:: Portal da Justiça Federal da 4ª Região ::

Dispõe sobre a Política de Segurança da Informação e Comunicação (POSIC) e sobre o Sistema de Gestão de Segurança da Informação (SGSI) da Justiça Federal da 4ª Região.^(*)

O PRESIDENTE DO TRIBUNAL REGIONAL FEDERAL DA 4ª REGIÃO, no uso de suas atribuições legais e regimentais, no Processo Administrativo nº 0010390-67.2022.4.04.8000, ad referendum do Conselho de Administração, e

CONSIDERANDO que o Tribunal produz e recebe informações no exercício de suas competências constitucionais, legais e regulamentares, e que tais informações devem permanecer íntegras e disponíveis, bem como seu eventual sigilo deve ser resguardado;

CONSIDERANDO que as informações do Tribunal são armazenadas em diferentes meios, tais como impresso e eletrônico, e veiculadas por diversas formas, estando, portanto, vulneráveis a incidentes, como desastres naturais, acessos não autorizados, mau uso, falhas de equipamentos, extravio e furto;

CONSIDERANDO que a segurança é aspecto essencial para a adequada gestão da informação;

CONSIDERANDO a necessidade de aprimorar os mecanismos de proteção e de segurança das informações, ativos e serviços de tecnologia da informação da Justiça Federal da 4ª Região, bem como de adequar o arcabouço normativo em função de novos paradigmas;

CONSIDERANDO o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação - LAI), que regula o acesso a informações previsto no inciso XXXIII do artigo 5º, no inciso II do § 3º do artigo 37 e no § 2º do artigo 216 da Constituição Federal;

CONSIDERANDO o advento da Lei nº 12.965, de 23 de abril de 2014, que estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil (marco civil da internet);

CONSIDERANDO o advento da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), bem como da revisão prevista na Lei nº 13.853, de 08 de julho de 2019;

CONSIDERANDO o Decreto nº 9.637, de 26 de novembro de 2018, que instituiu a Política Nacional de Segurança da Informação (PNSI), no âmbito da Administração Pública Federal;

CONSIDERANDO a Resolução CNJ nº 291, de 23 de agosto de 2019, que consolida as resoluções do Conselho Nacional de Justiça sobre a Política e o Sistema Nacional de Segurança do Poder Judiciário;

CONSIDERANDO os termos da Resolução CNJ nº 396, de 07 de junho de 2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução CJF nº 6, de 07 de abril de 2008, que dispõe sobre a implantação da Política de Segurança da Informação e a utilização dos ativos de informática no âmbito do Conselho da Justiça Federal e da Justiça Federal de primeiro e segundo graus, alterada pela Resolução CJF nº 687, de 15 de dezembro de 2020;

CONSIDERANDO o disposto na Resolução TCU nº 342, de 28 de setembro de 2022, que dispõe sobre a Política Corporativa de Segurança da Informação e sobre o Sistema de Gestão de Segurança da Informação do Tribunal de Contas da União;

CONSIDERANDO as recomendações sobre atualização dos normativos relativos à segurança da informação constantes no Acórdão TCU nº 2376/2021 - Plenário;

CONSIDERANDO as determinações constantes no Acórdão TCU nº 2831/2011 - Plenário, referentes à implantação de processos formais de registro de usuário, gerenciamento de senhas, definição, de maneira clara e formal, de regras de segregação de funções, gerenciamento de privilégios e análise crítica dos direitos de acesso, com vistas a garantir efetividade dos procedimentos de controle de acesso;

CONSIDERANDO as boas práticas em segurança e em proteção de dados preconizadas pelas normas ABNT NBR ISO/IEC 16167:2020, as normas da família ISO 27000 - que tratam da gestão de segurança da informação - e pelo Control Objectives for Information and related Technology (COBIT versão 5);

CONSIDERANDO o ODS nº 16 – Paz, Justiça e Instituições Eficazes –, Objetivo de Desenvolvimento Sustentável da Agenda 2030 da ONU que visa “promover sociedades pacíficas e inclusivas para o desenvolvimento sustentável, proporcionar o acesso à justiça para todos e construir instituições eficazes, responsáveis e inclusivas em todos os níveis”;

CONSIDERANDO a Portaria TRF4 nº 378, de 18 de maio de 2022, que estabelece a composição da Comissão Local de Segurança da Informação do Tribunal Regional Federal da 4ª Região, resolve:

Art. 1º A Política de Segurança da Informação e Comunicação (POSIC) da Justiça Federal da 4ª Região tem por objetivo estabelecer diretrizes e responsabilidades com a finalidade de garantir mecanismos de controle e proteção dos processos de negócio, serviços, materiais e recursos, preservando a confidencialidade, integridade, autenticidade e disponibilidade das informações do Tribunal Regional Federal da 4ª Região e das Seções Judiciárias do Rio Grande do Sul, Santa Catarina e Paraná.

Parágrafo único. Magistrados, servidores, colaboradores e quaisquer pessoas, inclusive advogados, que tenham acesso a informações da Justiça Federal da 4ª Região sujeitam-se aos princípios, às diretrizes, às normas e aos procedimentos de segurança da informação da política de que trata esta resolução, e são responsáveis por garantir a segurança das informações a que tenham acesso.

Art. 2º A segurança da informação na Justiça Federal da 4ª Região alinha-se às estratégias organizacionais e aos preceitos da segurança institucional adotada pelo Poder Judiciário e tem como princípios:

I - legalidade: todas as ações de segurança da informação devem seguir as legislações vigentes sobre o tema;

II - moralidade: é expressamente proibido o acesso, uso, guarda e encaminhamento de material antiético, discriminatório, malicioso, obsceno ou ilegal;

III - responsabilidade: os agentes públicos devem conhecer e respeitar todas as normas desta política de segurança e zelar pelo seu cumprimento;

IV - irretratabilidade: impossibilidade de negação da autoria de uma transação realizada;

V - privacidade: proteção adequada às informações com necessidade de restrição de acesso, em especial aos dados pessoais;

VI - publicidade: zelo pela transparência das informações públicas, observando os critérios legais;

VII - acessibilidade: garantir o acesso à informação de pessoas portadoras de necessidades especiais;

VIII - preservação da imagem: proteção da reputação e da imagem institucional;

IX - sustentabilidade: combate ao desperdício, zelando pela economia e conservação dos recursos da Justiça Federal da 4ª Região;

X - preservação da integridade e da autenticidade das informações produzidas e recebidas;

XII - observância ao princípio administrativo da segregação de funções entre desenvolvedores, gestores, administradores e demais usuários, entre gerentes de sistemas gerenciadores de banco de dados e os responsáveis pelas cópias de segurança, exemplificativamente.

XIII - privilégio mínimo: princípio de que um usuário precisa acessar os sistemas e recursos mínimos necessários para realizar suas atividades.

Parágrafo único. A segurança da informação na Justiça Federal da 4ª Região abrange aspectos físicos, tecnológicos, processuais e humanos.

Art. 3º As iniciativas em segurança da informação observarão, sempre que possível, as seguintes diretrizes:

I - integração entre as áreas responsáveis pelas dimensões que compõem a segurança institucional;

II - coordenação colegiada das iniciativas para atendimento às necessidades de segurança institucional;

III - alocação prioritária de recursos para segurança institucional em áreas estratégicas ao negócio da Justiça Federal da 4ª Região;

IV - priorização de implementação de controles de segurança em consonância com a gestão de riscos à segurança institucional.

I - arquivo: agrupamento de registros que, geralmente, seguem uma regra estrutural e que contém dados e informações;

II - autenticidade: garantia de que uma informação, produto ou documento é do autor a quem se atribui;

III - confidencialidade: garantia de que apenas as pessoas às quais é permitido ter conhecimento de determinados dados e/ou informações poderão acessá-los;

IV - disponibilidade: garantia de que a informação possa ser acessada sempre que necessário;

V - gestão de riscos: aplicação sistemática de políticas, procedimentos e práticas de gestão na identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos que incidam sobre o bem a ser protegido ou minimizem seus efeitos;

VI - incidente de segurança da informação: ocasionado por um ou vários eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação;

VII - informação: é o conjunto de dados utilizado para transferência de mensagem entre indivíduos, usuários e máquinas em processos comunicativos, podendo existir sob as mais diversas formas, incluindo material impresso, escrito, falado, em vídeos, conversas ou meios analógicos, eletrônicos ou magnéticos como CDs, disquetes, discos de armazenamento em equipamentos servidores, estações de trabalho e qualquer outro meio existente ou que venha a ser criado;

VIII - integridade: garantia de que a informação armazenada ou transferida esteja correta, sem alterações, intencionais ou acidentais, em seu estado original;

IX - plano de continuidade do negócio: conjunto de ações de prevenção e procedimentos de recuperação a serem seguidos para proteger os processos críticos de trabalho contra efeitos de falhas de equipamentos, acidentes, ações intencionais ou desastres naturais significativos, assegurando a disponibilidade das informações;

X - recursos de tecnologia da informação: todo equipamento ou dispositivo que utilize tecnologia da informação, bem como qualquer recurso ou informação que seja acessível por meio desses equipamentos ou dispositivos tecnológicos, tais como impressoras, sistemas, programas, softwares, acessos à rede local, internet, VPN (rede privada virtual), pendrives, smartcards, tokens, smartphones, modens sem fio, desktops, pastas compartilhadas na rede;

XI - recurso de armazenamento de dados corporativos: meio para armazenamento em massa projetado para ambientes de grande escala e alta tecnologia;

XII - recursos de computação e comunicação móveis: recursos dotados de grande capacidade computacional, com possibilidade de interconexão com um computador pessoal e/ou redes de computação;

XIII - área de tecnologia da informação: no Tribunal, a Diretoria de Tecnologia da Informação, nas Seções Judiciárias, as Divisões de Tecnologia da Informação;

XIV - TIC: tecnologias da informação e comunicação que propiciam um conjunto de recursos tecnológicos, utilizados de forma integrada, com um objetivo comum;

XVI - firewall: sistema de rede que monitora e aplica regras de segurança a fluxo de dados;

XVIII - link de trânsito: nome dado à conexão da rede privada com a rede pública;

XIX - VPN: do inglês Virtual Private Network, ferramenta que permite o acesso a redes privadas por meio de rede pública;

XXI - programa: coleção de instruções que descrevem uma tarefa a ser realizada por computador;

XXII - usuário: pessoa física ou jurídica que opera algum sistema informatizado da Justiça Federal;

XXIII - gestor de sistema: servidor ou comissão oficialmente designados para a gestão de determinado sistema de informação;

XXIV - nuvem: recursos de computação e/ou armazenamento de dados corporativos administrados por empresas ou instituições contratadas pela Justiça Federal.

Art. 5º A Política de Segurança da Informação e Comunicação integra o Sistema de Gestão de Segurança da Informação (SGSI) da Justiça Federal da 4ª Região, o qual é composto pelos seguintes processos:

§ 1º Os processos do Sistema de Gestão de Segurança da Informação são interdependentes e devem ser estruturados e monitorados de forma a permitir sua melhoria contínua.

§ 2º A Gestão de Continuidade de Negócios (GCN), disposta em política específica, harmoniza-se com os processos do Sistema de Gestão de Segurança da Informação e tem por objetivo, em relação à segurança da informação, garantir níveis adequados de disponibilidade, integridade, confidencialidade e autenticidade das informações essenciais ao funcionamento dos processos críticos de negócio da Justiça Federal da 4ª Região.

§ 3º A segurança física e patrimonial, disposta em política específica, harmoniza-se com os processos do Sistema de Gestão de Segurança da Informação e tem por objetivo, em relação à segurança da informação, prevenir danos e interferências nas instalações da Justiça Federal da 4ª Região que possam causar perda, roubo ou comprometimento das informações.

§ 1º A informação deve ser classificada para indicar a necessidade, as prioridades e o nível esperado de proteção durante todo o seu ciclo de vida.

§ 2º O acesso às informações produzidas ou custodiadas que não sejam públicas deve permanecer restrito às pessoas que tenham necessidade de conhecê-las.

§ 3º O acesso a informações não públicas por quaisquer colaboradores é condicionado ao aceite de termo de confidencialidade.

§ 1º A proteção de dados pessoais deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular, harmonizados pela transparência.

§ 2º As diretrizes acerca de proteção de dados pessoais serão disciplinadas em normativo próprio.

Art. 8º O processo de controle de acesso à informação tem por objetivo garantir que o acesso físico e lógico à informação seja franqueado exclusivamente a pessoas autorizadas, com base nos requisitos de negócio e de segurança da informação.

Art. 9º A gestão de riscos de segurança da informação tem por objetivo identificar os riscos que possam comprometer a confidencialidade, a integridade, a disponibilidade ou a autenticidade da informação, priorizando seu tratamento com base em critérios para aceitação de riscos compatíveis com os objetivos institucionais.

§ 1º Os controles de segurança da informação devem ser planejados, aplicados, implementados e, periodicamente, avaliados de acordo com os objetivos institucionais e os riscos para a Justiça Federal da 4ª Região.

§ 2º O processo de gestão de riscos de segurança da informação alinha-se à gestão de riscos institucional, nos termos de ato normativo próprio.

Art. 10. A gestão de incidentes de segurança da informação tem por objetivo assegurar que fragilidades e incidentes de segurança da informação sejam identificados para permitir a tomada de ação corretiva em tempo hábil, bem como para a melhoria de controles e processos de segurança da informação.

Parágrafo único. Magistrados, servidores, colaboradores da Justiça Federal e quaisquer pessoas que tenham acesso a informações da Justiça Federal da 4ª Região são responsáveis por:

I - informar imediatamente à unidade responsável pela segurança da informação os incidentes de segurança da informação de que tenham ciência ou suspeita;

II - colaborar, na respectiva área de competência, na identificação e no tratamento de incidentes de segurança da informação.

Art. 11. A segurança da informação em recursos humanos tem por objetivo garantir que quaisquer pessoas, físicas ou jurídicas, que tenham vínculo estatutário, funcional, contratual ou processual com a Justiça Federal da 4ª Região entendam suas responsabilidades e atuem em consonância com os preceitos da POSIC, para que os riscos de furto, fraude ou mau uso de informações sejam reduzidos.

Parágrafo único. A conscientização em segurança da informação tem por objetivo internalizar conceitos e boas práticas de segurança da informação na cultura da Justiça Federal da 4ª Região por meio de ações permanentes de divulgação, treinamento e educação, a fim de minimizar riscos de segurança da informação, e deve ser objeto de campanha permanente, a ser desenvolvida pela unidade de capacitação com apoio da unidade de comunicação social.

Art. 12. A segurança em tecnologia da informação e comunicações tem por objetivo adotar medidas e controles tecnológicos para proteger as informações em meio eletrônico.

Parágrafo único. A utilização dos recursos de TI da rede da Justiça Federal da 4ª Região pode ser monitorada pela unidade responsável pela infraestrutura de TI com vistas a identificar inobservâncias à Política de Segurança da Informação e Comunicação e a fornecer evidências, no caso de incidentes de segurança da informação, respeitados os direitos e as garantias individuais previstos em lei.

Art. 13. Os recursos de tecnologia da informação e comunicação disponibilizados pela Justiça Federal da 4ª Região são de propriedade institucional.

Art. 14. São passíveis de auditoria quaisquer informações geradas, recebidas, processadas ou armazenadas utilizando os recursos de tecnologia da informação e comunicação da Justiça Federal da 4ª Região.

Art. 15. Os magistrados, servidores, estagiários, aprendizes, parceiros e contratados, doravante denominados como usuários, devem ter acesso unicamente àqueles recursos de tecnologia da informação que forem indispensáveis à realização de suas atividades, obedecendo ao princípio do privilégio mínimo.

Art. 16. Os recursos de TIC, disponibilizados às diversas áreas da Justiça Federal da 4ª Região, destinam-se, exclusivamente, ao atendimento das necessidades do serviço público, sendo vedada a utilização para fins particulares, a menos que autorizado pelo Presidente, no âmbito do Tribunal, pelo Diretor do Foro, no âmbito da respectiva Seção Judiciária, ou por servidor com delegação para tanto.

Art. 17. Os usuários são responsáveis pelos recursos de tecnologia da informação e comunicação de utilização própria, devendo contribuir para o adequado funcionamento e segurança.

Art. 18. As paralisações programadas de quaisquer serviços disponibilizados pela Justiça Federal da 4ª Região devem ser comunicadas com antecedência aos usuários, indicando os períodos de indisponibilidade dos serviços.

Art. 19. Os hardwares e softwares serão definidos pelo Comitê de Governança de Tecnologia da Informação da Justiça Federal da 4ª Região, tendo em vista os requisitos de segurança, estabilidade, confiabilidade e padronização do ambiente computacional, podendo ser consultada a Comissão Local de Segurança da Informação.

Art. 20. A área de tecnologia da informação deverá manter lista atualizada de hardwares e softwares homologados que poderão ser utilizados no ambiente da Justiça Federal da 4ª Região, obedecendo ao princípio do privilégio mínimo.

Art. 21. É vedada a utilização de hardwares e softwares que não estejam previamente licenciados e homologados.

Parágrafo único. Também é vedada a utilização de computadores particulares por magistrados(as), servidores(as) e estagiários(as) para acesso aos sistemas corporativos quando se encontrem no ambiente de trabalho da Justiça Federal.

Art. 22. A área de tecnologia da informação poderá proceder à desinstalação dos hardwares e softwares e à eliminação de arquivos que estejam em desacordo com o presente ato normativo, autorizada pelo Presidente, no âmbito do Tribunal, pelo Diretor do Foro, no âmbito da Seção Judiciária, ou por servidor com delegação para tanto.

Art. 23. O usuário deve informar imediatamente à área de tecnologia da informação a identificada violação da integridade física do equipamento utilizado, bem como os casos de furto ou roubo.

Art. 24. O empréstimo de recursos de tecnologia da informação deverá ser solicitado pelo gestor da unidade e atendido pela unidade de tecnologia da informação ou de telecomunicações, consoante disponibilidade e autorização da autoridade competente, mediante registro e controle (termo de responsabilidade, abertura de chamado técnico etc.).

Art. 25. A área de tecnologia da informação não se responsabilizará por arquivos gravados e manipulados no equipamento durante o período de utilização dos recursos emprestados e não realizará cópia de segurança (backup) deles.

Parágrafo único. No caso de empréstimo para utilização fora do ambiente de trabalho, os equipamentos, em seu retorno, serão obrigatoriamente formatados pela equipe de atendimento da TI antes de sua reconexão à rede física e lógica da Justiça Federal da 4ª Região.

Art. 26. É atribuição exclusiva da área de TI o gerenciamento e planejamento dos recursos de tecnologia da informação da instituição:

I - toda utilização de recursos de tecnologia da informação deverá ser analisada pela área de TI no que diz respeito a esses recursos;

II - a expansão e utilização de recursos em projetos ou soluções já implantadas também deverão ser analisadas pela área de TI;

III - fica vedada a implementação de software, hardware ou solução de informática sem autorização formal da área de TI.

§ 1º Os sistemas de informação atualmente existentes que não foram desenvolvidos pelas áreas técnicas, nem formalmente designados pela Administração, deverão ser validados pela TI ou descontinuados.

§ 2º O Comitê de Governança de Tecnologia da Informação estabelecerá prazo para que os responsáveis pelos sistemas previstos no parágrafo anterior submetam relatório técnico minucioso, indicando necessariamente o atendimento aos requisitos técnicos estabelecidos pela área de TI ou proposta de adequação.

§ 3º Caso não seja apresentado o relatório técnico, ou seja, considerada inconveniente a adequação, haverá a descontinuidade do sistema de informação.

Art. 27. As estações de trabalho fornecidas aos usuários possuirão configurações de hardware e software padronizadas, de acordo com as definições estabelecidas pelo Comitê de Gestão de TI.

Art. 28. É vedada a alteração do hardware e a configuração das estações de trabalho pelos usuários, bem como a instalação de softwares não homologados pela área de TIC, podendo a administração adotar sistema de controle de inventário de hardware e software.

Art. 29. Os recursos de computação e comunicações móveis devem ser utilizados obedecendo ao princípio do privilégio mínimo.

Art. 30. Aplicam-se aos dispositivos móveis, quando pertinentes, as mesmas regras de utilização das estações de trabalho.

Art. 31. A área de tecnologia da informação poderá instalar e ativar o sistema de rastreamento quando da entrega do equipamento.

Art. 32. Poderão ser utilizados, pela área técnica, sistemas que efetuem o bloqueio da utilização de dispositivos móveis, sem a necessidade de autorização prévia do usuário, para proteger dados corporativos ou quando houver risco de invasão/violação, a fim de minimizar risco corporativo.

Art. 33. O acesso aos equipamentos e seus sistemas operacionais deverão ser protegidos por credenciais.

Art. 34. As informações corporativas devem ser armazenadas em soluções de armazenamento da Justiça Federal da 4ª Região, respeitados os limites de espaço da infraestrutura disponível, assim como as restrições quanto aos tipos de dados que serão armazenados.

Art. 35. A área de tecnologia da informação deverá prover os mecanismos necessários para a proteção das informações gravadas nos recursos de armazenamento de dados corporativos visando garantir a integridade, disponibilidade e confidencialidade das informações, obedecendo ao princípio do privilégio mínimo, conforme política da instituição.

Art. 36. Deverá ser realizado, pela área de TI, o backup periódico dos sistemas e das informações corporativas nos recursos de armazenamento de dados corporativos, conforme a política de cópia de segurança da instituição, sem prejuízo de outros tipos de armazenamentos.

Art. 37. A área de tecnologia da informação não é responsável pela salvaguarda das informações armazenadas em local que não esteja em conformidade com a política de segurança.

Art. 38. É vedado o compartilhamento de pastas de arquivos nas estações de trabalho dos usuários.

Art. 39. A área de tecnologia da informação deverá prover mecanismos de descarte seguro de informação armazenada em meio digital, de forma a preservar a confidencialidade dos dados.

Art. 40. Para proporcionar regular utilização dos recursos de tecnologia da informação, a área de tecnologia da informação realizará as medidas necessárias, em especial:

I - utilizar sistemas de gerenciamento para implantar e manter perfis de configuração padronizados, adequados à utilização dos recursos de tecnologia da informação no âmbito da Justiça Federal de primeiro e segundo graus da 4ª Região, sem a necessidade de autorização prévia do usuário;

II - utilizar sistemas de auditoria dos recursos de tecnologia da informação que registrem sua situação e/ou alterações ocorridas, sem a necessidade de autorização prévia do usuário;

III - ligar e/ou desligar recursos de tecnologia da informação (desde que haja condições técnicas) para realizar manutenções;

IV - solicitar aos usuários que mantenham recursos de tecnologia da informação conectados na rede de energia elétrica para realização de manutenções que possam ser feitas remotamente;

V - retornar o estado de softwares e configurações de recursos de tecnologia da informação ao padrão estabelecido;

VI - realizar manutenções e atualizações de segurança automáticas, sem aviso prévio;

VII - retirar privilégios de administrador do usuário, nos recursos de tecnologia da informação, sem a necessidade de sua prévia autorização;

VIII - limitar a instalação de programas àqueles previamente aprovados para uso pela área de tecnologia da informação;

IX - regular ou até mesmo impedir a conexão de dispositivos de armazenamento externos tais como pendrives, discos externos, unidades de leitura de mídias ópticas, câmeras fotográficas, smartphones ou outros dispositivos semelhantes que não tenham sido autorizados.

Art. 41. O sistema de arquivos constitui recurso corporativo, e deve ser usado de modo compatível com o exercício do cargo para armazenamento de arquivos.

Art. 42. A área de tecnologia da informação deverá realizar cópias de segurança (backups) do sistema de arquivos, conforme estipulado na política de cópias de segurança.

Parágrafo único. O backup dos arquivos de pastas de usuário armazenadas localmente no microcomputador ou na máquina virtual, bem como de configurações personalizadas, é de responsabilidade do usuário.

Art. 43. A área de tecnologia da informação poderá estabelecer cotas para limitar o espaço de armazenamento das pastas, por unidade e/ou usuário.

Art. 44. A área de tecnologia da informação não acessará o conteúdo dos arquivos armazenados nas pastas das unidades e dos usuários, salvo para atender aos seguintes objetivos:

I - verificar a obtenção, retenção, uso e divulgação de informações por meio ou com fins ilícitos, ou em desacordo com as normas regulamentares sobre segurança da informação, mediante autorização do Presidente do Tribunal ou do Diretor do Foro da Seção Judiciária;

II - recuperar conteúdo de interesse da Justiça Federal, no caso de afastamentos legais do usuário e de seu substituto, mediante autorização do Presidente do Tribunal ou do Diretor do Foro da Seção Judiciária;

III - atender à demanda formulada no âmbito de processo administrativo disciplinar, mediante autorização do Presidente do Tribunal ou do Diretor do Foro da Seção Judiciária;

IV - atender à determinação judicial, encaminhada para cumprimento pela Presidência e pela Direção do Foro;

Art. 45. A Comissão Local de Segurança da Informação do Tribunal Regional Federal da 4ª Região (CLSI) é órgão colegiado de natureza consultiva e de caráter permanente, que tem por finalidade:

I - formular e conduzir diretrizes para a implantação do Sistema de Gestão de Segurança da Informação e da Política de Segurança da Informação e Comunicação;

II - manifestar-se sobre propostas de alteração ou de revisão da POSIC, bem como sobre minutas de normativos e iniciativas de natureza estratégica ou que necessitem de cooperação entre unidades, que versem sobre segurança da informação ou proteção de dados pessoais;

III - manifestar-se sobre matérias atinentes à segurança da informação que lhe sejam submetidas;

IV - solicitar e analisar os resultados dos trabalhos de auditoria sobre a gestão de segurança da informação.

I - coordenar a implementação e o funcionamento do Sistema de Gestão de Segurança da Informação e da Política de Segurança da Informação e Comunicação, bem como a aplicação da Lei no 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação - LAI), no âmbito do Tribunal e Seções Judiciárias;

II - propor a revisão da POSIC de modo a atualizá-la frente a novos requisitos corporativos;

III - monitorar e avaliar periodicamente as práticas de segurança da informação adotadas pelo Tribunal e Seções Judiciárias;

IV - submeter à Escola da Magistratura propostas para ações permanentes de divulgação, treinamento, educação e conscientização dos servidores e demais colaboradores da Justiça Federal em relação aos conceitos e às práticas de segurança da informação em toda sua abrangência, com o apoio da unidade de Assessoria de Comunicação Social;

V - coordenar o tratamento dos incidentes de segurança da informação, com vistas a identificar os motivos que levam ao comprometimento da segurança da informação;

Parágrafo único. A aplicação das competências indicadas neste artigo observa, no que couber, as competências inerentes às demais unidades do Tribunal e das Seções Judiciárias.

Art. 47. Compete às unidades de segurança da informação da Justiça Federal da 4ª Região:

I - apoiar a CLSI na implementação e no funcionamento e monitoramento do Sistema de Gestão de Segurança da Informação e da Política de Segurança da Informação e Comunicação, bem como a aplicação da Lei no 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação - LAI), no âmbito do Tribunal e Seções Judiciárias;

II - propor à CLSI a revisão das políticas de segurança da informação da Justiça Federal da 4ª Região;

III - atuar, sob a coordenação da CLSI, no tratamento dos incidentes de segurança da informação.

§ 1º Os titulares das unidades de segurança da informação serão considerados gestores de segurança da informação da Justiça Federal da 4ª Região.

§ 2º As unidades de segurança da informação deverão tratar de maneira uniforme as questões deliberadas pela CLSI, devendo reportar as suas ações à própria Comissão.

Art. 48. Compete aos responsáveis por informações produzidas ou custodiadas pela Justiça Federal da 4ª Região:

II - classificar as informações e definir procedimentos e critérios de acesso, observados os dispositivos legais e os normativos relativos à confidencialidade e a outros critérios de classificação pertinentes;

IV - definir os requisitos de segurança da informação necessários ao negócio, com base em critérios de aceitação e tratamento de riscos inerentes aos processos de trabalho.

§ 1º Os magistrados podem indicar, orientar e autorizar, a qualquer tempo, procedimentos que visem garantir a segurança da informação nos processos e documentos de sua competência, a serem seguidos pelos responsáveis.

I - assegurar a segurança da informação sob sua posse, conforme os critérios definidos pelo respectivo responsável pela informação;

II - comunicar tempestivamente ao responsável pela informação sobre eventos que comprometam, ou possam comprometer, a segurança das informações sob custódia;

III - comunicar ao responsável pela informação eventuais limitações para o cumprimento dos critérios por ele definidos com vistas à proteção da informação.

Art. 50. São responsabilidades dos dirigentes das unidades e demais gestores da Justiça Federal da 4ª Região, no que se refere à segurança da informação:

I - conscientizar servidores e quaisquer colaboradores sob sua supervisão em relação aos conceitos e às práticas de segurança da informação;

II - incorporar aos processos de trabalho de sua unidade, ou de sua área, práticas inerentes à segurança da informação;

III - tomar as medidas administrativas necessárias para que sejam adotadas ações corretivas em tempo hábil em caso de comprometimento da segurança da informação.

Art. 51. Compete à unidade responsável pela coordenação da segurança da informação no Tribunal e às unidades provedoras de TI, no âmbito de suas respectivas competências, colaborar para a implementação e o funcionamento do Sistema de Gestão de Segurança da Informação e da Política de Segurança da Informação e Comunicação.

Art. 52. Todos os sistemas de informação deverão manter integração automática com o Sistema de Recursos Humanos para concessão de direitos básicos aos usuários, conforme lotação e/ou cargo.

§ 1º Nos sistemas ainda não integrados com o Sistema de Recursos Humanos, que permitam o gerenciamento desses direitos, ao gestor da unidade incumbirá realizar o cadastramento, a concessão de direitos e a exclusão de usuário.

§ 2º Para os sistemas que não oferecem esse gerenciamento, o gestor da unidade deverá encaminhar eletronicamente, no sistema apropriado, pedido formal ao gestor do respectivo sistema, que manterá registro de todos os pedidos de inclusão, exclusão e alteração de perfil de usuário.

§ 3º O gestor da unidade institucional deverá proceder imediatamente à exclusão de usuários que se desligarem de sua unidade, ou, quando for o caso, requerer a imediata revogação do perfil à unidade de tecnologia da informação.

§ 4º Os usuários internos deverão manter seus dados cadastrais atualizados junto ao Sistema de Recurso Humanos, para fins de recuperação de senha e de, quando aplicável, utilização de autenticação de duplo fator.

Art. 53. A identificação de usuários que operam os sistemas deve ser feita mediante a autenticação usuário-senha, obrigatoriamente com duplo fator de autenticação nos sistemas eproc, SEI, SERH e outros que a CLSI venha a definir.

Parágrafo único. Essa identificação está dispensada para consulta a sistemas públicos da Justiça Federal da 4ª Região, como o portal eletrônico, contudo a área de tecnologia da informação deverá manter registros para auditoria de acesso.

Art. 55. As regras de formação e de duração das senhas serão definidas pela CLSI e terão ampla divulgação.

Art. 56. O acesso dos usuários deve ser restrito aos sistemas, às aplicações, arquivos e utilitários imprescindíveis ao desempenho de suas funções, mediante controles de menus de acesso predefinidos para diferentes categorias, rigorosamente observada a segregação de funções.

Art. 57. O gerenciamento do acesso lógico a todos os sistemas, judiciais e administrativos, compete à Diretoria de Tecnologia da Informação, mediante aprovação pela CLSI, e devem garantir que:

II - os usuários tenham acesso apenas aos recursos realmente necessários para a execução de suas tarefas;

a) caberá aos titulares das unidades de informática a designação dos servidores que poderão conceder o acesso aos recursos críticos;

b) os acessos críticos concedidos pelos designados deverão ser imediatamente comunicados aos titulares das unidades de informática e informados em relatórios periódicos ao Presidente da CLSI.

c) o Presidente da CLSI poderá a qualquer tempo solicitar relatório dos acessos concedidos.

IV - sejam segregadas as funções e responsabilidades dos envolvidos com desenvolvimento, produção e infraestrutura, assegurando efetividade na execução das atividades de tecnologia da informação;

V - os usuários estejam impedidos de executar transações incompatíveis com sua função ou além de suas responsabilidades.

§ 2º Os usuários que detenham perfil de administração ou coordenação de sistemas, plataformas e demais soluções tecnológicas terão todas as suas ações registradas, sendo passíveis de auditoria a qualquer tempo.

§ 3º Para fins de atendimento ao § 2º, os sistemas corporativos desenvolvidos no âmbito da 4ª Região deverão registrar automaticamente todas as ações dos administradores e coordenadores, vedada qualquer alteração manual, devendo ser mantidos os registros por no mínimo cinco anos.

§ 4º As ações dos administradores e coordenadores serão objeto de auditoria pela Diretoria de Auditoria Interna, bem como por outros usuários ou unidades institucionais que venham a ser eventualmente indicados pela Administração.

§ 5º A CLSI elencará os sistemas que deverão obrigatoriamente registrar todas as ações dos administradores e coordenadores nos termos dos parágrafos anteriores.

Art. 58. Apenas poderão ser conectados às redes cabeadas da Justiça Federal da 4ª Região dispositivos previamente autorizados pela respectiva área de tecnologia da informação.

§ 1º Exceções devem ser autorizadas pela Direção-Geral, no âmbito do Tribunal, e pela Direção do Foro, no âmbito das Seções Judiciárias, justificando a necessidade e estabelecendo o prazo de utilização.

§ 2º As exceções autorizadas deverão obrigatoriamente adotar os padrões definidos pela política de segurança, sendo o proprietário do equipamento responsável pelo licenciamento dos produtos nele instalados, além da manutenção e suporte aos sistemas não homologados pela área de tecnologia da informação, uma vez que a Justiça Federal da 4ª Região não fornecerá licenças de softwares para utilização em microcomputadores, notebooks ou tablets particulares.

Art. 59. Microcomputadores e/ou dispositivos portáteis não pertencentes à Justiça Federal da 4ª Região só poderão acessar a rede sem fio específica para esse fim mediante prévio cadastramento e autorização.

Parágrafo único. O usuário, antes de acessar a "rede visitante", deverá se identificar e concordar com o termo de uso da rede sem fio.

Art. 60. A área de tecnologia da informação poderá desconectar das redes cabeadas e sem fio qualquer dispositivo que constitua ameaça à segurança da informação.

Art. 61. A área de tecnologia da informação poderá utilizar equipamentos e serviços de segurança para inspecionar qualquer ambiente de rede, cabeada ou sem fio, para identificar invasões, ameaças e falhas.

Art. 62. A conexão de outras instituições à rede corporativa deverá ser executada pelo link de trânsito da instituição, ficando vedada a conexão do tipo ponto a ponto ou “LAN to LAN".

Parágrafo único. Caso seja necessária conexão privada, poderá ser feita conexão do tipo VPN, sendo as configurações de protocolo definidas pela área de tecnologia da informação.

Art. 63. A área de tecnologia da informação poderá utilizar protocolos e serviços para privilegiar tráfego de rede, bem como restringir ou bloquear fluxos de rede, garantindo a banda necessária para execução de sistemas considerados essenciais pela Administração.

Parágrafo único. Instalação e/ou manutenção de serviços, periféricos, dispositivos e outros equipamentos que utilizem banda de dados necessitam de autorização da área de tecnologia da informação para implementação.

Art. 64. Todo o tráfego da rede corporativa, cabeada ou sem fio, será inspecionado por serviços de firewall e equipamentos de segurança de redes, visando proteger a rede, combater ameaças cibernéticas ou fuga de dados sensíveis à instituição.

Parágrafo único. A área de tecnologia da informação poderá aplicar políticas de bloqueio aos fluxos de dados para garantir a segurança do ambiente.

Art. 65. A área de tecnologia da informação poderá aplicar bloqueios em portas físicas de equipamentos de rede para garantir que apenas um equipamento esteja conectado.

§ 1º Os rastros de acesso deverão, no mínimo, identificar usuários, endereços IP (protocolo de internet), URL (endereço virtual do local do arquivo, sítio etc.) acessada, data e hora.

§ 2º A área de tecnologia da informação deverá reter os rastros de acesso pelo prazo mínimo de 5 anos.

§ 3º É obrigatória a utilização por magistrados(as), servidores(as) e estagiários(as), quando se encontrem no ambiente de trabalho, das redes corporativas sem fio e cabeadas disponibilizadas pela Justiça Federal da 4ª Região para conexão à internet, vedada qualquer outra forma de conexão.

Art. 67. É proibido o acesso a sítios que contenham materiais pornográficos, obscenos ou correlatos, ofensivos, preconceituosos ou de discriminação étnica, sexual ou religiosa, ou que tratem de ferramentas para invasão e evasão de sistemas, anonimização de acesso e apologia ou incitação a crimes.

Parágrafo único. A área de tecnologia da informação poderá bloquear o acesso a esses sítios.

Art. 68. A política de acesso a portais de internet definida nesta resolução deve ser observada em toda a Justiça Federal da 4ª Região.

Art. 69. Os pedidos de acesso a portais de internet vedados devem ser formulados à CLSI.

Art. 70. No caso de eventuais danos causados ao Tribunal ou às Seções Judiciárias, a seus servidores ou a terceiros, advindos do uso indevido do acesso concedido, responderão, conforme o caso, na medida em que tenham concorrido para a consumação do ato irregular, de forma dolosa ou culposa:

d) qualquer outro usuário que tenha concorrido para a consumação do ato irregular, de forma dolosa ou culposa.

Parágrafo único. Ocorrendo a situação descrita no caput deste artigo, a responsabilidade deve ser apurada mediante processo administrativo instaurado para esse fim, notificando-se os possíveis envolvidos para oferecer defesa específica, com plena observância aos princípios do devido processo legal, do contraditório e da ampla defesa.

Art. 71. O correio eletrônico constitui recurso corporativo para comunicação e deve ser usado de modo compatível com o exercício da atividade institucional, sem comprometer a imagem da Justiça Federal da 4ª Região nem o tráfego de dados na rede de computadores da instituição.

§ 1º Para o tratamento de assuntos institucionais, é obrigatória a utilização do correio eletrônico institucional.

§ 2º Para fins de preservação do conhecimento e de registro dos atos administrativos, os assuntos corporativos eventualmente tratados, em alguma de suas fases, por intermédio de correio eletrônico, deverão ser anexados por cópia ao respectivo processo, seja administrativo, seja judicial, preservando-lhe a integridade.

I - unidade gestora do serviço de correio eletrônico: unidade responsável pela definição das diretrizes e requisitos de negócio para o serviço de correio eletrônico;

II - usuário interno: magistrado, servidor, estagiário ou unidade da Justiça Federal da 4ª Região que tenha acesso, de forma autorizada, a informações produzidas ou custodiadas;

III - caixa postal: repositório de armazenamento de mensagens de correio eletrônico integrante da base de dados dos equipamentos servidores de correio eletrônico.

I - garantir a disponibilidade do serviço de correio eletrônico, estabelecida em acordo de níveis de serviço definido com a unidade gestora do serviço de correio eletrônico;

II - estabelecer e comunicar aos gestores de caixa postal os limites de utilização do serviço de correio eletrônico;

III - implantar mecanismos que evitem o envio e a recepção de mensagens que possam comprometer a segurança do serviço de correio eletrônico;

IV - criar, manter e excluir caixas postais, conforme os critérios definidos pela unidade gestora do serviço de correio eletrônico;

V - definir, implantar e executar procedimentos de segurança e rotinas de cópia e recuperação de caixas postais;

VI - executar os procedimentos de limitação e liberação do uso do serviço de correio eletrônico, de acordo com o disposto nesta resolução;

VII - garantir que todas as mensagens eletrônicas enviadas e recebidas nos domínios da Justiça Federal da 4ª Região terão registrados os dados: data e hora do envio ou recebimento, remetente e destinatário, pelo período mínimo de 5 anos;

VIII - desenvolver outras atribuições inerentes à sua finalidade de provedora de infraestrutura de tecnologia da informação da Justiça Federal da 4ª Região.

Parágrafo único. A área de tecnologia da informação não acessará mensagens individuais de caixas de e-mail, salvo para atender aos objetivos mencionados nos incisos I a V do artigo 44 desta resolução.

II - caixa postal de unidade, destinada à unidade ou subunidade da Justiça Federal da 4ª Região;

III - caixa postal de uso coletivo, destinada a grupo de trabalho, comitê, comissão, projeto ou a atividade específica de interesse da Justiça Federal da 4ª Região.

Parágrafo único. As caixas postais cujo destino perde objeto, em razão de aposentadoria, exoneração, extinção de unidades ou assemelhados, ou outra causa, devem ser definitivamente desabilitadas.

I - para caixas postais individuais, o gestor é o estagiário, servidor ou magistrado ativo para o qual foi destinada a caixa postal;

II - para caixas postais de unidade, o gestor é o titular da unidade ou subunidade para a qual foi destinada a caixa postal, ou é o servidor da própria unidade ou subunidade designado pelo seu gestor;

III - para caixas postais de uso coletivo, o gestor - e nos impedimentos legais, seu respectivo substituto - é o responsável pelo grupo de trabalho, comitê, comissão, projeto ou pela atividade específica de interesse da Justiça Federal da 4ª Região à qual foi destinada a caixa postal.

I - examinar diariamente o conteúdo da caixa postal para dar tratamento adequado e tempestivo às mensagens recebidas e mantê-lo de acordo com as normas integrantes da POSIC;

II - adotar medidas para que o volume ocupado pelo conteúdo da caixa postal não exceda os limites estabelecidos.

Art. 77. É vedada a prática das seguintes ações relativas ao correio eletrônico:

I - acesso ou tentativa de acesso, com indício de fraude ou sabotagem, à caixa postal sem autorização do respectivo gestor;

II - envio, sem autorização, de mensagem com informações protegidas por direito autoral para pessoa física ou jurídica;

III - encaminhamento de mensagem em desacordo com o grau de confidencialidade atribuído a seu conteúdo;

IV - envio ou armazenamento de mensagem de conteúdo ilegal ou em desacordo com o Código de Ética dos Servidores do Tribunal;

V - adulteração de dados referentes à origem da mensagem nos campos de controle de cabeçalho.

Parágrafo único. Na aplicação do disposto neste artigo, considera-se armazenada a mensagem aberta e mantida na caixa postal.

Art. 78. A inobservância aos dispositivos do artigo anterior pode acarretar, isolada ou cumulativamente, e nos termos da legislação aplicável:

Art. 79. O sistema de mensageria instantânea constitui recurso corporativo para comunicação, a ser usado de modo compatível com o exercício do cargo, sem comprometer a imagem da Justiça Federal nem o tráfego de dados na rede de computadores da instituição.

§ 1º Para o tratamento de assuntos institucionais, é preferencial a utilização do sistema de mensagens instantâneas eleito como recurso corporativo da Justiça Federal da 4ª Região.

§ 2º Durante o período de expediente, os usuários deverão obrigatoriamente manter-se conectados ao sistema corporativo de mensagens instantâneas.

§ 3º A área de tecnologia da informação não acessará mensagens individuais, salvo para atender aos objetivos mencionados nos incisos I a V do artigo 44 desta resolução:

§ 4º A área de tecnologia da informação poderá manter registros de login de usuário e de envio de mensagens pelo sistema de mensageria instantânea.

Art. 80. O sistema de conferência ou reunião audiovisual a distância constitui recurso corporativo para comunicação, e deve ser utilizado de modo compatível com o exercício do cargo, sem comprometer a imagem da Justiça Federal nem o tráfego de dados na rede de computadores da instituição.

Parágrafo único. A utilização ou conexão com sistemas de conferências de uso público, como Zoom, Cisco Webex, Microsoft Teams, entre outros, poderá ser restringida a critério da CLSI.

Art. 81. A Presidência do Tribunal, por meio de atos normativos próprios, emitirá os seguintes normativos complementares:

Art. 82. Os contratos, convênios, acordos de cooperação e outros instrumentos congêneres celebrados pelo Tribunal ou pelas Seções Judiciárias devem observar, no que couber, as disposições da POSIC.

Art. 83. A revisão da POSIC poderá ocorrer a qualquer tempo, quando houver mudanças significativas com impacto nos processos ou requisitos de segurança da informação, devendo ser realizada no máximo a cada quatro anos, de modo a atualizá-la frente a novos requisitos corporativos.

Art. 84. As áreas de tecnologia da informação do Tribunal e das Seções Judiciárias deverão designar responsáveis pela aplicação desta POSIC.

Art. 85. A não observância dos dispositivos da POSIC sujeita os infratores, isolada ou cumulativamente, a sanções administrativas, civis e penais, nos termos da legislação pertinente, assegurados aos envolvidos o contraditório e a ampla defesa.

Art. 86. Esta resolução revoga a Resolução nº 73, de 12/05/2021, a Resolução nº 74, de 12/05/2021, e entra em vigor na data de sua publicação.

Documento assinado eletronicamente por FERNANDO QUADROS DA SILVA, Presidente, em 19/09/2023, às 15:32, conforme art. 1º, III, "b", da Lei 11.419/2006.

A autenticidade do documento pode ser conferida no site http://www.trf4.jus.br/trf4/processos/verifica.php informando o código verificador 6860934 e o código CRC 3ED35772.

^(*) Republicada com acréscimo do parágrafo único ao artigo 21 e do § 3º ao artigo 66.