Home > Concursos > Questões de Concursos > Conhecimentos Gerais > Questões Leis, Decretos e Estatutos
RESOLUÇÃO N. 109, DE 13 DE AGOSTO DE 2014
Institui a Política de Segurança da Informação no âmbito do Poder Judiciário do Estado de Mato Grosso do Sul.
O ÓRGÃO ESPECIAL DO TRIBUNAL DE JUSTIÇA DO ESTADO DE MATO GROSSO DO SUL, no uso das atribuições conferidas pelo inciso XI do artigo 30 da Lei n. 1.511, de 5 de julho de 1994, c.c. o artigo 164-A, inciso XXXVI, da Resolução n. 237, de 21 de setembro de 1995, e
CONSIDERANDO a necessidade de garantir a integridade, confidencialidade e disponibilidade das informações sob a guarda do Poder Judiciário do Estado de Mato Grosso do Sul,
CONSIDERANDO que para implantação da Política de Segurança da Informação (PSI) imprescindível se faz definir as diretrizes e os procedimentos de acesso, bem assim, a guarda e o uso dos recursos computacionais disponíveis,
CONSIDERANDO o teor da Resolução n. 90, de 29 de setembro de 2009, do Conselho Nacional de Justiça, que dispõe sobre os requisitos de nivelamento de tecnologia da informação no âmbito do Poder Judiciário,
CONSIDERANDO o contido na norma ABNT NBR ISO/IEC 27002:2005, que estabelece o código de boas práticas em segurança da informação,
CONSIDERANDO, ademais, as recomendações instituídas no Auto Circunstanciado em inspeção realizada pelo Conselho Nacional de Justiça, em atendimento a Portaria n. 75 de 2010 do Conselho Nacional de Justiça,
RESOLVE:
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1º Instituir a Política de Segurança da Informação – PSI no âmbito do Poder Judiciário do Estado de Mato Grosso do Sul, na forma disposta nesta Resolução.
Art. 2º A Política de Segurança da Informação (PSI) tem por objetivo disciplinar o uso de recursos Tecnológicos e de Informação no âmbito do Poder Judiciário do Estado de Mato Grosso do Sul.
Art. 3º A Política de Segurança da Informação se aplica a todos os usuários dos recursos computacionais do Poder Judiciário de Mato Grosso do Sul que se utilizem do ambiente corporativo de processamento ou possuam acesso a informações a ele pertencente.
Parágrafo único. São considerados aptos a acessar os recursos de rede do Poder Judiciário de Mato Grosso do Sul apenas os usuários a eles vinculados e em plena atividade.
Art. 4º Toda informação pertencente ao Poder Judiciário do Estado de Mato Grosso do Sul e utilizada pelos usuários nas suas atividades profissionais possui valor e deve ser protegida para permitir o seu uso adequado para consecução dos objetivos da organização por meio de atividades operacionais e de negócio.
Parágrafo único. A informação existirá nos seguintes formatos:
I – física (impressa ou escrita em papel);
II – digital (armazenada em pendrives, discos rígidos, entre outros);
III – imagem e voz (fotografias, vídeos e áudio).
Art. 5º Todo acesso às informações de propriedade do Poder Judiciário, ou por ele custodiado, será disciplinado em norma específica.
CAPÍTULO II
DOS PRINCÍPIOS
Art. 6º São princípios básicos da Segurança da Informação:
I – confidencialidade: propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não-autorizados;
II – integridade: propriedade de salvaguarda da exatidão e completeza de ativos;
III – disponibilidade: propriedade de que a informação não esteja acessível e utilizável sob demanda por uma entidade autorizada;
IV – autenticidade: garantia de que os dados fornecidos são verdadeiros e de que o usuário é legítimo;
V – criticidade: classificação de acordo com o grau de relevância do ativo de informação em relação a confidencialidade, a integridade e a disponibilidade, observadas as necessidades do negócio e a legislação em vigor;
VI – não-repúdio ou irretratabilidade: garantia de que uma pessoa não consiga negar a autoria ou envio de uma informação;
VII – proporcionalidade: a organização, em seu poder discricionário, buscará subsídios na forma da lei, em conceitos, normas e princípios que deverão ser observados em cada caso concreto, dentro do critério de razoabilidade.
CAPÍTULO III
DA ESTRUTURA NORMATIVA
Art. 7º A Política de Segurança da Informação está estruturada em três níveis hierárquicos assim dispostos:
I – estratégico: compreendido pela Política de Segurança da Informação (PSI) que norteia a criação de normas complementares, traçando as diretrizes básicas de Segurança da Informação (SI);
II – gerencial: compreende as normas que complementam o disposto na Política de Segurança da Informação, especificando as regras e procedimentos em nível gerencial relacionados à gestão dos ativos de informação, definindo sua guarda e manutenção;
III – operacional: compreende as orientações procedimentais com a finalidade de orientar o pessoal de cada área administrativa quanto a implementação, adequação, manutenção e auditoria da PSI, operacionalizando o estatuído no inciso II deste artigo.
CAPÍTULO IV
DAS RESPONSABILIDADES
Art. 8º São responsabilidades e deveres dos usuários:
I – preservar a integridade e guardar sigilo das informações, bem como zelar pela conservação e correta utilização dos recursos computacionais e pela Segurança da Informação;
II – cumprir a Política da Segurança da Informação do Poder Judiciário de Mato Grosso do Sul, sob pena de incorrer nas sanções disciplinares e legais cabíveis;
III – notificar os superiores e a Secretaria de Tecnologia da Informação quando identificadas situações de utilização indevida, por qualquer pessoa, dos recursos computacionais do Poder Judiciário, ou no caso de identificação de qualquer vulnerabilidade que possa ser explorada por ameaças que acarretem danos aos ativos de informação;
IV – usar dos recursos computacionais apenas para realização de suas atividades funcionais, sendo vedado o uso para fim diverso ao de suas atribuições.
§ 1º A senha de certificado digital e de acesso à rede computacional ou a qualquer sistema ou, ainda, sua aplicação, é de caráter pessoal e intransferível, devendo o usuário zelar por sua confidencialidade.
§ 2º Os usuários internos e colaboradores são responsáveis pela segurança das informações a que tenham acesso, devendo comunicar ao superior hierárquico os incidentes relativos à segurança da informação de que tenham conhecimento.
Art. 9º São responsabilidades da Coordenadoria de Segurança:
I – elaborar políticas, normas e procedimentos de Segurança da Informação;
II – elaborar planos de ação para implementação das políticas em segurança da informação;
III – promover atualizações periódicas das políticas de segurança da informação;
IV – gerenciar, auditar e monitorar o cumprimento das políticas de segurança da informação;
V – manter os registros das comunicações de incidentes de segurança da informação;
VI – avaliar os riscos relacionados à segurança da informação;
VII – submeter a Comissão Permanente de Segurança Institucional e/ou Grupos de Trabalhos específicos, informações críticas identificadas;
VIII – analisar os casos de violação das políticas de segurança da informação, acionando pessoas ou grupos de trabalho quando necessário dependendo da gravidade da violação.
Art. 10. São responsabilidades da Comissão de Segurança Institucional:
I – analisar e aprovar políticas, normas e procedimentos que visem a implementação e a manutenção da segurança da informação, bem como, os planos de ação com objetivo de garantir e manter a aplicabilidade dessas políticas;
II – definir ações de segurança da informação e os planos de continuidade do negócio;
III – analisar e aprovar solicitações de exceção às regras e políticas vigentes;
IV – garantir o cumprimento das políticas de segurança nesta norma e nas normas complementares.
Art. 11. São responsabilidades da Secretaria de Tecnologia da Informação:
I – assegurar os recursos de tecnologia necessários para a implementação das políticas de segurança da informação;
II – possibilitar as auditorias em recursos de tecnologia quando solicitados;
III – administrar com exclusividade os recursos computacionais, delegando competência quando necessária à plena execução de atividades gerenciais de recursos relacionados à tecnologia da informação.
Art. 12. É responsabilidade das Diretorias de Secretarias do Tribunal de Justiça do Estado de Mato Grosso do Sul garantir que seus servidores e terceirizados, sob sua supervisão, compreendam e cumpram as determinações desta política e de demais normas complementares.
Art. 13. São responsabilidades do Poder Judiciário de Mato Grosso do Sul:
I – implantar, garantir e manter a Segurança da Informação, a operacionalização da infraestrutura e de serviços de TI, provendo recursos humanos, materiais e tecnológicos que permitam o bom desempenho das unidades do Judiciário;
II – capacitar servidores nas tecnologias adotadas de modo a garantir a manutenção adequada e auditagem eficiente;
III – prover ações de conscientização e educação a todos os usuários dos recursos de informações;
IV – estruturar a tecnologia da informação e seu gerenciamento de forma a garantir o desenvolvimento, aperfeiçoamento e a disponibilidade dos sistemas essenciais à execução da estratégia proposta;
V – firmar parcerias e convênios para implementar projetos de interesse comum, inclusive mecanismos que viabilizem a comunicação eletrônica entre o Poder Judiciário e os outros Poderes ou Instituições.
CAPÍTULO V
DOS RECURSOS COMPUTACIONAIS
Art. 14. São considerados recursos computacionais do Poder Judiciário do Estado do Mato Grosso do Sul:
I – hardware – são os equipamentos compreendidos por:
a) computadores: estações de trabalho e servidores;
b) dispositivos periféricos de entrada e saída: teclados, mouses, monitores, escâneres, impressoras, leitoras de cartão, leitores biométricos;
c) dispositivos de conexão: roteadores, modems, comutadores, racks.
II – softwares: sistemas operacionais, sistemas administrativos, sistemas jurisdicionais, bancos de dados e demais aplicativos;
III – canais de comunicação de dados: links de comunicação;
IV – serviços computacionais: correio eletrônico, acesso à Internet, mensageiro corporativo, portal interno (Intranet) e externo (Extranet).
Parágrafo único. Por intermédio dos trabalhos realizados no âmbito da Secretaria de Tecnologia da Informação, os recursos computacionais poderão sofrer alterações para garantir o atendimento às novas necessidades e para a atualização dos sistemas e aplicativos utilizados no âmbito do Poder Judiciário Estadual.
Art. 15. Os dispositivos eletrônicos móveis de propriedade do Poder Judiciário do Estado do Mato Grosso do Sul serão protegidos por solução de criptografia, para evitar o acesso a informações por pessoa não autorizada e os procedimentos quanto ao seu uso serão definidos em norma específica.
§ 1º O compartilhamento de assuntos relacionados ao trabalho, a partir de ambiente interno ou externo ao trabalho, mediante uso de qualquer tipo de tecnologia, deve respeitar os princípios e normas de ética e as disposições legais vigentes, cumpridos os deveres de sigilo profissional.
§ 2º Deverá ser aplicada a melhor técnica disponível em cada ação praticada, de forma a garantir a segurança da informação no nível exigido pela classificação que lhe corresponda.
CAPÍTULO VI
DAS DIRETRIZES
Art. 16. Para efeitos de cumprimento e implementação da Política de que trata esta Resolução todos os usuários são iguais em direitos e obrigações, com base nas diretrizes, normas e procedimentos aplicáveis à espécie.
Art. 17. Os usuários, para os fins da segurança da informação, classificam-se em:
I – usuário interno: magistrado ou servidor em atividade que tenha acesso, de forma autorizada, a informações produzidas ou custodiadas pelo Tribunal de Justiça de Mato Grosso do Sul;
II – usuário colaborador: prestador de serviço terceirizado, estagiário, mirim ou qualquer outro colaborador que tenha acesso autorizado a informações produzidas ou custodiadas pelo Tribunal de Justiça; e
III – usuário externo: qualquer pessoa física ou jurídica que tenha acesso, de forma autorizada, a informações produzidas ou custodiadas pelo Tribunal de Justiça e que não seja caracterizado como usuário interno ou usuário colaborador.
§ 1º Incluem-se na definição disposta no inciso III deste artigo o inativo e o pensionista que necessitem acessar informações pessoais na Intranet.
§ 2º São considerados colaboradores os usuários provenientes de organizações conveniadas com o Poder Judiciário de Mato Grosso do Sul.
Art. 18. Os usuários deverão observar as seguintes regras a serem detalhadas em diretrizes específicas:
I – o acesso aos ativos de informação será controlado e realizado, obrigatoriamente, mediante identificação e de acordo com o nível de acesso pré-estabelecido;
II – por necessidade de serviço e respectiva autorização pela área de TI, será permitido o acesso remoto aos recursos computacionais do Poder Judiciário de Mato Grosso do Sul;
III – a criação, classificação, alteração, divulgação, reprodução, transporte, recuperação e descarte, bem como, as operações de armazenamento, caracterizadas como etapas do ciclo de vida da informação, serão definidas de acordo com a política de classificação da informação;
IV – o serviço de correio eletrônico, de mensageira e de Internet são recursos disponibilizados como ferramentas auxiliares de comunicação e pesquisa acessórias às atividades laborais e, como tal, passíveis de monitoramento para fins de auditoria;
V – certificados digitais serão adquiridos e disponibilizados com a finalidade de consignar a assinatura em documentos digitais;
VI – cópias de segurança dos arquivos armazenados nos servidores de arquivos serão colhidas, periodicamente, com a finalidade de assegurar sua integridade e disponibilidade.
Art. 19. Será adotado por prática a política de mesa limpa e tela limpa.
§ 1º Por mesa limpa entende-se que não será permitida sobre as mesas e outras áreas correlatas, como impressoras e escâneres, a permanência de documentos contendo informações sensíveis.
§ 2º Por tela limpa entende-se que se o usuário não estiver utilizando a informação, esta não deverá ficar exposta ou estampada na tela.
Art. 20. Os usuários, por ocasião do início de suas atividades no Poder Judiciário do Estado de Mato Grosso do Sul, deverão formalizar a ciência do conteúdo desta política e de suas normas complementares, mediante assinatura da Declaração de Aceitação da Documentação do Sistema de Gestão de Segurança da Informação.
Art. 21. Por ocasião da exoneração ou aposentadoria de servidor e magistrado, ou por término de vigência contratual de terceirizados, mirins e estagiários, deverá ser observado um processo de descredenciamento de acesso no ato do desligamento.
Parágrafo único. O desligamento do usuário não o eximirá da responsabilidade em razão de acesso anterior indevido, irregular ou que tenha ocasionado prejuízo à Instituição, observadas as normas legais vigentes.
Art. 22. Os Contratos e Convênios em que o Tribunal de Justiça de Mato Grosso do Sul for parte deverão conter cláusulas específicas de conformidade com a Política de Segurança da Informação, consignadas as assinaturas de Declaração de Confidencialidade pelas partes contratadas ou convenentes.
Parágrafo único. As atividades terceirizadas e vinculadas aos recursos computacionais serão executadas conforme estabelecido expressamente em contrato e fiscalizadas pelas respectivas áreas de origem dos contratos.
Art. 23. Os computadores e equipamentos em funcionamento no Poder Judiciário do Estado de Mato Grosso do Sul deverão atender ao disposto nas normas de segurança estabelecidas pela Secretaria de Tecnologia da Informação.
Art. 24. O transporte de informações, quando autorizado, deverá ser realizado em meio apropriado de modo a garantir os níveis de proteção adequados.
Art. 25. Os softwares utilizados pelo Poder Judiciário do Estado de Mato Grosso do Sul devem ser previamente licenciados e homologados pela Secretaria de Tecnologia da Informação, que considerará, dentre outros, os aspectos de segurança e suporte a usuários.
§ 1º A Secretaria de Tecnologia de Informação, antes de autorizar a instalação e uso do software, realizará estudos de viabilidade e os testes necessários que atestem sua compatibilidade com o regular desenvolvimento das atividades laborais do Poder Judiciário do Estado.
§ 2º Todos os elementos necessários para a plena continuidade do negócio devem ter sua operacionalidade garantida.
Art. 26. O ambiente tecnológico deve estar protegido contra softwares nocivos com utilização de ferramentas devidamente homologadas pela Secretaria de Tecnologia da Informação (STI).
Art. 27. O ambiente tecnológico deve ser mantido atualizado para atender aos requisitos de segurança e qualidade exigidos pelo negócio.
CAPÍTULO VII
DAS DISPOSIÇÕES FINAIS
Art. 28. A presente Política de Segurança da Informação será revisada sempre que verificada a necessidade de adequabilidade a novos recursos na área de Segurança da Informação.
Art. 29. Os casos omissos serão dirimidos pelo Comitê Permanente de Segurança Institucional com o apoio do Comitê Gestor de Informática do Poder Judiciário do Estado de Mato Grosso do Sul.
Art. 30. O descumprimento das normas estabelecidas nesta Resolução ensejará a aplicação de sanções administrativas, civis e penais, conforme o caso, observadas as disposições legais vigentes.
Art. 31. Esta Resolução entra em vigor na data de sua publicação.