ATO NORMATIVO Nº 10/ 2019

 

Estabelece normas para Gestão de Ativos de Segurança da Informação (SI) do Poder Judiciário do Estado do Rio de Janeiro (PJERJ) e dá outras providências.

 

 

O PRESIDENTE DO TRIBUNAL DE JUSTIÇA DO ESTADO DO RIO DE JANEIRO, Desembargador CLÁUDIO DE MELLO TAVARES, no uso de suas atribuições legais;

 

CONSIDERANDO o que dispõe a Lei Federal nº 11.419, de 19 de dezembro de 2006 que regula a informatização do processo judicial;

 

CONSIDERANDO o que dispõem a Lei Federal n.º 12.527, de 18 de novembro de 2011, que regula o acesso à informações e a Lei Federal n.º 13.709/2018, de 14 de agosto de 2018, sobre a proteção de dados pessoais e altera a Lei n.º 12.965, de 23 de abril de 2014 (Marco Civil da Internet);

 

CONSIDERANDO o que dispõe a Resolução n.º 211/2015 do Conselho Nacional de Justiça - CNJ, que instituiu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD);

 

CONSIDERANDO o que dispõe a Resolução TJ/OE n.º 09/2017, de 07 de agosto de 2017, aprovada na sessão administrativa do Órgão Especial do dia 07 de agosto de 2017 (Processo Administrativo n.º 2016-000230);

 

CONSIDERANDO o que dispõe a Resolução TJ/OE n.º 05/2019, de 27 de fevereiro de 2019, sobre a política de segurança da informação, aprovada na sessão administrativa do Órgão Especial do dia 25 de fevereiro de 2019 (Processo Administrativo n.º 2018-107905);

 

 

RESOLVE:  

 

CAPÍTULO I

DAS DISPOSIÇÕES INICIAIS

 

Art. 1º. Todos os ativos de Tecnologia da Informação e Comunicação (TIC) e Segurança da Informação (SI) em uso no Poder Judiciário do Estado do Rio de Janeiro (PJERJ), bem como a sua gestão, serão disciplinados pelo presente Ato Normativo.

 

Parágrafo único. Consideram-se ativos de TIC e SI do PJERJ:

 

hardwares (computadores servidores, estações de trabalho, periféricos, equipamentos de rede, etc.);

softwares (sistemas operacionais, aplicativos, sistemas corporativos, etc.);

canais de comunicação de dados, de uso exclusivo, que interligam o Fórum Central aos Fóruns Regionais, Comarcas, Juizados Especiais, demais Órgãos do Judiciário e órgãos parceiros;

dispositivos móveis fornecidos pelo PJERJ (tokens, tablets, smartphones, etc.);

correio eletrônico

intranet e internet;

bases de dados;

sistemas de automação predial;

sistemas de segurança da informação;

central telefônica e VOIP;

sistemas de videoconferência;

Circuito Fechado de Televisão (CFTV);

Outros recursos de TIC ou SI em uso ou que venham a ser usados no PJERJ.

 

Art. 2º. Compete à Diretoria-Geral de Tecnologia da Informação e Comunicação de Dados (DGTEC) e à Diretoria-Geral de Segurança Institucional (DGSEI), dentro de suas respectivas áreas de competência, a gestão de ativos conectados à Rede do PJERJ observando requisitos de segurança, estabilidade, confiabilidade e padronização do ambiente computacional.

 

Parágrafo único. O uso de novos ativos de TIC e SI no PJERJ, bem como estudos para sua aquisição deverão ser aprovados pela DGTEC, no que tange aos requisitos técnicos.

 

Art. 3º. Os processos de aquisição e contratação de ativos de TIC e SI devem ser conduzidos em conformidade com a Política de Segurança da Informação do PJERJ e o modelo de contratação.

 

Art. 4º. Os ativos de TIC e SI disponíveis no âmbito da rede corporativa ou em uso nas instalações do PJERJ têm por finalidade as atividades precípuas deste PJERJ, não devendo ser utilizados para outro fim.

 

Parágrafo único. A necessidade de uso de ativos de TIC do PJERJ por outros órgãos públicos ou privados será individualmente analisada pela DGTEC, deliberada pelo Comitê de Governança de Tecnologia da Informação e Comunicação (CGTIC) e autorizada pelo Presidente do PJERJ.

 

Art. 5º. Serão exclusivos do PJERJ os direitos de propriedade intelectual e direitos autorais sobre quaisquer artefatos e produtos que sejam produzidos pelos usuários internos para uso no ambiente corporativo, incluindo, dentre outros, documentação, código fonte de aplicações, modelos de dados e bases de dados.

 

Art. 6º.É dever dos usuários internos do PJERJ notificar imediatamente à DGTEC a existência de dispositivo ou software desconhecido conectado ou instalado em seu computador, bem como quaisquer ativos sem identificação conectados à rede corporativa.

 

 

CAPÍTULO II

DO CONTROLE DE ATIVOS

 

Art. 7º. São requisitos obrigatórios dos ativos do PJERJ:

 

atualização permanente (hardware, versões de software e firmware);

licenciamento conforme política do fabricante;

utilizar informações de acesso (login, nome de usuário, senha) diferentes dos originais de fábrica;

submeter-se às políticas de senha definidas pelo PJERJ.

 

Art. 8º. A distribuição de ativos de TIC segue a tabela constante do Anexo deste Ato Normativo.

 

Parágrafo único. A política de distribuição de ativos de TIC deverá ser revisada anualmente, com a deliberação do CGTIC no máximo na reunião de novembro do exercício anterior, para posterior aprovação do Presidente do PJERJ.

 

Art. 9º. A política de distribuição de aplicativos comerciais, como caixa de correio, editores de textos, planilhas eletrônicas e demais aplicativos de auxilio administrativo, será regulamentada em ato próprio, previamente avaliado pelo CGTIC e aprovado pelo Presidente do PJERJ, de acordo com a necessidade de licenciamento.

 

Parágrafo único. A DGTEC fica autorizada a remover dos computadores do PJERJ softwares comerciais que estejam fora do padrão após deliberação do CGTIC e aprovação do Presidente do PJERJ.

 

Art. 10. Os recursos utilizados pela infraestrutura de TIC e SI, como sistemas operacionais, sistemas gerenciadores de bancos de dados, computadores servidores de aplicações, redes e segurança, serão revisados anualmente pela DGTEC.

 

Parágrafo único. A DGTEC deverá tomar todas as ações necessárias para evitar a obsolescência ou descontinuidade dos recursos.

 

Art. 11. Os computadores servidores físicos e virtuais, ativos para armazenamento de dados (storage), ativos de cópia de segurança (backup) e demais ativos que façam parte dos recursos administrados pela DGTEC deverão ser cadastrados em uma base de dados de configuração.

 

Parágrafo único. São requisitos mínimos de informação, para cada item de configuração cadastrado, os seguintes atributos:

 

nome do ativo;

nome e contato do responsável gerencial;

nome e contato do responsável técnico;

situação do ativo;

data de aquisição;

número do contrato de suporte;

data de início e fim do contrato de suporte;

nome e contato do gerente de contas do contrato de suporte;

número do contato para suporte;

finalidade de uso;

relacionamento direto com outros itens de configuração.

 

Art. 12. Os computadores servidores deverão ser aprovisionados e configurados apenas com os recursos necessários para atender os requisitos de negócio desejados.

 

Parágrafo único. Os serviços, pacotes de software, bibliotecas e regras de acesso desnecessários não deverão ser instalados ou implementados.

 

Art. 13. A DGTEC deverá avaliar periodicamente a infraestrutura de TIC e se necessário, submeter os seus ativos a um processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas, com o objetivo de fortalecer os sistemas e torná los menos suscetíveis a ataques.

 

Parágrafo único. As configurações de que tratam este artigo poderão ter como escopo o sistema operacional, kernel e aplicações.

 

Art. 14. O processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas, quando implementado, deverá observar o equilíbrio entre os fatores segurança, risco e flexibilidade, considerando-se como finalidade o suporte aos objetivos de negócio.

 

Art. 15. O aprovisionamento de infraestrutura para testes de Prova de Conceito (Proof-Of-Concept - POC) deve observar todas normas de segurança adotadas e pressupor um acordo de confidencialidade assinado entre o fabricante proponente da prova de conceito e o PJERJ, para garantir a confidencialidade e integridade das informações.

 

Parágrafo único. Deve-se observar o critério de menor privilégio quando do aprovisionamento de ambientes para testes de POC.

 

Art. 16. O aprovisionamento de infraestrutura deverá abranger, ao menos, os processos de:

 

gestão de capacidade;

gestão de configuração;

gestão de segurança;

gestão de SLA;

gestão de mudanças.

 

Art. 17. O aprovisionamento de infraestrutura (computadores servidores, storage, sistemas operacionais, aplicações de middleware e serviços de infraestrutura de rede) deve estar de acordo com a versão suportada, a qual abrange a versão de firmware, sistema operacional, release, build, kernel, serviços de infraestrutura de rede e aplicações de middleware.

 

Art. 18. A infraestrutura suportada de que trata o artigo anterior deverá estar coberta por contrato de suporte técnico vigente e ser baseada na última versão estável dos componentes, exceto nos casos em que houver inviabilidade técnica comprovada e observando-se, sempre, os fatores de risco, segurança, flexibilidade e desempenho.

 

Parágrafo único. Caso haja necessidade de fazer downgrade ou upgrade para a versão não estável de algum ativo em razão de necessidade do negócio e/ou em função de inviabilidade técnica, tais circunstâncias deverão ser comprovadas mediante resultado de testes efetuados em ambiente próprio para tal finalidade.

 

Art. 19. A área responsável pelos computadores servidores da sala cofre segura deverá adotar procedimento de monitoramento, a fim de detectar a escassez iminente dos recursos de processamento, memória, armazenamento e rede para que possa alocar recursos de forma preventiva, evitando assim incidentes.

 

§ 1º. Durante o aprovisionamento de computadores servidores, poderão ser efetuados testes de carga, a fim de validar a quantidade de recursos alocados sob a perspectiva de demanda x capacidade.

 

§ 2º. A área responsável pelos computadores servidores poderá propor a redução da alocação dos recursos computacionais, caso constate, mediante monitoramento, a ociosidade de um ou mais recursos.

 

Art. 20. A DGTEC deverá manter atualizada a documentação inerente aos procedimentos de configuração e topologia dos computadores servidores e storages, com o objetivo de facilitar procedimentos de investigação de falhas e identificação de ativos.

 

Parágrafo único. A topologia dos servidores virtuais também deverá ser documentada e estar atualizada para viabilizar, de maneira eficiente, procedimentos de investigação de falhas e identificação de ativos.

 

Art. 21. Caberá a DGTEC manter um inventário atualizado de hardware e software.

 

Parágrafo único. O inventário de todos os ativos físicos conectados à rede do PJERJ deve conter, minimamente:

 

identificador único;

identificador na rede;

marca;

modelo;

endereço de controle de acesso da placa de rede (MAC - Media Access Control);

localização do equipamento;

responsável;

data da instalação.

 

Art. 22. Os ativos de TIC do PJERJ devem ser avaliados anualmente pela DGTEC quanto a sua capacidade e obsolescência.

 

§ 1º. Nenhum ativo de TIC pode permanecer instalado no parque do PJERJ por mais de 5 (cinco) anos, exceto se estudos comprovarem que ainda atendem aos requisitos técnicos, de segurança e econômicos do PJERJ.

 

§ 2º. Os ativos de TIC devem ser identificados na rede de acordo com a política determinada pela DGTEC.

 

§ 3º. Os ativos de TIC com nome fora do padrão serão renomeados pela DGTEC.

 

§ 4º. Os ativos de TIC que forem doados ou descartados pelo PJERJ, deverão ter seus dados apagados previamente, de forma a torná-los irrecuperáveis.

 

Art. 23. A utilização, pelos usuários de ativos pertencentes ao PJERJ fora das dependências da instituição só será permitida com prévia autorização formal (ex.: Termo de Responsabilidade para Utilização e Guarda de Equipamento Portátil).

 

§ 1º. O ativo cedido para o trabalho externo (inclusive dispositivos móveis) deve ser utilizado única e exclusivamente para execução das atividades relacionadas ao PJERJ.

 

§ 2º. Não são permitidas alterações de configurações no hardware, no sistema operacional e de padrões dos aplicativos disponibilizados nos ativos cedidos para trabalho externo, estando o usuário infrator (servidor ou colaborador) sujeito as sanções disciplinares, bem como, responsabilizado pelos danos causados aos referidos ativos.

 

§ 3º. O usuário responsável não deve ceder, perder de vista ou deixar o ativo sob a responsabilidade de terceiros.

 

§ 4º. Em caso de falha ou problema em qualquer ativo em questão, o usuário não deverá procurar assistência técnica ou fazer qualquer substituição de componentes (baterias, carregadores, antenas etc.) sem a autorização prévia da DGTEC.

 

§ 5º. Em caso de roubo, furto, perda total ou parcial do ativo sob sua responsabilidade, o usuário deverá comunicar imediatamente ao seu superior, a DGTEC e providenciar o registro de ocorrência (RO) junto à autoridade policial.

 

Art. 24. O processo de atualização dos softwares será definido em procedimento próprio que conterá obrigatoriamente o prazo para atualização.

 

os softwares serão atualizados em caso de vulnerabilidades, prioritariamente as de segurança e críticas;

os softwares serão atualizados para novas versões após homologação;

o processo de atualização dos softwares deverá, sempre que possível, ser executado de forma automática.

 

Art. 25. Todas as estações de trabalho utilizadas no ambiente corporativo deverão ter instaladas, ativas e atualizadas as soluções de segurança definidas como padrão pela DGTEC.

 

§ 1º. As soluções de segurança deverão receber, dentro do prazo máximo determinado pela DGTEC, as atualizações mais recentes disponibilizadas pelos respectivos fabricantes.

 

§ 2º. É vedado remover, modificar ou interromper a execução da solução de proteção de segurança.

 

§ 3º. É vedado substituir ou adicionar outra solução de segurança não definida como padrão pela DGTEC.

 

§ 4º. É vedado impedir o acesso da DGTEC a ativos de TIC para atualização ou aplicação de soluções de segurança.

 

Art. 26. Os usuários deverão zelar pela conservação, integridade, correta utilização e segurança dos ativos de TIC sob sua responsabilidade.

 

Parágrafo único. Qualquer intervenção na estação de trabalho somente poderá ser efetuada por prestador de serviço autorizado pela DGTEC, devidamente identificado e obrigatoriamente assistido pelo usuário.

 

Art. 27. O usuário deverá comunicar imediatamente à DGSEI e à DGTEC o extravio de qualquer ativo de TIC sob sua responsabilidade.

 

Art. 28. O usuário deverá exigir a identificação do prestador de serviço da DGTEC designado para atendimento em sua unidade e a apresentação da correspondente ordem de serviço, verificando, se julgar necessário, sua autenticidade junto à chefia responsável na DGTEC.

 

Art. 29. É vedado ao usuário ou ao responsável pela unidade impedir que prestadores de serviço autorizados pela DGTEC, devidamente identificados e de posse de ordem de serviço, executem procedimentos técnicos nas estações de trabalho da unidade.

 

Art. 30. O acesso remoto a ativos de TIC e SI deve ser autorizado pela DGTEC e realizado apenas com soluções por ela aprovadas.

 

Parágrafo único. O acesso remoto, para fins de atendimento a usuários de TIC, deve ser realizado com expressa autorização do usuário.

 

Art. 31. A abertura ou manuseio de computadores ou outros dispositivos de informática somente poderá ser realizada por prestador de serviços devidamente autorizado pela DGTEC.

 

Art. 32. É vedada a instalação ou desinstalação de ativos de TIC e SI de qualquer procedência na rede corporativa do PJERJ sem a prévia homologação e autorização pela DGTEC.

 

Art. 33. A inclusão de equipamentos de terceiros na rede corporativa do PJERJ só poderá ser feita com a autorização expressa da DGTEC.

 

§ 1º. Os equipamentos serão obrigatoriamente verificados pela DGTEC e deverão estar em conformidade com a Política de Segurança da Informação (PSI), normas e configurações impostas aos demais equipamentos conectados à rede corporativa do PJERJ.

 

§ 2º. Os equipamentos estarão sujeitos a reavaliações pela DGTEC, para garantir que estejam adequados a novas necessidades, eventualmente decorrentes de atualizações dos sistemas e aplicativos utilizados no âmbito da rede corporativa.

 

§ 3º. Todos os equipamentos previstos neste artigo devem possuir contrato de suporte e atualização vigente.

 

Art. 34. Para garantir a segurança da informação, as estações de trabalho e os periféricos não devem permanecer ligados quando não estiverem em uso.

 

Parágrafo Único. A DGTEC, autorizada pelo CGSI, poderá solicitar que os equipamentos fiquem ligados em horário fora do expediente para atualização de softwares, distribuição de correções de segurança e vacinas contra arquivos maliciosos.

 

Art. 35. Todos os computadores serão configurados para a ativação automática de bloqueio de tela com senha após determinado tempo de inatividade.

 

Parágrafo Único A configuração automática só poderá ser alterada, após análise da DGTEC, deliberação do CGSI e aprovação do Presidente do PJERJ, para situações comprovadas de grave prejuízo ao serviço onde o bloqueio impeça completamente as atividades de unidades do PJERJ.

 

Art. 36. É proibida a utilização dos ativos de TIC e SI disponibilizados pelo PJERJ para acesso, guarda e divulgação de material incompatível com ambiente do serviço, que viole direitos autorais, ou que infrinja a legislação vigente.

 

Parágrafo único. É vedado instalar, manter e acessar nas estações de trabalho e nos computadores servidores, arquivos de conteúdo pornográfico, discriminatório, ofensivos aos direitos humanos, entretenimentos, jogos, e outros não relacionados às atividades precípuas do PJERJ.

 

Art. 37. Para diagnóstico de problemas nos ativos de TIC e SI, inclusive em caso de suspeita de violação de regras, a DGTEC poderá acessar arquivos nos computadores servidores e estações de trabalho, com o prévio consentimento do usuário, do chefe do órgão, do CGSI ou do Presidente do PJERJ.

 

 

CAPÍTULO III

DA MOVIMENTAÇÃO DE ATIVOS

 

Art. 38. Cabe a DGTEC exclusivamente o controle da movimentação de ativos de TIC.

 

§ 1º. Os ativos de TIC só poderão ser movimentados pelos técnicos da DGTEC ou por prestadores de serviço autorizados.

 

§ 2º. A movimentação de ativos de TIC sem a autorização da DGTEC implicará em procedimento disciplinar para o responsável patrimonial do respectivo ativo.

 

Art. 39. Estão excepcionados da regra do artigo anterior os ativos de TIC móveis ou portáteis.

 

Parágrafo único. Consideram-se dispositivos móveis equipamentos tais como: notebooks, smartphones, tablets e telefones celulares com interface com computador, devendo o usuário adotar as seguintes recomendações:

 

ao se deslocar em veículo particular ou oficial, acondicionar seu notebook no porta-malas ou em local não visível;

em locais públicos deverá manter o notebook próximo e sempre à vista, evitando-se distanciar do equipamento;

em hotéis ou hospedarias, preferencialmente, guardar o notebook no cofre do seu apartamento;

avaliar se nas pequenas viagens é realmente necessário portar o notebook.

 

Art. 40. Os Microcomputadores, seus acessórios de multimídia, o software de leitura de tela e sua respectiva licença, utilizados por Servidores com Deficiência Visual, seguirão com seus respectivos usuários em casos de mudanças de lotação.

 

Parágrafo único. Caberá à DGTEC:

 

o gerenciamento e as providências cabíveis para a viabilização do deslocamento do referido equipamento, bem como de sua manutenção;

a substituição do equipamento, sempre que se fizer necessário, ou quando o mesmo se tornar obsoleto em relação aos demais equipamentos da Serventia ou unidade em que o Servidor estiver lotado.

 

Art. 41. As alterações de lotação, exonerações ou aposentadorias dos servidores com deficiência visual, que utilizem softwares leitores de tela, deverão ser imediatamente comunicadas pela Unidade de Origem ao Departamento de Desenvolvimento de Pessoas (DEDEP), da Diretoria-Geral de Gestão de Pessoas (DGPES), que providenciará abertura de solicitação de serviços para a DGTEC providenciar o cancelamento ou transferências de acesso, bem como de outras providências que se fizerem necessárias para a garantia da acessibilidade nos locais de trabalho.

 

Parágrafo Único. Caberá ao DEDEP o acompanhamento dos procedimentos previstos neste Ato.

 

Art. 42. Os Titulares da função de Direção de Serventia, os Responsáveis pelo Expediente, os Secretários de Órgãos Julgadores e os Chefes de Serviço serão responsáveis pela garantia do cumprimento do previsto neste Ato, bastando para tanto informar à DGTEC sobre as possíveis intercorrências ou atrasos na disponibilização dos equipamentos relacionados no artigo 40 deste Ato Normativo.

 

Parágrafo Único. Nos casos previstos no caput deste artigo, caberá à DGTEC comunicar os fatos ao DEDEP, para o acompanhamento e possíveis providências relacionadas com os aspectos atinentes à acessibilidade e a ambientação deste Servidor.

 

Art. 43. É vedada a conexão de dispositivos móveis, na rede corporativa sem a prévia verificação contra softwares maliciosos e sem a adequada atualização do software antivírus e do sistema operacional.

 

§ 1º. A DGTEC prestará o suporte necessário para tal desinfecção e atualização, através da abertura de ordem de serviço.

 

§ 2º. A DGTEC recomenda que os dispositivos móveis, de propriedade do PJERJ, cedidos a Magistrados e funcionários, sejam conectados à rede corporativa pelo menos uma vez por mês, a fim de que se mantenham atualizados e operacionais.

 

Art. 44. A verificação de softwares maliciosos, a atualização do antivírus e do sistema operacional deverá ser observada também fora da rede do TJERJ com o objetivo de evitar o acesso não autorizado e a divulgação de informações armazenadas nos dispositivos móveis.

 

 

CAPÍTULO IV

DO CONTROLE DE SOFTWARE

 

Art. 45. A DGTEC realizará o controle de todos os softwares, inclusive os respectivos licenciamentos, instalados em dispositivos de propriedade do PJERJ ou de terceiros que estejam conectados à rede corporativa ou em uso no ambiente do PJERJ.

 

§ 1º. Todo software deve possuir uma "licença de uso" ou um "certificado de autenticidade".

 

§ 2º. Todo software caracterizado como "software livre" não necessita de licença de uso, mas deverá seguir os procedimentos descritos nesta norma.

 

Art. 46. É vedada a utilização, a instalação e a desinstalação de softwares de qualquer procedência sem a prévia autorização da DGTEC.

 

Parágrafo único. A DGTEC poderá revogar a autorização, a qualquer tempo, e realizar a desinstalação do software caso identifique irregularidades ou deficiências no licenciamento, atualizações ou, se por qualquer motivo, verificar não ser conveniente sua utilização.

 

Art. 47. Os sistemas operacionais, demais softwares e firmwares dos equipamentos conectados à rede do PJERJ devem estar atualizados em suas últimas versões.

 

Parágrafo Único. Caso haja incompatibilidade entre as aplicações corporativas instaladas e as atualizações de fabricantes, a DGTEC deve priorizar a atualização das aplicações corporativas de forma a torná-las compatíveis o mais breve possível.

 

Art. 48. A utilização, por qualquer usuário, de software não autorizado ou não adquirido legalmente, caracteriza infringência à lei.

 

Parágrafo único. A detecção de software não autorizado implicará na desinstalação imediata pela DGTEC e a apuração de responsabilidade com adoção de providências cabíveis.

 

Art. 49. A DGTEC deve manter e disponibilizar ao público interno catálogo com todos os softwares homologados, contendo, no mínimo, nome, versão, tipo de licença e descrição resumida de suas funcionalidades e usos.

 

§ 1º. Deve se dar preferência ao uso de softwares gratuito, visando atender ao princípio da economicidade.

 

§ 2º. A DGTEC avaliará pedidos justificados de usuários para instalação de softwares catalogados, considerando a necessidade para a atividade jurisdicional e a disponibilidade de licenciamento.

 

Art. 50. Os usuários poderão solicitar, justificadamente, a homologação de software gratuito para uso corporativo não catalogado, cabendo à DGTEC a análise técnica necessária e, se for o caso, aprovação para instalação.

 

Parágrafo único. A análise técnica realizada pela DGTEC para a homologação do software, compreenderá a verificação de compatibilidade e riscos para o ambiente corporativo do PJERJ e a adequação às atividades da prestação jurisdicional, além de outros aspectos que julgar relevantes.

 

Art. 51. Os usuários poderão solicitar aquisição de softwares não gratuitos para uso corporativo, dos quais o PJERJ ainda não possua licença para utilização, devendo para isso seguir as normas e rotinas administrativas vigentes no PJERJ relativas a contratações.

 

Art. 52. A DGTEC fornecerá suporte técnico - limitado à instalação, à desinstalação e à verificação de problemas de execução - apenas aos softwares comerciais homologados para uso nos ativos de TIC e SI do PJERJ.

 

Parágrafo único. O suporte ao uso do software poderá ser excepcionalmente fornecido após avaliação da demanda pela DGTEC.

 

Art. 53.A DGTEC não fornecerá suporte ou manutenção a arquivos ou objetos produzidos com uso de softwares comerciais, tais como planilhas, bancos de dados e outros.

 

Art. 54. Caberá à unidade ou ao usuário de um sistema corporativo, a responsabilidade pela inserção, alteração, exclusão, manutenção, fidedignidade, publicidade e se for o caso, confidencialidade dos dados e informações.

 

Parágrafo único. Será de incumbência do titular da unidade ou da Administração Superior solicitar a DGTEC que conceda, altere ou retire o acesso de qualquer usuário interno ou externo, se for o caso, no respectivo sistema.

 

Art. 55. A correção, ajuste ou carga, pela DGTEC, de dados em qualquer sistema corporativo por solicitação do usuário, só poderá ser realizada quando da impossibilidade de ser implementada no próprio sistema pelo usuário e com a autorização do Juiz Auxiliar da Presidência ou do Diretor-Geral responsáveis pela unidade ou pelo sistema em questão.

 

§ 1º. A autorização mencionada no caput deste artigo poderá ser delegada expressamente aos Diretores de Departamento ou Divisão e deverá ser realizada através de expediente, processo administrativo, solicitação de serviço ou e-mail, devidamente registrado.

 

§ 2º. A DGTEC deverá registrar, arquivar e controlar as solicitações e as respectivas autorizações.

 

Art. 56. As alterações de banco de dados decorrentes de migrações, atualizações de versões, ou o mau funcionamento de alguma rotina de sistema corporativo, que não seja solicitada pelo usuário, deverá ser corrigida diretamente pela DGTEC, com a autorização de seu Diretor-Geral.

 

§ 1º. A autorização mencionada no caput deste artigo poderá ser delegada expressamente aos Diretores de Departamento ou Divisão.

 

§ 2º. A DGTEC deverá registrar e controlar as solicitações e respectivas autorizações.

 

§ 3º. Caso o usuário solicite somente uma alteração de sistema e a DGTEC identifique que para executá la terá que alterar também o banco de dados, ela deverá cientificar a área usuária da realização da alteração e pedir a autorização ao Diretor-Geral.

 

 

CAPÍTULO V

DO CONTROLE DE DESENVOLVIMENTO DE SOFTWARE

 

Art. 57. O desenvolvimento de aplicativos é de competência exclusiva da DGTEC ou de prestadores de serviço sob sua supervisão.

 

§ 1º. Sempre que possível, deve se preferir a utilização de sistemas corporativos, visando garantir a segurança e integridade das informações e do sistema, assim como da documentação, sustentação, integração e compatibilidade com o ambiente tecnológico existente.

 

§ 2º. Caso exista a necessidade de desenvolvimento de novos softwares, a DGTEC deverá ser informada para que, em parceria com as áreas demandantes envolvidas, seja elaborado o estudo de viabilidade.

 

 

SEÇÃO I

DO GERENCIAMENTO DE AUTENTICAÇÃO

 

Art. 58. O desenvolvimento de novos sistemas de informação deve seguir as seguintes práticas para o gerenciamento da autenticação:

 

evitar que os formulários carreguem automaticamente informações de autenticação, como usuários e senhas;

efetuar todos os controles de autenticação do lado do servidor, não do cliente;

solicitar no mínimo as informações da senha antiga, da senha nova e a confirmação da senha nos campos de troca de senha;

ser criptografado todo o trânsito de credenciais de acesso;

não revelar a senha cadastrada para o usuário nas funções de "Esqueci minha senha", pois isso implica em gravá-la em texto claro no banco de dados;

não armazenar senhas em formato aberto, devendo ser armazenado apenas o "hash", se a aplicação gerenciar um repositório de credenciais. Para gerar os hashes das senhas, deve-se utilizar um algoritmo como o SHA1 ou superior;

não armazenar senhas diretamente no código fonte;

utilizar somente requisições do tipo "POST" para tratamento de credenciais de autenticação;

implementar parâmetros de senha fortes configuráveis como por exemplo, tamanho mínimo de senha, quantidade de tentativas antes de bloquear a conta, histórico de senhas, tempo mínimo para troca de senha, tempo máximo para troca de senha, etc.

 

 

SEÇÃO II

DO GERENCIAMENTO DE SESSÕES

 

Art. 59. O desenvolvimento de novos sistemas de informação deve seguir as seguintes práticas quanto ao gerenciamento de sessões:

 

não indicar qual parte da autenticação está errada (se o usuário ou a senha), nas mensagens de erro de autenticação.

trazer uma mensagem de erro idêntica, independente de qual parte esteja errada;

utilizar os gerenciadores de sessão padrão da linguagem de programação utilizada;

invalidar todas as sessões quando o usuário efetuar logoff do sistema;

estar presente em todas as páginas autenticadas, o botão de "sair" (logoff);

estabelecer um tempo de inatividade, para que uma sessão não fique aberta por tempo indeterminado;

não divulgar o ID da sessão diretamente na URL, em mensagens de erro ou logs, em ambientes de produção.

garantir, quando um usuário fizer login no sistema, que seja gerada uma nova sessão e um novo ID de sessão, sendo esses dados únicos e suficientemente longos e aleatórios, para evitar reuso de sessão e descoberta através de método de tentativa e erro;

implementar controle de sessão, de modo que um usuário não possa ter mais do que uma sessão ativa. Caso uma nova sessão seja aberta, a sessão antiga deve ser invalidada;

revalidar a sessão de tempos em tempos, devendo este tempo ser definido internamente, nos casos em que as sessões durem um longo período;

apresentar faixas de horário de autenticação, não permitindo que usuários autentiquem no sistema fora do horário especificado, nas aplicações em que for pertinente.

 

 

SEÇÃO III

DO GERENCIAMENTO DE ACESSO

 

Art. 60. O desenvolvimento de novos sistemas de informação deve seguir as seguintes práticas quanto ao gerenciamento de acesso:

 

estar preparado para trabalhar no modo "fail-secure", ou seja, em caso de falhas, o acesso seja bloqueado, quando ocorrer alguma falha no controle de acesso;

restringir o acesso às URL's, funções, referências, serviços e dados somente a usuários autorizados;

permitir que apenas usuários com os devidos privilégios possam alterar as configurações de segurança;

possuir perfis de acesso que sejam customizáveis pelos administradores.

 

 

SEÇÃO IV

DA CRIPTOGRAFIA

 

Art. 61. O desenvolvimento de novos sistemas de informação deve seguir as seguintes práticas quanto à utilização de criptografia:

 

ser implementadas funções de criptografia no lado do servidor para proteger os dados sensíveis das aplicações;

proteger a senha mestre e as chaves privadas contra acessos não autorizados.

 

 

SEÇÃO V

DO TRATAMENTO DE ERROS E LOG'S

 

Art. 62. O desenvolvimento de novos sistemas de informação deve seguir as seguintes práticas quanto ao tratamento de erros e logs:

 

apresentar mensagens de erro genéricas exibidas na tela e não devem mostrar informações sensíveis sobre a infraestrutura ou lógica da aplicação. Essas informações devem estar disponíveis apenas nos arquivos de logs no servidor;

personalizar as páginas de erro;

ter capacidade de realizar o correto gerenciamento de memória da aplicação desenvolvida;

ter acesso aos logs apenas por pessoas autorizadas (administradores do ambiente e desenvolvedores);

não incluir em logs e mensagens de erro os identificadores de sessão e senhas;

registrar todas as tentativas de autenticação, tendo resultado em sucesso ou não;

registrar em logs as tentativas de conexão com tokens de sessões inválidas ou expiradas;

fechar periodicamente o arquivo com os logs, não recebendo mais registros. Um novo arquivo de log deve ser criado. O arquivo anterior deve ter seu nome alterado para facilitar a sua localização e evitar que seja duplicado. O hash desse arquivo deve extraído e armazenado de forma segura e em local distinto do arquivo original, para controle de integridade do arquivo de log;

A aplicação deve ser capaz de gerar trilha de auditoria para que haja rastreamento das ações realizadas pelos usuários.

ter capacidade de registrar na trilha gerada tanto informações de login, gerenciamento de acessos (troca de senha, alteração de perfil), logoff, quanto informações de alterações sistêmicas, como por exemplo, o que foi alterado (campo e/ou valor), quando foi alterado (timestamp), quem fez a alteração (login), de onde foi feita a alteração (IP e/ou hostname), qual era o valor anterior (manter todos os registros, não apenas o último antes da alteração) e o valor para o qual foi alterado.

 

 

SEÇÃO VI

DA SEGURANÇA NAS TRANSMISSÕES

 

Art. 63. O desenvolvimento de novos sistemas de informação deve seguir as seguintes práticas quanto à segurança nas transmissões:

 

realizar através de algoritmos de criptografia seguros (TLS 1.1 ou superior), todo o tráfego de informações sensíveis;

validar com nome de domínio correto, dentro do prazo de validade e instalados adequadamente os certificados emitidos, para as aplicações acessíveis pela internet;

proteger, sempre que possível, por conexão TLS 1.1 ou superior para toda a informação sensível.

 

 

SEÇÃO VII

DA SEGURANÇA NAS CONFIGURAÇÕES

 

Art. 64. O desenvolvimento de novos sistemas de informação deve seguir as seguintes práticas quanto a configuração do sistema:

 

gerir adequadamente as versões dos aplicativos instalados nos servidores que fornecem a infraestrutura para a aplicação;

desativar as funcionalidades de listagem de diretórios;

remover todas as funcionalidades e arquivos desnecessários;

remover o código de teste ou outra funcionalidade desnecessária em ambiente de produção;

utilizar ferramenta de controle de versão;

desabilitar ou alterar as senhas default e as contas default dos aplicativos;

não configurar senhas em texto claro nos arquivos de configuração no servidor (ex. arquivos .conf, .xml, etc).

 

 

SEÇÃO VIII

DA SEGURANÇA NOS BANCOS DE DADOS

 

Art. 65. O desenvolvimento de novos sistemas de informação deve seguir as seguintes práticas quanto a segurança em banco de dados:

 

utilizar validação de dados de entrada e em caso de falha, não executar o comando no banco de dados;

possuir o mínimo de privilégio possível para acesso ao banco de dados;

não armazenar as informações de conexão na própria aplicação, devendo ser armazenadas em arquivo separado, com conteúdo criptografado e acesso somente a pessoal autorizado;

não utilizar as contas default para administrar os bancos de dados;

ter senhas fortes para os usuários de conexão aos bancos de dados, obedecendo aos parâmetros de senhas seguras.

salvar os dados em um local diferente de onde a aplicação está localizada;

não exibir os caminhos completos dos arquivos durante a transmissão ou armazenamento dos arquivos;

verificar por um antivírus os arquivos que possam conter vírus, antes de serem armazenados.

 

 

SEÇÃO IX

DAS PRÁTICAS GERAIS DE CODIFICAÇÃO

 

Art. 66. O desenvolvimento de novos sistemas de informação deve seguir as seguintes práticas gerais de codificação:

 

sempre que possível, utilizar funções, bibliotecas e códigos já disponíveis e testados;

contar com mecanismos nas aplicações, que previnam condições de concorrência, evitando requisições simultâneas e situações semelhantes;

realizar sempre o tratamento dos dados adequadamente, antes de transferir as entradas dos usuários para qualquer função;

limitar a geração e a alteração de código aos usuários privilegiados devendo também se limitar o mínimo possível dentro da própria aplicação.

 

 

SEÇÃO X

DO ACESSO AO CÓDIGO FONTE

 

Art. 67.O acesso ao código-fonte das aplicações deve ser restrito somente aos desenvolvedores das aplicações.

 

Art. 68. As equipes da área de segurança da informação devem utilizar uma solução de repositório central de versões, em que somente pessoas autorizadas possuam acesso aos arquivos contendo os códigos-fonte de todas as aplicações.

 

Parágrafo único. Esse repositório deve concentrar todos os códigos fonte, pacotes de melhoria, scripts de bancos de dados, arquivos de novas versões, entre outros.

 

Art. 69. A ferramenta deve fornecer logs detalhados de quem fez acessos aos arquivos e quais foram as alterações realizadas.

 

Parágrafo único. A ferramenta também deve dar a possibilidade de restaurar versões antigas dos arquivos alterados, fazendo o controle de versão dos arquivos.

 

 

SEÇÃO XI

DOS TESTES DE SEGURANÇA

 

Art. 70. Após a conclusão do desenvolvimento de um novo sistema, manutenções evolutivas ou uma correção em um sistema já existente, a área de Segurança da Informação da DGTEC deverá ser comunicada para que um teste de segurança mais aprofundado possa ser realizado.

 

§ 1º. Entre os testes autorizados a serem realizados, estão os seguintes:

injeção de código;

autenticação;

Integração XML;

perfis de acesso;

erros de configuração de segurança;

Cross Site Script;

falta de logs e monitoramento.

 

§ 2º. Além dos testes sugeridos no parágrafo anterior, outros poderão ser desenvolvidos pela equipe de Segurança da Informação baseado no conhecimento sobre o projeto e nos requisitos de segurança solicitados.

 

§ 3º. Excepcionalmente, os testes previstos neste artigo podem ser dispensados, desde que autorizado pelo Presidente do PJERJ, após análise da motivação e dos riscos pela dispensa que devem ficar registrados.

 

Art. 71. Todo o procedimento realizado deve ser devidamente documentado e os resultados devem ser compartilhados com as equipes da área de Segurança da Informação e de desenvolvimento, para que os itens identificados como falhas sejam corrigidas.

 

Parágrafo único. Após a sinalização da correção dos itens pelo Departamento de Desenvolvimento (DESIS), da DGTEC, os itens deverão ser testados novamente, para garantir a efetividade da correção proposta.

 

 

CAPÍTULO VI

DO MONITORAMENTO DE ATIVOS

 

Art. 72. Os ativos de TIC e SI, assim como sua utilização, poderão ser monitorados e auditados pela DGTEC - inclusive com inspeção física - a fim de apurar o uso indevido, prevenir ameaças ou solucionar incidentes relacionados à Segurança da Informação do PJERJ.

 

Art. 73. O PJERJ poderá implantar sistemas de monitoramento, auditoria em estações de trabalho, computadores servidores, correio eletrônico, internet, componentes de rede e outros ativos de TIC e SI para permitir identificação de usuários, acessos efetuados e atividades realizadas.

 

Art. 74. O PJERJ deverá implantar sistemas de proteção para garantir a segurança das informações e dos perímetros de acesso.

 

Art. 75. O PJERJ deverá tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso de exigência judicial ou por deliberação do CGSI, aprovado pelo Presidente do PJERJ.

 

Art. 76. A DGTEC deverá desinstalar, a qualquer tempo, qualquer software ou sistema que represente risco ou esteja em desconformidade com as políticas, normas e procedimentos vigentes.

 

 

CAPÍTULO VI

DAS DISPOSIÇÕES FINAIS

 

Art. 77. Os casos omissos nesta norma serão encaminhados ao CGTIC ou ao CGSI para a devida avaliação e posteriormente, se for o caso, ao Presidente do PJERJ, para deliberação.

 

Art. 78. O presente Ato Normativo entrará em vigor na data de sua publicação, revogadas as disposições em contrário, em especial os Atos Normativos n.º 27 e 28, de 2011.

 

                  

 

Rio de Janeiro, 03 de outubro de 2019.

 

 

Desembargador CLAUDIO DE MELLO TAVARES

Presidente do Tribunal de Justiça do Estado do Rio de Janeiro

 

ANEXOS

 

 

Este texto não substitui o publicado no Diário Oficial.