessário, ser apoiado por ferramenta computacional que contemple as atividades mencionadas no caput deste artigo.

Art. 16. A gestão de incidentes de segurança da informação deverá ter como principal objetivo assegurar que incidentes em segurança da informação sejam identificados, registrados e avaliados em tempo hábil, com a tomada de medidas de contenção e/ou soluções adequadas.

Parágrafo único. O CGSI é o fórum para aprovar as ações decorrentes de um incidente ou ameaça de segurança que afetem a imagem institucional ou a confidencialidade das informações do TJRO.

Art. 17. O desenho do processo de Gestão de Incidentes de Segurança da Informação, a descrição dos procedimentos e atividades, os respectivos papéis e responsabilidades dos envolvidos no processo, bem como os modelos de documentos a serem utilizados nas etapas do processo, serão publicados no sítio eletrônico do TJRO, devendo constar, no mínimo, os seguintes pontos: definição do objetivo, público alvo, modelo de implementação, canal de comunicação de incidentes de segurança e os serviços que serão prestados.

Seção VI

Da Gestão da Continuidade dos Serviços Essenciais de Tecnologia da Informação e Comunicação

Art. 18. A gestão da continuidade dos serviços essenciais de Tecnologia da Informação e Comunicação deverá ser regulamentada por normativo próprio e realizada por um processo contínuo, definido de maneira formal, contendo, no mínimo, as fases: planejamento, execução, teste e melhoria, definição das estratégias pelo CGSI e Comitê de Governança da Tecnologia da Informação e Comunicação (CGTIC) do TJRO e, por fim, elaboração de planos.

§ 1º Os planos mencionados no caput deste artigo são:

a) o de continuidade de serviços essenciais de Tecnologia da Informação e Comunicação; e

b) o de recuperação de serviços essenciais de Tecnologia da Informação e Comunicação.

§ 2º Os planos referidos no § 1º serão submetidos ao Comitê de Gestão de Tecnologia da Informação e Comunicação (CGesTIC).

Art. 19. A definição dos serviços essenciais será feita pelo CGTIC, com apoio técnico do Desein.

Art. 20. A unidade gestora de segurança da informação do TJRO é responsável por estabelecer e manter o processo formal da gestão de continuidade de serviços essenciais de Tecnologia da Informação e Comunicação.

Art. 21. Os gestores dos ativos de informação são os responsáveis pela elaboração dos procedimentos técnicos constantes nos Planos de Continuidade e de Recuperação dos serviços essenciais de Tecnologia da Informação e Comunicação.

Art. 22. Os Planos de Continuidade e de Recuperação dos serviços essenciais de Tecnologia da Informação e Comunicação, após aprovados, serão exercitados e testados anualmente e os resultados documentados de forma a garantir a sua efetividade.

Art. 23. Os Planos de Continuidade e de Recuperação dos serviços essenciais de Tecnologia da Informação e Comunicação serão revisados nas seguintes situações:

I – no mínimo, uma vez por ano;

II – em função dos resultados dos testes realizados; e

III – após alguma mudança significativa nos ativos de informação, nas atividades ou em algum de seus componentes.

Seção VII

Do Desenvolvimento e Obtenção de Software Seguro

Art. 24. O Processo de desenvolvimento e obtenção de software seguro deverá ser regulamentado por normativo próprio e realizado por um processo contínuo, definido de maneira formal, devendo conter, no mínimo:

I – o estabelecimento de normas internas baseadas nesta resolução, bem como a adoção de boas práticas para o desenvolvimento e obtenção de software seguro;

II – identificação dos responsáveis pela definição e validação dos requisitos de segurança que o softwaredeva atender;

III -  definição dos requisitos de segurança logo no início de qualquer projeto de desenvolvimento ou obtenção de software;

IV - definição/implementação dos controles de segurança necessários para proteger os ativos de informação, de acordo com a sua criticidade;

V - definição e documentação dos requisitos específicos de segurança para a aplicação a ser adquirida ou desenvolvida externamente;

VI -  implementação dos controles de segurança por múltiplas camadas, de acordo com a criticidade das informações tratadas pelo software;

VII – estabelecimento de definições sobre a custódia de código-fonte e manutenção do software;

VIII - estabelecimento de acordos de licenciamento, propriedade dos códigos e direitos de propriedade intelectual condizentes com o interesse deste Tribunal.

CAPÍTULO III

DAS RESPONSABILIDADES

Seção I

Do CGSI

Art. 25. Cabe ao CGSI, assessorado pela Secretaria de Tecnologia da Informação e Comunicação (STIC), adotar as seguintes diretrizes:

I - submeter ao CGTIC o modelo de gestão corporativa de segurança da informação do PJRO e, se aprovado, promover sua aplicação;

II – propor políticas, normas, procedimentos internos e suas revisões relativos à segurança da informação, em conformidade com as legislações existentes sobre o tema;

III – promover cultura de segurança da informação no PJRO e implementar programas contínuos destinados à conscientização e capacitação dos usuários internos;

IV – propor recursos necessários às ações de segurança da informação;

V – constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;

VI – estabelecer critérios de classificação dos dados e das informações, com vistas à garantia dos níveis de segurança desejados e à normatização do acesso e uso das informações;

VII – garantir que os objetivos propostos no art. 4º desta Política sejam alcançados;

VIII – desenvolver outras atividades inerentes à sua finalidade.

Seção II

Do Desein

Art. 26. Cabe ao Desein implantar e gerenciar os controles relativos:

I – à gestão dos ativos de Tecnologia da Informação e Comunicação, principalmente os críticos e estratégicos, a fim de inventariar e identificar seus responsáveis;

II – à gestão da segurança das configurações da rede de comunicação de dados, para garantir a proteção das informações disponíveis na rede e a infraestrutura de suporte;

III – à gestão da segurança física dos ambientes computacionais, a fim de impedir e/ou repelir o acesso físico não autorizado e a ocorrência de danos e interferências nas instalações e informações digitais do órgão;

IV – à gestão das operações tecnológicas, a fim de garantir a operação segura dos recursos de processamento da informação;

V – à gestão das cópias e restauração de dados do PJRO, para manter a confidencialidade, a integridade e a disponibilidade das informações e dos recursos de processamento da informação;

VI – ao uso dos recursos tecnológicos e aos acessos às informações e serviços em rede do PJRO, a fim de garantir o acesso somente aos usuários autorizados a operar as informações acessadas;

VII – ao gerenciamento de incidentes de segurança da informação, a fim de permitir o controle das fragilidades, vulnerabilidades e eventos que porventura coloquem em risco a segurança das informações e serviços do TJRO;

VIII – às modificações nos recursos de processamento da informação e sistemas do PJRO, considerando a criticidade dos sistemas e serviços essenciais.

CAPÍTULO IV

DAS DISPOSIÇÕES FINAIS

Art. 27. A inobservância dos dispositivos constantes desta Política de Segurança da Informação pode acarretar a aplicação das sanções previstas em lei e normas regulamentares, assegurados aos envolvidos o contraditório e a ampla defesa.

Art. 28. A Política de Segurança da Informação deverá ser revisada anualmente ou a critério do CGSI.

Parágrafo único. O Anexo Único desta resolução, mediante iniciativa do CGSI, poderá ser revisado por meio de Ato do Presidente do TJRO.

Art. 29. Os casos omissos serão disciplinados pelo CGSI.

Art. 30. Revoga-se a Resolução n. 036/2016-PR.

Art. 31. Esta Resolução entra em vigor na data de sua publicação.

Publique-se.

Registre-se.

Cumpra-se.

 

Desembargador Walter Waltenberg Silva Junior

Presidente do Tribunal de Justiça do Estado de Rondônia

 

ANEXO ÚNICO