Ano: 2012
Regulamenta a Política de Segurança da Informação (PSI) do Poder Judiciário do Estado do Rio Grande do Norte- PJRN.
Edição disponibilizada em 20/06/2012 DJe Ano 6 - Edição 1109
TRIBUNAL DE JUSTIÇA DO ESTADO DO RIO GRANDE DO NORTE GABINETE DA PRESIDÊNCIA
SECRETARIA GERAL
RESOLUÇÃO N.º 018/2012-TJ, DE 15 DE JUNHO DE 2012
Regulamenta a Política de Segurança da Informação (PSI) do Poder Judiciário do Estado do Rio Grande do Norte- PJRN.
O TRIBUNAL DE JUSTIÇA DO ESTADO DO RIO GRANDE DO NORTE, no uso das suas atribuições legais, e tendo em vista o que foi deliberado na Sessão Plenária desta data,
CONSIDERANDO que todos têm o direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral, ressalvadas aquelas cujo sigilo seja imprescindível à segurança da socieda- de e do Estado, nos termos do inciso XXXIII do art. 5º da Constituição Federal;
CONSIDERANDO que é dever de todo servidor público prestar as informações requeridas pelo público em geral, ressalvadas as protegidas por sigilo, bem como guardar sigilo sobre assunto da repartição, nos termos do art. 116 da Lei nº 8.112, de 11 de dezembro de 1990;
CONSIDERANDO a Política de Segurança da Informação nos órgãos e nas entidades da Administração Pública Federal, instituída por meio do Decreto nº 3.505, de 13 de junho de 2000;
CONSIDERANDO as disposições contidas no Decreto nº 4.553, de 27 de dezembro de 2002, que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos, bem como das áreas e instalações onde tramitam;
CONSIDERANDO que o conjunto de dados, informações, conhecimentos, agentes públicos e recursos físicos existentes no âmbito do Tribunal de Justiça do Rio Grande do Norte são essenciais ao cumprimento de sua mis- são institucional e requerem a adoção de medidas especiais de segurança, devido à importância estratégica de suas ações para a defesa dos interesses nacionais e a segurança da sociedade e do Estado; e
CONSIDERANDO, finalmente, a legislação pertinente à matéria, notadamente a Lei nº 8.112/1990, a Lei nº 8.159/1991, a Lei nº 9.983/2000, o Decreto nº 3.505/2000, o Decreto nº 4.553/2002, o Decreto nº 5.482/2005, o De- creto nº 6.029/2007, o Decreto nº 6.932/2009, e ainda, a Instrução Normativa GSI nº 1/2008, a Norma Complementar nº 03/IN01/DSIC/GSIPR, de 10 de junho de 2009, a Norma Complementar nº 04/IN01/DSIC/GSICPR, de 14 de agosto de 2009, a Resolução nº 104/2010 do CNJ, a Norma Complementar nº 05/IN01/DSIC/GSICPR, de 14 de agosto de 2009, e Normas ABNT NBR ISO/IEC 27001 e 27002, que instituem o código de melhores práticas para gestão da segurança da informação;
RESOLVE:
Art.1º A Política de Segurança da Informação (PSI) do Poder Judiciário do Estado do Rio Grande do Norte (PJRN) é regida pela presente Resolução e se aplica a todas as suas unidades.
Art. 2º A PSI, como parte das diretrizes estratégicas desta Corte, objetiva instituir responsabilidades e competências, visando garantir a segurança das informações, dos agentes públicos e das estruturas físicas das unidades judiciarias.
Art. 3º Para efeitos desta PSI, fica estabelecido o significado dos seguintes termos e expressões:
I - Agente Público: aquele que, por força de lei, contrato ou qualquer ato jurídico, preste serviços de na- tureza permanente, temporária, excepcional ou eventual, ainda que sem retribuição financeira, ao PJRN;
II - Ameaça: conjunto de fatores internos ou externos capaz de provocar um incidente de segurança, que pode resultar em dano o PJRN;
III - Ativo: aquilo que tem valor, seja tangível ou intangível, para o PJRN (tais como informação, softwa- re, equipamentos, instalações, serviços, pessoas e imagem institucional);
IV - Autenticidade: propriedade que assevera que os dados ou informações são verdadeiros e fidedig- nos tanto na origem quanto no destino, permitindo, inclusive, a identificação do emissor e do equipamento utilizado, quando for o caso;
01147758
Tribunal de Justiça do RN - DJe Secretaria - Geral
Edição disponibilizada em 20/06/2012 DJe Ano 6 - Edição 1109
V - Comitê de Segurança da Informação: grupo multidisciplinar formado por magistrados e represen- tantes das áreas estratégicas do PJRN com a responsabilidade de apreciar, aprovar e assessorar na implementação das ações de segurança da informação;
VI - Confidencialidade: propriedade que garante acesso à informação somente a pessoas autorizadas, assegurando que indivíduos, sistemas, órgãos ou entidades não autorizados não tenham conhecimento da informação, de forma proposital ou acidental;
VII - Criticidade: grau de importância do ativo para a continuidade das atividades e serviços do PJRN;
VIII - Descarte: eliminação correta de informações, documentos, mídias e acervos digitais;
IX - Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade;
X - Incidente de segurança: evento adverso, confirmado ou sob suspeita, relacionado à segurança da informação de sistemas de computação ou das redes de computadores;
XI - Integridade: propriedade de salvaguarda da inviolabilidade do conteúdo da informação na origem, no trânsito e no destino, representa a fidedignidade da informação;
XII - Resiliência: capacidade de enfrentamento ágil de situações inesperadas e de superação das adver- sidades para restabelecer processo de normalidade;
XIII - Usuário: todo aquele que está autorizado a obter acesso a informações e sistemas; e
XIV - Vulnerabilidade: conjunto de fatores internos ou externos passivo de exploração, com risco de ocorrência de evento adverso indesejado, que pode resultar em danos aos ativos do PJRN.
Art. 4º A presente Política tem por objetivo geral estabelecer as diretrizes e o apoio necessários para as- segurar o sigilo, a integridade, a autenticidade e a disponibilidade de dados, informações e conhecimentos no âmbito do PJRN, bem como promover a proteção dos agentes públicos e dos ativos da Instituição, de modo a resguardar a legitimi- dade de sua atuação e contribuir para o cumprimento de suas atribuições legais.
Art. 5º São objetivos específicos da Política de Segurança da Informação (PSI):
I - dotar o PJRN de instrumentos normativos e organizacionais necessários à efetiva implementação da Política de Segurança da Informação;
II - orientar a adoção de mecanismos, medidas e procedimentos de proteção a dados, informações e co- nhecimentos relativos à privacidade das pessoas, ao interesse institucional e aos direitos de propriedade intelectual;
III - nortear a adoção de mecanismos, medidas e procedimentos internos para que o acesso a dados e in- formações sensíveis e sigilosos seja permitido apenas a pessoas e órgãos autorizados, segundo a legislação vigente;
IV - subsidiar ações voltadas à salvaguarda da exatidão e integridade de dados, informações e conheci- mentos, bem como dos métodos de trabalho;
V - direcionar a adoção de medidas que assegurem a disponibilidade de dados, informações, conheci- mentos e ativos associados às pessoas e órgãos autorizados;
VI - orientar as ações permanentes de conscientização, capacitação e educação sobre a importância da proteção de dados, informações e conhecimentos, com o propósito de internalizar o compromisso com a segurança da informação; e
VII - nortear as ações necessárias à proteção dos agentes públicos e demais ativos do PJRN.
Art. 6º Além dos princípios aplicáveis à Administração Pública em geral, a implementação e o cumpri- mento da Política de que trata esta Resolução atenderão às regras de sigilo e aos princípios de integridade, disponibili- dade e autenticidade.
Art. 7º São diretrizes da Política de Segurança da Informação:
I - o desenvolvimento de sistema de classificação de dados, informações e conhecimentos, com o objeti- vo de garantir os níveis de segurança desejados;
01147758
Tribunal de Justiça do RN - DJe Secretaria - Geral
Edição disponibilizada em 20/06/2012 DJe Ano 6 - Edição 1109
II - a utilização de critérios adequados, segundo a necessidade de conhecer, na classificação de docu- mentos e recursos físicos;
III - a definição de procedimentos e níveis de acesso a dados, informações e conhecimentos no âmbito do PJRN, segundo a necessidade de conhecer e, quando for o caso, mediante credencial de segurança;
IV - o estabelecimento de normas, padrões e procedimentos relacionados à produção, tramitação, trans- porte, manuseio, custódia, armazenamento, conservação e eliminação de dados, informações e materiais no âmbito do PJRN;
V - a adoção de critérios e procedimentos relacionados à disponibilidade e ao uso dos bens e ativos de processamento do PJRN;
VI - a adoção de procedimentos relacionados ao uso de ativos de processamento particulares no âmbito do PJRN;
VII - o estabelecimento e o aprimoramento de critérios, medidas e procedimentos de seleção, ingresso, desempenho na função, movimentação ou desligamento de agentes públicos no âmbito do PJRN, mediante a implemen- tação e a atualização de um sistema de informações;
VIII - a garantia de que todos os privilégios de acesso a ativos e recursos físicos da Justiça Estadual se- jam devidamente revistos, modificados ou revogados quando alteradas ou cessadas as atividades do agente público jun- to ao PJRN;
IX - o estabelecimento de normas, padrões e procedimentos necessários ao controle de acesso e à pro- teção dos agentes públicos e demais ativos do PJRN;
X - o estabelecimento de normas relativas ao desenvolvimento e à implementação dos Sistemas de In- formação, com vistas a garantir a sua interoperabilidade e a obtenção dos níveis de segurança desejados;
XI - a conformidade dos processos de aquisição de bens e serviços com os preceitos legais e os princí- pios de segurança da informação;
XII - o desenvolvimento e a implementação de programas de conscientização e capacitação sobre segu- rança da informação;
XIII - o desenvolvimento e a implementação de planos de contingência; e
XIV - o estabelecimento de medidas e procedimentos de proteção contra falhas e danos que possam comprometer as atribuições do PJRN.
Art. 8º O acesso a dados, informações, conhecimentos e recursos físicos deve ser estabelecido segundo as necessidades indispensáveis e inerentes ao cumprimento do dever funcional.
Parágrafo único. O acesso a dados, informações e conhecimentos sensíveis e sigilosos dar-se-á se- gundo a necessidade de conhecer e, quando for o caso, mediante credencial de segurança.
Art. 9º Além da classificação estabelecida na legislação vigente com relação à salvaguarda de dados, in- formações, documentos e materiais sigilosos, deve ser adotada classificação institucional, a ser regulamentada em ato próprio, segundo o grau de sensibilidade dos dados, informações, documentos e recursos físicos.
Art. 10. Compete ao Comitê de Segurança da Informação garantir a implementação da Política de Segu- rança da Informação do PJRN, segundo os objetivos, os princípios e as diretrizes estabelecidos nesta Resolução.
§ 1º Cabe às demais unidades que compõem a estrutura organizacional do PJRN dar cumprimento à Po- lítica de Segurança da Informação no âmbito de suas respectivas atribuições, bem como atender às solicitações e orien- tações do Comitê de Segurança da Informação, relacionadas com a implementação da referida Política.
§ 2º Compete aos dirigentes e às chefias imediatas providenciar para que o pessoal sob sua responsabi- lidade conheça integralmente as medidas de segurança da informação estabelecidas no âmbito do PJRN, zelando por seu fiel cumprimento.
Art. 11. O Comitê de Segurança da Informação deve orientar e assistir às demais unidades organizacio- nais do PJRN em questões de segurança da informação relativas às atividades da Justiça Estadual.
Art. 12. O descumprimento da Política de Segurança da Informação, bem como das normas e dos pro- cedimentos dela decorrentes, acarretará a responsabilização ética e administrativa, sem prejuízo das responsabilidades civis e penais, eventualmente cabíveis.
01147758
Tribunal de Justiça do RN - DJe Secretaria - Geral
Edição disponibilizada em 20/06/2012 DJe Ano 6 - Edição 1109
Art. 13. O Comitê de Segurança da Informação, em conjunto com as demais unidades da estrutura or- ganizacional do PJRN, promoverá a comunicação e a ampla divulgação da Política de que trata esta Resolução para que todos a conheçam e a cumpram no âmbito de suas atividades e atribuições.
Art. 14. A Política de Segurança da Informação deve ser implementada no âmbito do PJRN, segundo as prioridades identificadas pelo Comitê de Segurança da Informação.
Art. 15. As disposições da Política de Segurança da Informação devem ser aplicadas às unidades orga- nizacionais do PJRN, inclusive àquelas localizadas em outros municípios, respeitando-se suas especificidades.
Parágrafo único. Normas de segurança da informação específicas poderão ser elaboradas, em conjun- to com os demais interessados, quando a unidade organizacional do PJRN estiver instalada em prédios não destinados exclusivamente às suas atividades.
Art. 16. O PJRN exigirá dos agentes públicos termo de compromisso de não divulgação de dados, infor- mações e conhecimentos sigilosos ou sensíveis a que, direta ou indiretamente, tenham acesso no exercício de cargos, funções ou empregos públicos.
Parágrafo único. As empresas terceirizadas ou quaisquer entidades que disponibilizem pessoal para exercer atividades junto ao PJRN deverão garantir a adoção das medidas previstas neste artigo.
Art. 17. A Política de Segurança da Informação deve ser aplicada, no que couber, a terceiros contrata- dos ou conveniados.
Art. 18. O Comitê de Segurança da Informação a que se refere o inciso V, do artigo 3º, será nomeado através de Portaria da Presidência do Tribunal, com mandato coincidente com a mesma, e será composto por:
I – Um Juiz indicado pela Presidência, que presidirá o Comitê; II – Um membro da Comissão de Segurança Institucional – CSI; III – Um membro do Gabinete Militar; IV – Um membro da Secretaria de Informática; V – Um membro da Ouvidoria.
§ 1º O Comitê de Segurança da Informação deve estabelecer os critérios e os indicadores para o moni- toramento e a avaliação da eficácia, da eficiência e da efetividade da Política de Segurança da Informação.
§ 2º Para os fins deste artigo, o Comitê de Segurança da Informação poderá contar com o apoio e a co- laboração das demais unidades organizacionais do PJRN.
Art. 19. A Política de Segurança da Informação deve ser revisada e atualizada periodicamente, no má- ximo, a cada quatro anos.
Art. 20. As dúvidas e os casos omissos serão dirimidos pelo Comitê de Segurança da Informação e, em última instância, pela Presidência, segundo os objetivos, os princípios e as diretrizes estabelecidos nesta Resolução.
Art. 21. A Presidência expedirá Atos específicos sobre as normas de segurança da informação de cada área, observadas as diretrizes da presente Resolução.
Art. 22. Esta Resolução entra em vigor na data de sua publicação, revogando-se as disposições em contrário, em especial a Resolução N° 017/2006-TJ.
Art. 23. Não se insere nos conceitos, definições e dispositivos desta resolução as situações tratadas pela Resolução Nº 013/2012-TJ.
Sala das Sessões do Tribunal Pleno, “Desembargador João Vicente da Costa”, em Natal, 15 de junho de 2012.
DES.ª JUDITE NUNES
PRESIDENTE DES. AMAURY MOURA SOBRINHO
01147758
Tribunal de Justiça do RN - DJe Secretaria - Geral
Edição disponibilizada em 20/06/2012 DJe Ano 6 - Edição 1109
DES. ADERSON SILVINO DES. CLÁUDIO SANTOS
DES. EXPEDITO FERREIRA DES. JOÃO REBOUÇAS
DES. VIVALDO PINHEIRO DES. SARAIVA SOBRINHO
DES. DILERMANDO MOTA DES. VIRGÍLIO MACÊDO JR.
DESª. MARIA ZENEIDE BEZERRA
01147758
Tribunal de Justiça do RN - DJe Secretaria - Geral