ATO NORMATIVO TJ Nº 50/2024

 

Estabelece as normas para Gestão de Segurança da Informação (GSI) do Poder Judiciário do Estado do Rio de Janeiro e dá outras providências.

 

O PRESIDENTE DO TRIBUNAL DE JUSTIÇA DO ESTADO DO RIO DE JANEIRO, Desembargador Ricardo Rodrigues Cardozo, no uso de suas atribuições legais;

 

CONSIDERANDO o que dispõe a Lei Federal nº 12.527, de 18/11/2011, que regula o acesso a informações, previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal;

 

CONSIDERANDO o que dispõe a Lei Federal nº 13.709, de 14/08/2018, sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet);

 

CONSIDERANDO o que dispõe a Resolução nº 522/2023, de 18/09/2023, do Conselho Nacional de Justiça - CNJ, que instituiu o Modelo de Requisitos para Sistemas Informatizados de Gestão de Processos e Documentos do Poder Judiciário (MOREQ-JUS);

 

CONSIDERANDO o que dispõe a Resolução nº 370/2021, de 28/01/2021, do Conselho Nacional de Justiça - CNJ, que instituiu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD);

 

CONSIDERANDO o que dispõe a Resolução nº 215/2015, de 16/12/2015, do Conselho Nacional de Justiça - CNJ, sobre o acesso à informação e a aplicação da Lei nº 12.527 no âmbito do Poder Judiciário;

 

CONSIDERANDO o que dispõe a Resolução TJ/OE nº 34/2014, de 24/11/2014, que aprova o Programa de Gestão Documental do Poder Judiciário do Estado do Rio de Janeiro - PROGED/PJERJ;

 

CONSIDERANDO o que dispõe a Resolução TJ/OE nº 9/2017, de 07/08/2017, que institui a Estratégia de Tecnologia da Informação e Comunicação do Poder Judiciário do Estado do Rio de Janeiro;

 

CONSIDERANDO o que dispõe a Resolução TJ/OE nº 3/2024, de 05/03/2024, que altera a Resolução TJ/OE nº 09/2017 que institui a Estratégia de Tecnologia da Informação e Comunicação do Poder Judiciário do Estado do Rio de Janeiro;

 

CONSIDERANDO o que dispõe a Resolução TJ/OE nº 28/2022, de 04/10/2022, que institui a Estratégia de Segurança da Informação do Poder Judiciário do Estado do Rio de Janeiro;

 

CONSIDERANDO o que dispõe a Resolução TJ/OE nº 4/2024, de 05/03/2024, que altera a Resolução TJ/OE nº 28/2022 que institui a Estratégia de Segurança da Informação do Poder Judiciário do Estado do Rio de Janeiro;

 

CONSIDERANDO o que dispõe o Ato Normativo nº 8/2018, de 22/05/2018, sobre o Serviço de Informação ao Cidadão, do Acesso às Informações do Poder Judiciário do Estado do Rio de Janeiro e dá outras providências;

 

CONSIDERANDO o que dispõe a Resolução TJ/OE nº 9/2024, de terça-feira, 02/04/2024, que Institui a Política de Segurança da Informação (PSI) do Poder Judiciário do Estado do Rio de Janeiro;

 

CONSIDERANDO o disposto no Processo Administrativo nº 2024-06088832;

 

RESOLVE:

 

TÍTULO I

DAS DISPOSIÇÕES INICIAIS

 

Art. 1º. A Gestão da Segurança da Informação no âmbito do Poder Judiciário do Estado do Rio de Janeiro (PJERJ) será disciplinada, de acordo com a sua classificação e relevância, pelo presente Ato Normativo.

 

Art. 2º. O PJERJ é titular de toda informação documentada produzida ou recebida no âmbito deste Poder, relacionadas às atividades institucionais.

 

Art. 3º. As informações produzidas por usuários, no exercício de suas funções, são patrimônio intelectual do PJERJ, não cabendo a seus criadores qualquer forma de direito autoral.

 

Art. 4º. Quando as informações forem produzidas por terceiros para uso exclusivo do PJERJ, a obrigatoriedade do seu sigilo e propriedade deve ser estabelecida em instrumento adequado, respeitada a legislação vigente.

 

Parágrafo único. Caso as informações de propriedade de terceiros não sejam produzidas exclusivamente para uso deste Poder, caberá ao PJERJ apenas o controle das informações para garantir a sua segurança.

 

Art. 5º. O acesso à informação sob o domínio do PJERJ seguirá o princípio do privilégio mínimo, ou seja, serão concedidas permissões necessárias e suficientes para que um usuário possa realizar suas atividades, por um tempo limitado e com os direitos mínimos necessários para tarefas.

 

Art. 6º. As informações mencionadas neste Título possuem valor e deverão ser protegidas para permitir o uso adequado à consecução dos objetivos institucionais, por meio de atividades operacionais e de negócio.

 

Art. 7º. As informações devem ser classificadas e protegidas de acordo com o respectivo grau de sigilo e sensibilidade, respeitando o ciclo de vida dos documentos em suas fases corrente, intermediária e permanente, exigido pelas atividades do PJERJ, independente do suporte da informação.

 

Art. 8º. O tratamento da informação deve seguir os parâmetros estabelecidos na Resolução CNJ nº 522 e na Resolução TJ/OE nº 34/2014, ou legislação superveniente.

 

Parágrafo único. A Classificação e o Tratamento das informações serão disciplinados em Ato específico.

 

TÍTULO II

DA GESTÃO DE SEGURANÇA DA INFORMAÇÃO

 

Art. 9º. Além do conjunto normativo adotado pelo PJERJ, a gestão de segurança da informação deverá se pautar pelos procedimentos de boas práticas, baseados na biblioteca ITIL (Information Technology Infrastructure Library), nas normas ABNT ISO/IEC 27001, ABNT ISO/IEC 27002, ABNT ISO/IEC 27005 e ABNT ISO/IEC 27701 e COBIT 2019.

 

Art. 10. Caberá ao Comitê de Governança de Segurança da Informação (CGSI) e ao Comitê Gestor de Proteção de Dados Pessoais (CGPDP) propor à Presidência as diretrizes, políticas, ações de melhoria da segurança da informação no âmbito do PJERJ, encaminhadas pelo Departamento de Segurança da Informação (DESEG).

 

Art. 11. O CGSI, até a última reunião do ano vigente, proporá a agenda do próximo exercício.

 

§ 1º. As reuniões poderão ser presenciais ou virtuais.

 

§ 2º. A agenda do exercício poderá ser adequada ao longo do ano de acordo com o aparecimento de novas demandas.

 

§ 3º. As priorizações de ações da área de segurança da informação deverão ser deliberadas preferencialmente na primeira reunião de cada exercício do CGSI, refletindo as demandas da Alta Administração.

 

§ 4º. As deliberações do CGSI se darão por maioria de votos de seus membros.

 

§ 5º. O DESEG deverá encaminhar ao CGSI o Plano de Segurança da Informação, até a última reunião do ano corrente, para aprovação.

 

§ 6º. O Plano de Segurança da Informação é um documento de planejamento anual e deverá ser composto de:

 

I - Análise de Riscos de Segurança da Informação e TIC;

 

II - Plano de Comunicação Institucional de Segurança da Informação;

 

III - Planejamento de Ações e Melhorias para o ano seguinte; e

 

IV - Plano de Capacitação da Equipe de Segurança da Informação.

 

§ 7º. O CGSI deve apreciar o Plano de Segurança da Informação, em reunião específica, e aprovar ou alterá-lo conforme demandas da Alta Administração.

 

Art. 12. A segurança da informação em meio eletrônico deve englobar processos de infraestrutura de TIC e desenvolvimento de aplicações.

 

Art. 13. A resposta a incidentes de segurança no âmbito do PJERJ compete à DESEG, auxiliada pela SGTEC (Secretaria-Geral de Tecnologia da Informação) e/ou pela SGSEI (Secretaria-Geral de Segurança Institucional), conforme o caso.

 

§ 1º. A SGSEI auxiliará quando o incidente envolver processos ou procedimentos físicos com pessoas em qualquer instalação do PJERJ.

 

§ 2º. A SGTEC auxiliará quando o incidente envolver processos ou procedimentos eletrônicos com pessoas ou ativos de TIC.

 

Art. 14. Todos os contratos, convênios e acordos deverão ter cláusulas que estabeleçam a observância da Política de Segurança da Informação e Política de Privacidade, de acordo com a Lei Geral de Proteção de Dados.

 

Art. 15. As metas a serem alcançadas incluem:

 

I - realizar, pelo menos, uma análise crítica anual da Política de Segurança da Informação e dos controles de segurança, a fim de identificar e implementar melhorias;

 

II - manter um plano de tratamento de riscos atualizado, com a identificação e implementação de medidas para reduzir os riscos identificados a níveis aceitáveis;

 

III - garantir que 100% das contratações de serviços e aquisições de produtos de TIC contemplem requisitos de segurança da informação compatíveis com as diretrizes desta Política;

 

IV - estabelecer e monitorar indicadores de desempenho e eficácia dos controles de segurança da informação, a fim de identificar áreas de melhoria e garantir o alinhamento com os objetivos e metas estabelecidos no ato.

 

CAPÍTULO I

DA GESTÃO DE SEGURANÇA TECNOLOGIA DA INFORMAÇÃO

 

SEÇÃO I

DA GESTÃO DE INFRAESTRUTURA DE TIC

 

Art. 16. Compete à SGTEC em relação aos recursos que compõem a infraestrutura de TIC e SI do PJERJ:

 

I - Operação e Gestão de Computadores servidores, unidades de armazenamento, incluindo serviços em nuvem;

 

II - Operação e Gestão de Bancos de Dados;

 

III - Operação e Gestão dos Recursos de Rede e Segurança, como switches, firewall, proxy, IPS, entre outros;

 

IV - Gestão e Suporte de computadores, impressoras, dispositivos móveis e outros destinados ao usuário final.

 

 

Art. 17. Compete ao DESEG a gestão e supervisão dos recursos de infraestrutura relacionados à Segurança da Informação, bem como gestão das configurações de segurança dos demais ambientes de TIC e serviços em nuvem.

 

Parágrafo único. Compete ao DESEG a auditoria e avaliação das configurações de todos os recursos mencionados no caput das regras.

 

Art. 18. Qualquer demanda que implique alteração da configuração da infraestrutura de TIC estará condicionada à avaliação e autorização prévia pela SGTEC, com anuência do DESEG.

 

Parágrafo único. A mudança deverá ser submetida para apreciação na forma padrão determinada em normas pertinentes, incluindo justificativas, análise de riscos, plano de reversão e outras informações que a SGTEC julgar necessárias.

 

Art. 19. A administração do Centro de Processamento de Dados (CPD ou Data Center) observará, obrigatoriamente, as melhores práticas de mercado e aquelas recomendadas pelos fabricantes das tecnologias em uso, e utilizará mão de obra qualificada, com perfil técnico adequado. Para os serviços em nuvem, deverão ser cumpridas as normas da Política de Segurança de Serviços em Nuvem.

 

Art. 20. A função de administrador do CPD e do sistema de autenticação forte para acesso físico às suas dependências deverá ser atribuída exclusivamente a servidor público efetivo, preferencialmente vinculado à área de infraestrutura de TIC.

 

Art. 21. Os sistemas elétrico e de refrigeração do CPD deverão ter funcionamento pleno e ininterrupto, devendo a área do PJERJ responsável por sua manutenção emitir anualmente relatórios com informações relativas ao seu estado de funcionamento, a ser encaminhado ao CGSI.

 

SUBSEÇÃO I

DA GESTÃO DE SERVIDORES

 

Art. 22. Os ativos de processamento e de armazenamento de dados do PJERJ deverão ser instalados em sala-cofre segura, que disponha de mecanismos de monitoração visual por câmeras e que mitiguem, no mínimo, os seguintes riscos de segurança de natureza física:

 

I - condições ambientais adversas;

 

II - desastres naturais;

 

III - incêndios;

 

IV - variações de temperatura; e

 

V - acesso indevido.

 

§ 1º. A sala-cofre segura de que trata este artigo deve dispor de controles de corrente elétrica (rede estabilizada), temperatura, umidade e acesso físico restrito por meio de mecanismo de autenticação forte.

 

§ 2º. A credencial de acesso assim como o cadastramento de biometria para acesso físico contínuo à sala-cofre segura deverá seguir o critério de exceção de forma que só devem possuí-lo as pessoas que necessitem expressamente de tal acesso.

 

§ 3º. Para os serviços em nuvem, deverão ser cumpridas as normas da Política de Segurança de Serviços em nuvem.

 

Art. 23. O DESEG será responsável pela execução do programa de gestão de vulnerabilidades, devendo executar varreduras e outros métodos para detecção de vulnerabilidade em todos os ativos. Após a detecção, será proposto plano de ação para tratamento das ocorrências encontradas.

 

§ 1º. O Programa de Gestão de Vulnerabilidades deverá contemplar, no mínimo, as seguintes atividades:

 

I - Inventário de Ativos;

 

II - Classificação dos Ativos, conforme a criticidade e risco;

 

III - Varredura e Detecção de Vulnerabilidades;

 

IV - Classificação e Plano de Mitigação;

 

V - Acompanhamento;

 

VI - Validação;

 

VII - Lições Aprendidas.

 

§ 2º. Após aplicadas correções disponíveis para vulnerabilidades, deverão ser realizados testes - conforme escopo e regra previamente definidos - para verificação de sua eficácia e da funcionalidade dos ativos de TIC que as receberam.

 

§ 3º. A impossibilidade de se corrigir determinada vulnerabilidade deve ser documentada e fundamentada - inclusive com informações de eventuais soluções de contorno.

 

Art. 24. Para que o PJERJ possa garantir a prestação jurisdicional essencial, deve-se garantir que, no mínimo, os sistemas e serviços críticos estejam hospedados em infraestrutura de servidores e armazenamento que disponha de segurança física e lógica com tolerância a falhas e redundância de processamento, rede de comunicação, armazenamento e sistemas elétricos e de refrigeração.

 

Art. 25. Os equipamentos que estejam instalados na sala-cofre segura, ainda que não estejam sendo utilizados em qualquer fase do ciclo de vida, deverão possuir monitoramento que permita identificar falhas, quando o equipamento fica inacessível, e falhas de componentes físicos, tais como memória, disco, processador e interfaces de rede.

 

Art. 26. A infraestrutura de servidores e equipamentos de armazenamento deverá ser segregada em desenvolvimento, treinamento, homologação e produção.

 

§ 1º. O ambiente de produção não deve ser compartilhado e utilizado para demandas que não se caracterizem como tal.

 

§ 2º. O ambiente de produção só deve ser acessado por pessoas autorizadas e com conta de acesso válida no sistema de gerenciamento de identidade.

 

§ 3º. O ambiente de homologação deve ser o máximo possível semelhante ao de produção, sendo indispensável a mesma arquitetura e configuração, de forma a permitir que seja utilizado como referência de funcionamento.

 

§ 4º. O ambiente de homologação não pode ser acessível via Internet.

 

§ 5º. Informações e documentos produzidos no ambiente de homologação não têm validade jurídica.

 

§ 6º. Sempre que possível, os dados utilizados para os testes nos ambientes de desenvolvimento e homologação devem ser anonimizados, não sendo permitido o uso de dados dos ambientes de produção.

 

Art. 27. A disponibilização de novas versões de sistemas em ambiente de produção deve ser controlada e gerenciada através do processo de gestão de mudanças e liberação e precedida por controle de qualidade realizado em ambiente de homologação que avalie no mínimo:

 

I - o resultado dos testes de funcionalidade;

 

II - o impacto gerado na capacidade do ambiente após execução de testes de carga;

 

III - eventuais riscos, incluindo os de segurança, decorrentes da mudança;

 

IV - Testes de Segurança da Informação.

 

Art. 28. O acesso aos computadores servidores, equipamentos de armazenamento, softwares de gerenciamento e de camada de aplicação, sistemas operacionais, serviços de infraestrutura de rede estará submetido às políticas de controle de acesso vigentes no PJERJ.

 

SUBSEÇÃO II

DA GESTÃO DE ARMAZENAMENTO E REDUNDÂNCIA DA INFORMAÇÃO

 

Art. 29. Os dados e informações dos sistemas corporativos do PJERJ, bem como os documentos relevantes produzidos em ferramentas informatizadas serão armazenados, supervisionados e controlados pela SGTEC, em ambiente que permita redundância e procedimentos periódicos de cópia de segurança.

 

Art. 30. Os equipamentos de armazenamento podem estar fisicamente nas instalações do PJERJ ou em ambiente externo, por contratação de serviços, desde que não haja comprometimento da segurança dos dados e informações, observada a legislação sobre Segurança da Informação vigente.

 

Parágrafo único. Os contratos para armazenamento de informação em ambiente externo deverão conter cláusulas prevendo o atendimento das normas de segurança adotadas pelo PJERJ.

 

Art. 31. Os arquivos de documentos produzidos e utilizados nas atividades institucionais do PJERJ deverão ser armazenados nos recursos de TI disponibilizados pela SGTEC para essa finalidade, como servidores de rede e solução em nuvem, que possuem funcionalidades para garantir a segurança do armazenamento, inclusive cópia de segurança que permita a recuperação de arquivos acidentalmente excluídos.

 

§ 1º. O espaço para armazenamento de dados será limitado com atribuição de quotas para cada unidade do PJERJ cabendo ao usuário a utilização eficiente do recurso, inclusive com a exclusão de arquivos obsoletos ou desnecessários.

 

§ 2º. O responsável pela unidade, ou pessoa por ele indicada, informará os usuários que terão permissão de acesso ao espaço fornecido para armazenamento.

 

§ 3º. Os discos locais das estações de trabalho não devem ser utilizados para armazenamento primário das informações necessárias para as atividades, pois não passam por rotinas de cópias de segurança e não possuem os controles adequados de segurança para serem repositórios principais de informações.

 

§ 4º. É vedado o armazenamento de arquivos pessoais ou quaisquer outros não relacionados às atividades institucionais do PJERJ nos recursos de TI disponibilizados pela SGTEC, que poderá excluí los definitivamente, após comunicação ao usuário e à chefia imediata.

 

§ 5º. É vedado o acesso a partir da rede corporativa do PJERJ a sites e outros recursos de armazenamento de dados e arquivos que não tenham sido disponibilizados ou autorizados pela SGTEC.

 

§ 6º. A SGTEC não se responsabilizará pela perda de dados nas estações de trabalho dos usuários.

 

SUBSEÇÃO III

DAS CÓPIAS DE SEGURANÇA (BACKUP)

 

Art. 32. A SGTEC deverá utilizar recursos adequados para a geração de cópias de segurança que garantam a recuperação de informações e sistemas, armazenados em servidores e storages sob sua responsabilidade, em caso de falhas físicas e lógicas, erros e desastres.

 

Art. 33. O serviço de cópia de segurança deve ser automatizado e executado de forma a não prejudicar as atividades da prestação jurisdicional.

 

Art. 34. A SGTEC poderá utilizar as seguintes tecnologias, isoladamente ou combinadas, a fim de obter maior eficiência na cópia e restauração de informações e sistemas:

 

I - fitas magnéticas;

 

II - Appliance de Backup;

 

III - Storage de Backup;

 

IV - discos rígidos;

 

V - VLT (Virtual Tape Libraries);

 

VI - imagem do ambiente (Snapshots);

 

VII - replicação síncrona e assíncrona;

 

VIII - Sistemas de Armazenamento em Nuvem;

 

IX - Outros meios técnicos de qualidade igual ou superior para atingir a finalidade e que venham a ser criados, desenvolvidos ou aprimorados após a data da publicação deste ato.

 

§ 1º. Qualquer que seja a tecnologia empregada, a cópia de segurança deverá ser gerenciada por uma ferramenta centralizada, homologada pela SGTEC.

 

§ 2º. No caso de utilização de fitas magnéticas, sua administração, manuseio e renovação deverão ser contemplados em normas complementares sobre o serviço, objetivando manter sua segurança e integridade.

 

Art. 35. A ferramenta utilizada para a cópia de segurança (backup) deverá ser mantida atualizada, considerando no mínimo as seguintes características:

 

I - atualizações de correção;

 

II - novas versões;

 

III - ciclo de vida;

 

IV - garantia;

 

V - melhorias.

 

Art. 36. As cópias de segurança deverão ser armazenadas em instalações seguras, controladas, preferencialmente com estrutura de cofres, salas cofre e localização diversa das bases originais.

 

Art. 37. A periodicidade, o tempo de retenção e o tempo de restauração das cópias de segurança devem ser definidos de acordo com o grau de importância da informação e/ou do sistema.

 

Art. 38. As cópias de segurança históricas, especiais ou críticas, exigem regra de retenção especial, a ser prevista em procedimentos específicos, de acordo com normas de classificação da informação pública e determinações fiscais e legais.

 

Art. 39. A execução de rotinas de cópia de segurança (backup) e restauração (restore) deverá ser rigidamente controlada, documentada e auditada, nos termos das normas e procedimentos próprios.

 

Art. 40. A SGTEC deverá garantir que os serviços na nuvem tenham cópia de segurança e restauração previstas em contrato, seguindo as melhores práticas de mercado.

 

Art. 41. A SGTEC deverá executar testes periódicos de restauração para validar a integridade dos dados existentes nas cópias de segurança.

 

Parágrafo único. Revisar, semestralmente, os procedimentos de backup e restauração, a fim de garantir sua eficácia contínua e a conformidade com as mudanças nas normas e regulamentações.

 

SUBSEÇÃO IV

DO BANCO DE DADOS

 

Art. 42. Todo sistema corporativo informatizado do PJERJ, em relação a aspectos de segurança de informação, deverá possuir no respectivo SGBD (Sistema de Gerenciamento de Banco de Dados) somente os privilégios mínimos necessários ao não prejuízo à execução das respectivas regras de negócios definidas em sua construção.

 

§ 1º. A restrição de privilégios deverá ser obtida, quando possível, segregando dentro do respectivo SGBD o usuário a ser utilizado pelo sistema/aplicação do usuário dono das tabelas do respectivo sistema.

 

§ 2º. Revisar, semestralmente, os privilégios de acesso para garantir que os princípios do mínimo privilégio e segregação de funções continuem sendo cumpridos.

 

Art. 43. Todo registro das operações realizadas por usuários de sistemas corporativos do PJERJ, cujo respectivo sistema corporativo armazene no próprio SGBD, deverá ser preservado em tabelas armazenadas separadamente das tabelas do respectivo sistema, de forma protegida e permitindo auditoria de alterações.

 

Parágrafo único. A proteção estabelecida neste artigo estende-se aos registros de auditoria do próprio software de SGBD.

 

Art. 44. O privilégio de administração de SGBD que armazene dados de sistema corporativo do PJERJ, em qualquer meio, deverá estar restrito a SGTEC, e deverá ser auditado e individualizado sempre que possível tecnicamente.

 

Parágrafo único. Na inviabilidade técnica de restrição do presente artigo, devido a requisitos de funcionamento inerentes ao software ou solução de TIC utilizada ou adquirida de terceiros, a administração e a responsabilidade pelo respectivo SGBD deverão ser compartilhadas com o demandante da respectiva solução de TIC.

 

Art. 45. Todo software de SGDB que armazene dados de sistemas corporativos do PJERJ deverá ser mantido atualizado com as correções de segurança disponibilizados pelos respectivos fabricantes do SGBD.

 

Parágrafo único. A respectiva equipe da SGTEC responsável pela administração de bancos de dados deverá manter rotina revisada periodicamente mantendo-a compatível e alinhada com as melhores práticas do mercado e com as recomendações do fabricante do respectivo SGBD.

 

Art. 46. Toda conexão com SGBD que armazene dados de sistemas corporativos do PJERJ somente deverá ser estabelecida através software e componentes homologados e recomendados pelos respectivos fabricantes de SGBD, sempre de forma segura e protegida.

 

Art. 47. Todo SGBD de sistema corporativo do PJERJ deve possuir rotina de cópia de segurança em meio de armazenamento diverso do próprio SGBD.

 

Parágrafo único. A rotina deverá ser implementada e revisada periodicamente para garantir a efetiva recuperabilidade dos dados armazenados, bem como deverá seguir as melhores práticas do mercado e recomendações do respectivo fabricante do SGBD.

 

Art. 48: A SGTEC deve avaliar, mensalmente, os registros de auditoria do SGBD, bem como para relatar e responder a eventos de segurança identificados.

 

SUBSEÇÃO V

DA GESTÃO DE REDES

 

Art. 49. Compete ao DESEG a gestão e à SGTEC a operação de segurança da rede corporativa do PJERJ.

 

Art. 50. A conexão à rede corporativa do PJERJ de qualquer recurso de TIC, inclusive através de VPN (rede privada virtual), deverá ser aprovada pela SGTEC.

 

§ 1º. O DESEG determinará regras, condições e parâmetros para criação e configuração da VPN.

 

§ 2º. Os responsáveis pelos recursos de TIC que se conectarem à rede corporativa do PJERJ obrigam-se a observar as normas pertinentes definidas pelo PJERJ, inclusive quanto à configuração dos recursos.

 

§ 3º. Situações não previstas serão tratadas pelo DESEG.

 

Art. 51. Dispositivos particulares poderão ter acesso a uma sub-rede de visitantes, obedecendo os critérios de segurança da Informação adotados pelo PJERJ e a regulamentação em vigor.

 

Art. 52. Poderá ser bloqueada a conexão à rede corporativa, inclusive a sub-rede de visitantes, caso sejam detectadas ações suspeitas ou que constituam ameaças à segurança da informação.

 

Art. 53. Compete à SGTEC, com a anuência do DESEG, determinar ou autorizar a criação e utilização de redes segregadas utilizando recursos de segmentação lógica.

 

Art. 54. Toda informação trafegada na rede corporativa poderá ser monitorada pela SGTEC e pelo DESEG a fim de se garantir a segurança da informação, em caso de fragilidades, ameaças, ocorridas ou suspeitas.

 

 

TÍTULO III

DA GESTÃO DE CONTINUIDADE DE SERVIÇOS

 

Art. 55. A implantação do processo de Gestão de Continuidade de Serviços busca minimizar os impactos decorrentes de falhas, desastres ou indisponibilidades significativas sobre as atividades do PJERJ, além de recuperar, em um nível aceitável, ativos de informação afetados, por intermédio de ações de prevenção, resposta e recuperação.

 

Art. 56. O TJERJ deverá elaborar e manter Programa de Gestão de Continuidade de Negócios (PGCN), suportado pela Alta Administração, baseado nas melhores práticas e com recursos necessários para:

 

I - garantir que os passos necessários estão sendo tomados de forma a identificar o impacto de perdas em potencial;

 

II - manter estratégias e planos de recuperação;

 

III - garantir a continuidade de fornecimento de produtos e serviços por meio de análises críticas, testes, treinamentos e manutenção.

 

Art. 57. O PGCN do PJERJ deverá ser composto, no mínimo, pelos seguintes Planos, de acordo com as suas necessidades específicas, de forma a assegurar a disponibilidade dos ativos de informação e a recuperação das atividades críticas:

 

I - Plano de Gerenciamento de Incidentes (PGI): plano de ação claramente definido e documentado, a ser usado quando ocorrer um incidente, abrangendo as principais pessoas, órgãos, recursos, serviços e ações necessárias para implementar o processo de gerenciamento de incidentes;

 

II - Plano de Continuidade de Negócios (PCN): documentação dos procedimentos e informações necessárias para que o PJERJ mantenha seus ativos de informação críticos e a continuidade de suas atividades críticas, num nível previamente definido, em casos de incidentes;

 

III - Plano de Recuperação de Negócios (PRC): documentação dos procedimentos e informações necessárias para que o PJERJ operacionalize o retorno das atividades críticas à normalidade.

 

§ 1º. Os planos acima definidos deverão ser testados e revisados sempre que necessário, visando a reduzir riscos de perda de confidencialidade, integridade e disponibilidade dos ativos de informação.

 

§ 2º. As revisões anuais dos planos acima deverão ser aprovadas pelo CGSI até o mês de outubro.

 

Art. 58. Para subsidiar a elaboração de seu PGCN, o PJERJ deverá definir quais são suas atividades críticas, ou seja, quais são as atividades que devem ser executadas de forma a garantir a consecução dos produtos e serviços fundamentais do órgão, de tal forma que permitam atingir os seus objetivos mais importantes e sensíveis ao tempo.

 

Art. 59. Os procedimentos previstos no PGCN deverão ser executados em conformidade com os requisitos de segurança da informação e comunicação necessários à proteção dos ativos de informação críticos, tratando as atividades de forma abrangente, incluindo pessoas, processos, infraestrutura e recursos de tecnologia da informação e comunicação.

 

 

TÍTULO IV

DO MONITORAMENTO E DA AUDITORIA

 

Art. 60. Para garantir a aplicação das diretrizes estabelecidas nesta norma, o PJERJ deverá:

 

I - Implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet, recursos em nuvem, dispositivos móveis ou wireless e outros recursos da rede, de forma a identificar usuários, acessos efetuados, e ações executadas;

 

II - tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso de determinação judicial ou por determinação da Presidência;

 

III - realizar, a qualquer tempo, inspeção física nos equipamentos, de sua propriedade ou de terceiros, em uso no PJERJ;

 

IV - instalar sistemas de proteção, prevenção e detecção de intrusão que garantam a segurança das informações e dos perímetros de acesso;

 

V - desinstalar, a qualquer tempo, softwares ou sistemas que representem risco ou estejam em situação de não conformidade com as políticas, normas e procedimentos vigentes;

 

VI - desconectar, a qualquer tempo, servidores e equipamentos de rede que constituam riscos iminentes para a segurança da rede do PJERJ.

 

Art. 61. Os acessos ao CPD serão objeto de auditorias, realizadas com a frequência determinada em procedimento próprio.

 

Art. 62. A SGTEC, com anuência do DESEG, poderá acessar estações de trabalho, computadores servidores, arquivos, registros ou quaisquer recursos de TIC, em caso de fragilidades ou ameaças, ocorridas ou suspeitas, na segurança de sistemas, de serviços ou de informações sempre que necessário realizar investigações de caráter técnico.

 

Art. 63. As solicitações de auditorias de segurança, análise ou informação quanto ao uso dos recursos de TIC deverão ser dirigidas à SGTEC, com anuência do DESEG, e serão atendidas - observada a temporalidade dos registros - após aprovação da autoridade competente.

 

Parágrafo único. É vedado ao usuário realizar por conta própria investigações nos recursos de TIC.

 

Art. 64. É dever de todos os usuários reportar imediatamente à autoridade diretamente superior e ao DESEG fragilidades, ameaças ou ações indevidas de que tiver conhecimento ou suspeita, relacionadas à segurança dos sistemas, serviços, informações ou quaisquer recursos de TIC, inclusive daqueles que não estejam sob sua responsabilidade.

 

Art. 65. O PJERJ poderá contratar auditorias externas independentes, testes de intrusão ou outros serviços relacionados, para avaliar a segurança de sua infraestrutura, sistemas e demais recursos de TIC.

 

 

TÍTULO V

DOS PROCESSOS DE COMUNICAÇÃO E CONSCIENTIZAÇÃO INSTITUCIONAL

 

Art. 66. O PJERJ desenvolverá Plano de Comunicação Institucional de Segurança da Informação (PCISI) que deverá contemplar ações para a divulgação, sensibilização e prospecção da Política de Segurança de Informação e dos seus instrumentos.

 

§ 1º. O CGSI indicará Grupo Técnico que, sob a supervisão do Departamento de Segurança da Informação e apoio do Departamento de Comunicação Interna (DECOI), elaborará e revisará o PCISI;

 

§ 2º. O PCISI deverá conter os meios e os critérios de comunicação da informação, considerando o público-alvo ao qual se destina;

 

§ 3º. O PCISI deverá ser disponibilizado no sítio institucional do PJERJ;

 

§ 4º. O PCISI será parte integrante do Plano de Comunicação Institucional do PJERJ;

 

§ 5º. As campanhas de comunicação interna deverão ser recorrentes e seguidas de mecanismos para averiguar sua efetividade.

 

Art. 67. A DECOI é a unidade responsável pela criação e pela realização das campanhas de sensibilização em segurança da informação, com o apoio do DESEG e da SGSEI, com o objetivo de incentivar a adoção de boas práticas de segurança da informação.

 

Art. 68. O DESEG proporá a Presidência o fluxo de comunicação da ocorrência do incidente, considerando o seu grau e a sua abrangência, encaminhando ao ETIR, criado pela Resolução TJ/OE nº 28/2022, quando necessário.

 

Art. 69. Compete à área de comunicação interna e/ou externa do PJERJ, a depender do caso específico e quando demandada, orientar sobre o canal de comunicação apropriado para divulgação do tratamento e da resposta relacionados ao incidente de segurança da informação.

 

Art. 70. O DESEG poderá recomendar capacitação específica a usuários sempre que identificar incidência expressiva de ações não conformes com as boas práticas de segurança da informação.

 

Art. 71. O PJERJ ministrará aos usuários - em cursos da Escola de Administração Judiciária (ESAJ), campanhas de comunicação interna ou outros recursos   capacitações regulares em temas de Segurança da Informação.

 

Parágrafo único. Todos os usuários internos do PJERJ deverão ser capacitados com relação a defesa contra ameaças mais comuns como phishing, malwares e outros ataques de engenharia social, boas práticas a serem adotadas como manter cópias de segurança, utilizar mecanismos de autenticação forte, incluindo senhas seguras e MFA, entre outros temas considerados relevantes.

 

TÍTULO VI

DAS DISPOSIÇÕES FINAIS

 

Art. 72. O TJRJ publicará norma específica para disciplinar a utilização da Internet e demais recursos de colaboração - correio eletrônico, plataformas de áudio e vídeo conferência, discos virtuais etc.

 

Art. 73. Qualquer alteração ou tentativa de alteração não autorizada na configuração de recursos de TIC constituirá infração a esta norma.

 

Art. 74. Os casos de desrespeito a esta norma poderão ser encaminhados pelo DESEG ao CGSI para a avaliação e proposição das providências cabíveis, nos termos da legislação vigente.

 

Art. 75. A inobservância dos dispositivos desta norma pode acarretar, isolada ou cumulativamente, nos termos da lei, sanções administrativas, civis ou penais.

 

Art. 76. Os casos omissos ou divergências de interpretação dos dispositivos deste Ato Normativo serão resolvidos pela Presidência.

 

Art. 77. O presente Ato Normativo entrará em vigor na data de sua publicação, revogando as disposições em contrário.

 

 

Rio de Janeiro, 3 de dezembro de 2024

 

Desembargador RICARDO RODRIGUES CARDOZO

Presidente do Tribunal de Justiça

 

Este texto não substitui o publicado no Diário Oficial.