PODER JUDICIÁRIO DO ESTADO DO ESPÍRITO SANTO – PJES
RUA DESEMBARGADOR HOMERO MAFRA,60 – Bairro ENSEADA DO SUÁ – CEP 29050906 – Vitória – ES – www.tjes.jus.br
RESOLUÇÃO Nº 079/2024
Estabelecer a Política de Segurança da Informação no âmbito do Poder Judiciário do Estado do Espírito Santo.
O DESEMBARGADOR PRESIDENTE DO TRIBUNAL DE JUSTIÇA DO ESPÍRITO SANTO, no uso de suas atribuições legais e regimentais, e por decisão do Egrégio Tribunal Pleno em Sessão Administrativa do dia 04 de julho de 2024,
CONSIDERANDO as Diretrizes para a Gestão de Segurança da Informação no âmbito do Poder Judiciário, do Conselho Nacional de Justiça, que tem por objetivos declarar formalmente o compromisso do Poder Judiciário com a Segurança da Informação, prover orientação e apresentar diretrizes para todos os órgãos do Poder Judiciário;
CONSIDERANDO o art. 9º da Resolução nº 211, de 15 de dezembro de 2015, do Conselho Nacional de Justiça (CNJ), que incumbiu o Comitê Gestor de Segurança da Informação de cada tribunal de elaborar e aplicar política, gestão e processo de segurança da informação a serem desenvolvidos em todos os níveis da instituição, em harmonia com as diretrizes nacionais preconizadas pelo CNJ;
CONSIDERANDO a Resolução nº 369, 7 de junho de 2021, do Conselho Nacional de Justiça (CNJ), que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ) e, em seu art. 28, estabelece que cada Tribunal deverá estabelecer ações em sua Política de Segurança da Informação;
CONSIDERANDO o Ato Normativo nº 51, de 20 de março de 2024, do Tribunal de Justiça do Espírito Santo, que dispõe sobre o Comitê Gestor de Segurança da Informação (CGSI), no âmbito do Poder Judiciário do Espírito Santo (PJES);
CONSIDERANDO a ABNT ISO/IEC 27001, segunda edição, de 8 de novembro de 2013, que é a norma que provê os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI);
RESOLVE:
Art. 1º Instituir a Política de Segurança da Informação (PSI) no âmbito do Poder Judiciário do Estado do Espírito Santo.
Art. 2º Para os efeitos desta Resolução, entende-se por:
I – Ativo: qualquer coisa que tenha valor para a organização [ISO/IEC 13335-1:2004];
II – Autenticidade: garantia da veracidade da fonte das informações;
III – Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados [ISO/IEC 13335-1:2004];
IV – Disponibilidade: propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada [ISO/IEC 13335-1:2004];
V – Incidente de segurança: evento ou conjunto de eventos de segurança da informação, indesejados ou inesperados, confirmados ou sob suspeita, que tenham grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação;
VI – Informação: conjunto de dados, textos, imagens, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto;
VII – Integridade: propriedade de salvaguarda da exatidão e completeza dos ativos [ISO/IEC TR 13335:2004];
VIII – Não-repúdio: propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita;
IX – Política de Segurança da Informação (PSI): é o documento formal que define a estrutura, estabelece as diretrizes e define as responsabilidades referentes à segurança da informação;
X – Recursos de tecnologia da informação: equipamentos servidores de rede, estações de trabalho, equipamentos de conectividade, todo e qualquer hardware e software que compõem soluções e aplicações de TI;
XI – Segurança da Informação (SI): preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas [ABNT NBR ISO/IEC 27001:2006];
XII – Usuário: todo magistrado, servidor, colaborador, consultor externo, estagiário e prestador de serviço que exerce atividades no âmbito do PJES ou quem quer que venha a ter acesso a dados ou informações produzidos pelo PJES de forma autorizada.
Art. 3º A Estrutura Normativa da Segurança da Informação do Poder Judiciário do Estado do Espírito Santo é constituída por:
I – Política de Segurança da Informação (PSI) aqui instituída;
II – Normas de Segurança da Informação, que devem contemplar as obrigações a serem seguidas de acordo com os objetivos e diretrizes estabelecidos nesta PSI;
III – Procedimentos de Segurança da Informação, que definem regras operacionais de acordo com as Normas de Segurança da Informação.
§1º A Estrutura Normativa da Segurança da Informação do Poder Judiciário do Estado do Espírito Santo tem como objetivo garantir os princípios básicos da segurança da informação, quais sejam a confidencialidade, a integridade, a disponibilidade, a autenticidade e o não-repúdio, bem como contribuir para que a missão do Judiciário Capixaba seja cumprida.
§2º A Estrutura Normativa da Segurança da Informação do Poder Judiciário do Estado do Espírito Santo deve ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua pertinência, adequação e eficácia.
Art. 4º São objetivos desta Política de Segurança da Informação:
I – Declarar formalmente o compromisso do Poder Judiciário do Estado do Espírito Santo com a segurança da informação;
II – Dotar as unidades deste Poder Judiciário de instrumentos jurídicos, normativos e organizacionais que os capacitem de forma a assegurar o tratamento e classificação das informações sensíveis, além dos princípios básicos de segurança da informação;
III – Promover a conscientização e a capacitação de recursos humanos para o desenvolvimento de competência científico-tecnológica em segurança da informação;
IV – Estabelecer a estrutura normativa necessária à efetiva implementação da segurança da informação;
V – Promover as ações necessárias à implementação e à manutenção dos processos de gestão da segurança da informação;
VI – Promover o intercâmbio científico-tecnológico entre o Poder Judiciário Capixaba, as entidades do Poder Judiciário Nacional e as instituições públicas e privadas, sobre as atividades de segurança da informação;
VII – Assegurar a interoperabilidade entre os sistemas de segurança da informação.
Art. 5º São diretrizes gerais desta Política de Segurança da Informação:
I – A classificação e o tratamento da informação, realizados por meio de procedimento definido formalmente, abrange informações provenientes dos serviços essenciais de Tecnologia da Informação e Comunicação deste Tribunal de Justiça.
II – As informações deverão ser classificadas de forma a permitir tratamento diferenciado de acordo com seu grau de importância, criticidade, sensibilidade, e em conformidade com requisitos legais;
III – Os critérios gerais aplicáveis à classificação e ao tratamento da informação serão definidos por ato normativo elaborado pelo Comitê Gestor de Segurança da Informação, com a participação de todas as unidades do Tribunal de Justiça do Espírito Santo que produzem, recepcionam ou custodiam informações essenciais às atividades finalísticas, e submetido à apreciação da Presidência;
IV – Promoção do uso adequado dos recursos de tecnologia da informação, visando garantir a continuidade da prestação jurisdicional do PJES;
V – Os recursos de tecnologia da informação disponibilizados devem ser utilizados exclusivamente em atividades estritamente relacionadas às funções institucionais;
VI – A utilização dos recursos de tecnologia da informação poderá ser monitorada, sendo seus registros mantidos pela Secretaria de Tecnologia da Informação;
VII – Toda informação produzida ou recebida no âmbito do Poder Judiciário do Estado do Espírito Santo pertence ao próprio órgão, as exceções devendo ser explícitas e formalizadas entre as partes;
VIII – As informações devem ser classificadas e protegidas de acordo com o nível de confidencialidade exigido pelas atividades do PJES;
IX – O acesso à informação, independentemente da forma ou o meio pelo qual ela possa ser exibida ou compartilhada, sempre deverá ser protegido adequadamente, de acordo com os controles definidos pela presente Política e seus documentos complementares;
X – O controle de acesso deverá considerar e respeitar o princípio do privilégio mínimo para configurar as credenciais ou permissões de acesso dos usuários aos ativos de informação do PJES;
XI – Garantia da continuidade dos serviços prestados pelo PJES em caso de acidentes ou falhas graves na sua operação;
XII – O cumprimento da PSI, das normas e procedimentos de segurança da informação, além de outros dispositivos legais pertinentes, serão acompanhados e auditados pelo PJES;
XIII – A gestão de riscos é realizada por meio de processo definido formalmente, contendo as fases de análise, avaliação e tratamento dos riscos;
XIV – A gestão de acesso e uso dos recursos de Tecnologia da Informação e Comunicação disponibilizados pelo PJES é regulado por ato normativo próprio, estando a elas sujeitos todos os usuários autorizados descritos no art. 2º, inciso XII, desta Resolução, condicionada a utilização desses recursos à assinatura de termo de responsabilidade pelos usuários, preferencialmente em meio eletrônico;
XV – A gestão e controle de ativos de informação é realizada por meio de processo definido de maneira formal, contendo as fases de cadastro, atualização e exclusão;
XVI – A gestão de incidentes de segurança da informação é realizada por meio de processo definido de maneira formal, contendo as fases de detecção, triagem, análise e resposta aos incidentes de segurança, instituída a Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais do PJES (ETIR-PJES);
XVII – A gestão da continuidade dos serviços essenciais de Tecnologia da Informação e Comunicação é realizada por meio de processo definido formalmente, contendo as fases de análise de impacto e definição das estratégias pelos Comitê Gestor de Segurança da Informação e Comitê de Governança da Tecnologia da Informação e Comunicação do PJES e, por fim, a elaboração de planos.
Art. 6º São responsabilidades de todos os usuários:
I – Conhecer e cumprir esta PSI e suas normas e procedimentos complementares;
II – Seguir, de forma colaborativa, as orientações fornecidas pelos setores competentes em relação ao uso dos recursos computacionais e informacionais do órgão;
III – Utilizar de forma ética, consciente e responsável os recursos computacionais e informacionais do PJES, utilizando os sistemas e serviços de informação somente para fins legais;
IV – Manter-se atualizado em relação a esta PSI e às normas e procedimentos relacionados, buscando informação junto à Secretaria de Tecnologia da Informação (STI) sempre que não estiver absolutamente seguro quanto à obtenção, uso e/ou descarte de informações;
V – Comunicar imediatamente à STI quaisquer ocorrências ou suspeitas de incidentes de Segurança da Informação, eventos, fragilidades ou ameaças ao ambiente computacional ou aos ativos de TI do PJES;
VI – Manter sigilo e não fazer uso privado de informações geradas, adquiridas ou utilizadas pelo tribunal, às quais tenha tido acesso no exercício de suas atividades;
VII – Manter sigilo de suas senhas de acesso aos recursos, sistemas e serviços da rede de computadores;
VIII – Manter seguras as informações manuseadas no âmbito da rede de computadores do Tribunal de Justiça do Espírito Santo;
IX – Manter, sob qualquer circunstância, o sigilo de informações sensíveis para o Poder Judiciário do Estado do Espírito Santo;
X – Garantir o encerramento da sessão de trabalho ou seu bloqueio por senha ao afastar-se da estação de trabalho, ainda que temporariamente;
XI – Informar à STI a existência de informações sensíveis na estação de trabalho, quando necessária a manutenção do equipamento;
XII – Manter a guarda, a segurança e a integridade dos ativos físicos que estejam sob sua responsabilidade;
XIII – Observar que as informações armazenadas nas estações de trabalho e nos demais dispositivos móveis serão de sua inteira responsabilidade, não havendo previsão de backup realizado pela STI para tais unidades;
XVI – Responder por todos os atos realizados por meio de seu identificador, tais como login de rede, endereço de correio eletrônico, usuário de sistema e assinatura digital.
§1º É vedado ao usuário:
a) Utilizar, copiar ou armazenar programas de computador ou qualquer outro material que viole a lei de direitos autorais e demais legislações vigentes;
b) Tomar ação própria, sob qualquer circunstância, no intuito de conter um incidente de segurança dos ativos de TI;
c) Promover atividades comerciais próprias ou de terceiros, incluindo oferta de serviços ou produtos;
d) Enviar mensagens não institucionais para grupos ou pessoas que não as solicitaram ou autorizaram;
e) Enviar mensagens cuja veracidade não possa ser confirmada ou que, de alguma forma, viole a legislação vigente;
f) Ler ou tentar ler mensagens de outras pessoas sem autorização expressa;
g) Executar jogos pela internet ou pela rede de computadores do Tribunal de Justiça do Espírito Santo;
h) Executar atividades pessoais que interfiram em suas responsabilidades no trabalho;
i) Desrespeitar as regras e limitações de acesso aos sites disciplinadas na presente política e nos demais instrumentos normativos integrantes da PSI.
Art. 7º São responsabilidades da Secretaria de Tecnologia da Informação:
I – Apoiar o CGSI na conscientização e orientação dos usuários em relação à PSI e suas normas e procedimentos complementares;
II – Implementar os controles tecnológicos necessários para garantir o cumprimento dos procedimentos, normas e Política de Segurança da Informação;
III – Analisar e tratar os incidentes de SI e propor as medidas cabíveis, a fim de permitir o controle das fragilidades, vulnerabilidades e eventos que porventura coloquem em risco a segurança das informações e serviços do PJES;
IV – Implantar e gerenciar os controles relativos ao uso dos recursos tecnológicos e aos acessos às informações e serviços em rede do PJES, a fim de garantir o acesso somente aos usuários autorizados a operar as informações acessadas;
V – Implantar e gerenciar os controles relativos às modificações nos recursos de processamento da informação e sistemas do PJES, considerando a criticidade dos sistemas e serviços essenciais.
Art. 8º O descumprimento das disposições desta PSI ou de suas normas e procedimentos complementares sujeitam o infrator às penalidades previstas na legislação e nos regulamentos internos do PJES.
Parágrafo único. A inobservância desta Política poderá configurar infração funcional, a ser apurada em processo administrativo disciplinar, sem prejuízo das responsabilidades penal e cível.
Art. 9º Fica revogada a Resolução nº 6, de 5 de fevereiro de 2018.
Art. 10 Esta Resolução entra em vigor na data de sua publicação.
Publique-se.
Vitória, 09 de julho de 2024.
DESEMBARGADOR SAMUEL MEIRA BRASIL JÚNIOR
Presidente