:: Portal da Justiça Federal da 4ª Região ::

Dispõe sobre a aplicação do Protocolo de Gerenciamento de Crises Cibernéticas do Poder Judiciário no âmbito da Justiça Federal da 4ª Região e institui o Comitê de Gerenciamento de Crises Cibernéticas.

O PRESIDENTE DO TRIBUNAL REGIONAL FEDERAL DA 4ª REGIÃO, no uso de suas atribuições legais e regimentais, tendo em vista o que consta no Processo Administrativo nº 0005274-17.2021.4.04.8000, e

CONSIDERANDO a Resolução do Conselho Nacional de Justiça - CNJ nº 370, de 28 de janeiro de 2021, que "Estabelece a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD)";

CONSIDERANDO que a alínea "a" do inciso II do artigo 21 da Resolução do CNJ nº 370, de 2021, estabelece a necessidade de constituir e manter estruturas organizacionais adequadas e compatíveis com o macroprocesso de "incidentes de segurança";

CONSIDERANDO a Resolução do CNJ nº 396, de 7 de junho de 2021, que "Institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ)";

CONSIDERANDO a Portaria do CNJ nº 162, de 10 de junho de 2021, que "Aprova Protocolos e Manuais criados pela Resolução do CNJ nº 396, de 2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ)";

CONSIDERANDO que o inciso II do artigo 1º da Portaria do CNJ nº 162, de 2021, aprova, na forma de seu Anexo II, o Protocolo de Gerenciamento de Crises Cibernéticas do Poder Judiciário - PGCRC-PJ, que prevê as ações responsivas a serem colocadas em prática quando ficar evidente que um incidente de segurança cibernética não será mitigado rapidamente e que poderá durar dias, semanas ou meses;

CONSIDERANDO a Resolução nº 273, de 22 de setembro de 2023, deste Tribunal, que “dispõe sobre a Política de Segurança da Informação e Comunicação (POSIC) e sobre o Sistema de Gestão de Segurança da Informação (SGSI) da Justiça Federal da 4ª Região”,

Art. 1º Esta portaria dispõe sobre a aplicação do Protocolo de Gerenciamento de Crises Cibernéticas do Poder Judiciário - PGCRC-PJ, de que trata o Anexo II da Portaria do Conselho Nacional de Justiça - CNJ nº 162, de 10 de junho de 2021, no âmbito da Justiça Federal da 4ª Região (JF4R).

Art. 2º Para os efeitos desta portaria, ficam estabelecidas as seguintes definições:

I - ativos críticos: equipamentos (hardware), sistemas de software, redes, meios de comunicação de dados e suas respectivas instalações físicas, relativos às atividades consideradas essenciais e estratégicas ao funcionamento da JF4R;

II - crise: evento ou série de eventos danosos que apresenta(m) propriedades emergentes capazes de exceder a capacidade de resposta e recuperação da JF4R e que apresenta(m) implicações que afetam uma proporção considerável da organização e de seus constituintes;

III - crise cibernética: crise em decorrência de incidentes no espaço cibernético da JF4R que cause dano material ou à imagem da instituição, atraia a atenção do público e da mídia e fuja ao controle direto do Tribunal Regional Federal da 4ª Região (TRF4) e de suas Seções Judiciárias;

IV - serviços essenciais de tecnologia da informação e comunicação (TIC): sistemas cuja indisponibilidade cause prejuízo direto à prestação jurisdicional ou impeça o acesso dos(as) operadores(as) do direito aos autos processuais.

Art. 3º Fica instituído o Comitê de Gerenciamento de Crises Cibernéticas, para o cumprimento das competências definidas no PGCRC-PJ, com a seguinte formação:

I - Presidente da Comissão Local de Segurança da Informação, que presidirá o comitê;

II - Membro(a) indicado(a) pelo(a) Desembargador(a) Presidente do Comitê de Segurança Permanente do TRF4;

III - Presidente do Comitê de Governança de TI da Justiça Federal da 4ª Região;

X - Diretores(as) das Divisões de Tecnologia da Informação das Seções Judiciárias;

XI - Representantes da área de negócio das Seções Judiciárias indicados(as) pelos(as) Diretores(as) do Foro.

§ 1º As reuniões do comitê adotarão o Gabinete da Diretoria-Geral como sala de situação, podendo ser realizadas, por determinação da presidência do comitê, em outro local ou, ainda, por videoconferência.

§ 2º O comitê poderá convocar, sob demanda, servidores(as) da Justiça Federal da 4ª Região, especialistas de empresas especializadas em consultoria e serviços gerenciados de segurança cibernética ou especialistas de resposta a incidentes de segurança de outros órgãos.

Art. 4º São atribuições do Comitê de Gerenciamento de Crises Cibernéticas:

I - deliberar sobre a necessidade de suspender serviços e/ou acessos a sistemas informatizados;

II - centralizar a comunicação na figura de um(a) porta-voz, realizando comunicação tempestiva e eficiente, de forma a evitar informações equivocadas ou imprecisas, a evidenciar o trabalho das equipes e a debelar boatos e notícias falsas;

III - definir estratégias de comunicação com a imprensa e redes sociais, e estabelecer qual a mídia mais adequada para cada caso;

IV - quando o incidente envolver fato penalmente relevante, aplicar o Protocolo de Investigação para Ilícitos Cibernéticos do Poder Judiciário;

V - providenciar recursos adicionais extraordinários a fim de apoiar a Comissão Local de Respostas a Incidentes da Justiça Federal da 4ª Região;

VI - orientar sobre as prioridades e estratégias da instituição para sua recuperação rápida e eficaz frente ao incidente cibernético;

II - restar evidente que as ações de resposta ao incidente cibernético e à recuperação da instituição persistirão por longo período, podendo se estender por dias, semanas ou meses;

Parágrafo único. Assim que for identificado que um incidente levará a uma crise cibernética, o Comitê de Crises Cibernéticas deverá ser comunicado para que se reúna imediatamente.

Art. 6º O Comitê de Gerenciamento de Crises Cibernéticas deverá instaurar grupo de trabalho temporário adequado à crise específica, com integrantes das áreas técnicas e de negócio envolvidas, com as seguintes atribuições:

I - levantar as informações relevantes para entender claramente o incidente que gerou a crise, sua gravidade e seus impactos negativos, verificando fatos e descartando boatos;

II - levantar soluções alternativas para a crise, avaliando sua viabilidade e suas consequências;

III - avaliar a necessidade de suspender serviços e/ou sistemas informatizados;

Parágrafo único. O comitê designará um(a) gerente de crise, que coordenará o grupo de trabalho.

Art. 7º Quando constatada uma crise cibernética, a Presidência do TRF4 encaminhará comunicado da ocorrência do incidente grave ao Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Poder Judiciário - CPTRIC-PJ, órgão superior vinculado ao CNJ.

Parágrafo único. Quando o incidente acarretar risco ou dano relevante a titulares de dados pessoais, a Presidência do TRF4 comunicará a ocorrência ao Comitê Gestor de Proteção de Dados - CGPD do TRF4, a quem caberá, no exercício das atribuições de encarregada pelo tratamento de dados pessoais, comunicá-la:

Art. 8º Enquanto permanecer o estado de crise cibernética, as respectivas atividades de resposta e recuperação deverão ser prioridade das equipes envolvidas, acima de qualquer outra demanda ou projeto, visando ao rápido restabelecimento dos serviços afetados, observada a preservação de evidências para futura investigação e análise forense.

Documento assinado eletronicamente por FERNANDO QUADROS DA SILVA, Presidente, em 17/12/2024, às 18:06, conforme art. 1º, III, "b", da Lei 11.419/2006.

A autenticidade do documento pode ser conferida no site http://www.trf4.jus.br/trf4/processos/verifica.php informando o código verificador 7567709 e o código CRC 33A1DA2C.