ATO NORMATIVO Nº 042/2018 – DISP. 23/02/2018 – REPUBLICAÇÃO


Print Friendly, PDF & Email

PODER JUDICIÁRIO DO ESTADO DO ESPÍRITO SANTO

TRIBUNAL DE JUSTIÇA

PRESIDÊNCIA

ATO NORMATIVO Nº 042/2018

Institui a Norma de Utilização de Recursos de Tecnologia da Informação do Poder Judiciário do Estado do Espírito Santo.

O Excelentíssimo Senhor Desembargador Sérgio Luiz Teixeira Gama, Presidente do Egrégio Tribunal de Justiça do Estado do Espírito Santo, no uso de suas atribuições legais e regimentais,

CONSIDERANDO o art. 9º da Resolução n. 211, de 15 de dezembro de 2015, do Conselho Nacional de Justiça (CNJ), que incumbiu ao Comitê Gestor de Segurança da Informação de cada tribunal elaborar e aplicar política, gestão e processo de segurança da informação a serem desenvolvidos em todos os níveis da instituição, em harmonia com as diretrizes nacionais preconizadas pelo CNJ;

CONSIDERANDO as Diretrizes para a Gestão de Segurança da Informação no âmbito do Poder Judiciário, do CNJ, que tem por objetivos declarar formalmente o compromisso do Poder Judiciário com a Segurança da Informação, prover orientação e apresentar diretrizes para todos os órgãos do Poder Judiciário;

CONSIDERANDO a ABNT ISO/IEC 27001, segunda edição, de 8 de novembro de 2013 que é a norma que provê os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI);

CONSIDERANDO o Ato Normativo nº 136/2014, publicado no diário da Justiça de 30/07/2014, que instituiu o Comitê Gestor de Segurança da Informação (CGSI), no âmbito do Poder Judiciário do Estado do Espírito Santo (PJES);

CONSIDERANDO a Resolução nº 06/2018 que instituiu a Política de Segurança da Informação do Poder Judiciário do Estado do Espírito Santo (PSI-PJES);

RESOLVE:

Subseção I
Disposições Gerais

Art. 1º Instituir a Norma de Utilização de Recursos de Tecnologia da Informação e Comunicação do Poder Judiciário do Estado do Espírito Santo.

Parágrafo único. Esta norma integra a Política de Segurança da Informação do Poder Judiciário do Estado do Espírito Santo (PSI-PJES) e será aplicada, no que couber, às atividades de todos os usuários de recursos tecnológicos pertencentes ou gerenciados pelo PJES, incluindo magistrados, servidores, colaboradores, consultores externos, estagiários e prestadores de serviço que exercem atividades no âmbito do PJES ou quem quer que venha a ter acesso a dados ou informações protegidos pela presente norma.

Art. 2º Para os efeitos desta norma ficam estabelecidos os seguintes conceitos:

I – ameaça: qualquer circunstância ou evento com o potencial de causar impacto negativo sobre a confidencialidade, integridade ou disponibilidade da informação ou ao sistema de informação;

II – ativo: qualquer coisa que tenha valor para a organização [ISO/IEC 13335-1:2004];

III – autenticidade: propriedade que permite a validação de identidade de usuários e sistemas;

IV – confidencialidade: propriedade de que a informação não será disponibilizada ou divulgada a indivíduos, entidades ou processos sem autorização [ISO/IEC 13335-1:2004];

V – correio eletrônico: serviço de comunicação de mensagens entre usuários, composto por programas de computador e equipamentos centrais de processamento, responsáveis pelo recebimento e envio de mensagens, bem como pela manutenção das caixas postais de correio eletrônico;

VI – disponibilidade: propriedade de ser acessível e utilizável sob demanda por uma entidade autorizada [ISO/IEC 13335-1:2004];

VII – integridade: propriedade de proteção à precisão e à perfeição de recursos;

VIII – rede internet: considerado todo o ambiente de redes externo ao poder judiciário, composto por redes públicas e privadas interligadas entre si;

IX – rede intranet: todo o ambiente de redes do poder judiciário, composto pelas redes locais de seus diversos prédios interligadas em âmbito estadual, incluindo o Tribunal de Justiça, Corregedoria Geral da Justiça, demais prédios da capital e das comarcas do interior do estado, bem como todo o ambiente de interligação entre tais redes;

X – rede local: considerado todo o ambiente de redes interno do PJES, sendo composto por equipamentos de conexão e computadores servidores centrais para armazenamento de dados;

XI – risco: potencial associado à possibilidade de uma ameaça comprometer a informação ou o sistema de informação pela exploração da vulnerabilidade;

XII – SPAM: mensagem de correio eletrônico não requisitada;

XIII – usuário: todo indivíduo devidamente identificado por um nome de rede (login) e uma senha de uso exclusivo para acesso à infraestrutura de informática do PJES;

XIV – vulnerabilidade: ponto falho ou de fraqueza em um ativo que possa ser explorado negativamente de forma proposital ou inadvertida.

Art. 3º As informações geradas, recebidas, adquiridas, armazenadas, processadas, transmitidas ou descartadas, em meio físico ou virtual, por este Poder Judiciário, devem ser protegidas por mecanismos adequados, de acordo com os requisitos mínimos de confidencialidade, integridade, disponibilidade e autenticidade.

Art. 4º É vedado aos usuários o fornecimento de informações a terceiros sobre especificações técnicas que importem em riscos para a segurança da rede e dos sistemas do PJES.

Subseção II
Dos usuários

Art. 5º Os usuários do PJES deverão utilizar os ativos de informática para desenvolvimento de atividades exclusivamente jurisdicionais ou administrativas, obrigatoriamente fazendo uso de suas credenciais de acesso (login e senha) individuais e exclusivas.

Art. 6º Aos usuários compete:

I – zelar pelos ativos e princípios de segurança da informação, principalmente no que concerne à confidencialidade e integridade das credenciais de acesso;

II – zelar pelo manuseio correto dos programas de computador e equipamentos;

III – fechar ou bloquear os programas ou sistemas quando não estiverem sendo utilizados;

IV – não deixar informações importantes desprotegidas, independentemente de sua forma;

V – comunicar imediatamente à Secretaria de Tecnologia da Informação (STI) qualquer suspeita de atos indevidos, extravio de credencial, acesso não autorizado, comprometimento de informação por programas maliciosos ou qualquer outra suspeita de ação que possa ser lesiva à Administração;

VI – zelar pela segurança dos ativos de informática, certificando-se da inexistência de programas maliciosos em pendrives ou qualquer dispositivo de armazenamento antes da sua utilização.

Subseção III
Do uso dos ativos de informática

Art. 7º Os insumos, incluindo cartuchos e toners de impressão deverão ser solicitados à Secretaria de Infraestrutura, através de procedimento determinado por esta.

Parágrafo único. Para racionalizar o uso de insumos, as impressões deverão ser efetuadas, sempre que possível, em preto e branco, em modo econômico e utilizando frente e verso da folha ou folha de rascunho disponível.

Art. 8º É considerado uso indevido dos ativos de informática, sujeito às penalidades:

I – alterar, sem autorização da STI, configurações de equipamentos de informática;

II – utilizar a rede elétrica estabilizada de informática para ligação de bebedouros, frigobares, cafeteiras, aparelhos de fax e outros utensílios;

III – instalar qualquer tipo de equipamento ou software não contratado ou cadastrado pelo PJES, salvo por intermédio da STI e a expressa autorização da Administração, com a comprovação do licenciamento de uso ou propriedade em nome próprio do usuário, mediante a cessão da licença ou equipamento ao Poder Judiciário do Estado do Espírito Santo;

IV – não zelar pela vida útil dos equipamentos, evitando quedas, desligamentos bruscos, contato com líquidos ou alimentos.

§ 1º O uso indevido dos equipamentos do PJES será comunicado à chefia da unidade administrativa em que tiver sido verificada a irregularidade, para as providências cabíveis.

§ 2º A Administração se isenta das expensas decorrentes de uso de equipamentos, softwares ou ativos de informática particulares.

Art. 9º Somente em casos especiais, onde seja constatada limitação funcional de programa necessário para execução das atribuições do usuário, será concedido privilégio de administrador nas estações de trabalho, por meio de prévia solicitação à STI, devidamente justificada pela chefia imediata do usuário.

Parágrafo único. É vedado aos usuários com privilégio de administrador do computador o compartilhamento de recursos, ativação de serviços de rede e instalação de softwares nas estações de trabalho.

Subseção IV
Da Internet

Art. 10 O uso do serviço de Internet corporativo deve estar associado às atividades deste Poder Judiciário.

Art. 11 Todo acesso à Internet deve ser monitorado e registrado para análise de segurança contra ameaças, roubo de dados e disseminação de conteúdos maliciosos.

Art. 12 A STI deverá armazenar, para fins de auditoria e estatísticas de utilização, informações referentes ao uso da internet, produzindo relatórios periódicos dos sites com maior número de acessos e com maior consumo de rede.

Art. 13 É responsabilidade da STI aplicar os controles necessários para monitorar, identificar, filtrar e bloquear acesso às informações consideradas inadequadas ou não-relacionadas às atividades jurisdicionais ou administrativas.

Art. 14 A STI fica autorizada a bloquear acesso a sites e aplicações da Internet, principalmente as que se enquadrem em um dos grupos:

I – sites com conteúdo agressivo, drogas, pornografia, que incentivem a pirataria, fraudes, crimes e demais atividades impróprias;

II – sites que apresentem potenciais riscos de segurança, com serviços que podem tornar vulnerável os ativos de informática a invasões externas e ataques de pragas eletrônicas;

III – sites que podem trazer sobrecarga nas redes de comunicações do PJES, sob o risco de perder a qualidade e disponibilidade no acesso a serviços necessários para que os usuários do PJES desempenhem suas funções.

§ 1º As necessidades e exceções em acesso aos sites que forem imprescindíveis para as atividades administrativas e judiciais e se encontrarem bloqueadas, devem ser encaminhadas à STI seguindo os procedimentos existentes para o atendimento de suporte técnico.

§ 2º Na constatação da existência de tentativas de burlar os bloqueios nos acessos aos sites relacionados nos incisos I, II, e III do caput deste artigo, deverá a STI comunicar o fato à chefia imediata do usuário e, em caso de reincidência, ao Comitê Gestor de Segurança da Informação.

Art. 15 O recebimento e envio de arquivos na Internet deverá ser utilizado para assuntos relacionados às atividades jurisdicionais ou administrativas.

Art. 16 O acesso à Internet por parte dos usuários far-se-á, exclusivamente, através dos meios de comunicação contratados pelo PJES, salvo nos casos de termo de cooperação entre o PJES e outros órgãos ou instituições.

Art. 17 Está sujeito às penalidades o usuário que fizer uso de dispositivos ou softwares que permitam burlar o controle de acesso à Internet no PJES.

Subseção IV
Do uso da rede local e intranet

Art. 18 É de responsabilidade da STI a disponibilização de unidades de armazenamento de rede para os usuários do PJES e a execução de cópia de segurança das respectivas.

Parágrafo único. A capacidade das unidades de armazenamento de rede será limitada, segundo definições estabelecidas pela STI, com base na disponibilidade de espaço no equipamento servidor e nas atividades inerentes às unidades ou áreas.

Art. 19 O usuário deve manter nas unidades de armazenamento de rede apenas arquivos que estejam estritamente relacionados às atividades desempenhadas pelo Órgão, sendo vedada a gravação de arquivos de música, fotos, vídeos e outros, desde que não atendam tal finalidade.

§ 1º Os arquivos de imagem, áudio e vídeo só poderão ser utilizados quando em objeto de serviço, devendo ser armazenados em formato compactado.

§ 2º Os arquivos que não sejam do interesse do PJES poderão ser excluídos da rede pela STI, após a comunicação ao responsável e à chefia imediata.

Art. 20 Compete ao usuário garantir a confidencialidade, integridade e disponibilidade das informações armazenadas fora dos recursos da rede local, em disco rígido dos computadores, notebooks, pendrives ou outros dispositivos de armazenamento de dados.

Parágrafo único. Não serão realizadas cópias de segurança de arquivos armazenados fora dos recursos da rede local.

Art. 21 O acesso à rede do PJES deverá ser registrado e armazenado pela STI por, no mínimo, 06 (seis) meses.

Subseção V
Do correio eletrônico corporativo

Art. 22 A caixa postal de correio eletrônico dos usuários será identificada unicamente pela sua credencial, de uso pessoal e intransferível.

§ 1º Fica facultada à Administração a criação de caixas postais de usuários.

§ 2º As caixas postais disponibilizadas aos usuários somente poderão ser utilizadas para transmitir e receber informações relacionadas às atividades jurisdicionais ou administrativas.

Art. 23 O acesso às mensagens está restrito ao remetente e ao destinatário, sendo estas invioláveis, salvo por determinação administrativa autorizada pelo CGSI ou por motivo de segurança institucional.

Art. 24 Serão impostos limites à utilização do serviço de correio eletrônico.

§ 1º As caixas postais terão uma limitação de espaço para mensagens (quota), calculada a partir da disponibilidade de espaço de armazenamento nos computadores servidores centrais administrados pela STI, sendo que o usuário que ultrapassar esta quota ficará automaticamente impedido de enviar novos correios eletrônicos, devendo, para liberação, efetuar a exclusão de mensagens que não são mais necessárias.

§ 2º O tamanho máximo das mensagens enviadas ou recebidas, incluindo arquivos anexados, será limitado de acordo com a capacidade de armazenamento dos computadores servidores centrais administrados pela STI, sendo que as mensagens que ultrapassarem este limite serão automaticamente bloqueadas.

§ 3º Em caso de necessidade, poderá ser solicitada a revisão dos limites aqui estabelecidos, desde que motivada por necessidade de serviço e submetida à apreciação da CGSI.

Art. 25 O envio de documentos eletrônicos no âmbito do PJES será feito preferencialmente por meio de formatos de padrão aberto (OpenDocument), conforme definido na norma ABNT NBR ISO/IEC 26300:2008 ou formato de documentos portáveis (PDF).

Art. 26 Os correios eletrônicos enviados e recebidos que contenham SPAM ou qualquer tipo de conteúdo indevido, impróprio ou malicioso serão bloqueados.

Art. 27 As mensagens indesejadas que não forem automaticamente bloqueadas devem ser encaminhadas para a STI, seguindo os procedimentos existentes para o atendimento de suporte técnico.

Art. 28 As unidades administrativas terão uma ou mais caixas postais de correio eletrônico, de acordo com as necessidades de seus organogramas, que deverão ser acessadas regularmente por usuários daquela unidade, devidamente autorizados pela chefia imediata.

§ 1º As caixas postais das unidades administrativas deverão ser utilizadas para as comunicações oficiais entre as unidades.

§ 2º Os endereços de correio eletrônico das unidades administrativas poderão ser divulgados através da Intranet e Internet, de acordo com a conveniência dessas.

§ 3º No caso de afastamento temporário ou provisório dos usuários autorizados a manipular as caixas postais das unidades administrativas, caberá à chefia imediata garantir que o usuário substituto mantenha o acesso regular às caixas postais, zelando e garantindo os princípios de Segurança da Informação.

§ 4º Fica determinado que, caso não sejam detectados acessos regulares às caixas postais de unidades administrativas em um prazo superior a 60 (sessenta) dias, ficará a caixa postal respectiva desativada por motivos de segurança.

§ 5º O endereço de correio eletrônico da unidade será de responsabilidade do respectivo gestor, admitindo-se delegação para operá-lo.

§ 6º As caixas de correio eletrônico das unidades administrativas serão bloqueadas e mantidas por um período de 06 (seis) meses caso a unidade seja extinta, sendo posteriormente arquivadas por um período de 02 (dois) anos.

§ 7º Após o prazo de arquivamento das caixas de correio eletrônico, elas poderão ser eliminadas.

Art. 29 Poderão ser criadas caixas de correio eletrônico temporárias para comissões, eventos, equipes e demais necessidades institucionais, desde que haja disponibilidade de licenças do software de correio eletrônico e justificada a necessidade.

§ 1º Para que seja criada uma caixa postal, deverá ser informado o responsável pela caixa de correio eletrônico, a necessidade e o prazo de utilização da mesma.

§ 2º As caixas de correio eletrônico temporárias serão bloqueadas e mantidas por um período de 06 (seis) meses após o término de seu prazo de utilização, sendo posteriormente arquivadas por um período de 02 (dois) anos.

§ 3º Após o prazo de arquivamento das caixas de correio eletrônico, elas poderão ser eliminadas.

Art. 30 O uso não apropriado do correio eletrônico corporativo do PJES é passível de apuração de responsabilidade do usuário.

Parágrafo único. Por uso não apropriado, considera-se o envio de mensagens de correio eletrônico contendo:

I – materiais obscenos, ilegais ou antiéticos;

II – materiais preconceituosos ou discriminatórios;

III – materiais caluniosos ou difamatórios;

IV – propagandas com objetivos comerciais;

V – listas de endereços eletrônicos dos usuários do correio eletrônico corporativo do PJES;

VI – vírus ou qualquer programa danoso;

VII – material de natureza político-partidária ou sindical, que promova a eleição de candidatos para cargos públicos eletivos, clubes, associações e sindicatos;

VIII – material protegido por leis de propriedade intelectual;

IX – entretenimento;

X – assuntos ofensivos;

XI – músicas, vídeos ou animações que não sejam de interesse específico do trabalho;

XII – SPAM.

Art. 31 As caixas de correio eletrônico pertencentes a magistrados e servidores efetivos desligados do PJES serão bloqueadas e mantidas por um período de 01(um) ano, sendo posteriormente arquivadas por um período de 02 (dois) anos.

§ 1º Para os outros tipos de usuários, as caixas de correio eletrônico serão bloqueadas e mantidas também por um período de 01 (um) ano e o tempo de manutenção das caixas arquivadas será de 06 (seis) meses.

§ 2º Após o prazo de arquivamento das caixas de correio eletrônico, elas poderão ser eliminadas.

Subseção VI
Da utilização de programas e aplicativos

Art. 32 Compete à STI quanto à utilização de programas e aplicativos:

I – analisar e homologar programas de computador e respectivas atualizações para utilização no PJES;

II – instalar e configurar os programas de computador homologados nas estações de trabalho;

III – prestar suporte aos programas de computador disponibilizados para os usuários do PJES;

IV – inventariar os programas de computador instalados nos equipamentos de informática;

V – desinstalar os programas de computador não homologados pela STI.

Art. 33 Compete aos usuários dos programas de computador no PJES:

I – zelar pela correta utilização dos recursos disponibilizados em suas estações de trabalho;

II – utilizar os programas de computador exclusivamente para as atividades de interesse do PJES;

III – informar à STI eventuais inconformidades dos programas de computador instalados em seus equipamentos.

Parágrafo único. É vedado ao usuário instalar programas de computador em suas estações de trabalho.

Art. 34 A homologação e posterior instalação de programas de computador para os usuários somente será realizada quando observadas as seguintes condições:

I – comprovada a oportunidade e conveniência quanto aos interesses do PJES;

II – estejam licenciados em conformidade com a legislação vigente;

III – sejam programas de computador desenvolvidos e/ou de propriedade do PJES.

Art. 35 As estações de trabalho poderão ser auditadas, para garantir que os programas não estejam consumindo todos os recursos computacionais e, desta forma, prejudicando o desenvolvimento das atividades administrativas e judiciárias.

Art. 36 Todos os programas necessários para o desenvolvimento das atividades administrativas e judiciárias devem estar presentes na instalação padrão das estações de trabalho.

Subseção VII
Disposições finais

Art. 37 Casos omissos e dúvidas sobre a aplicação desta norma devem ser submetidos ao Comitê Gestor de Segurança da Informação.

Art. 38 Este Ato Normativo entra em vigor na data de sua publicação.

Publique-se.

Vitória, 21 de Fevereiro de 2018.

Des. SÉRGIO LUIZ TEIXEIRA GAMA
Presidente

* REPUBLICADO POR TER SIDO PUBLICADO COM INCORREÇÃO