Resolução Nº 74/2021
Institui a Norma de Utilização dos Recursos de Tecnologia da Informação no âmbito da Justiça Federal de Primeiro e Segundo Graus da 4ª Região.
O PRESIDENTE DO TRIBUNAL REGIONAL FEDERAL DA 4ª REGIÃO, no uso de suas atribuições legais e regimentais, no Processo Administrativo 0010495-15.2020.4.04.8000, e
CONSIDERANDO a Resolução CNJ 291, de 23-8-2019, que consolida as resoluções do Conselho Nacional de Justiça sobre a Política e o Sistema Nacional de Segurança do Poder Judiciário;
CONSIDERANDO a Resolução CJF 6, de 07-4-2008, que dispõe sobre a implantação da Política de Segurança da Informação e a utilização dos ativos de informática no âmbito do Conselho e da Justiça Federal de primeiro e segundo graus, alterada pela Resolução CJF 687, de 15-12-2020;
CONSIDERANDO as Normas Técnicas NBR ISO/IEC 27001:2013, que trata de Sistemas de Gestão da Segurança da Informação, e NBR ISO/IEC 27005:2019, que trata da Gestão de Riscos de Segurança da Informação;
CONSIDERANDO a Portaria 513/2020 do TRF4, que estabeleceu a Comissão Local de Segurança da Informação do Tribunal Regional Federal da 4ª Região, resolve:
Art. 1º Instituir a Norma de Utilização dos Recursos de Tecnologia da Informação no âmbito da Justiça Federal de Primeiro e Segundo Graus da 4ª Região.
§ 1º A Norma de Utilização dos Recursos de Tecnologia da Informação orientará a implementação de medidas para regular a utilização dos recursos de tecnologia da informação pelos usuários da Justiça Federal da 4ª Região, de forma a minimizar os riscos à segurança das informações.
§ 2º Considerando a imprescindível confidencialidade, integridade, disponibilidade e autenticidade dos dados e informações institucionais, as orientações deverão ser assimiladas e aplicadas, com especial atenção, por todos os órgãos e unidades, em todos os níveis.
§ 3º As definições e orientações desta Norma encontram-se de acordo com as exigidas pela Resolução CJF 6/2008, atualizada pela Resolução CJF 687/2020, que definiu a Política de Segurança da Informação (PSI) no âmbito do Conselho e da Justiça Federal de primeiro e segundo graus.
PÚBLICO-ALVO
Art. 2º A Norma de Utilização dos Recursos de Tecnologia da Informação aplica-se aos magistrados, servidores, estagiários, aprendizes, parceiros e empresas e/ou pessoas contratadas pela Administração no âmbito da Justiça Federal da 4ª Região.
TERMOS E DEFINIÇÕES
Art. 3º Para efeitos desta resolução, consideram-se as seguintes definições:
I - Arquivo: agrupamento de registros que, geralmente, seguem uma regra estrutural, e que contém dados e informações.
II - Autenticidade: garantia de que uma informação, produto ou documento é do autor a quem se atribui.
III - Confidencialidade: garantia de que apenas as pessoas a quem permitido ter conhecimento de determinados dados e/ou informações poderão acessá-los.
IV - Criptografia: técnica utilizada para codificar e decodificar dados para impedir a leitura por receptores não desejados.
V - Disponibilidade: garantia de que a informação possa ser acessada sempre que necessário.
VI - Estação de trabalho: microcomputador ou notebook institucional.
VII - Integridade: garantia de que a informação armazenada ou transferida esteja correta, sem alterações, intencionais ou acidentais, em seu estado original.
VIII - Privilégio mínimo: princípio de que um usuário precisa acessar os sistemas e recursos mínimos necessários para realizar suas atividades.
IX - Programa: coleção de instruções que descrevem uma tarefa a ser realizada por um computador.
X - Recurso de armazenamento de dados corporativos: meio para armazenamento em massa projetado para ambientes de grande escala e alta tecnologia.
XI - Recursos de computação e comunicação móveis: recursos dotados de grande capacidade computacional, com possibilidade de interconexão com um computador pessoal e/ou redes de computação.
XII - Recursos de Tecnologia da Informação: todo equipamento ou dispositivo que utilize tecnologia da informação, bem como qualquer recurso ou informação que seja acessível por meio desses equipamentos ou dispositivos tecnológicos, tais como impressoras, sistemas, programas, softwares, acessos à rede local, internet, VPN (rede particular virtual), pendrives, smartcards, tokens, smartphones, modens sem fio, desktops, pastas compartilhadas na rede.
XIII - Storages: rede de área de armazenamento projetada para agrupar dispositivos de armazenamento de computador.
XIV - Área de Tecnologia da Informação (TI): no Tribunal, a Diretoria de Tecnologia da Informação, nas Seções Judiciárias, os Núcleos de Tecnologia da Informação.
XV - TIC: Tecnologias da Informação e Comunicação que propiciam um conjunto de recursos tecnológicos, utilizados de forma integrada, com um objetivo comum.
DOS RECURSOS DE TECNOLOGIA DA INFORMAÇÃO
Art. 4º Os recursos de tecnologia da informação e comunicação disponibilizados pela Justiça Federal da 4ª Região são de propriedade institucional.
Art. 5º São passíveis de auditoria quaisquer informações geradas, recebidas, processadas ou armazenadas utilizando os recursos de tecnologia da informação e comunicação da Justiça Federal da 4ª Região.
Art. 6º Os agentes públicos, estagiários, aprendizes, parceiros e contratados, doravante denominados como usuários, devem ter acesso unicamente àqueles recursos de tecnologia da informação que forem indispensáveis à realização de suas atividades, obedecendo ao princípio do privilégio mínimo.
Art. 7º Os recursos de TIC, disponibilizados às diversas áreas da Justiça Federal da 4ª Região, destinam-se, exclusivamente, ao atendimento das necessidades do serviço público, sendo vedada a utilização para fins particulares, a menos que autorizado pelo Presidente, no âmbito do Tribunal, pelo Diretor do Foro, no âmbito da respectiva Seção Judiciária, ou por servidor com delegação para tanto.
Art. 8º Os usuários são responsáveis pelos recursos de tecnologia da informação e comunicação de utilização própria, devendo contribuir para o adequado funcionamento e segurança.
Art. 9º As paralisações programadas de quaisquer serviços disponibilizados pela Justiça Federal da 4ª Região devem ser comunicadas com antecedência aos usuários, indicando os períodos de indisponibilidade dos serviços.
Art. 10. Os hardwares e softwares e parâmetros de configuração serão definidos pelo Comitê de Governança de Tecnologia da Informação da Justiça Federal da 4ª Região, tendo em vista os requisitos de segurança, estabilidade, confiabilidade e padronização do ambiente computacional, podendo ser consultada a Comissão Local de Segurança da Informação.
Art. 11. A área de Tecnologia da Informação deverá manter lista atualizada de hardwares e softwares homologados que poderão ser utilizados no ambiente da Justiça Federal da 4ª Região obedecendo ao princípio do privilégio mínimo.
Art. 12. É vedada a utilização de hardwares e softwares que não estejam previamente licenciados e homologados.
Art. 13. É vedada a gravação de arquivos (música, fotos, vídeos e outros), que não estejam estritamente relacionados às atividades funcionais, nos servidores e sistemas de armazenamento centralizados/corporativos da Justiça Federal da 4ª Região.
Art. 14. A área de Tecnologia da Informação poderá proceder à desinstalação dos hardwares e softwares e à eliminação de arquivos que estejam em desacordo com o presente ato normativo, autorizada pelo Presidente, no âmbito do Tribunal, Diretor do Foro, no âmbito da Seção Judiciária, ou por servidor com delegação para tanto.
Art. 15. O deslocamento de qualquer recurso de Tecnologia da Informação, na unidade ou entre unidades, deve ser comunicado pelo detentor da carga à área responsável pelo controle de patrimônio, a fim de que seja registrada a ocorrência.
Art. 16. O usuário deve informar, imediatamente, à área de Tecnologia da Informação a identificada violação da integridade física do equipamento utilizado, bem como os casos de furto ou roubo.
Art. 17. O empréstimo de recursos de Tecnologia da Informação deverá ser solicitado pelo gestor da unidade e atendido pela unidade de tecnologia da informação ou de telecomunicações, consoante disponibilidade e autorização da autoridade competente, mediante registro e controle (termo de responsabilidade, abertura de chamado técnico etc.).
Art. 18. A área de Tecnologia da Informação não se responsabilizará por arquivos gravados e manipulados no equipamento, durante o período de utilização dos recursos emprestados.
Parágrafo único. No caso de empréstimo para utilização fora do ambiente de trabalho, os equipamentos, em seu retorno, serão obrigatoriamente verificados pela equipe de atendimento da TI antes de sua reconexão à rede física e lógica da Justiça Federal da 4ª Região.
Art. 19. É atribuição exclusiva da área de tecnologia da informação o gerenciamento e planejamento dos recursos de tecnologia da informação da Instituição.
I - Os projetos nos quais sejam necessários utilizar recursos de tecnologia da informação deverão ter a análise técnica da área de TI, quanto a esses recursos.
II - Projetos já implantados e que envolvam expansão e ou atualização, também deverão ter a análise técnica da TI.
III - Fica vedada a implementação de software, hardware ou solução de informática, sem autorização formal da área de TI.
§ 1º Os sistemas de informação atualmente existentes, que não foram construídos pelas áreas técnicas, nem formalmente designados pela Administração, deverão ser incorporados pela TI ou descontinuados.
§ 2º O Comitê de Governança de Tecnologia da Informação estabelecerá prazo para que os responsáveis dos atuais sistemas, previstos no parágrafo anterior, submetam relatório técnico minucioso, indicando necessariamente o atendimento aos requisitos técnicos estabelecidos pela área de TI ou proposta de adequação.
§ 3º Caso não seja apresentado o relatório técnico ou seja considerada inconveniente a adequação, haverá a descontinuidade do sistema de informação.
DAS ESTAÇÕES DE TRABALHO
Art. 20. As estações de trabalho fornecidas aos usuários possuirão configurações de hardware e software padronizadas, de acordo com as definições estabelecidas pelo Comitê de Gestão de TI.
Art. 21. É vedada a alteração do hardware e configuração das estações de trabalho pelos usuários bem como a instalação de softwares não homologados pela área de TIC, podendo a administração adotar sistema de controle de inventário de hardware e software.
RECURSOS DE COMPUTAÇÃO E COMUNICAÇÃO MÓVEIS
Art. 22. Os recursos de computação e comunicações móveis devem ser utilizados obedecendo ao princípio do privilégio mínimo.
Art. 23. Aplicam-se, quando pertinentes, aos dispositivos móveis as mesmas regras de utilização das estações de trabalho.
Art. 24. A área de tecnologia da informação poderá instalar e ativar o sistema de rastreamento quando da entrega do equipamento.
Art. 25. Poderão ser utilizados, pela área técnica, sistemas que efetuem o bloqueio da utilização de dispositivos móveis, sem autorização, para proteger dados corporativos, ou quando houver risco de invasão/violação, a fim de minimizar risco corporativo.
Art. 26. O acesso aos equipamentos e seus sistemas operacionais deverão ser protegidos por credenciais.
ARMAZENAMENTO DE DADOS
Art. 27. As informações corporativas devem ser armazenadas em soluções de armazenamento da Justiça Federal da 4ª Região, respeitados os limites de espaço da infraestrutura disponível, assim como as restrições quanto aos tipos de dados que serão armazenados.
Art. 28. A área de tecnologia da informação deverá prover os mecanismos necessários para a proteção das informações gravadas nos recursos de armazenamento de dados corporativos visando a garantir a integridade, disponibilidade e confidencialidade das informações, obedecendo ao princípio do privilégio mínimo, conforme política da instituição.
Art. 29. Deverá ser realizado o backup periódico dos sistemas e das informações corporativas nos recursos de armazenamento de dados corporativos, pela área de TI, conforme a Política de Cópia de Segurança da instituição.
Art. 30. A área de Tecnologia da Informação não é responsável pela salvaguarda das informações armazenadas em local que não esteja em conformidade com a Política de Segurança.
Art. 31. É vedado o compartilhamento de pastas de arquivos nas estações de trabalho dos usuários.
Art. 32. A área de tecnologia da informação deverá prover mecanismos de descarte seguro de informação armazenada em meio digital, de forma a preservar a confidencialidade dos dados.
Art. 33. Para proporcionar regular utilização dos recursos de tecnologia da informação, a área de tecnologia da informação realizará as medidas necessárias, em especial:
I - Utilizar sistemas de gerenciamento para implantar e manter perfis de configuração padronizados, adequados à utilização dos recursos de tecnologia da informação no âmbito da Justiça Federal de primeiro e segundo graus da 4ª Região, sem a necessidade de autorização prévia do usuário.
II - Utilizar sistemas de auditoria dos recursos de tecnologia da informação que registrem sua situação e/ou alterações ocorridas, sem a necessidade de autorização prévia do usuário.
III - Ligar e/ou desligar recursos de tecnologia da informação (desde que haja condições técnicas) para realizar manutenções.
IV - Solicitar aos usuários que mantenham recursos de tecnologia da informação conectados na rede de energia elétrica para realização de manutenções que possam ser feitas remotamente.
V - Retornar o estado de softwares e configurações de recursos de tecnologia da informação ao padrão estabelecido.
VI - Realizar manutenções e atualizações de segurança automáticas, sem aviso prévio.
VII - Retirar privilégios de administrador do usuário, nos recursos de tecnologia da informação, sem a necessidade de sua prévia autorização.
VIII - Limitar a instalação de programas àqueles previamente aprovados para uso pela área de tecnologia da informação.
IX - Regular ou até mesmo impedir a conexão de dispositivos de armazenamento externos tais como pendrives, discos externos, unidades de leitura de mídias ópticas, câmeras fotográficas, smartphones ou outros dispositivos semelhantes, que não tenham sido autorizados.
Art. 34. Esta resolução revoga a Resolução 43, de 21-3-2014, e entra em vigor na data de sua publicação.
PUBLIQUE-SE. REGISTRE-SE. CUMPRA-SE.
Documento assinado eletronicamente por Victor Luiz dos Santos Laus, Presidente, em 10/05/2021, às 22:50, conforme art. 1º, III, "b", da Lei 11.419/2006.
A autenticidade do documento pode ser conferida no site http://www.trf4.jus.br/trf4/processos/verifica.php informando o código verificador 5507758 e o código CRC 622B500E.