Imprimir Documento    Voltar     

Diário Eletrônico

DIÁRIO ELETRÔNICO DA JUSTIÇA FEDERAL DA 4ª REGIÃO
Ano XVI - nº 112 - Porto Alegre, quarta-feira, 12 de maio de 2021

TRIBUNAL REGIONAL FEDERAL DA 4ª REGIÃO

PUBLICAÇÕES ADMINISTRATIVAS



ASSESSORIA DE PLANEJAMENTO E GESTÃO


SEI/TRF4 - 5507756 - Resolução

Resolução Nº 73/2021

Institui a Norma de Controle de Acesso Lógico aos Ativos de Informação da Justiça Federal de Primeiro e Segundo Graus da 4ª Região.

O PRESIDENTE DO TRIBUNAL REGIONAL FEDERAL DA 4ª REGIÃO, no uso de suas atribuições legais e regimentais, no Processo Administrativo 0010495-15.2020.4.04.8000, e

CONSIDERANDO a Resolução CNJ 291, de 23-8-2019, que consolida as resoluções do Conselho Nacional de Justiça sobre a Política e o Sistema Nacional de Segurança do Poder Judiciário;

CONSIDERANDO a Resolução CJF 6, de 07-4-2008, que dispõe sobre a implantação da Política de Segurança da Informação e a utilização dos ativos de informática no âmbito do Conselho e da Justiça Federal de primeiro e segundo graus, alterada pela Resolução CJF 687, de 15-12-2020;

CONSIDERANDO as Normas Técnicas NBR ISO/IEC 27001:2013, que trata de Sistemas de Gestão da Segurança da Informação, e NBR ISO/IEC 27005:2019, que trata da Gestão de Riscos de Segurança da Informação;

CONSIDERANDO a Lei 12.527/2011 - Lei de Acesso à Informação;

CONSIDERANDO a Lei 12.965/2014 - Marco Civil da Internet;

CONSIDERANDO a Lei 13.709/2018 - Lei Geral de Proteção de Dados Pessoais;

CONSIDERANDO a Portaria CNJ 242/2020, que institui o Comitê de Segurança Cibernética do Poder Judiciário;

CONSIDERANDO a Portaria 513/2020 do TRF4, que estabeleceu a Comissão Local de Segurança da Informação do Tribunal Regional Federal da 4ª Região, resolve:

Art. 1º Instituir a Norma de Controle de Acesso Lógico aos Ativos de Informação da Justiça Federal de Primeiro e Segundo Graus da 4ª Região.

Parágrafo único. Esta norma define diretrizes para as áreas de Tecnologia da Informação da Justiça Federal da 4ª Região concernentes ao controle do acesso lógico aos ativos de informação, para usuários externos e internos.

TERMOS E DEFINIÇÕES

Art. 2º Para efeitos desta resolução, aplicam-se as seguintes definições:

a) Agente público: magistrados, servidores, estagiários e prestadores de serviço que estejam exercendo atividades na Justiça Federal da 4ª Região.

b) Área de Tecnologia da Informação: unidades responsáveis pela Tecnologia da Informação na Justiça Federal, Núcleos de Tecnologia da Informação (NTI) nas Seções Judiciárias e Diretoria de Tecnologia da Informação (DTI) no Tribunal.

c) Backup: cópia de segurança dos dados.

d) Firewall: sistema de rede que monitora e aplica regras de segurança a fluxo de dados.

e) Gestor de Sistema: agente público ou comissão oficialmente designados para a gestão de determinado sistema de informação.

f) LAN: sigla em inglês para Local Area Network ou rede local.

g) Link de trânsito: nome dado à conexão da rede privada com a rede pública.

h) Unidade Institucional: unidade de lotação do agente público.

i) Usuário: pessoa física ou jurídica que opera algum sistema informatizado da Justiça Federal.

j) VPN: do inglês Virtual Private Network, ferramenta que permite o acesso a redes privadas por meio de rede pública.

Parágrafo único. Aplicam-se a esta resolução os termos e definições constantes da Política de Segurança da Justiça Federal.

CADASTRAMENTO DE USUÁRIOS

Art. 3º Todos os sistemas deverão manter integração automática com o Sistema de Recursos Humanos para concessão de direitos básicos aos usuários, conforme lotação e/ou cargo.

§ 1º Nos sistemas ainda não integrados com o Sistema de Recursos Humanos, que permitam o gerenciamento desses direitos, ao gestor da unidade incumbirá realizar o cadastramento, concessão de direitos e exclusão de usuário.

§ 2º Para os sistemas que não oferecem esse gerenciamento, o gestor da unidade deverá encaminhar eletronicamente, no sistema apropriado, pedido formal ao gestor do respectivo sistema, que manterá registro de todos os pedidos de inclusão, exclusão e alteração de perfil de usuário.

§ 3º O gestor da unidade institucional deverá proceder imediatamente à exclusão de usuários que se desligaram de sua unidade.

§ 4º Os usuários internos deverão manter seus dados cadastrais atualizados junto ao Sistema de Recurso Humanos, para fins de recuperação de senha e de, quando aplicável, utilização de autenticação de duplo fator.

POLÍTICA DE SENHAS

Art. 4º A identificação de usuários que operam os sistemas deve ser feita mediante a autenticação usuário-senha, preferencialmente com duplo fator de autenticação ou certificado digital.

Parágrafo único. Essa identificação está dispensada para consulta a sistemas públicos da Justiça Federal da 4ª Região, como o portal eletrônico, contudo a área de Tecnologia da Informação deverá manter registros para auditoria de acesso.

Art. 5º A senha cadastrada é pessoal, intransferível e confidencial.

Art. 6º As regras de formação e de duração das senhas serão definidas pela Comissão Local de Segurança da Informação e terão ampla divulgação.

ACESSO À REDE

Art. 7º Apenas poderão ser conectados às redes cabeadas da Justiça Federal da 4ª Região dispositivos previamente autorizados pela respectiva área de Tecnologia da Informação.

§ 1º Exceções devem ser comunicadas à Direção-Geral, no âmbito do Tribunal, e à Direção do Foro, no âmbito das Seccionais, justificando a necessidade e o prazo de utilização.

§ 2º As exceções autorizadas deverão obrigatoriamente adotar os padrões definidos pela Política de Segurança da Justiça Federal, sendo o proprietário do equipamento responsável pelo licenciamento dos produtos nele instalados, além da manutenção e suporte aos sistemas não homologados pela área de Tecnologia da Informação, sendo que a Justiça Federal não fornecerá licenças para funcionamento de microcomputadores particulares.

Art. 8º Microcomputadores e/ou dispositivos portáteis não pertencentes à Justiça Federal só poderão acessar a rede sem fio específica para esse fim mediante prévio cadastramento e autorização.

Parágrafo único. O usuário, antes de acessar a "rede visitante", deverá se identificar e concordar com o termo de uso da rede sem fio.

Art. 9º A área de Tecnologia da Informação poderá desconectar das redes cabeada e sem fio qualquer dispositivo que constitua ameaça à segurança da informação.

Art. 10. A área de Tecnologia da Informação poderá utilizar equipamentos e serviços de segurança para inspecionar qualquer ambiente de rede, cabeada ou sem fio, para identificar invasões, ameaças e falhas.

Art. 11. A conexão de outras instituições à rede corporativa deverá ser executada pelo link de trânsito da instituição, ficando vedada a conexão do tipo ponto a ponto ou “LAN" to "LAN".

Parágrafo único. Caso seja necessário conexão privada, poderá ser feita conexão do tipo VPN, sendo as configurações de protocolo definidas pela área de Tecnologia da Informação.

Art. 12. A área de Tecnologia da Informação poderá utilizar protocolos e serviços para privilegiar tráfego de rede, bem como restringir ou bloquear fluxos de rede, garantindo a banda necessária para execução de sistemas considerados essenciais pela Administração.

Parágrafo único. Instalação e ou manutenção de serviços, periféricos, dispositivos e outros equipamentos, que utilizem banda de dados, necessitam a autorização da área de Tecnologia da Informação para implementação.

Art. 13. Todo o tráfego da rede corporativa, cabeada ou sem fio, será inspecionado por serviços de firewall e equipamentos de segurança de redes, visando proteger a rede, combater ameaças cibernéticas ou fuga de dados sensíveis à instituição.

Parágrafo único. A área de Tecnologia da Informação poderá aplicar políticas de bloqueio aos fluxos de dados para garantir a segurança do ambiente.

Artigo 14. A área de Tecnologia da Informação poderá aplicar bloqueios em portas físicas de equipamentos de rede, para garantir que apenas um equipamento esteja conectado.

ACESSO A PORTAIS DA INTERNET (WORLD WIDE WEB)

Art. 15. Todo acesso à internet deverá ser identificado por usuário.

§ 1º Os rastros de acesso deverão, no mínimo, identificar usuários, endereços IP (protocolo de internet), URL (endereço virtual do local do arquivo, sítio etc.) acessada, data e hora.

§ 2º A área de Tecnologia da Informação deverá reter os rastros de acesso pelo prazo mínimo de 5 anos.

Art. 16. É proibido o acesso a sítios que contenham materiais (1) pornográficos, obscenos ou correlatos, (2) ofensivos, preconceituosos ou de discriminação étnica, sexual ou religiosa; ou que tratem de (3) ferramentas para invasão e evasão de sistemas, (4) anonimização de acesso e (5) apologia ou incitação a crimes.

Parágrafo único. A área de Tecnologia da Informação poderá bloquear o acesso a esses sítios.

Art. 17. A política de acesso a portais de internet deve ser a mesma em toda a 4ª Região.

Art. 18. Os pedidos de acesso a portais de internet vedados devem ser formulados à Comissão Local de Segurança da Informação.

§ 1º Fica dispensada a solicitação para magistrado ou pessoa por ele designada para fins de instrução processual.

§ 2º Dispensa-se, de igual forma, a solicitação para autoridade processante com objetivo de instruir processos administrativos, bem como para as equipes de Tecnologia da Informação responsáveis por manter o acesso à internet.

UTILIZAÇÃO DE CORREIO ELETRÔNICO

Art. 19. O correio eletrônico constitui recurso corporativo para comunicação e deve ser usado de modo compatível com o exercício da atividade institucional, sem comprometer a imagem da Justiça Federal nem o tráfego de dados na rede de computadores da instituição.

§ 1º Todas as mensagens eletrônicas enviadas e recebidas nos domínios da Justiça Federal da 4ª Região terão registrados os dados: data e hora do envio ou recebimento, remetente e destinatário, pelo período mínimo de 5 anos.

§ 2º A área de Tecnologia da Informação deverá implantar mecanismos que evitem o envio e a recepção de mensagens que possam comprometer a segurança do serviço.

§ 3º A área de Tecnologia da Informação poderá estabelecer cotas para limitar o espaço de armazenamento das caixas postais, por unidade e/ou usuário.

§ 4º A área de Tecnologia da Informação não acessará mensagens individuais de caixas de e-mail, salvo para atender aos seguintes objetivos:

I - Verificar a obtenção, retenção, uso e divulgação de informações por meio ou com fins ilícitos, ou em desacordo com as normas regulamentares sobre segurança da informação, mediante autorização do Presidente do Tribunal ou do Diretor do Foro da Seção Judiciária.

II - Recuperar conteúdo de interesse da Justiça Federal, no caso de afastamentos legais do usuário e de seu substituto, mediante autorização do Presidente do Tribunal ou do Diretor do Foro da Seção Judiciária.

III - Atender à demanda formulada no âmbito de processo administrativo disciplinar, mediante autorização do Presidente do Tribunal ou do Diretor do Foro da Seção Judiciária​.

IV - Atender à determinação judicial.

V - Realizar a recuperação de mensagens do backup, a pedido do usuário.

Art. 20. É vedada a prática das seguintes ações relativas ao correio eletrônico:

I – Acesso ou tentativa de acesso à caixa postal em desacordo com o previsto no § 4º do artigo 19 desta resolução.

II – Envio ou armazenamento de mensagem de conteúdo incompatível com as atribuições dos usuários, incluindo as que contêm ofensas e comentários discriminatórios.

III – Adulteração de dados referentes à origem da mensagem nos campos de controle de cabeçalho.

Parágrafo único. Para os fins deste artigo, considera-se armazenada a mensagem aberta e mantida na caixa postal.

SISTEMA DE ARQUIVOS

Art. 21. O sistema de arquivos constitui recurso corporativo, e deve ser usado de modo compatível com o exercício do cargo para armazenamento de arquivos.

Art. 22. A área de Tecnologia da Informação deverá realizar cópias de segurança (backup) do sistema de arquivos, conforme estipulado na Política de Cópias de Segurança.

Parágrafo único. O backup dos arquivos de pastas de usuário armazenadas localmente no microcomputador ou na máquina virtual, bem como de configurações personalizadas, é de responsabilidade do usuário.

Art. 23. A área de Tecnologia da Informação poderá estabelecer cotas para limitar o espaço de armazenamento das pastas, por unidade e/ou usuário.

Art. 24. A área de Tecnologia da Informação não acessará os arquivos armazenados nas pastas das unidades e dos usuários, salvo para atender aos seguintes objetivos:

I - Verificar a obtenção, retenção, uso e divulgação de informações por meio ou com fins ilícitos, ou em desacordo com as normas regulamentares sobre segurança da informação, mediante autorização do Presidente do Tribunal ou Diretor do Foro da Seção Judiciária.

II - Recuperar conteúdo de interesse da Justiça Federal, no caso de afastamentos legais do usuário e de seu substituto, mediante autorização do Presidente do Tribunal ou Diretor do Foro da Seção Judiciária.

III - Atender à demanda formulada no âmbito de processo administrativo disciplinar, mediante autorização do Presidente do Tribunal ou do Diretor do Foro da Seção Judiciária.

IV - Atender à determinação judicial.

V - Realizar a recuperação de arquivos do backup, a pedido do usuário.

VI - Verificar, de forma automatizada, existência de vírus eletrônicos.

MENSAGERIA INSTANTÂNEA

Art. 25. O sistema de mensageria instantânea constitui recurso corporativo para comunicação, a ser usado de modo compatível com o exercício do cargo, sem comprometer a imagem da Justiça Federal nem o tráfego de dados na rede de computadores da instituição.

§ 1º A área de Tecnologia da Informação não acessará mensagens individuais, salvo para atender aos seguintes objetivos:

I - Verificar a obtenção, retenção, uso e divulgação de informações por meio ou com fins ilícitos, ou em desacordo com as normas regulamentares sobre segurança da informação, mediante autorização do Presidente do Tribunal ou do Diretor do Foro da Seção Judiciária.

II - Recuperar conteúdo de interesse da Justiça Federal, no caso de afastamentos legais do usuário e de seu substituto, mediante autorização do Presidente do Tribunal ou do Diretor do Foro da Seção Judiciária.

III - Atender à demanda formulada no âmbito de processo administrativo disciplinar, mediante autorização do Presidente do Tribunal ou do Diretor do Foro da Seção Judiciária​.

IV - Atender à determinação judicial.

V - Realizar a recuperação de mensagens do backup, a pedido do usuário.

VI - Verificar, de forma automatizada, a existência de vírus eletrônicos.

§ 2º A área de Tecnologia da Informação poderá manter registros de login de usuário e de envio de mensagens pelo sistema de mensageria instantânea.

§ 3º A utilização ou conexão com sistemas de mensageria instantânea de uso público, como Windows Live Messenger, Yahoo! Messenger, Google Talk, Skype, WhatsApp, Pandion (Psi), entre outros, poderão ser restringidas a critério da Comissão Local de Segurança da Informação.

VIDEOCONFERÊNCIA E WEBCONFERÊCIA

Art. 26. O sistema de conferência ou reunião audiovisual à distância constitui recurso corporativo para comunicação, e deve ser usado de modo compatível com o exercício do cargo, sem comprometer a imagem da Justiça Federal nem o tráfego de dados na rede de computadores da instituição.

Parágrafo único. A utilização ou conexão com sistemas de conferências de uso público, como Zoom, Cisco Webex, Microsoft Teams, entre outros, poderá ser restringida a critério da Comissão Local de Segurança da Informação.

DISPOSIÇÕES FINAIS

Art. 27. As áreas de Tecnologia da Informação do Tribunal e das Seções Judiciárias deverão designar responsáveis pela aplicação desta Norma de Controle de Acesso Lógico aos Ativos de Informação.

Art. 28. Esta resolução revoga a Resolução 57, de 11-4-2014, e entra em vigor na data de sua publicação.

PUBLIQUE-SE. REGISTRE-SE. CUMPRA-SE.


logotipo

Documento assinado eletronicamente por Victor Luiz dos Santos Laus, Presidente, em 10/05/2021, às 22:50, conforme art. 1º, III, "b", da Lei 11.419/2006.


QRCode Assinatura

A autenticidade do documento pode ser conferida no site http://www.trf4.jus.br/trf4/processos/verifica.php informando o código verificador 5507756 e o código CRC F3955812.