ÓRGÃO ESPECIAL

 

RESOLUÇÃO ADMINISTRATIVA Nº 57/2014

 

(Publicada em 15/12/2014, no DOERJ, Parte III, Seção II)

(Vide Anexo I)

(Vide Anexo II)

 

Dispõe sobre a Política de Controle de Acesso relativo à Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 1ª Região.

 

 

O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA PRIMEIRA REGIÃO, no uso de suas atribuições legais e regimentais, tendo em vista o decidido, por maioria, pelo Órgão Especial, reunido em Sessão Ordinária, no dia 4 de dezembro de 2014,

 

CONSIDERANDO a necessidade de estabelecer diretrizes e padrões para garantir o acesso aos recursos computacionais de forma a oferecer todas as informações necessárias aos processos deste Tribunal com integridade, confidencialidade e disponibilidade;

 

CONSIDERANDO fornecer aos usuários e provedores de serviços uma declaração nítida dos requisitos do negócio a serem atendidos pelos controles de acessos;

 

CONSIDERANDO que a credibilidade da instituição na prestação jurisdicional deve ser preservada;

 

CONSIDERANDO as definições consagradas pela Associação Brasileira de Normas Técnicas - ABN e por organismos internacionais (International Organization for Standardization - ISO);

 

CONSIDERANDO a constante preocupação com a qualidade e celeridade na prestação de serviços à sociedade.

 

RESOLVE:

 

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

 

Art. 1º Criar a Política de Controle de Acesso (PCA) no âmbito do Tribunal Regional do Trabalho da 1ª Região - TRT/RJ.

 

Art. 2º Para os efeitos desta Resolução Administrativa aplicam-se as seguintes definições:

 

I - Ativo: qualquer coisa que tenha valor para a organização;

 

II- Controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso;

 

III - Acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem como a possibilidade de usar os ativos de informação de um órgão ou entidade;

 

IV - Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados;

 

V - Disponibilidade: propriedade de estar acessível e utilizável, sob demanda, por entidade autorizada;

 

VI - Integridade: propriedade de salvaguarda da exatidão e completeza da informação;

 

VII - Segurança da informação: preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas;

 

VIII - Serviços de TI: serviço baseado no uso da Tecnologia da Informação, provido para um ou mais clientes, e que oferece apoio aos processos de negócio destes, composto pela combinação de pessoas, processos e tecnologias que devem ser definidas por meio de um Acordo de Nível de Serviço;

 

IX - Comitê Gestor de Segurança da Informação e Comunicações (CGSIC) - Órgão colegiado, de natureza deliberativa e de caráter permanente, que tem por finalidade propor diretrizes para a Gestão Corporativa de Segurança da Informação; e

 

X - Usuários: pessoas que fazem uso de recursos de TI.

 

Art.3º Os usuários dividem-se em:

 

I - Usuários magistrados - magistrados do TRT/RJ ou que estejam a serviço deste.

 

II - Usuários servidores - servidores ocupantes de cargo efetivo ou em comissão, requisitados e cedidos que tenham acesso legítimo aos recursos de TI;

 

III - Usuários colaboradores - empregados de empresas prestadoras de serviços terceirizados, consultores, estagiários ou qualquer outro colaborador que esteja a serviço do TRT/RJ; e

 

IV - Usuários externos - advogados, peritos, partes e outras pessoas que se utilizem dos serviços disponibilizados pelo TRT/RJ.

 

Art. 4º A PCA se aplica a todos os usuários que exercem atividades no âmbito do TRT/RJ ou quem quer que venha a ter acesso a dados, informações, sistemas, ambientes e demais ativos protegidos por este regulamento.

 

Art. 5º O Processo de gerenciamento de acesso ao usuário deverá assegurar o acesso ao usuário autorizado e impedir o acesso ao usuário não autorizado a sistemas de informação e serviços de TI.

 

Art. 6º O acesso à rede corporativa deverá ser gravada em logs para posterior auditoria.

 

Art. 7º A implementação, divulgação e conscientização dos controles de acesso deverão estar em conformidade com a POSIC (Política de Segurança da Informação e Comunicações).

 

CAPÍTULO II

DO CONTROLE DE ACESSO AOS SERVIÇOS DE TI

 

 

Art. 8º A solicitação de acesso dos usuários servidores aos serviços no ambiente de Tecnologia da Informação, compreendidos Intranet, Internet, Extranet, correio eletrônico, estrutura de diretórios e sistemas corporativos do TRT/RJ, deverá ser feita pela chefia imediata, ou conforme a hierarquia de responsabilidades, sempre que se julgar necessário, ou, ainda, pelo fiscal do contrato ou responsável imediato, quando se tratar de usuários colaboradores.

 

§1º No caso de usuários magistrados, o acesso será solicitado pela Presidência do Tribunal.

 

§2º Na solicitação de acesso estará descrito o tipo de vínculo, identificação do usuário e a justificativa, de acordo com o formulário definido no anexo II.

 

§3º No caso de usuários colaboradores, o acesso será permitido somente enquanto estiverem realizando suas atividades profissionais sob a vigência do contrato de prestação de serviços ao qual encontrarem-se vinculados, cabendo ao fiscal do contrato, à chefia imediata ou superior verificar a correta realização das atividades.

 

§4º Tratando-se de visitantes, somente será concedido o acesso mediante solicitação ao Serviço de Atendimento ao Usuário, que acionará a área competente, definindo os níveis de acesso a serem concedidos, ficando restrito a uma conta de usuário, desde que possibilite a realização das atividades laborais.

 

§5º O cuidado com a senha e o uso da identificação é responsabilidade do usuário a ele vinculado.

 

Art. 9º A alteração e a revogação de acesso aos serviços de TI do TRT/RJ serão efetuadas mediante solicitação da chefia imediata ou conforme a hierarquia de responsabilidade, ou, ainda, pelo fiscal do contrato.

 

§1º No caso de usuários magistrados, a revogação e alteração será solicitada pela Presidência do Tribunal.

 

§2º O solicitante poderá requerer alterações nos níveis de acesso do usuário, de acordo com as necessidades laborais.

 

§3º Na solicitação de revogação será descrito o tipo de vínculo a ser excluído e a justificativa, o que inclui o término do vínculo com a unidade, para o caso de usuários magistrados e servidores. A revogação será automática quando ocorrer o fim do tempo de validade, de acordo com o formulário definido no anexo II.

 

§4º Cabe à chefia imediata ou superior comunicar à STI a movimentação de servidores efetivos, comissionados, estagiários ou visitantes sob sua responsabilidade para a revogação e/ou modificação de acesso a recursos de TI.

 

CAPÍTULO III

DO CONTROLE DE ACESSO À INTERNET

 

 

Art. 10.  Os usuários servidores e colaboradores ao utilizarem a Internet deverão fazê-lo, adequadamente, no estrito interesse profissional do TRT/RJ, sendo vedado o acesso de forma considerada indevida, inadequada ou abusiva, de conteúdo considerado ofensivo, ilegal, impróprio ou incompatível com as atividades laborais, relacionado a hackers, a páginas que possuam conteúdos invasivos ou prejudiciais ao ambiente tecnológico do TRT/RJ, ou que busquem burlar os sistemas de bloqueio, filtro e segurança estabelecidos.

 

Art. 11.  Aos usuários magistrados será facultado o acesso a sites que executem download de áudio, vídeos e streamings, bem como acesso a redes sociais, considerando que esses acessos são necessários à execução de suas atividades laborais;

 

Art. 12. Será permitido aos usuários magistrados e servidores o acesso a sites bancários (Internet banking). O usuário deverá observar as políticas de segurança vigentes, não repassando a terceiros informações de natureza pessoal, como senhas e códigos de acesso, cabendo-lhe solicitar a instalação de módulos de segurança em sites bancários ao Serviço de Atendimento ao Usuário.

 

Parágrafo único. O TRT/RJ não se responsabilizará por eventuais prejuízos da quebra de sigilo de senhas eletrônicas, códigos de acesso, informações bancárias e outros de seu uso pessoal. O usuário será inteiramente responsável pelo seu acesso à sua conta bancária, bem como pelas transações eletrônicas nela realizadas.

 

Art. 13. Cabe à STI o bloqueio de sites, através de ferramenta apropriada, cujo conteúdo expresse as situações acima descritas.

 

§ 1º Caso algum site, cujo conteúdo esteja de acordo com o que estabelecido nesta PCA, encontre-se bloqueado, seu desbloqueio poderá ser solicitado pelo Serviço de Atendimento ao Usuário. Da mesma forma, o usuário poderá solicitar o bloqueio de algum site que julgue em desacordo com a PCA.

 

§ 2º Sites cujo conteúdo esteja em desacordo com a PCA, mas que o usuário julgue necessário acessar, deverão ser apreciados pelo Comitê Gestor de Segurança da Informação e Comunicações.

 

§ 3º O fato de um site não estar explicitamente bloqueado pelos sistemas de segurança não significa que ele possa ser acessado pelos usuários. Assim, para todo acesso realizado, deverão ser observados os preceitos da PCA, o uso apropriado dos recursos tecnológicos, o desempenho das funções profissionais do usuário, as boas práticas de acesso, bem como as proibições legais e internas.

 

CAPÍTULO  IV

DO CONTROLE DE ACESSO À REDE CORPORATIVA DE DADOS

 

 

Art. 14. A rede corporativa de dados é um ativo tecnológico estratégico para as atividades do TRT/RJ e a sua utilização deverá ser realizada apenas para atividades funcionais dos usuários magistrados e servidores, obedecidos os critérios de segurança exigidos.

 

Art. 15. Entende-se como rede de dados do TRT/RJ o conjunto de ativos tecnológicos de hardware e software para acesso às informações, composta por uma parte denominada rede cabeada, e por outra, denominada rede sem fio (wireless).

 

Art. 16. O acesso dos usuários magistrados e servidores à rede de dados cabeada ou sem fio será validado por método de autenticação de usuário e senha e outros que se façam necessários.

 

Art. 17. A todos os usuários magistrados, servidores e colaboradores da rede de dados do TRT/RJ (rede cabeada ou rede sem fio) somente será permitido o acesso utilizando-se equipamentos de propriedade do TRT/RJ, corretamente incluídos no domínio de rede e homologados pela STI, incluindo-se, para esse fim, equipamentos do tipo desktops, notebooks, netbooks, tablets, palmtops, smartphones etc.

 

§ 1º Todos os equipamentos conectados à rede de dados do TRT/RJ (rede cabeada e rede sem fio) deverão atender aos padrões de configuração e segurança definidos e homologados pela STI.

 

§ 2º O acesso à rede de dados do TRT/RJ, com equipamentos externos, deverá ser feito exclusivamente por intermédio de VPN (Virtual Private Networks), devendo o usuário, nesses casos, utilizar recursos próprios de acesso (GPRS, Edge, 3G, 4G etc) à Internet.

 

§ 3º Exceções ao previsto no presente dispositivo deverão ser analisadas pelo Comitê Gestor de Segurança da Informação e Comunicações.

 

Art. 18.  É vedado o acesso a redes de terceiros ou a redes particulares, com equipamentos de propriedade do TRT/RJ, de dentro de suas dependências.

 

Art. 19. O acesso à internet, utilizando-se tecnologias de acesso móvel banda larga (GPRS, Edge, 3G, 4G etc), não pode ser realizado simultaneamente ao acesso da rede corporativa de dados (cabeada ou sem fio) do TRT/RJ.

 

Art. 20. Salvo autorização expressa, após análise do Comitê Gestor de Segurança da Informação e Comunicações, é vedado o acesso à Internet móvel (GPRS, Edge, 3G, 4G etc) utilizando-se equipamentos desktops de propriedade do TRT/RJ.

 

Art. 21. A rede sem fio do TRT/RJ terá um segmento especial denominado “Rede de Visitantes”, que possibilitará, exclusivamente aos usuários colaboradores, acesso temporário à Internet, quando necessário.

 

§ 1º Nesses casos, o acesso concedido obedecerá ao definido no Capítulo II.

 

§ 2º A unidade requisitante ou o fiscal do contrato deverá solicitar o acesso à STI, informando os dados pessoais do usuário (nome completo, CPF, telefone de contato) e o tempo de acesso requerido.

 

Art. 22. Constatando-se prejuízos ao tráfego ou ao armazenamento de dados corporativos gerados pela utilização indevida de rede sem fio de terceiros, o titular da Unidade ao qual o equipamento está vinculado, ou o seu detentor direto, será responsabilizado pelos danos causados.

 

CAPÍTULO V

DO CONTROLE DE ACESSO À VPN

 

 

Art. 23.  O acesso por VPN (Virtual Private Networks ou Rede Virtual Privativa) poderá ser realizado por computador particular do usuário, e será utilizado, para acesso remoto, por usuários devidamente cadastrados e obedecendo, quando aplicados, aos artigos 8º e 9º.

 

Parágrafo único. Caberá à STI a análise de recursos disponíveis para embasar a decisão de autorização para utilização da VPN.

 

Art. 24.  Cada usuário possuirá uma conta pessoal de acesso VPN, acessível mediante autenticação, através de componentes de segurança complementares (clients, certificados digitais e afins), definidos e homologados pela STI, sendo de sua responsabilidade todas as atividades realizadas com essa conta.

 

Parágrafo único. Compete exclusivamente ao usuário providenciar as estruturas física, tecnológica e instalações necessárias à realização do trabalho à distância, mediante uso de equipamentos ergonômicos e adequados, independentemente de serem recursos tecnológicos do TRT-RJ ou de propriedade do usuário. Sob quaisquer circunstâncias, esse Tribunal se exime em ressarcir eventuais despesas realizadas pelo usuário com instalações e equipamentos para a realização do trabalho à distância.

 

Art. 25.  À STI cabe o monitoramento, o registro e a auditoria de todos os acessos, comunicações e transações realizados a partir da VPN, visando a garantir a aderência às normas e requisitos de segurança estabelecidos.

 

Parágrafo único. O acesso de VPN de qualquer usuário poderá ser suspenso, sem prévio aviso, por motivos de segurança e auditoria.

 

Art. 26. Com o objetivo de prover um adequado nível de segurança ao ambiente tecnológico, o acesso por VPN será dividido em três grupos distintos de usuários:

 

I - Grupo I, referente a servidores da STI;

 

II - Grupo II, referente a usuários magistrados e servidores do TRT/RJ; e

 

III - Grupo III, referente a usuários colaboradores (contratados, terceirizados, prestadores de serviço e afins) do TRT/RJ.

 

Art. 27. Os usuários pertencentes ao Grupo III deverão assinar um termo de confidencialidade e de responsabilidade (Anexo I) para utilização dos recursos de TI. A utilização da VPN pelo Grupo III deverá estar prevista em contrato, convênio ou outro documento formal, devendo ser observada a sua utilização para fins profissionais, sob a vigência do contrato de prestação de serviços a que estão vinculados.

 

Parágrafo único. O TRT/RJ não se responsabilizará por eventuais prejuízos causados pela indisponibilidade dos serviços de VPN oferecidos aos usuários do Grupo III.

 

CAPÍTULO VI

DO CONTROLE DE ACESSO AOS ARQUIVOS E DIRETÓRIOS

 

 

Art. 28.  Cada unidade administrativa e judiciária do TRT/RJ possui um diretório de rede com o nome da unidade para armazenamento exclusivo de arquivos institucionais relativos ao setor.

 

§ 1º O acesso de leitura, modificação e execução aos arquivos gravados no diretório de uma unidade é automaticamente concedido aos servidores  lotados na respectiva unidade, que poderão acessá-lo com seu login e senha de rede.

 

§ 2º A chefia deverá abrir chamado para a concessão/inclusão ou retirada de acesso à unidade de diretório de servidores do setor.

 

§ 3º  A capacidade do diretório de cada unidade estará limitada por cotas de acordo com o espaço livre disponível.

 

§ 4º A cópia de qualquer arquivo de determinada unidade para outra ou para mídias removíveis (CD-ROM, pen drive, disquete) deverá ser autorizado pela chefia da unidade detentora dos arquivos.

 

§ 5º Todos os arquivos de uso institucional deverão ficar no diretório de rede.

 

Art. 29.  O sistema de compartilhamento de arquivos disponibilizará um diretório temporário com acesso permitido a todos os usuários, chamado de “\\nomedamaquina\Publico”, que é automaticamente disponibilizado pelo sistema, quando o usuário realiza seu “login”.

 

Parágrafo único. O conteúdo deste diretório temporário não terá cópia de segurança e será apagado diariamente, em horário noturno.

 

Art. 30.  Cabe à STI efetuar a cópia de segurança (backup) dos dados armazenados no servidor de arquivos de rede disponibilizada pelo TRT/RJ, não se responsabilizando por arquivos lançados em outros dispositivos que não a unidade de rede.

 

Art. 31.  É proibida a cópia em qualquer diretório na rede do Tribunal, de arquivos de fotos, músicas e filmes que não sejam de interesse específico do trabalho, de programas não homologados ou não licenciados ou de material protegido por lei de propriedade intelectual (livros, apostilas, cursos, filmes, músicas etc.), ou de programas de conteúdo prejudicial à segurança do parque computacional do TRT/RJ.

 

Parágrafo único. O backup dos arquivos autorizados após deliberação do Comitê Gestor de Segurança da Informação e Comunicações não será automaticamente realizado pela STI, cabendo, ao responsável pelo conteúdo, a solicitação de suas inclusões.

 

CAPÍTULO VII

DAS PENALIDADES E DISPOSIÇÕES GERAIS

 

 

Art. 32.  O usuário que agir em desacordo com os termos aqui definidos, ficará sujeito à aplicação das penalidades previstas na legislação vigente.

 

Art. 33. Com o objetivo de detalhar as obrigações indicadas nesta PCA, discutidas e aprovadas pelo Comitê Gestor de Segurança da Informação e Comunicações, serão mantidas em documentos à parte, disponíveis a partir da página principal da Intranet institucional ou em site específico mantido pelo TRT/RJ.

 

Art. 34.  Os instrumentos normativos gerados a partir desta PCA devem ser revisados sempre que se fizer necessário, não excedendo o período máximo de 1 (um) ano.

 

Art. 35.  Qualquer hipótese que não estiver contemplada na presente PCA está automaticamente vedada e será submetida à apreciação do Comitê Gestor de Segurança da Informação e Comunicações.

 

Art. 36.  A presente Resolução Administrativa entra em vigor a partir da data de sua publicação.

 

Sala de Sessões, 4 de dezembro de 2014

 

 

DESEMBARGADOR DO TRABALHO CARLOS ALBERTO ARAUJO DRUMMOND

Presidente do Tribunal Regional do Trabalho da Primeira Região