PODER JUDICIÁRIO DO ESTADO DO ESPÍRITO SANTO – PJES

RUA DESEMBARGADOR HOMERO MAFRA,60 – Bairro ENSEADA DO SUÁ – CEP 29050906 – Vitória – ES – www.tjes.jus.br

RESOLUÇÃO Nº 079/2024

 

Estabelecer a Política de Segurança da Informação no âmbito do Poder Judiciário do Estado do Espírito Santo.

 

O DESEMBARGADOR PRESIDENTE DO TRIBUNAL DE JUSTIÇA DO ESPÍRITO SANTO, no uso de suas atribuições legais e regimentais, e por decisão do Egrégio Tribunal Pleno em Sessão Administrativa do dia 04 de julho de 2024,

 

CONSIDERANDO as Diretrizes para a Gestão de Segurança da Informação no âmbito do Poder Judiciário, do Conselho Nacional de Justiça, que tem por objetivos declarar formalmente o compromisso do Poder Judiciário com a Segurança da Informação, prover orientação e apresentar diretrizes para todos os órgãos do Poder Judiciário;

 

CONSIDERANDO o art. 9º da Resolução nº 211, de 15 de dezembro de 2015, do Conselho Nacional de Justiça (CNJ), que incumbiu o Comitê Gestor de Segurança da Informação de cada tribunal de elaborar e aplicar política, gestão e processo de segurança da informação a serem desenvolvidos em todos os níveis da instituição, em harmonia com as diretrizes nacionais preconizadas pelo CNJ;

 

CONSIDERANDO a Resolução nº 369, 7 de junho de 2021, do Conselho Nacional de Justiça (CNJ), que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ) e, em seu art. 28, estabelece que cada Tribunal deverá estabelecer ações em sua Política de Segurança da Informação;

 

CONSIDERANDO o Ato Normativo nº 51, de 20 de março de 2024, do Tribunal de Justiça do Espírito Santo, que dispõe sobre o Comitê Gestor de Segurança da Informação (CGSI), no âmbito do Poder Judiciário do Espírito Santo (PJES);

 

CONSIDERANDO a ABNT ISO/IEC 27001, segunda edição, de 8 de novembro de 2013, que é a norma que provê os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI);

 

RESOLVE:

 

Art. 1º Instituir a Política de Segurança da Informação (PSI) no âmbito do Poder Judiciário do Estado do Espírito Santo.

 

Art. 2º Para os efeitos desta Resolução, entende-se por:

 

I – Ativo: qualquer coisa que tenha valor para a organização [ISO/IEC 13335-1:2004];

II – Autenticidade: garantia da veracidade da fonte das informações;

III – Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados [ISO/IEC 13335-1:2004];

IV – Disponibilidade: propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada [ISO/IEC 13335-1:2004];

V – Incidente de segurança: evento ou conjunto de eventos de segurança da informação, indesejados ou inesperados, confirmados ou sob suspeita, que tenham grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação;

VI – Informação: conjunto de dados, textos, imagens, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto;

VII – Integridade: propriedade de salvaguarda da exatidão e completeza dos ativos [ISO/IEC TR 13335:2004];

VIII – Não-repúdio: propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita;

IX – Política de Segurança da Informação (PSI): é o documento formal que define a estrutura, estabelece as diretrizes e define as responsabilidades referentes à segurança da informação;

X – Recursos de tecnologia da informação: equipamentos servidores de rede, estações de trabalho, equipamentos de conectividade, todo e qualquer hardware e software que compõem soluções e aplicações de TI;

XI – Segurança da Informação (SI): preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas [ABNT NBR ISO/IEC 27001:2006];

XII – Usuário: todo magistrado, servidor, colaborador, consultor externo, estagiário e prestador de serviço que exerce atividades no âmbito do PJES ou quem quer que venha a ter acesso a dados ou informações produzidos pelo PJES de forma autorizada.

 

Art. 3º A Estrutura Normativa da Segurança da Informação do Poder Judiciário do Estado do Espírito Santo é constituída por:

 

I – Política de Segurança da Informação (PSI) aqui instituída;

II – Normas de Segurança da Informação, que devem contemplar as obrigações a serem seguidas de acordo com os objetivos e diretrizes estabelecidos nesta PSI;

III – Procedimentos de Segurança da Informação, que definem regras operacionais de acordo com as Normas de Segurança da Informação.

 

§1º A Estrutura Normativa da Segurança da Informação do Poder Judiciário do Estado do Espírito Santo tem como objetivo garantir os princípios básicos da segurança da informação, quais sejam a confidencialidade, a integridade, a disponibilidade, a autenticidade e o não-repúdio, bem como contribuir para que a missão do Judiciário Capixaba seja cumprida.

 

§2º A Estrutura Normativa da Segurança da Informação do Poder Judiciário do Estado do Espírito Santo deve ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua pertinência, adequação e eficácia.

 

Art. 4º São objetivos desta Política de Segurança da Informação:

 

I – Declarar formalmente o compromisso do Poder Judiciário do Estado do Espírito Santo com a segurança da informação;

II – Dotar as unidades deste Poder Judiciário de instrumentos jurídicos, normativos e organizacionais que os capacitem de forma a assegurar o tratamento e classificação das informações sensíveis, além dos princípios básicos de segurança da informação;

III – Promover a conscientização e a capacitação de recursos humanos para o desenvolvimento de competência científico-tecnológica em segurança da informação;

IV – Estabelecer a estrutura normativa necessária à efetiva implementação da segurança da informação;

V – Promover as ações necessárias à implementação e à manutenção dos processos de gestão da segurança da informação;

VI – Promover o intercâmbio científico-tecnológico entre o Poder Judiciário Capixaba, as entidades do Poder Judiciário Nacional e as instituições públicas e privadas, sobre as atividades de segurança da informação;

VII – Assegurar a interoperabilidade entre os sistemas de segurança da informação.

 

Art. 5º São diretrizes gerais desta Política de Segurança da Informação:

 

I – A classificação e o tratamento da informação, realizados por meio de procedimento definido formalmente, abrange informações provenientes dos serviços essenciais de Tecnologia da Informação e Comunicação deste Tribunal de Justiça.

II – As informações deverão ser classificadas de forma a permitir tratamento diferenciado de acordo com seu grau de importância, criticidade, sensibilidade, e em conformidade com requisitos legais;

III – Os critérios gerais aplicáveis à classificação e ao tratamento da informação serão definidos por ato normativo elaborado pelo Comitê Gestor de Segurança da Informação, com a participação de todas as unidades do Tribunal de Justiça do Espírito Santo que produzem, recepcionam ou custodiam informações essenciais às atividades finalísticas, e submetido à apreciação da Presidência;

IV – Promoção do uso adequado dos recursos de tecnologia da informação, visando garantir a continuidade da prestação jurisdicional do PJES;

V – Os recursos de tecnologia da informação disponibilizados devem ser utilizados exclusivamente em atividades estritamente relacionadas às funções institucionais;

VI – A utilização dos recursos de tecnologia da informação poderá ser monitorada, sendo seus registros mantidos pela Secretaria de Tecnologia da Informação;

VII – Toda informação produzida ou recebida no âmbito do Poder Judiciário do Estado do Espírito Santo pertence ao próprio órgão, as exceções devendo ser explícitas e formalizadas entre as partes;

VIII – As informações devem ser classificadas e protegidas de acordo com o nível de confidencialidade exigido pelas atividades do PJES;

IX – O acesso à informação, independentemente da forma ou o meio pelo qual ela possa ser exibida ou compartilhada, sempre deverá ser protegido adequadamente, de acordo com os controles definidos pela presente Política e seus documentos complementares;

X – O controle de acesso deverá considerar e respeitar o princípio do privilégio mínimo para configurar as credenciais ou permissões de acesso dos usuários aos ativos de informação do PJES;

XI – Garantia da continuidade dos serviços prestados pelo PJES em caso de acidentes ou falhas graves na sua operação;

XII – O cumprimento da PSI, das normas e procedimentos de segurança da informação, além de outros dispositivos legais pertinentes, serão acompanhados e auditados pelo PJES;

XIII – A gestão de riscos é realizada por meio de processo definido formalmente, contendo as fases de análise, avaliação e tratamento dos riscos;

XIV – A gestão de acesso e uso dos recursos de Tecnologia da Informação e Comunicação disponibilizados pelo PJES é regulado por ato normativo próprio, estando a elas sujeitos todos os usuários autorizados descritos no art. 2º, inciso XII, desta Resolução, condicionada a utilização desses recursos à assinatura de termo de responsabilidade pelos usuários, preferencialmente em meio eletrônico;

XV – A gestão e controle de ativos de informação é realizada por meio de processo definido de maneira formal, contendo as fases de cadastro, atualização e exclusão;

XVI – A gestão de incidentes de segurança da informação é realizada por meio de processo definido de maneira formal, contendo as fases de detecção, triagem, análise e resposta aos incidentes de segurança, instituída a Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais do PJES (ETIR-PJES);

XVII – A gestão da continuidade dos serviços essenciais de Tecnologia da Informação e Comunicação é realizada por meio de processo definido formalmente, contendo as fases de análise de impacto e definição das estratégias pelos Comitê Gestor de Segurança da Informação e Comitê de Governança da Tecnologia da Informação e Comunicação do PJES e, por fim, a elaboração de planos.

 

Art. 6º São responsabilidades de todos os usuários:

 

I – Conhecer e cumprir esta PSI e suas normas e procedimentos complementares;

II – Seguir, de forma colaborativa, as orientações fornecidas pelos setores competentes em relação ao uso dos recursos computacionais e informacionais do órgão;

III – Utilizar de forma ética, consciente e responsável os recursos computacionais e informacionais do PJES, utilizando os sistemas e serviços de informação somente para fins legais;

IV – Manter-se atualizado em relação a esta PSI e às normas e procedimentos relacionados, buscando informação junto à Secretaria de Tecnologia da Informação (STI) sempre que não estiver absolutamente seguro quanto à obtenção, uso e/ou descarte de informações;

V – Comunicar imediatamente à STI quaisquer ocorrências ou suspeitas de incidentes de Segurança da Informação, eventos, fragilidades ou ameaças ao ambiente computacional ou aos ativos de TI do PJES;

VI – Manter sigilo e não fazer uso privado de informações geradas, adquiridas ou utilizadas pelo tribunal, às quais tenha tido acesso no exercício de suas atividades;

VII – Manter sigilo de suas senhas de acesso aos recursos, sistemas e serviços da rede de computadores;

VIII – Manter seguras as informações manuseadas no âmbito da rede de computadores do Tribunal de Justiça do Espírito Santo;

IX – Manter, sob qualquer circunstância, o sigilo de informações sensíveis para o Poder Judiciário do Estado do Espírito Santo;

X – Garantir o encerramento da sessão de trabalho ou seu bloqueio por senha ao afastar-se da estação de trabalho, ainda que temporariamente;

XI – Informar à STI a existência de informações sensíveis na estação de trabalho, quando necessária a manutenção do equipamento;

XII – Manter a guarda, a segurança e a integridade dos ativos físicos que estejam sob sua responsabilidade;

XIII – Observar que as informações armazenadas nas estações de trabalho e nos demais dispositivos móveis serão de sua inteira responsabilidade, não havendo previsão de backup realizado pela STI para tais unidades;

XVI – Responder por todos os atos realizados por meio de seu identificador, tais como login de rede, endereço de correio eletrônico, usuário de sistema e assinatura digital.

 

§1º É vedado ao usuário:

 

a) Utilizar, copiar ou armazenar programas de computador ou qualquer outro material que viole a lei de direitos autorais e demais legislações vigentes;

b) Tomar ação própria, sob qualquer circunstância, no intuito de conter um incidente de segurança dos ativos de TI;

c) Promover atividades comerciais próprias ou de terceiros, incluindo oferta de serviços ou produtos;

d) Enviar mensagens não institucionais para grupos ou pessoas que não as solicitaram ou autorizaram;

e) Enviar mensagens cuja veracidade não possa ser confirmada ou que, de alguma forma, viole a legislação vigente;

f) Ler ou tentar ler mensagens de outras pessoas sem autorização expressa;

g) Executar jogos pela internet ou pela rede de computadores do Tribunal de Justiça do Espírito Santo;

h) Executar atividades pessoais que interfiram em suas responsabilidades no trabalho;

i) Desrespeitar as regras e limitações de acesso aos sites disciplinadas na presente política e nos demais instrumentos normativos integrantes da PSI.

 

Art. 7º São responsabilidades da Secretaria de Tecnologia da Informação:

 

I – Apoiar o CGSI na conscientização e orientação dos usuários em relação à PSI e suas normas e procedimentos complementares;

II – Implementar os controles tecnológicos necessários para garantir o cumprimento dos procedimentos, normas e Política de Segurança da Informação;

III – Analisar e tratar os incidentes de SI e propor as medidas cabíveis, a fim de permitir o controle das fragilidades, vulnerabilidades e eventos que porventura coloquem em risco a segurança das informações e serviços do PJES;

IV – Implantar e gerenciar os controles relativos ao uso dos recursos tecnológicos e aos acessos às informações e serviços em rede do PJES, a fim de garantir o acesso somente aos usuários autorizados a operar as informações acessadas;

V – Implantar e gerenciar os controles relativos às modificações nos recursos de processamento da informação e sistemas do PJES, considerando a criticidade dos sistemas e serviços essenciais.

 

Art. 8º O descumprimento das disposições desta PSI ou de suas normas e procedimentos complementares sujeitam o infrator às penalidades previstas na legislação e nos regulamentos internos do PJES.

 

Parágrafo único. A inobservância desta Política poderá configurar infração funcional, a ser apurada em processo administrativo disciplinar, sem prejuízo das responsabilidades penal e cível.

 

Art. 9º Fica revogada a Resolução nº 6, de 5 de fevereiro de 2018.

 

Art. 10 Esta Resolução entra em vigor na data de sua publicação.

 

Publique-se.

 

Vitória, 09 de julho de 2024.

 

DESEMBARGADOR SAMUEL MEIRA BRASIL JÚNIOR

Presidente