PODER JUDICIÁRIO DO ESTADO DO ESPÍRITO SANTO – PJES
RUA DESEMBARGADOR HOMERO MAFRA,60 – Bairro ENSEADA DO SUÁ – CEP 29050906 – Vitória – ES – www.tjes.jus.br
ATO NORMATIVO Nº 139/2024
Institui o Protocolo de Investigação para Ilícitos Cibernéticos no âmbito do Tribunal de Justiça do Estado do Espírito Santo.
O PRESIDENTE DO TRIBUNAL DE JUSTIÇA DO ESTADO DO ESPÍRITO SANTO,no uso de suas atribuições legais e regimentais, e
CONSIDERANDO a Resolução nº 370, de 28 de janeiro de 2021, do Conselho Nacional de Justiça, que “Estabelece a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD)”;
CONSIDERANDO que a alínea “a” do inciso II do art. 21 da Resolução nº 370, de 28 de janeiro de 2021, do Conselho Nacional de Justiça, estabelece a necessidade de constituir e manter estruturas organizacionais adequadas e compatíveis para o macroprocesso de “incidentes de segurança”;
CONSIDERANDO a Resolução nº 396, de 7 de junho de 2021, do Conselho Nacional de Justiça, que “Institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ)”;
CONSIDERANDO a Portaria nº 162, de 10 de junho de 2021, do Conselho Nacional de Justiça, que “Aprova Protocolos e Manuais criados pela Resolução do CNJ nº 396, de 2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ)”;
CONSIDERANDO que o inciso III do art. 1º da Portaria nº 162, de 10 de junho de 2021, do Conselho Nacional de Justiça, aprova, na forma de seu Anexo III, o Protocolo de Investigação de Ilícitos Cibernéticos do Poder Judiciário – PIILC-PJ, com vistas a estabelecer os procedimentos básicos para coleta e preservação de evidências e a comunicar obrigatoriamente os fatos penalmente relevantes ao Ministério Público e ao órgão de polícia judiciária com atribuição para o início da persecução penal;
CONSIDERANDO a Política de Segurança da Informação no âmbito do Poder Judiciário do Espírito Santo;
RESOLVE:
Art. 1º Instituir o Protocolo de Investigação para Ilícitos Cibernéticos do Poder Judiciário – PIILC-PJ, em consonância com o Anexo III da Portaria nº 162, de 10 de junho de 2021, do Conselho Nacional de Justiça, no âmbito do Tribunal do Estado de Justiça do Estado do Espírito Santo – TJES.
Art. 2º A Secretaria de Tecnologia da Informação e Comunicação – STI, por meio de suas gerências, deverá elaborar relatório de levantamento de conformidade dos ativos de tecnologia da informação do TJES em relação aos “requisitos para adequação dos ativos de tecnologia da informação”, elencados no PIILC-PJ, demonstrando, para cada tipo de ativo, se o requisito encontra-se atendido, parcialmente atendido ou não atendido.
§ 1º O relatório mencionado no caput deste artigo deverá ser encaminhado ao Comitê Gestor de Segurança da Informação, no prazo de 60 (sessenta) dias, a contar da data da entrada em vigor deste Ato.
§ 2º Para fins de referência, o Anexo Único deste Ato sintetiza os requisitos elencados no PIILC-PJ.
Art. 3º Para cada item elencado no relatório a que se refere o art. 2º deste Ato e classificado como “parcialmente atendido” ou “não atendido”, deverá ser elaborado novo relatório, pelas respectivas áreas técnicas, em que serão apresentadas as condições para o atendimento aos “requisitos para adequação dos ativos de tecnologia da informação”, relacionados no PIILC-PJ, e no qual deverão constar, no mínimo, as seguintes informações:
I – a possibilidade de atendimento e, nesta hipótese, a proposição de prazo para adequação;
II – a necessidade de capacitação e de aquisição de softwares para a implementação dos requisitos dos ativos;
III – plano de ação para atendimento aos requisitos do PIILC-PJ;
IV – o setor responsável pelo item.
Parágrafo único. O relatório de condições de atendimento aos requisitos para adequação dos ativos de tecnologia da informação elencados no PIILCPJ será encaminhado para aprovação da STI em até 120 (cento e vinte) dias após a entrega do relatório de atendimento aos requisitos previsto no art. 2º deste Ato.
Art. 4º Durante o processo de tratamento do incidente, a Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais – ETIR deverá, caso seja o incidente penalmente relevante e sem prejuízo de outras ações:
I – conduzir o tratamento do incidente, observando os procedimentos para coleta e preservação das evidências definidos no tópico “Procedimentos para Coleta e Preservação das Evidências” do PIILC-PJ;
II – comunicar o fato ao Comitê Gestor de Segurança da Informação e à Presidência do TJES;
III – comunicar o incidente à Comissão de Proteção de Dados Pessoais do TJES, quando houver o envolvimento de dados pessoais;
IV – após a conclusão do processo de coleta e preservação das evidências do incidente penalmente relevante, elaborar Relatório de Incidente de Segurança da Informação (RISI), descrevendo detalhadamente os eventos verificados;
V – acondicionar o Relatório de Incidente de Segurança da Informação (RISI) em envelope lacrado e rubricado pelo agente responsável pela ETIR, protocolá-lo e encaminhá-lo formalmente à Presidência do TJES.
Art. 5º Recebida a comunicação de incidente de segurança cibernética penalmente relevante, a Presidência do TJES deverá encaminhá-la ao Ministério Público e ao órgão de polícia judiciária com atribuição para o início da persecução penal.
Art. 6º Este Ato entra em vigor na data de sua publicação.
Publique-se.
Vitória, 02 de julho de 2024
DESEMBARGADOR SAMUEL MEIRA BRASIL JÚNIOR
Presidente
ANEXO ÚNICO
Tabela de resumo dos requisitos para adequação dos ativos de tecnologia da informação ao Protocolo de Investigação para Ilícitos Cibernéticos do Poder Judiciário – PIILC-PJ.
|
ID |
Categoria |
PIILC-PJ |
Requisito |
Subitem do Requisito |
|
1 |
Horário dos ativos |
2.1 |
O horário dos ativos de tecnologia da informação deverá ser ajustado por meio de mecanismos de sincronização de tempo, de forma a garantir que as configurações de data, hora e fuso horário do relógio interno estejam sincronizados com a Hora Legal Brasileira – HLB, de acordo com o serviço oferecido e assegurado pelo Observatório Nacional – ON. |
Não há |
|
2.1 |
Registro de Eventos |
2.2.a |
Os ativos de tecnologia da informação deverão ser configurados de forma a registrar todos os eventos relevantes de Segurança da Informação e Comunicações, bem como incluir as informações mínimas obrigatórias. |
Evento: autenticação, tanto dos bem- sucedidos quanto dos malsucedidos. |
|
2.2 |
2.2.b |
|
Evento: acesso a recursos e dados privilegiados |
|
|
2.3 |
2.2.c |
|
Evento: acesso e alteração nos registros de auditoria. |
|
|
2.4 |
2.3.a |
|
Informação: identificação inequívoca do usuário que acessou o recurso. |
|
|
2.5 |
2.3.b |
|
Informação: natureza do evento, como, por exemplo, sucesso ou falha de autenticação, tentativa de troca de senha etc |
|
|
2.6 |
2.3.c |
|
Informação: data, hora e fuso horário, conforme a HLB. |
|
|
2.7 |
2.3.d |
|
Informação: endereço IP (“Internet Protocol”), porta de origem da conexão, identificador do ativo de informação, coordenadas geográficas, se disponíveis, e outras informações que possam identificar a possível origem do evento. |
|
|
2.8 |
2.4 |
|
Ativos de informação que não propiciam os registros acima: mapear e documentar quanto ao tipo e formato de registros de auditoria permitidos e armazenados. |
|
|
3.1 |
Monitoramento de sistemas e redes de dados |
2.5.a |
Os sistemas e as redes de comunicação de dados deverão ser monitorados, registrando-se, minimamente, os seguintes eventos de segurança, sem prejuízo de outros considerados relevantes. |
Utilização de usuários, perfis e grupos privilegiados. |
|
3.2 |
2.5.b |
|
Inicialização, suspensão e reinicialização de serviços. |
|
|
3.3 |
2.5.c |
|
Acoplamento e desacoplamento de dispositivos de hardware, com especial atenção para mídias removíveis. |
|
|
3.4 |
2.5.d |
|
Modificações da lista de membros de grupos privilegiados. |
|
|
3.5 |
2.5.e |
|
Modificações de política de senhas, como, por exemplo, tamanho, expiração, bloqueio automático após exceder determinado número de tentativas de autenticação, histórico etc. |
|
|
3.6 |
2.5.f |
|
Acesso ou modificação de arquivos ou sistemas considerados críticos. |
|
|
3.7 |
2.5.g |
|
Eventos obtidos por meio de quaisquer mecanismos de segurança existentes. |
|
|
4 |
Identificação de fluxo de dados |
2.6 |
Os servidores de hospedagem de página eletrônica, bem como todo e qualquer outro ativo de informação que assim o permita, deverão ser configurados para armazenar registros históricos de eventos (“logs”) em formato que possibilite a completa identificação dos fluxos de dados. |
Não há |
|
5.1 |
Armazenamento em “syslog” |
2.7 |
Os registros deverão ser armazenados pelo período mínimo de 6 (seis) meses, sem prejuízo de outros prazos previstos em normativos específicos. |
Não há |
|
5.2 |
2.8 |
Os ativos de informação deverão ser configurados de forma a armazenar seus registros de auditoria não apenas localmente, mas também remotamente, por meio do uso de tecnologia aplicável. |
Não há |
