ÓRGÃO ESPECIAL
RESOLUÇÃO ADMINISTRATIVA Nº 4/2024
(Disponibilizado em 15/2/2024 no DEJT, Caderno Administrativo)
Estabelece a Política de Controle de Acesso e Gestão Segura de
Ativos no âmbito do Tribunal Regional do Trabalho da Primeira Região e revoga a
Resolução
Administrativa nº 16, de 21 de junho de 2018.
O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA PRIMEIRA REGIÃO, no uso de suas atribuições legais e
regimentais, tendo em vista o decidido, por unanimidade, pelo Órgão Especial, reunido em Sessão Ordinária, no dia 8
de fevereiro de 2024,
CONSIDERANDO a Resolução do Conselho
Nacional de Justiça nº 396, de 7 de junho de 2021, que
institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário
(ENSEC-PJ);
CONSIDERANDO a Portaria do Conselho
Nacional de Justiça nº 162, de 10 de junho de 2021, Anexo I, Protocolo - Prevenção de Incidentes Cibernéticos do Poder Judiciário e Anexo VI,
Manual de Referência - Gestão de Identidade e de Controle de Acessos;
CONSIDERANDO o Ato n. 1/CSJT.SG.SETIC.NUGOV, de 23 de março de 2022, que oficializa
a segunda versão do Guia Referencial de Segurança da Informação da Justiça do
Trabalho;
CONSIDERANDO a Resolução
Administrativa nº 22, de 9 de fevereiro de 2023,
do Órgão Especial, que estabelece a Política de Segurança da Informação e
Comunicação no âmbito do Tribunal Regional do Trabalho da Primeira Região;
CONSIDERANDO a Resolução
Administrativa nº 13, de 14 de junho de 2022, do Órgão Especial, que dispõe
sobre a Política de Classificação da Informação no âmbito do Tribunal Regional
do Trabalho da Primeira Região;
CONSIDERANDO a Resolução
Administrativa nº 16, de 21 de junho de 2018, do Órgão Especial, que
estabeleceu a Política de Controle de Acesso relativos aos
sistemas de informação no âmbito do Tribunal Regional do Trabalho da Primeira
Região e revogou a Resolução
Administrativa nº 57, de 4 de dezembro de 2014;
CONSIDERANDO a Resolução
Administrativa nº 9, 17 de março de 2022, do Órgão Especial, que instituiu
a Política de Privacidade e Proteção de Dados Pessoais no âmbito do Tribunal
Regional do Trabalho da Primeira Região;
CONSIDERANDO a Norma Complementar nº
07/IN01/DSIC/GSIPR, do Gabinete de Segurança Institucional da Presidência da
República, que teve como objetivo estabelecer as diretrizes para implementação de controles de acesso relativos à segurança
da informação e comunicação nos órgãos e entidades da Administração Pública
Federal, direta e indireta;
CONSIDERANDO o Acórdão TCU Plenário
1688/2023, o qual orienta que uma política de controle de acesso deve
“estabelecer princípios, objetivos, diretrizes, principais atividades e
responsabilidades relativos ao processo” de controle de acesso e referencia o
Acórdão TCU Plenário 2513/2022; o Acórdão TCU Plenário 1318/2023, o qual
recomenda ao órgão auditado o estabelecimento de uma política de controle de
acesso “revisando credenciais e privilégios incompatíveis com as funções e
responsabilidades dos usuários e implementando regras
apropriadas de controle de acesso, direitos de acesso e restrições para papéis
específicos dos usuários acessarem informações e recursos de Tecnologia da
Informação, com base nos requisitos de negócio e de segurança da informação”;
CONSIDERANDO a Norma Técnica ABNT
NBR ISO/IEC 27002, 3ª ed., de 05 de outubro de 2022, segurança da informação,
segurança cibernética e proteção à privacidade, controles de segurança da
informação, controles organizacionais (item 5), controle de acesso (item 5.15),
sendo este um tipo de controle preventivo, que aponta para a conveniência de
“que as regras para controlar o acesso físico e lógico às informações e outros
ativos associados sejam estabelecidas e implementadas com base nos requisitos
de segurança da informação e de negócios”, com o propósito de “assegurar o
acesso autorizado e evitar o acesso não autorizado a informações e outros
ativos associados”; e
CONSIDERANDO a importância do
controle de acesso e da gestão segura de ativos para o funcionamento da rede
corporativa e de todos os sistemas computacionais hoje utilizados, bem como
daqueles que venham a ser implementados,
RESOLVE:
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1º Estabelecer a Política de Controle de Acesso e Gestão
Segura de Ativos no âmbito do Tribunal Regional do Trabalho da Primeira Região.
Art. 2º Para os efeitos desta Resolução Administrativa aplicam-se
as seguintes definições:
I - Acesso: “ato de ingressar, transitar, conhecer”, “consultar” ou
modificar “a informação, bem como a possibilidade de usar os ativos de
informação de um órgão ou entidade” (Portaria CNJ nº 162, Anexo VIII,
Glossário);
II - Ativo: “é
tudo aquilo que tem valor, tangível ou intangível, tais como informações, softwares,
equipamentos, instalações, serviços, pessoas e imagem institucional” (RA
22/2023, Art. 2º, I);
III - Ativo de TIC:
ativo utilizado para processamento, armazenamento ou transmissão de dado ou
informação custodiados pela STI;
IV - Confidencialidade: “propriedade de que a informação não esteja” (...) “revelada à
pessoa física, ao sistema, ao órgão ou à entidade não autorizada”
(Portaria CNJ nº 162, Anexo VIII, Glossário);
V - Controle de acesso: conjunto de procedimentos, recursos
e meios utilizados com a finalidade de conceder, bloquear ou modificar o
acesso;
VI - Comitê de Segurança da Informação e Proteção de Dados
(CGSI): “Órgão colegiado, de natureza deliberativa e de caráter permanente,
que tem por finalidade assessorar o TRT/RJ em assuntos de segurança de
informação” (RA 22/2023, Art. 12);
VII - Disponibilidade: “propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema,
órgão ou entidade” (Portaria CNJ nº 162, Anexo VIII, Glossário);
VIII - Docking station: dispositivo utilizado para conexão de notebook a
equipamentos externos com o objetivo fornecer ao usuário funcionalidades gerais
de usabilidade de desktop;
IX - Gestão segura de ativos: conjunto de procedimentos e
de boas práticas aplicados a ativos corporativos com o objetivo de preservar as
propriedades da segurança da informação;
X - Integridade: “propriedade
de que a informação não foi modificada ou destruída de maneira não autorizada
ou acidental” (Portaria CNJ nº 162, Anexo VIII, Glossário);
XI - Princípio do custodiante de dados: princípio de autorização que garante
que a solicitação de “definição, modificação” ou de “remoção de conta aprovada”
será executada por indivíduo responsável somente “depois de validar se as
aprovações apropriadas foram concedidas”. “Normalmente”, esses indivíduos “são
administradores de sistemas, administradores de banco de dados ou
administradores de aplicativos” (Portaria CNJ nº 162, Anexo VI, Manual de
Referência de Gestão de Identidade e de Controle de Acessos);
XII - Princípio do desprovisionamento: princípio de autorização
que garante que “os sistemas e aplicativos” sejam “projetados e implantados de
forma que facilite a remoção das autorizações e contas de uma pessoa nos
momentos apropriados” (Portaria CNJ nº 162, Anexo VI, Manual de
Referência de Gestão de Identidade e de Controle de Acessos);
XIII - Princípio do menor privilégio: princípio de
autorização que garante que “uma autorização deve fornecer apenas os
privilégios necessários para a função a ser executada e nada mais”. A
observância deste “princípio ajuda a garantir que os fluxos de trabalho
adequados sejam seguidos e o acesso às funções que podem expor os dados seja
contido tanto quanto possível” (Portaria CNJ nº 162, Anexo VI, Manual de
Referência de Gestão de Identidade e de Controle de Acessos);
XIV - Princípio da segregação ou
separação de função: princípio de
autorização que consiste na separação de funções de autorização, aprovação,
execução, controle e contabilização das operações, evitando o acúmulo de
funções por parte de um mesmo servidor. No caso específico de uma autorização,
quando esta “é concedida a uma conta, ela deve ser aprovada preferencialmente
por um ou vários indivíduos. Múltiplos aprovadores garantem que o princípio do
menor privilégio seja seguido tanto do ponto de vista técnico quanto do
processo, diminui a oportunidade de conflito de interesses ou fraude e reduz o
risco de erro. Conforme aplicada a autorização, exige-se que as funções de
aprovador administrativo e de aprovador técnico não sejam exercidas pela mesma
pessoa ou, quando for o caso, que o custodiante de dados não desempenha nenhuma
dessas funções” (Portaria CNJ nº 162, Anexo VI, Manual de Referência de Gestão
de Identidade e de Controle de Acessos);
XV - Rede corporativa de dados: conjunto de ativos tecnológicos de hardware e software
para acesso às informações, composta por uma parte denominada rede cabeada
e, por outra, denominada rede sem fio (wireless);
XVI - Segurança da informação: “ações que objetivam viabilizar e assegurar a disponibilidade,
integridade, confidencialidade”, autenticidade e não repúdio da
informação (Portaria CNJ nº 162, Anexo VIII, Glossário);
XVII - Serviços de TIC: “resultados benéficos que uma organização fornece a seus
clientes e partes interessadas” (RA 48/2023, Art. 2º, XI); e
XVIII - Usuário: pessoa que acessa “os recursos de
tecnologia de informação e comunicação da organização” (RA 22/2023, Art. 2º,
X).
Art. 3º O controle de acesso, segundo o que dispõe esta Política:
I - abrange a gestão da identidade, dos acessos e dos privilégios;
II - visa garantir boas práticas de segurança da informação e
proteção de dados, bem como assegurar a utilização e a
preservação adequadas dos ativos;
III - corresponde a requisito básico para o estabelecimento e
manutenção do protocolo de prevenção a incidentes cibernéticos do Tribunal
Regional do Trabalho da 1ª Região.
Parágrafo único. O protocolo de prevenção a incidentes
cibernéticos deve ser regido por norma complementar de gestão de incidentes
cibernéticos.
Art. 4º A presente Política aplica-se a todo usuário que exerce
atividades no âmbito do TRT/RJ ou a quem quer que
venha a ter acesso a dados, informações, sistemas, ambientes e demais ativos
protegidos por este regulamento.
CAPÍTULO II
DA PROPRIEDADE E MONITORAÇÃO
Art. 5º Os sistemas de informação são de propriedade ou de
concessão do TRT/RJ.
§1º Os acessos aos sistemas e aos serviços de TIC são oferecidos
ao usuário exclusivamente para o desempenho das atividades comprovadamente de
interesse do TRT/RJ, observando, no mínimo, os seguintes princípios:
I - Da separação ou segregação de funções;
II - Do menor privilégio;
III - Do Custodiante de dados.
§2º Os acessos concedidos segundo o §1º podem ser revogados a
qualquer tempo.
§3º A informação tratada pelos sistemas de informação,
excetuando-se os dados pessoais nos termos da RA 9/2022 OE (Política de
Privacidade e Proteção de Dados Pessoais no âmbito do TRT/RJ) é de propriedade
do TRT/RJ.
Art. 6º O TRT/RJ deve monitorar os acessos aos seus sistemas de
informação, independentemente se o equipamento utilizado para tal acesso esteja
fisicamente localizado nas instalações do Tribunal ou em qualquer outro local.
§1º O monitoramento referenciado no caput deve ser
realizado rotineiramente e por demanda.
§2º Os mecanismos de defesa que suportam processos críticos, tais
como firewalls, sistema de prevenção de intrusão, sistema de
identificação de intrusão, sistemas de detecção e prevenção de ameaças
e afins, devem ser monitorados em regime 24x7.
§3º O monitoramento citado no §2º poderá ser realizado com o apoio
de sistemas de automação.
Art. 7º O TRT/RJ é o responsável pelo tratamento dos metadados
gerados a partir dos registros de acessos.
Parágrafo único. O Órgão reserva-se o direito de compartilhar os
metadados ou torná-los públicos a pedido de terceiros, desde que atendidas
as exigências estabelecidas por lei.
Art. 8º Para cada sistema ou serviço de TIC, os usuários podem ser
divididos em perfis de acesso e, de acordo com a definição destes perfis, terão
privilégios de usos diferenciados.
Art. 9º A implementação, a divulgação, a
conscientização ou qualquer outro desdobramento do controle de acesso devem
estar em conformidade com a Política de Segurança da Informação e Comunicação
(POSIC).
Art. 10. Os sistemas e aplicativos projetados ou implantados pelo
TRT/RJ devem, sempre que possível, considerar o princípio do
desprovisionamento.
CAPÍTULO III
DO CONTROLE DE ACESSO AOS SISTEMAS E SERVIÇOS DE TIC
Art. 11. Sempre que viável sob o ponto de vista de negócio,
técnico e econômico, deve-se buscar pela unificação de
plataformas de autenticação, autorização e auditoria (AAA).
Art. 12. O Processo de Gerenciamento de Identidade e de Controle
de Acesso deve assegurar o acesso ao usuário autorizado e impedir o acesso ao
usuário não autorizado aos sistemas e aos serviços de TIC, alinhando-se ao que
dispõe o Art. 5º, §1º, aos princípios apresentados no Art. 5º, §1º, I a III,
bem como às diretrizes de classificação da informação dispostas na RA 13/2022,
OE, que dispõe sobre a Política de Classificação da Informação no âmbito do
Tribunal Regional do Trabalho da 1ª Região.
Art. 13. Os acessos serão viabilizados pelo uso de credenciais de
acesso (conjunto de nome de usuário e senha) únicas, de uso
individual e intransferíveis, e que permitam relacionar os usuários que
delas se utilizam com suas responsabilidades e ações, observado o seguinte:
I - os acessos serão criados sob demanda,
excetuando-se os casos nos quais seja utilizado um sistema ou serviço de TIC
que possa automatizar o processo, desde que seja mantida a linha de
responsabilidade prevista;
II - os entes responsáveis pela solicitação de acesso
também são responsáveis por solicitar eventuais modificações nos privilégios de
acesso, bem como a revogação do acesso, cabendo-lhes, ainda, verificar a
correta finalidade quando da utilização dos acessos concedidos na realização
das atividades do usuário;
III - para utilização dos serviços e ativos de TIC, o
usuário deve assinar Termo de Responsabilidade e Confidencialidade conforme
modelo disponível no Anexo I.
Art. 14. As credenciais compartilhadas, motivadamente solicitadas
pelo gestor da unidade, somente serão permitidas onde elas são estritamente
necessárias por razões operacionais ou de negócio.
§1º A utilização de credenciais compartilhadas possui caráter
excepcional e somente deve ser adotada quando, comprovadamente, forem esgotadas
as alternativas viáveis do ponto de vista técnico, econômico e de regra de
negócio.
§2º As credenciais, do modo como dispostas no caput, devem
ser, após análise das comprovações disciplinadas no §1º, formalmente aprovadas
pelo Comitê Gestor de Segurança da Informação.
§3º A identificação do(s) detentor(es) da
informação de autenticação no contexto de determinada credencial compartilhada,
bem como a identificação de todos os usuários autorizados a acessarem ativos de
TIC ou serviços de TIC a partir de tal credencial devem ser documentadas.
§4º Sempre que possível, o uso de credenciais compartilhadas deve
ser restrito à rede corporativa de dados e, preferencialmente, restrito a
segmento lógico específico de tal rede.
§5º O gestor da unidade solicitante deve, para cada credencial
compartilhada, indicar servidor responsável por manter atualizada, junto ao
CGSI, a relação disposta no §3º.
§6º Em situações relativas à forense computacional em que não seja
possível a identificação do usuário, fica o gestor solicitante solidariamente
responsável.
Art. 15. O usuário é responsável por todas as ações realizadas por
meio dos seus acessos, seja local ou remoto, ao ambiente computacional do
TRT-1, sendo o cuidado com a senha e o uso da identificação, que é pessoal e
intransferível, de sua responsabilidade.
Parágrafo único. É recomendável não reutilizar senhas de acesso ao
ambiente computacional do TRT-1 para acesso a sítios, sistemas ou serviços de
terceiros.
Art. 16. Observando os princípios dispostos no Art. 5º, §1º, I a
III, a concessão, alteração ou a revogação de acesso aos sistemas ou aos
serviços de TIC do TRT/RJ serão efetuadas mediante solicitação do gestor da
unidade judiciária ou administrativa.
Parágrafo único. O Comitê de Segurança da Informação e Proteção de
Dados poderá deliberar pela concessão, alteração ou revogação de acesso,
independentemente de solicitação do gestor das unidades nas seguintes
situações:
I - verificação de descumprimento de requisitos desta Política ou
de seus normativos decorrentes;
II - identificação de aumento de nível de risco à segurança da
informação; ou
III - necessidade de adição de medida de segurança à informação.
Art. 17. Sempre que possível e viável, sistemas
ou serviços de TIC disponíveis para serem acessados através da Internet
devem receber proteção adicional quando comparados a estes mesmos sistemas
ou serviços (ou a sistemas ou serviços similares) disponíveis em rede local.
Art. 18. Mecanismo para coibir tentativas de descoberta de senha
por força bruta deve ser implementado.
Art. 19. A administração de sistemas informáticos ou de
infraestrutura que os suporte deve ser realizada
somente por servidor especializado e lotado no quadro de servidores da STI ou
por profissional terceirizado, por aquele acompanhado ou autorizado,
devidamente habilitado contratual e tecnicamente.
§1º As atividades de administração local do sistema operacional em
desktops ou notebooks, tais como configuração, instalação ou
remoção de softwares ou ajustes de parâmetros de segurança, estão
enquadradas no que dispõe o caput.
§2º As autorizações previstas no caput devem ser mantidas
pelo autorizador para fins de futuras verificações de conformidade.
Art. 20. Todas as credenciais de administração de sistemas
computacionais (administradores de sistemas, administradores de banco de dados,
administradores de aplicativos, dentre outras atividades de gestão
especializada de ambiente informático) são consideradas credenciais com acesso
privilegiado e devem ser gerenciadas por software especializado de
gerenciamento para este tipo de acesso (software PAM).
Parágrafo único. Credenciais com acesso privilegiado não devem, em
qualquer hipótese, ser utilizadas para atividades de usuário comum, tais como:
navegação na Internet, edição de textos ou planilhas eletrônicas,
utilização de aplicações destinadas a atividades convencionais (PJe, PROAD etc.), dentre outros sistemas de informação que
não requerem acesso privilegiado para seus usos.
CAPÍTULO IV
DO CONTROLE DE ACESSO À REDE CORPORATIVA DE DADOS
Art. 21. A rede corporativa de dados do TRT/RJ é um ativo de TIC
estratégico para as atividades do TRT/RJ e a sua utilização deve ser realizada
apenas para atividades funcionais do usuário, obedecidos os
critérios de segurança da informação exigidos.
Art. 22. O acesso do usuário aos recursos disponibilizados pela
rede corporativa de dados deve ser validado, no mínimo, por método de
autenticação de usuário e senha (ou fator de autenticação equivalente) e outros
que se façam necessários, observado o seguinte:
I - todos os equipamentos conectados à rede corporativa de
dados do TRT/RJ devem, em tempo de contratação e operacionalização, atender aos
padrões de configuração e segurança definidos e homologados pela STI;
II - o acesso via Internet à rede corporativa de
dados do TRT/RJ deve ser feito exclusivamente por intermédio de VPN (Virtual
Private Networks), devendo o usuário, nesses casos, utilizar recursos
próprios de acesso à Internet.
Art. 23. É vedado o acesso a redes de terceiros ou a redes
particulares com equipamentos de propriedade do TRT/RJ, de dentro de suas dependências,
excetuando-se os casos em que o acesso seja fornecido pela STI.
Art. 24. O acesso à Internet, utilizando-se tecnologias de
acesso móvel, não pode ser realizado simultaneamente ao acesso da rede
corporativa de dados do TRT/RJ.
Art. 25. É vedado o acesso à Internet móvel utilizando-se
equipamentos desktops de propriedade do TRT/RJ, excetuando-se os casos
os quais o Tribunal, através da STI, forneça o meio de acesso.
CAPÍTULO V
DO CONTROLE DE ACESSO FÍSICO À SALA DE OPERAÇÃO E À SALA-COFRE
Art. 26. Com exceção de equipamentos providos segundo o paradigma
da computação em nuvem, equipamentos críticos de infraestrutura devem
obrigatoriamente estar localizados no interior da sala de operação ou da
sala-cofre.
Art. 27. O acesso à sala de operação e à sala-cofre é restrito e
será feito mediante controle de acesso biométrico e circuito fechado de TV, e
registrado mediante software próprio, contendo a indicação de usuário,
data e hora.
§1. Devem existir 2 cópias da chave da
porta da sala-cofre sob gestão do Coordenador da Coordenadoria de Gestão de
Telecomunicações – CTEL.
§2º Ficam os coordenadores da STI responsáveis por designar os
servidores vinculados às suas respectivas coordenadorias com permissão para
acesso à sala de operação e à sala-cofre.
§3º Registro quanto à designação referenciada no §2º deve ser
mantido para fins de verificação de conformidade.
Art. 28. O acesso à sala de operação e à sala-cofre por qualquer
pessoa que não esteja contemplada no Art. 27, §2º, só será realizado com o
acompanhamento de um responsável com acesso autorizado.
§1º O responsável indicado no caput deve manter registro
dos acessos para fins de verificação de conformidade e rastreabilidade.
§2º Em situações urgentes, excepcionalmente, o Diretor da STI
poderá autorizar o acesso de pessoas não contempladas no Art. 27, §2º ou no caput
deste artigo.
Art. 29. Todas as entradas e saídas da sala de operação e da
sala-cofre serão controladas individualmente.
Parágrafo único. Para a entrada na sala-cofre devem ser requeridos
dois mecanismos de controle: crachá, e identificação biométrica ou senha.
Art. 30. O Coordenador da CTEL é o responsável pelo controle de
acesso à sala de operação e à sala-cofre.
CAPÍTULO VI
DO CONTROLE DE ACESSO FÍSICO AOS DEMAIS ATIVOS DE TIC
Art. 31. O acesso físico à Central de Processamento de Dados
localizada na Sede da Lavradio e em depósitos ou
almoxarifados que comportem ativos de TIC deve ser controlado por sistema de
monitoramento visual por câmeras internas.
§1º Recomenda-se a implementação de
recurso biométrico para acesso aos ambientes citados no caput.
§2º As portas e janelas dos ambientes citados no caput
devem ser estanques e compostas de material reforçado, tal como o aço.
§3º Aplica-se, no que couber, o disposto no Ato nº 174/2019,
Presidência do TRT/RJ, republicação de 7 de janeiro de
2022, em especial em relação àquilo que dispõe o Capítulo VII, das Normas de
Segurança para Armazenagem de Material no Almoxarifado.
Art. 32. A qualquer outro ambiente que contenha ativos de TIC e
que justifique materialmente tal medida devem ser incorporados os requisitos
constantes do Art. 31.
Art. 33. O controle de acesso físico às dependências do TRT/RJ
onde estações de trabalho operacionais estejam instaladas deve ser, no âmbito
das competências da Assessoria de Segurança e Transporte - AST, segundo
requisitos próprios de segurança patrimonial, restrito.
Art. 34. Caixas, quadros, aberturas ou qualquer outra estrutura,
sobreposta ou embutida, vertical ou horizontal, tal como shafts ou racks,
que proporcionem o acesso a equipamentos de conectividade, passivos ou ativos,
devem ser:
I - livres de vazamentos de qualquer fluido e, sempre que
possível, permanecer trancados;
II - preferencialmente dedicados; e
III - acessados somente por pessoal autorizado nos termos dos
artigos 27 e 28.
CAPÍTULO VII
DO CONTROLE DE ACESSO À VPN
Art. 35. O acesso por VPN (Virtual Private Networks
ou Rede Virtual Privativa) poderá ser realizado por computador particular do
usuário, e será utilizado, para acesso remoto, por usuário devidamente
cadastrado e obedecendo aos requisitos de segurança descritos em documentos à
parte.
Art. 36. Caberá à STI a análise de recursos disponíveis para
embasar a decisão de autorização para utilização da VPN.
Art. 37. Uma vez concedido o acesso via VPN, a autenticação
deve contemplar componentes de segurança complementares (interfaces de
autenticação e navegação específicas para acesso remoto, softwares
clientes, certificados digitais, múltiplo fator de autenticação ou outros),
definidos e homologados pela STI.
§1º O acesso via VPN possui como pré-requisito mínimo um
computador com acesso à Internet capaz de operacionalizar os sistemas ou
os serviços de TIC ofertados pelo TRT/RJ.
§2º Compete exclusivamente ao usuário providenciar o pré-requisito
listado no §1º.
§3º Sob quaisquer circunstâncias, este Tribunal exime-se em
ressarcir eventuais despesas realizadas pelo usuário com instalações ou
equipamentos para a utilização da VPN.
§4º O usuário é responsável por todas as atividades realizadas via
VPN através de sua credencial e deve, portanto, adotar boas práticas de
segurança da informação e navegação segura.
CAPÍTULO VIII
DA GESTÃO SEGURA DE ATIVOS
Art. 38. De modo a proporcionar ampla cobertura de proteção
cibernética, reduzindo, portanto, a superfície de ataque, em especial em
relação às estações de trabalho, cada magistrado ou servidor deve utilizar
somente um notebook, um monitor do tipo docking station e um
segundo monitor ligado à docking station.
§1º A medida definida no caput reduz a necessidade de
atualização de múltiplos equipamentos e contribui para a atualização tempestiva
dos dispositivos.
§2º Estão excluídos da configuração disposta no caput o
seguinte:
I - Ambientes dedicados a colegiados;
II - Salas de audiência, de sessão, de mediação e de conciliação;
III - Postos de trabalho com necessidade de hardware
ou software específicos;
IV - Postos de trabalho fixos, tais como: estações de trabalho
fornecidas para terceirizados ou estagiários;
V - Demais ambientes que não se enquadrem na definição de posto de
trabalho conforme disposto no caput.
Art. 39. A STI reserva-se o direito de enviar atualizações
automáticas para os equipamentos fornecidos.
§1º Ao receber o aviso de necessidade de atualização, de maneira a
preservar as propriedades de segurança da informação, o usuário deve fazê-lo em
até 24h.
§2º Caso a ação prevista no §1º não seja executada no prazo
estipulado, a STI poderá forçar a reinicialização remotamente, não sendo
responsável por eventuais perdas de dados em programas ou arquivos que estejam
abertos.
Art. 40. Para garantir a atualização dos equipamentos, o
magistrado ou o servidor deverá conectar, na rede corporativa do Tribunal, com
periodicidade mínima semanal, o notebook fornecido.
Parágrafo único. A conexão referenciada no caput deve durar
o tempo necessário para completar as atualizações e pode ser realizada
presencialmente ou por meio da VPN.
Art. 41. Não é permitido o suporte técnico aos equipamentos
fornecidos pelo TRT/RJ por profissional não autorizado pelo Órgão.
CAPÍTULO IX
DAS DISPOSIÇÕES GERAIS
Art. 42. Ações de capacitação e conscientização sobre privilégios
de acesso e de utilização de sistemas (Portaria CNJ nº 162/2021, Anexo VII,
Manual de Referência - Política de Educação e Cultura em Segurança Cibernética
do Poder Judiciário, item 2.2.1, f) devem ser sistemática e conjuntamente
operacionalizadas pela Escola Judicial do TRT da 1a Região (EJUD1) e pela
Secretaria de Tecnologia da Informação e Comunicação (STI).
Art. 43. O gerenciamento de logs é regido por norma
complementar específica.
Art. 44. A gestão segura de ativos deve ser detalhada e
normatizada em dispositivo próprio.
Art. 45. O usuário que agir em desacordo com os termos aqui
definidos, ficará sujeito à aplicação das penalidades previstas na legislação
vigente.
Art. 46. Fica a Secretaria de Gestão de Pessoas responsável por
operacionalizar quanto à ciência do Termo de Responsabilidade e
Confidencialidade, Anexo desta Política.
Parágrafo único. A operacionalização citada no caput, para
o caso de usuários terceirizados e estagiários, aplica-se ao gestor do
respectivo contrato e ao gestor do estagiário, respectivamente, ao mesmo tempo
em que devem manter os registros para fins de verificação de conformidade.
Art. 47. Qualquer hipótese que não esteja contemplada na presente
Política está automaticamente vedada e, somente após análise de viabilidade
técnica realizada pela STI, em sendo viável tecnicamente, será submetida à
apreciação do Comitê de Segurança da Informação e Proteção de Dados.
§1º Eventuais exceções às vedações expressas nesta Política
somente podem ser concedidas mediante autorização expressa do Comitê de
Segurança da Informação e Proteção de Dados, aplicando-se, igualmente, a
verificação prévia de viabilidade conforme dispõe o caput.
§2º Ao observar-se eventuais
sobreposições ou conflitos entre normativos internos, deve-se aplicar o mais
restritivo.
Art. 48. Os instrumentos normativos gerados a partir desta
Política devem ser revisados a cada 2 anos, ou sempre
que se fizer necessário.
Art. 49. A presente Resolução Administrativa entra em vigor a
partir da data de sua publicação, revogando-se a Resolução
Administrativa nº 16/2018.
Sala de Sessões 8 de fevereiro de
2024
CESAR MARQUES CARVALHO
Desembargador Presidente do Tribunal
Regional do Trabalho da 1ª Região
ANEXO I
TERMO DE RESPONSABILIDADE E CONFIDENCIALIDADE
(INCLUINDO O TRATAMENTO DE DADOS PESSOAIS)
|
NOME COMPLETO |
|
|
MATRÍCULA |
|
|
CARGO OU FUNÇÃO |
|
|
LOTAÇÃO |
|
|
EMPRESA (SE TERCEIRIZADO) |
Declaro, pelo presente
Termo, para os devidos fins e efeitos de direito:
1) estar ciente do
conteúdo da Política de Controle de Acesso e Gestão Segura de Ativos do
Tribunal Regional do Trabalho da 1ª Região (TRT/RJ);
2) ter tomado ciência de
que o Tribunal Regional do Trabalho da 1ª Região (TRT/RJ) possui acesso privilegiado
a diversas informações pessoais - seja por meio físico ou digital - de
magistrados, servidores públicos, advogados, jurisdicionados, prestadores de
serviços e cidadãos, e que essas informações são necessárias para garantir o
efetivo exercício das atividades administrativas e de competência
constitucional desta Corte, bem como de que as informações relacionadas à
pessoa natural identificada ou identificável - e em especial os dados pessoais
sensíveis - requerem proteção especial por razão de lei;
3) ser responsável pela
segurança, uso correto e profissional de todos os recursos e informações sob
minha responsabilidade;
4) ser responsável por
todas as atividades realizadas com recursos tais como crachás, cartões de
acesso, chaves, identificações de usuário em sistemas e senhas a mim
disponibilizados;
5) que não explorarei em
benefício próprio ou para fins não éticos informações e documentos de
propriedade do TRT/RJ ou de seus jurisdicionados (autores, réus, advogados,
peritos, leiloeiros etc.);
6) que não reproduzirei
ou alterarei documentos, arquivos ou informações de propriedade do TRT/RJ ou de
seus jurisdicionados (autores, réus, advogados, peritos, leiloeiros etc.) a não
ser que essa atividade faça parte de minhas obrigações profissionais e eu
esteja formalmente autorizado(a);
7) que não transmitirei
os documentos ou arquivos contendo informações do TRT/RJ ou de seus
jurisdicionados (autores, réus, advogados, peritos, leiloeiros etc.) para fora
de suas dependências sem autorização formal;
8) que, no caso da
realização de trabalho à distância por uso de VPN, as instalações
através das quais serão realizados os acessos, atendem aos aspectos descritos
na Política de Controle de Acesso e Gestão Segura de Ativos no âmbito do
TRT/RJ;
9) aceitar as normas e
responsabilidades abaixo relacionadas:
PROPRIEDADE:
Quaisquer recursos de
propriedade do TRT/RJ disponibilizados para as minhas atividades profissionais
serão utilizados exclusivamente para o desempenho de minhas funções
profissionais.
DIVULGAÇÃO:
Não divulgarei,
fornecerei e tampouco facilitarei o acesso a informações do TRT/RJ ou de seus
jurisdicionados (autores, réus, advogados, peritos, leiloeiros etc.) a
servidores, a parceiros, a familiares ou a quaisquer
outras pessoas que não estejam expressamente autorizadas.
USO:
Comprometo-me a:
1) cumprir rigorosamente
a Política de Segurança da Informação e Comunicação, a Política de Controle de
Acesso e seus documentos relacionados;
2) utilizar restritamente
dentro do âmbito de minhas atribuições e não divulgar, sem autorização,
quaisquer dados pessoais a que tenha conhecimento por força de minhas funções
perante o TRT/RJ, respeitando o disposto na Lei nº 12.527/2011 (Lei de Acesso à
Informação), Lei nº 12.965/2014 (Marco Civil da Internet) e Lei nº
13.709/2018 (Lei Geral de Proteção de Dados);
3) tratar todas as
informações pessoais que tiver acesso por força de minhas funções perante o
TRT/RJ com o máximo nível de zelo e assegurar que essas informações não serão
divulgadas a terceiros não autorizados - incluindo magistrados, servidores ou
empregados terceirizados que não se encontrem diretamente envolvidos nas
atividades específicas;
4) apenas realizar
tratamento de dados pessoais no âmbito de minha área de atuação e para
propósitos legítimos, específicos e explícitos - sem possibilidade de
tratamento de forma incompatível com as finalidades públicas definidas;
5) não guardar cópia ou
registro particular de informações pessoais que tiver acesso por força de
minhas atribuições perante o TRT/RJ, bem como a restituí-los, a qualquer
momento, por requisição do Tribunal;
6) cumprir as normas da
Política de Privacidade e Proteção de Dados Pessoais (Resolução Administrativa
nº 9/2022), adotando as medidas técnicas e administrativas adequadas para
promover a segurança do tratamento de dados pessoais decorrente de minhas
atividades, seja em trabalho presencial ou remoto;
7) observar quaisquer
outros procedimentos aplicáveis ao TRT/RJ sobre proteção de dados pessoais,
especialmente quanto aos dados pessoais sensíveis;
8) informar imediatamente
ao Comitê Gestor de Proteção de Dados Pessoais ou ao Encarregado do TRT/RJ
acerca de qualquer violação das regras de compromisso e não-divulgação
relacionadas ao tratamento de dados pessoais ora estabelecidas, que tenha
ocorrido por sua ação ou omissão, independentemente da existência de dolo.
Com isso, ainda,
responsabilizo-me integralmente pela adequada utilização dos dados pessoais e
dados pessoais sensíveis a que tiver acesso.
PENALIDADES:
Descumprindo os
compromissos assumidos neste termo, estarei sujeito às sanções e penalidades
previstas na legislação pertinente.
VIGÊNCIA:
Estou ciente de que as
normas e responsabilidades contidas neste termo se estendem por tempo
indeterminado, independente da quebra do vínculo profissional com o TRT/RJ.
Assinado e datado eletronicamente