Voltar para Resoluções – 2007

012 – 18/04/2007 Utilização dos ativos de informática, política de acesso e Segurança âmbito Poder Judiciário

Biênio: 2006/2007
Ano: 2007
N°: 12
Data: 18/04/0007

Utilização dos ativos de informática, política de acesso e Segurança âmbito Poder Judiciário

ESTADO DO ESPÍRITO SANTO
PODER JUDICIÁRIO
TRIBUNAL DE JUSTIÇA
GABINETE DA PRESIDÊNCIA
RESOLUÇÃO N° 012/2007

Dispõe sobre a utilização dos ativos de informática, políticas de acessos e Segurança da Informação no âmbito do Poder Judiciário do Estado do Espírito Santo e dá outras providências.
O Excelentíssimo Senhor Desembargador JORGE GOES COUTINHO, Presidente do Egrégio Tribunal de Justiça do Estado do Espirito Santo, no uso de suas atribuições legais e tendo em vista decisão do Egrégio Tribunal Pleno, em sessão realizada nesta data, e
Considerando a necessidade de regulamentar a utilização dos ativos e recursos de informática e da segurança da informação no âmbito do Poder Judiciário do Estado do Espírito Santo,
CONSIDERANDO que cabe ao Presidente do Tribunal de Justiça, na qualidade de Chefe máximo do Poder Judiciário Estadual, superintender os trabalhos judiciários e administrativos.
RESOLVE determinar o que se segue:

CAPÍTULO I
DISPOSIÇÕES GERAIS

Art. 1º . Os Ativos e recursos de informática do Poder Judiciário são compostos por ambientes físicos e ativos de informática, sendo caracterizada pelos seguintes termos e expressões:
§ 1º. PSI-TJES: é o Plano de Segurança da Informação do Tribunal de Justiça do Espírito Santo, documento de uso interno que orienta e disciplina o correto e seguro uso de ativos e recursos de Informática, disponível para consulta através do endereçohttps://intranet.cgj.es.gov.br/cpd.
§ 2º. Informação: é o conjunto de dados utilizado para transferência de mensagem entre indivíduos, usuários e máquinas, em processos comunicativos; a informação existe sob as mais diversas formas, incluindo material impresso, escrito, falado, filmes, conversas ou meios analógicos, eletrônicos ou magnéticos como CDs, disquetes, discos de armazenamento em equipamentos servidores, estações de trabalho e qualquer outro meio existente ou que venha a ser criado.
§ 3º. Ativo: é todo elemento que compõe os processos que manipulam e processam a informação, inclusive a própria informação, o meio em que ela é armazenada, os equipamentos em que ela é manuseada, transportada e descartada. Figuram como ativos, além da informação, microcomputadores e seus acessórios, notebooks, impressoras, servidores, dispositivos de armazenamento de dados, sistemas de informática, dispositivos e meios de transmissão de dados ou quaisquer outros dispositivos que venham a processar informação ou prover acesso aos recursos de informática.
§ 4º. Confidencialidade: é o princípio da segurança da informação o qual define que toda informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo, visando à limitação de acesso e uso apenas aos indivíduos para quem elas são destinadas.
§ 5º. Integridade: é o princípio da segurança da informação o qual define que toda informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário, visando protegê-las contra alterações indevidas, intencionais ou acidentais.
§ 6º. Disponibilidade: é o princípio da segurança da informação o qual define que toda informação gerada ou adquirida por um indivíduo ou instituição deve estar disponível aos seus usuários no momento em que os mesmos delas necessitem para O MELHOR DESEMPENHO DE SUAS ATRIBUIÇÕES E/OU FUNÇÕES.
§ 7º. Usuário: é considerado todo indivíduo, incluindo Magistrados, Serventuários, prestadores de serviços, ou qualquer outro indivíduo que mantenha vínculo formal com o Poder Judiciário, devidamente credenciado para acesso aos ativos de informática do Poder Judiciário; (Estagiário voluntário poderá ser cadastrado e considerado usuário, caso a chefia imediata assuma as responsabilidades contidas nesta resolução).
§ 8º. Login: é parte da credencial do usuário com prévio cadastramento através de sua matrícula ou identificador único, no software ou serviço, de modo a garantir a individualização do seu proprietário.
§ 9º. Senha: é parte da credencial do usuário formada por um conjunto de caracteres alfabéticos, numéricos ou alfanuméricos, de caráter pessoal, confidencial e intransferível, para uso nos sistemas de informática.
§ 10. Credencial: é a combinação do Login e Senha, utilizado ou não em conjunto a outro mecanismo de autenticação, que visa legitimar e conferir autenticidade ao usuário na utilização da infra-estrutura e recursos de informática.
§ 11. Vírus de Computador: são programas maliciosos, auto-reprodutores que utilizam os recursos de ativos hospedeiros para se replicarem e se espalharem, sem ação específica do operador.
§ 12. Cavalos de Tróia ou Trojans: são programas maliciosos que simulam possuir funcionalidade, porém, adicionalmente, possui uma carga danosa, colocando em risco a confidencialidade, integridade e disponibilidade das informações.
§ 13. Vermes digitais ou Worms: são programas maliciosos, auto-reprodutores, que se distinguem dos vírus por se propagarem sem estar ligados a um arquivo, se disseminando através das redes, utilizando preferencialmente o correio eletrônico ou clicando em links e/ou banners de propaganda contidos nas páginas de Internet.
§ 14. Malware: é o termo coletivo para descrever programas com intenções maliciosas, incluindo vírus, worms, trojans ou qualquer outra praga digital que ponha em risco a confidencialidade, integridade e disponibilidade das informações.
§ 15. SPAM: é o termo usado para referir-se aos e-mails não solicitados, enviados a um grande número de indivíduos e com conteúdo geralmente comercial, fraudulento ou impróprio.
§ 16. Software: é qualquer programa ou conjunto de programas de computador.
§ 17. Rede local: é considerada como o ambiente de rede interna a cada edificação do Poder Judiciário do Estado do Espírito Santo, composta por seus ativos e recursos de informática, assim como seus meios físicos e lógicos de conexão, bem como o disposto no § 3º (item III).
§ 18. Rede Intranet: é considerada como o ambiente de rede interna do Poder Judiciário do Estado do Espírito Santo, composta pelo conjunto de redes locais, e seus ativos e recursos de informática utilizadas para sua formação.
§ 19. Rede Extranet: é considerada como todo o ambiente de rede externo ao Poder Judiciário do Estado do Espírito Santo, composta por redes públicas ou privadas.
§ 20. Rede Internet: é considerada o conjunto de redes de computadores interligadas, de âmbito mundial, descentralizada e de acesso público.
§ 21. Correio eletrônico ou E-Mail: é o serviço de comunicação de mensagens assíncronas entre usuários, composto por programas de computador e equipamentos centrais de processamento, responsáveis pelo envio e recebimento de mensagens, bem como pela administração das caixas postais.
§ 22. Área de armazenamento de dados trata de espaço reservado, limitado, acessíveis através de rede de computadores, que os usuários podem guardar suas informações digitais, preferencialmente documentos de trabalho.
§ 23. Download: é o termo usado para recebimento de arquivos através da rede que utiliza padrões da Internet.
§ 24. Upload é o termo usado para envio de arquivos através da rede que utiliza padrões da Internet.
Art. 2º. Cabe às chefias imediatas orientar e supervisionar seus subordinados, promovendo a adequada utilização dos ativos e recursos de informática, zelando pelos princípios da segurança da informação, conforme disciplinado no PSI-TJES.
Parágrafo único. Constatado o uso inadequado, a ocorrência deverá ser imediatamente comunicada ao CPD ou à Administração, conforme disciplina o PSI-TJES, para as providências cabíveis.
Art. 3º. Cabe ao CPD documentar, divulgar, treinar e auxiliar as chefias imediatas e usuários, no sentido de por em prática e fazer cumprir esta resolução e o PSI-TJES.

CAPÍTULO II
DOS USUÁRIOS

Art. 4º . Os usuários do Poder Judiciário deverão utilizar os ativos de informática para desenvolvimento de atividades exclusivamente jurisdicionais ou administrativas, fazendo uso de suas credenciais de acesso, exclusivamente.
Parágrafo Único. As credenciais de acesso são pessoais e intransferíveis; toda e qualquer ação executada pelo usuário utilizando uma determinada credencial será de responsabilidade exclusiva do mesmo, devendo este zelar pelos princípios de confidencialidade e das regras de boas práticas determinadas pelo PSI-TJES.
Art. 5º. O credenciamento de usuários será realizado pelo CPD, através de solicitação efetuada pela chefia imediata do usuário, através dos meios disciplinados no PSI-TJES.
§ 1º. Os direitos e permissões de acesso serão definidos pela chefia imediata do usuário, de acordo com a necessidade do serviço, sendo permitido acesso exclusivamente aos recursos e sistemas necessários à consecução de suas atividades, observando sempre o disposto no PSI-TJES.
§ 2º. Mudança de lotação, atribuições, afastamento definitivo ou temporário do usuário deverão ser automaticamente comunicados ao CPD pela chefia imediata, para procedimentos de ajustes ou cancelamento de credenciais de acesso, cabendo a esta chefia os ônus por qualquer uso indevido da credencial do usuário decorrente da não comunicação de algum dos eventos tratados neste parágrafo.
Art. 6º. Aos usuários compete:
I – Zelar pelos ativos e princípios de segurança da informação, principalmente no que concerne à confidencialidade e integridade das credenciais de acesso;
II – Zelar pela segurança das informações, seguindo os princípios de confidencialidade, integridade e disponibilidade, manuseando corretamente os programas de computador, ligando e desligando adequadamente os equipamentos, fechando ou bloqueando os programas ou sistemas quando não estiverem utilizando, não deixando informações importantes desprotegidas, independentemente de sua forma;
III – Comunicar imediatamente ao CPD qualquer suspeita de atos indevidos, extravio de credencial, acesso não autorizado, comprometimento de informação por Malware ou qualquer outra suspeita de ação que possa ser lesiva à Administração;
IV – Zelar pela segurança dos ativos de informática, certificando-se da inexistência de vírus de computador ou outro tipo de Malware em disquetes, pen-drives, CD’s ou dispositivos afins antes da sua utilização.
Art. 7º. É considerado uso indevido dos ativos de informática, ficando sujeito a penalidades:
I – Fornecer, por qualquer motivo, sua credencial de acesso para outrem;
II – Fazer uso da credencial de outrem para acesso e utilização de ativos ou recursos de informática, como sistemas diversos, Internet, Intranet e correio eletrônico;
III – Omissão da informação ao CPD, no que concerne ao disposto no § 2º do Art.5º.
Art. 8º. Ao receber a credencial de acesso, o usuário deverá assinar ou cientificar Termo de Utilização de ativos e recursos de Informática do Poder Judiciário, constante no Plano de Segurança da Informação do Tribunal de Justiça do Estado do Espírito Santo, disponível no endereço da intranet “https://intranet.cgj.es.gov.br/cpd”.
CAPÍTULO III
DO USO DOS ATIVOS DE INFORMÁTICA

Art. 9º . Compete ao CPD:
I – Aplicar políticas de segurança e contingência, garantindo os princípios de Segurança da Informação nos ativos de informática;
II – Regulamentar as distribuições e utilizações dos ativos de informática, de acordo com as necessidades de cada unidade administrativa e a disponibilidade de recursos orçamentários;
III – Receber as solicitações de novos ativos de informática ou sua substituição, as quais deverão ser encaminhadas à Administração para apreciação, acompanhadas das respectivas justificativas técnicas.
Art. 10. Compete ao usuário zelar pelos ativos de informática, evitando submetê-los a condições de risco, mantendo-os afastados de líquidos, alimentos ou qualquer material ou utensílio que possam danificá-los, devendo comunicar imediatamente ao CPD qualquer anormalidade, conforme procedimento disciplinado no PSI-TJES.
Art. 11. A utilização dos ativos de informática deve limitar-se exclusivamente às atividades jurisdicionais ou administrativas, salvo integrantes profissionais do CPD, sendo vedada a sua utilização para fins particulares e sempre observando o disposto no PSI-TJES.
Art. 12. Os insumos, incluindo cartuchos e toners de impressão deverão ser solicitados à Diretoria de Compras, através de procedimento determinado por esta, sempre acompanhado do insumo já consumido para devolução.
§ 1º. Para racionalizar o uso de insumos, as impressões deverão ser efetuadas, sempre que possível, em preto e branco, em modo econômico e, em se tratando de minutas ou de trabalho informal, utilizando sempre frente e verso da folha ou folha de rascunho disponível.
§ 2º. Os insumos consumidos deverão ser devolvidos à Diretoria de Compras, cabendo a esta o inventário e o encaminhamento desses ao CPD para as providências cabíveis, como reciclagem e remanufatura (recarga ou recondicionamento).
Art. 13. É considerado uso indevido dos Ativos de Informática, sujeitos às penalidades:
I – Alterar configurações de equipamentos de informática, salvo com autorização expressa do CPD;
II – Utilizar a rede elétrica estabilizada de informática para ligação de bebedouros, frigobares, cafeteiras, aparelhos de fax, carregadores de celulares e outros utensílios;
III – Fazer uso de qualquer tipo de ativo de informática não contratado, licenciado ou homologado pelo CPD.
§ 1º. Comprovado o uso indevido dos ativos de informática, será comunicado à Administração, para providências cabíveis.
§ 2º. Os equipamentos, softwares ou qualquer outro ativo de informática de propriedade particular, referidos no inciso II deste artigo, quando utilizados nas dependências do Poder Judiciário, deverão ter registro de entrada e saída nas dependências do CPD ou nas Direções de Fórum, observando o disposto no PSI-TJES.
§ 3º. A Administração se isenta das expensas decorrentes de uso de equipamentos, softwares ou ativos de informática particulares.
§ 4º. Casos não previstos deverão ser analisados pelo CPD, por meio de solicitação, conforme disposto no PSI-TJES.

CAPÍTULO IV
DO USO DOS SISTEMAS DE INFORMÁTICA

Art. 14 . Compete ao CPD:
I – Homologar sistemas de informática para uso nas atividades jurisdicionais e administrativas;
II – Desenvolver ou adquirir sistemas de informática buscando sempre dar celeridade às atividades jurisdicionais ou administrativas;
III – Executar atividades de perícia e auditorias de operações realizadas em sistemas;
IV – Aplicar políticas de homologação de softwares;
V – Aplicar mecanismos de controle de licenças de uso e bloqueio de instalações de softwares não-licenciados ou homologados;
VI – Aplicar políticas de controle de alterações das configurações dos ativos de informática.
Art. 15. Somente os sistemas homologados pelo CPD poderão ser utilizados no âmbito do Poder Judiciário, conforme disposto no PSI-TJES.
Art. 16. Será obrigatório o uso dos sistemas de automação judiciária, pelos Magistrados e Serventuários, procurando sempre que possível, incluir todas as informações processuais, possibilitando uma maior transparência e celeridade nos métodos e procedimentos processuais, observando sempre o disciplinado no PSI-TJES.

CAPÍTULO V
DO USO DA INTERNET

Art. 17 . O recebimento de arquivos da Internet deverá ser priorizado para assuntos relacionados às atividades jurisdicionais ou administrativas, salvo atividades inerentes ao CPD, conforme disposto no PSI-TJES.
Art. 18. O acesso à Internet por parte dos usuários far-se-á, exclusivamente, através dos recursos da rede local, instalados e configurados pelo CPD, obedecendo ao disposto nesta portaria e no que disciplina o PSI-TJES.
Parágrafo único. É vedada a instalação de qualquer equipamento de conexão externa, principalmente do tipo modem (velox), que possibilite ligações com outras redes locais, residências ou a Internet, no interior das instalações do Poder Judiciário, sob risco de violações dos Princípios de Segurança.
Art. 19. Compete ao CPD:
I – Aplicar políticas de restrição de acesso a sites por usuários;
II – Aplicar regras que limitam a velocidade de meios de comunicação;
III – Estabelecer a capacidade de armazenamento de e-mails;
IV – Realizar perícias, auditorias e monitoramento de serviços, históricos de acesso a sites pelos usuários e conteúdo de mensagens e-mail;
V – Aplicar controles necessários para monitorar, identificar, filtrar e bloquear acesso às informações consideradas inadequadas ou não-relacionadas às atividades jurisdicionais ou administrativas, especialmente sites de entretenimento, conteúdo agressivo, drogas, pornografia, bate-papos, sites com conteúdo que incentivam pirataria, bem como restringir o acesso a serviços que podem tornar vulnerável os ativos de informática a invasões externas e ataques de pragas eletrônicas, em suas mais diferentes formas, como os sites de correio eletrônico externos, levando a perda de princípios de Segurança da Informação;
VI – Armazenar, para fins de auditoria e estatísticas de utilização, informações referentes ao uso dos serviços disponibilizados, inclusive Internet, emitindo relatórios sempre que necessário.
§ 1º. Na constatação da existência de acessos aos sites relacionados no inciso I deste artigo ou no PSI-TJES, deverá ao CPD comunicar o fato à Administração para providências cabíveis.
§ 2º. Caso seja detectado que algum controle que restrinja o acesso a conteúdo relacionado às atividades jurisdicionais ou administrativas, o usuário deverá comunicar ao CPD para providências cabíveis disciplinadas no PSI-TJES.
§ 3º. É facultada ao CPD a aplicação sumária dos incisos deste artigo, sem o consentimento ou aviso prévio dos indivíduos envolvidos ou interessados.
§ 4º. Casos omissos serão encaminhados ao CPD para análise, observando sempre o disciplinado pelo PSI-TJES.
Art. 20. É considerado uso indevido da Internet, sujeitos às penalidades:
I – Acesso a sites não relacionados às atividades jurisdicionais ou administrativas, conforme disposto no Art. 19 e no PSI-TJES;
II – Download e Upload de arquivos alheios às atividades jurisdicionais ou administrativas.

CAPÍTULO VI
DO USO DA REDE LOCAL E INTRANET

Art. 21 . O acesso à rede local e à Intranet será realizado mediante identificação com credencial única de acesso, respeitando a política interna de segurança da informação regulamentada no PSI-TJES.
Art. 22. Compete ao CPD:
I – Garantir os Princípios de Segurança da Informação aos recursos e ativos de Rede Local e Intranet;
II – Disponibilizar aos usuários áreas de armazenamento de informações na rede de computadores conforme regulamenta o PSI-TJES;
III – Disciplinar, limitar, auditar e periciar arquivos e informações guardadas nas áreas de armazenamento disponíveis.
Art. 23. É considerado uso indevido da Rede Local e da Intranet, sujeito a penalidades:
I – Manter armazenados nos ativos da rede local, arquivos e informações que não estejam relacionados às atividades jurisdicionais ou administrativas, incluindo arquivos de imagem, áudio e vídeo;
II – Armazenar arquivos de imagem, áudio e vídeo utilizados para desenvolvimento de atividades funcionais sem estar em formato comprimido, conforme orientações contidas no PSI-TJES;
III – Utilizar os recursos e ativos de informática para transferência de arquivos que não estejam relacionados às atividades jurisdicionais ou administrativas.
Art. 24. Compete ao usuário garantir a confidencialidade, integridade e disponibilidade das informações armazenadas fora dos recursos da rede local, em disco rígido dos computadores, notebooks, disquetes, pen drives ou outros dispositivos de armazenamento de dados.

CAPÍTULO VII
DO USO DO CORREIO ELETRÔNICO

Art. 25. Cada usuário, de acordo com a necessidade de serviço e em conformidade com o PSI-TJES, terá acesso a uma caixa postal de correio eletrônico identificada unicamente pela sua credencial, de uso pessoal e intransferível.
§ 1º. Fica facultada à Administração a criação de caixas postais de usuários.
§ 2º. As caixas postais disponibilizadas aos usuários somente poderão ser utilizadas para transmitir e receber informações relacionadas às atividades jurisdicionais ou administrativas.
Art. 26. Compete ao CPD:
I – Impor controles e limites à utilização dos serviços de Correio Eletrônico, conforme disciplinado no PSI-TJES;
II – Aplicar políticas de limites de área de armazenamento necessária para mensagens, ficando os usuários impedidos de receber novas mensagens quando ultrapassar estes limites;
III – Aplicar políticas que limitam o tamanho máximo de mensagem enviada ou recebida, incluindo arquivos anexados, bloqueando mensagens que ultrapassarem os limites estabelecidos;
IV – Aplicar controles de verificação de anexos enviados e recebidos, ficando vedada a troca de arquivos não vinculados a atividades jurisdicionais ou administrativas;
V – Aplicar controles de verificação quanto à presença de conteúdo indevido, impróprio ou malicioso, como vírus, SPAM ou qualquer outro Malware, bloqueando as mensagens, facultado ao CPD o aviso automático ao remetente ou destinatário;
VI – Revisões, em caso de necessidade dos limites e controles estabelecidos, desde que acompanhada da justificativa conforme Documento de Solicitação de Revisão de Políticas de Correio Eletrônico, contido no endereço “https://intranet.cgj.es.gov.br/cpd”.
Art. 27. As unidades administrativas terão uma ou mais caixas postais de correio eletrônico, de acordo com as necessidades de seus organogramas, que deverão ser acessadas regularmente por usuários daquela unidade, devidamente autorizados pela chefia imediata.
§ 1º. As caixas postais das unidades administrativas deverão ser utilizadas de maneira preferencial para as comunicações oficiais entre as unidades.
§ 2º. Os endereços de correio eletrônico das unidades administrativas poderão ser divulgados através da Intranet e Internet, de acordo com a conveniência dessas.
§ 3º. No caso de afastamento temporário ou provisório dos usuários autorizados a manipular as caixas postais das unidades administrativas caberá a chefia imediata garantir que o usuário substituto mantenha o acesso regular às caixas postais, zelando e garantindo os princípios de Segurança da Informação.
§ 4º. Fica determinado que caso não seja detectado acessos regulares a caixas postais de unidades administrativas e suas sub-divisões em um prazo superior a 60 dias ficará a caixa postal respectiva desativada por motivos de segurança.
Art. 28. É considerado uso indevido do serviço de Correio Eletrônico, sujeito às penalidades:
I – Tentativa de acesso não-autorizado às caixas postais de terceiros;
II – Envio de informações confidenciais, classificadas, privilegiadas ou proprietárias, inclusive senhas e dados, para indivíduos ou organizações não-autorizadas;
III – Envio de conteúdo obsceno, ilegal, não-ético, comercial, pessoal, mensagens do tipo corrente, entretenimento, SPAM, propaganda política, boatos e mensagens enganosas;
IV – Envio de mensagens ofensivas que causem molestamento ou tormento ou denigra a imagem da instituição;
V – Envio de mensagens contendo vírus ou qualquer forma de rotinas de programação prejudiciais ou danosas, Malwares, às estações de trabalho ou ao sistema de correio;
VI – Outras atividades que possam afetar, de forma negativa, o Poder Judiciário, seus Magistrados e Serventuários, fornecedores ou parceiros.
§ 1º. O uso do correio eletrônico para veiculação de campanhas internas de caráter social ou informativo de grande relevância deverá ser incentivado mediante aprovação pela Administração e conforme disciplinado no PSI-TJES.

§ 2º. Os usuários que receberem mensagens indesejáveis, como as elencadas nos incisos deste artigo, devem encaminhá-la ao CPD, no endereço eletrônicocpd@tjes.jus.br, observando o recomendado no PSI-TJES.
CAPÍTULO VIII
DAS PENALIDADES

Art. 29 . O usuário identificado como infrator de alguma das disposições desta Resolução poderá ter sua credencial bloqueada, considerado o interesse da Administração, a partir da solicitação para instauração de processo administrativo disciplinar, podendo o bloqueio perdurar durante o trâmite da sindicância ou inquérito administrativo, sempre dada ciência à chefia imediata para reorganização das tarefas.
Art. 30. O descumprimento das disposições contidas nesta Resolução poderá caracterizar infração funcional, a ser apurada em processo administrativo disciplinar.

CAPÍTULO IX
DISPOSIÇÕES FINAIS

Art. 31 . A utilização dos recursos e ativos de informática do Poder Judiciário, incluindo a Internet e Intranet poderá ser monitorado e auditado através das credenciais do usuário.
Art. 32. O CPD deverá, em um prazo que não poderá ser superior a 120 dias, divulgar o PSI-TJES a todos os usuários dos recursos e ativos de Informática.
Art. 33. O conteúdo desta Resolução estará disponível para consulta pelos usuários através da Intranet do Poder Judiciário no endereço “https://intranet.cgj.es.gov.br/cpd”.
Art. 34. Esta Resolução entrará em vigor na data de sua publicação, revogadas as disposições em contrário.
Vitória, ____ de _________________ de 2007.

Desembargador JORGE GOES COUTINHO
Presidente do TJES