REPUBLICADO EM 23/02/2018 POR CONTER INCORREÇÃO (CLIQUE AQUI)
PODER JUDICIÁRIO DO ESTADO DO ESPÍRITO SANTO
TRIBUNAL DE JUSTIÇA
PRESIDÊNCIA
ATO NORMATIVO Nº 041/2018
Institui a Norma de Controle de Acesso aos Sistemas de Informação do Poder Judiciário do Estado do Espírito Santo.
O Excelentíssimo Senhor Desembargador Sérgio Luiz Teixeira Gama, Presidente do Egrégio Tribunal de Justiça do Estado do Espírito Santo, no uso de suas atribuições legais e regimentais,
CONSIDERANDO o art. 9º da Resolução n. 211, de 15 de dezembro de 2015, do Conselho Nacional de Justiça (CNJ), que incumbiu ao Comitê Gestor de Segurança da Informação de cada tribunal elaborar e aplicar política, gestão e processo de segurança da informação a serem desenvolvidos em todos os níveis da instituição, em harmonia com as diretrizes nacionais preconizadas pelo CNJ;
CONSIDERANDO as Diretrizes para a Gestão de Segurança da Informação no âmbito do Poder Judiciário, do CNJ, que tem por objetivos declarar formalmente o compromisso do Poder Judiciário com a Segurança da Informação, prover orientação e apresentar diretrizes para todos os órgãos do Poder Judiciário;
CONSIDERANDO a ABNT ISO/IEC 27001, segunda edição, de 8 de novembro de 2013 que é a norma que provê os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI);
CONSIDERANDO o Ato Normativo nº 136/2014, publicado no diário da Justiça de 30/07/2014, que instituiu o Comitê Gestor de Segurança da Informação (CGSI), no âmbito do Poder Judiciário do Estado do Espírito Santo (PJES);
CONSIDERANDO o Ato Normativo nº 10/2015, republicado no diário da Justiça de 10/02/2015, que estabeleceu a obrigatoriedade de formalização de Termo de Convênio ou Portaria como instrumentos para a realização da cessão de servidores e estagiários no âmbito do Poder Judiciário Estadual;
CONSIDERANDO a Resolução nº 06/2018 que instituiu a Política de Segurança da Informação do Poder Judiciário do Estado do Espírito Santo (PSI-PJES);
RESOLVE:
Subseção I
Disposições Gerais
Art. 1º Instituir a Norma de Controle de Acesso aos Sistemas de Informação do Poder Judiciário do Estado do Espírito Santo.
Parágrafo único. Esta norma integra a Política de Segurança da Informação do Poder Judiciário do Estado do Espírito Santo (PSI-PJES) e será aplicada, no que couber, às atividades de todos os usuários de recursos tecnológicos pertencentes ou gerenciados pelo PJES, incluindo magistrados, servidores, colaboradores, consultores externos, estagiários e prestadores de serviço que exercem atividades no âmbito do PJES ou quem quer que venha a ter acesso a dados ou informações protegidos pela presente norma.
Art. 2º Para os efeitos desta norma ficam estabelecidos os seguintes conceitos:
I – ativo: qualquer coisa que tenha valor para a organização [ISO/IEC 13335-1:2004];
II – autenticação: processo que busca verificar e confirmar a identidade do usuário;
II – confidencialidade: propriedade de que a informação não será disponibilizada ou divulgada a indivíduos, entidades ou processos sem autorização [ISO/IEC 13335-1:2004];
IV – recursos de informática: conjunto de sistemas e equipamentos de informática que são disponibilizados aos usuários do PJES;
V – Termo de Responsabilidade de TI: documento que deve ser assinado pelo usuário antes de receber suas credenciais, onde o mesmo concorda e assume as responsabilidades na utilização dos recursos de informática.
Subseção II
Das credenciais de acesso
Art. 3º A credencial de acesso é formada pelo nome de usuário (login) e uma senha de acesso.
§ 1º O nome de usuário deve seguir a padronização estabelecida pela Secretaria de Tecnologia da Informação (STI).
§ 2º É dever do usuário alterar a sua senha após o primeiro acesso à rede corporativa ou quando solicitado pela STI, seguindo as seguintes regras:
I – a senha de acesso deverá ser composta de no mínimo 08 (oito) caracteres, obrigatoriamente com a presença de letras e números;
II – não criar senhas óbvias baseadas em datas de aniversário e nascimento, nomes, apelidos, dentre outros;
III – não escolher senhas com caracteres idênticos consecutivos, todos numéricos ou todos alfabéticos sucessivos;
IV – não escolher senhas baseadas em palavras contidas em dicionários;
V – não utilizar o próprio nome de usuário de acesso à rede ou aos sistemas como senha.
§ 3º As credenciais de acesso são pessoais e intransferíveis.
§ 4º É vedado o compartilhamento de credenciais em qualquer situação, inclusive nas hipóteses de substituição temporária de função.
§ 5º Fica sujeito às penalidades, conforme disposto na PSI-PJES, o usuário que fizer uso da credencial de outrem para acesso e utilização de ativos ou recursos de informática.
Art. 4º Toda e qualquer ação executada pelo usuário utilizando suas credenciais de acesso será de responsabilidade exclusiva do mesmo, devendo este zelar pelos princípios de confidencialidade e das regras de boas práticas determinadas pela PSI-PJES e suas normas complementares, especialmente:
I – na utilização de computadores que não sejam fornecidos pelo PJES;
II – na utilização de redes de comunicação não fornecidas pelo PJES.
Art. 5º Caso as credenciais de acesso tenham sido comprometidas, divulgadas ou descobertas, o usuário deverá informar imediatamente à STI para que as medidas cabíveis sejam tomadas.
Art. 6º Por medidas de segurança, após 05 (cinco) tentativas de autenticação sem êxito, a credencial de acesso à rede será bloqueada por 10 (dez) minutos e, caso ocorra um novo bloqueio, a credencial será bloqueada definitivamente.
Parágrafo único. O desbloqueio poderá ser realizado somente pela STI.
Subseção III
Do cadastro e permissões de usuários
Art. 7º Para efeitos desta Norma, ficam estabelecidos os seguintes tipos de usuários:
I – magistrados: desembargadores e juízes do PJES;
II – servidores: servidores efetivos e comissionados do PJES;
III – estagiários: estagiários que possuem um contrato firmado com o PJES;
IV – cedidos: funcionários cedidos por outros órgãos ao PJES, por meio de termo de convênio ou portaria, sejam eles funcionários efetivos, comissionados ou estagiários no órgão de origem;
V – terceiros: funcionários que prestam serviço para o PJES através de um contrato firmado com este Poder Judiciário;
VI – voluntários: prestadores de serviços voluntários, regulamentados pela Resolução 36/2015 do PJES, podendo ser inclusive servidores e magistrados aposentados da própria instituição;
VII – usuários de outros órgãos: usuários de outros órgãos que necessitem de acesso a algum sistema da informação do PJES;
VIII – advogados: advogados que necessitem de acesso a algum sistema de informação do PJES para desempenhar suas funções;
IX – partes: partes em processos judiciais que necessitem de acesso a algum sistema de informação do PJES.
Art. 8º É obrigatória a assinatura e entrega à STI de Termo de Responsabilidade de TI, por todos os usuários, para o recebimento das credenciais de acesso.
Art. 9º O cadastro dos magistrados, servidores e estagiários será realizado pela Secretaria de Gestão de Pessoas (SGP).
§ 1º Compete à SGP, quanto ao cadastramento e alterações de dados dos magistrados, servidores e estagiários, enviar à STI, por meio de sistema automatizado ou, na ausência desse, por meio de comunicação oficial:
I – o Termo de Responsabilidade de TI assinado pelo usuário;
II – as alterações de dados cadastrais e inativações;
III – os afastamentos temporários e definitivos, bem como o retorno de afastamentos temporários;
IV – No caso de servidores, as alterações de lotação e localização;
V- No caso de estagiários, a data final do contrato de estágio que corresponderá à data de expiração das credenciais do usuário.
§ 2º Compete à Assessoria Especial da Presidência enviar à STI, por meio de sistema automatizado ou, na ausência desse, por meio de comunicação oficial, as alterações de designação de magistrados.
§ 3º A solicitação de concessão ou revogação de permissões de acesso deverá ser solicitada:
I – à STI, pelo próprio magistrado, respeitando as suas designações;
II – à STI, pela chefia imediata do servidor ou estagiário;
III – ao CGSI, em casos excepcionais.
§ 4º Após a perda do vínculo do magistrado ou do servidor com o PJES, por aposentadoria ou exoneração, as credenciais serão mantidas somente para acesso ao contracheque, enquanto necessário, devendo ser posteriormente eliminadas.
§ 5º As mudanças de lotação, localização e afastamentos definitivos ou temporários de servidores e estagiários deverão ser comunicadas à SGP pela chefia imediata, para adequar a situação do usuário nos sistemas de gestão, cabendo a esta chefia o ônus por qualquer uso indevido da credencial do usuário decorrente da não comunicação de algum dos eventos tratados neste parágrafo.
Art. 10 O cadastro de funcionários cedidos de outros órgãos, que possuem convênio com o PJES, será realizado pela STI, mediante solicitação da SGP.
§ 1º Para que um funcionário cedido seja cadastrado, é necessário que exista um convênio firmado entre os órgãos, com data de vigência que corresponderá à data de expiração das credenciais do usuário.
§ 2º Compete à SGP solicitar à STI além do cadastro, a alteração e inativação de funcionários cedidos.
§ 3º O responsável pelo setor onde o funcionário cedido está alocado deve solicitar à STI a concessão e a revogação de permissões para o usuário.
Art. 11 O cadastro de terceiros, que prestam serviço para o PJES através de um contrato firmado com este Poder Judiciário, será realizado pela STI, mediante solicitação do gestor do contrato.
§ 1º Para os efeitos do cadastramento de terceiros, o gestor do contrato deverá informar até qual data o usuário deverá estar ativo, para que seja atribuída como data de expiração das credenciais do mesmo, não podendo ser posterior ao término da vigência do contrato.
§ 2º Compete ao gestor do contrato solicitar à STI o cadastro, alteração e inativação de terceiros, além da concessão e revogação de permissões para o mesmo, de acordo com a necessidade do serviço.
Art. 12 O cadastro de usuários de órgãos externos será realizado pela STI, mediante solicitação do responsável do PJES sobre o convênio com o órgão.
§ 1º Para que um usuário de órgão externo seja cadastrado, é necessário que exista um convênio firmado entre os órgãos, com data de vigência que corresponderá à data de expiração das credenciais do usuário.
§ 2º Compete ao responsável do PJES sobre o convênio com o órgão externo solicitar à STI o cadastro, alteração e inativação dos usuários, além da concessão e revogação de permissões para os mesmos.
Art. 13 O cadastro, alteração e inativação de advogados e partes serão realizados pelos próprios, quando possível, ou pela STI em caso contrário.
Art. 14 Não serão realizados cadastros de usuários voluntários.
Art. 15 Cabe à STI realizar o bloqueio, preferencialmente de forma automática, dos usuários cuja data de expiração das credenciais tenha sido ultrapassada.
Art. 16 Após 6 (seis) meses do término do vínculo do usuário com o PJES, as credenciais de acesso serão eliminadas, devendo ser mantidas para auditoria, por um prazo de 2 (dois) anos, as informações nos variados sistemas utilizados no PJES.
Art. 17 O cadastro de usuários que não se enquadrem no descrito neste Ato Normativo, serão realizados somente se houver procedimento formal criado pelo CGSI que contemple este cadastro.
Art. 18 As credenciais de acesso serão entregues pela STI diretamente aos usuários.
Parágrafo único. A entrega das credenciais de acesso somente deverá ser realizada após o cadastro do usuário pela área competente no sistema de gestão utilizado para este tipo de usuário.
Art. 17 É de responsabilidade da STI realizar os cadastros, alterações, bloqueios, concessões e revogações de acesso aos usuários internos do PJES, de acordo com as necessidades funcionais e em conformidade com as informações constantes nos sistemas utilizados pela SGP, sendo permitido acesso exclusivamente aos recursos e sistemas necessários à execução de suas atividades funcionais, podendo ser realizado de forma automática baseado na localização e no tipo de usuário.
Subseção IV
Da recuperação de senhas
Art. 18 Em caso de perda de senha de acesso aos serviços de TI do PJES, o usuário, ou a chefia imediata do mesmo, deverá solicitar à STI a recuperação da senha.
§ 1º O procedimento de recuperação de senhas pela STI só deverá ser utilizado quando:
I – o recurso disponibilizado não oferecer procedimento automático de recuperação de senha;
II – o procedimento automático de recuperação de senha não puder ser completado.
§ 2º Quando a recuperação de senha for solicitada pela chefia imediata, a STI notificará, por meio de correio eletrônico institucional da chefia, a conclusão do procedimento e a nova senha temporária de acesso.
§ 3º Quando o próprio usuário solicitar a recuperação de senha, o mesmo deverá comparecer à STI para retirada da nova senha.
§ 4º O usuário deverá alterar a senha fornecida imediatamente após o procedimento.
Subseção V
Disposições finais
Art. 19 Os casos omissos na presente norma serão resolvidos pelo Comitê Gestor de Segurança da Informação do PJES.
Art. 20 Este Ato Normativo entra em vigor na data de sua publicação.
Publique-se.
Vitória, 21 de Fevereiro de 2018.
Des. SÉRGIO LUIZ TEIXEIRA GAMA
Presidente