| id |
oai:bdjur.stj.jus.br.9549_5:oai::439889 |
|---|---|
| recordtype |
TRF3 |
| spelling |
oai:bdjur.stj.jus.br.9549_5:oai::4398892024-04-04 Portaria 290 (CNJ)/2020 Legislação Conselho Nacional de Justiça (Brasil) Português Institui o Protocolo de Gerenciamento de Crises Cibernéticas no âmbito do Poder Judiciário (PGCC/ PJ). PORTARIA N. 290, DE 17 DE DEZEMBRO DE 2020. Institui o Protocolo de Gerenciamento de Crises Cibernéticas no âmbito do Poder Judiciário (PGCC/ PJ). O PRESIDENTE DO CONSELHO NACIONAL DE JUSTIÇA (CNJ), nos termos da Resolução CNJ no 360/2020, e no uso de suas atribuições legais e regimentais, CONSIDERANDO competir ao CNJ a atribuição de coordenar o planejamento e a gestão estratégica de Tecnologia da Informação e Comunicação (TIC) do Poder Judiciário; CONSIDERANDO que é imprescindível garantir a segurança cibernética do ecossistema digital do Poder Judiciário Brasileiro; CONSIDERANDO o número crescente de incidentes cibernéticos no ambiente da rede mundial de computadores e a necessidade de processos de trabalho orientados para a boa gestão da segurança da informação; CONSIDERANDO os termos da Resolução CNJ no 211/2015, que instituiu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD), e estabeleceu as diretrizes para sua governança, gestão e infraestrutura; CONSIDERANDO a importância de se estabelecer objetivos, princípios e diretrizes de Segurança da Informação alinhados às recomendações constantes da norma NBR ISO/IEC 27001:2013, que trata da segurança da informação; CONSIDERANDO a importância de se estabelecer objetivos, princípios e diretrizes de Gestão de Riscos de Segurança da Informação alinhados às recomendações constantes da norma NBR ISO/IEC 27005:2019, que trata da gestão de riscos segurança da informação; CONSIDERANDO a necessidade de se garantir o cumprimento da Lei Federal no 12.527/2011 (Lei de Acesso à Informação), bem como, no âmbito do Poder Judiciário, da Resolução CNJ no 215/2015, normas que disciplinam o direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral; CONSIDERANDO o que dispõe a Lei Federal no 13.709/2018, com a redação dada pela Lei Federal no 13.853/2019, sobre a proteção de dados pessoais, que altera a Lei no 12.965/2014 (Marco Civil da Internet); CONSIDERANDO o disposto na Resolução CNJ no 176/2013, que institui o Sistema Nacional de Segurança do Poder Judiciário; CONSIDERANDO o disposto na Portaria CNJ no 242//2020, que instituiu o Comitê de Segurança Cibernética do Poder Judiciário; CONSIDERANDO o disposto na Portaria no 249/2020, que designou os integrantes do Comitê de Segurança Cibernética do Poder Judiciário (CSCPJ); CONSIDERANDO que os ataques cibernéticos têm se tornado cada vez mais avançados e com alto potencial de prejuízo, cujo alcance e complexidade não têm precedentes, que os impactos financeiros, operacionais e de reputação podem ser imediatos e significativos, e que é fundamental aprimorar a capacidade de Poder Judiciário de coordenar pessoas, desenvolver recursos e aperfeiçoar processos, visando a minimizar danos e a agilizar o restabelecimento da condição de normalidade em caso de ocorrência de ataques cibernéticos de grande impacto; RESOLVE: Art. 1º Determinar a todos os órgãos do Poder Judiciário brasileiro, à exceção do Supremo Tribunal Federal, a adoção do Protocolo de Gerenciamento de Crises Cibernéticas do Poder Judiciário (PGCC/PJ). Parágrafo único.O Protocolo previsto no caput possui caráter subsidiário, orientativo, suplementar e não substitui o conjunto de políticas de segurança da informação, processos de tratamento a incidentes e respostas ou procedimentos vigentes nos órgãos do Poder Judiciário. CAPÍTULO I - DO OBJETIVO Art. 2º Estabelecer um protocolo para o gerenciamento adequado de crises com o objetivo de contribuir para a resiliência corporativa por meio de uma resposta, a mais rápida e eficiente possível, a incidentes em que os ativos de informação do Poder Judiciário tenham a sua integridade, confidencialidade ou disponibilidade comprometidos em larga escala ou por longo período. CAPÍTULO II - DO ESCOPO Art. 3º O Protocolo de Gerenciamento de Crises Cibernéticas do Poder Judiciário é complementar ao Protocolo de Prevenção de Incidentes Cibernéticos e prevê as ações responsivas a serem colocadas em prática quando ficar evidente que um incidente de segurança cibernética não será mitigado rapidamente e poderá durar dias, semanas ou meses. CAPÍTULO III - DAS DEFINIÇÕES Art. 4º Para os efeitos deste normativo, são estabelecidos os seguintes conceitos e definições: I - Alta Administração: unidades organizacionais com poderes deliberativos ou normativos no âmbito da organização; II - Ativo: qualquer coisa que represente valor para uma instituição, tal como a informação; III - Ativos de informação: meios de armazenamento, transmissão e processamento de informação, sistemas de informação e locais onde se encontram esses meios e as pessoas que a eles têm acesso; IV - Atividades críticas: atividades que devem ser executadas de forma a garantir a consecução dos produtos e serviços fundamentais do órgão, de maneira que permitam atingir os seus objetivos mais importantes e sensíveis ao tempo; V - Crise: um evento ou série de eventos danosos que apresentam propriedades emergentes capazes de exceder as habilidades de uma organização em lidar com as demandas de tarefas que eles geram, e que apresentam implicações que afetam uma proporção considerável da organização, bem como de seus constituintes; VI - Crise cibernética: crise que ocorre em decorrência de incidente em dispositivos, serviços e redes de computadores. É decorrente de incidentes que causam dano material ou de imagem, atraem a atenção do público e da mídia e fogem ao controle direto da organização; VII - Continuidade de negócios: capacidade estratégica e tática do órgão de se planejar e de responder a incidentes e interrupções de negócios, minimizando seus impactos e recuperando perdas de ativos da informação das atividades críticas, de forma a manter suas operações em um nível aceitável, previamente definido; VIII - Dado pessoal: informação relacionada a pessoa natural identificada ou identificável; IX - ETIR:Equipe de Tratamento e Resposta a Incidentes de Segurança de Cibernética. Denominação tradicionalmente atribuída a grupos de resposta a incidentes de segurança da informação, embora os incidentes não mais se limitem a tecnologia; X - Evento: qualquer ocorrência observável em um sistema ou rede de uma organização; XI - Estratégia de continuidade de negócios: abordagem do órgão que garante a recuperação dos ativos de informação e a continuidade das atividades críticas ao se defrontar com um desastre, uma interrupção ou com outro incidente maior; XII - Gestão de riscos de segurança da informação: conjunto de processos que permite identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de informação, e para equilibrá-los com os custos operacionais e financeiros envolvidos; XIII - Gerenciamento de crise: decisões e atividades coordenadas que ocorrem em uma organização durante uma crise corporativa, incluindo crises cibernéticas; XIV - Informação: dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato; XV - Incidente grave: evento que tenha causado algum dano, colocado em risco algum ativo de informação crítico ou interrompido a execução de alguma atividade crítica por um período inferior ao tempo objetivo de recuperação; XVI - Incidente de Segurança da Informação: evento que viola ou representa uma ameaça iminente de violação de uma política de segurança, de uma política de uso aceitável ou de uma prática de segurança padrão; XVII - Plano de gerenciamento de incidentes: plano de ação claramente definido e documentado, para ser usado quando ocorrer incidente que basicamente cubra as principais pessoas, recursos, serviços e outras ações que sejam necessárias para implementar o processo de gerenciamento de incidentes; XVIII - Procedimento: conjunto de ações sequenciadas e ordenadas para o atingimento de um determinado fim; e XIX - Resiliência: poder de recuperação ou capacidade de determinada organização resistir aos efeitos de um incidente. CAPÍTULO IV - DA IDENTIFICAÇÃO DE CRISE CIBERNÉTICA Art. 5º O gerenciamento de incidentes se refere às atividades que devem ser executadas na ocorrência de um evento adverso de segurança da informação, para avaliar o problema e determinar a resposta inicial. Art. 6º O gerenciamento de crise se inicia quando: I - ficar caracterizado grave dano material ou de imagem; II - restar evidente que as ações de resposta ao incidente cibernético provavelmente persistirão por longo período, podendo se estender por dias, semanas ou meses; III - o incidente impactar a atividade finalística ou o serviço crítico mantido pela organização; ou IV - atrair grande atenção da mídia e da população em geral. CAPÍTULO V - DA FASE PREPARATÓRIA (PRÉ-CRISE) Art. 7º Para melhor lidar com uma crise cibernética, é necessária prévia e adequada preparação, sendo fundamental que os órgãos do Poder Judiciário estabeleçam um Programa de Gestão da Continuidade de Negócios que contemple as seguintes atividades: I - observar o Protocolo de Prevenção a Incidentes Cibernéticos do Poder Judiciário; II - definir as atividades críticas que são fundamentais para a atividade finalística do órgão; III - identificar os ativos de informação críticos, ou seja, aqueles que suportam as atividades primordiais, incluindo as pessoas, os processos, a infraestrutura e os recursos de tecnologia da informação; IV - avaliar continuamente os riscos a que as atividades críticas estão expostas e que possam impactar diretamente na continuidade do negócio; V -categorizar os incidentes e estabelecer procedimentos de resposta específicos (playbooks) para cada tipo de incidente, de forma a apoiar equipes técnicas e de liderança em casos de incidentes cibernéticos graves; VI - priorizar o monitoramento, acompanhamento e tratamento dos riscos de maior criticidade. Tais atividades deverão ser detalhadas e consolidadas em um plano de contingência que contemple diversos setores em razão de possíveis cenários de crise, a fim de se contrapor à escalada de uma eventual crise e com o objetivo de manutenção dos serviços prestados pela organização; e VII - realizar simulações e testes para validação dos planos e procedimentos. Art. 8º Deve ser definida a sala de situação e criado um Comitê de Crises Cibernéticas formado por representante da Alta Administração e por representantes executivos, suportados pela Equipe de Resposta a Incidentes de Segurança Cibernética e por especialistas das áreas: I - Jurídica; II - Comunicação; III - Tecnologia da Informação; IV - Privacidade de Dados Pessoais; V - Segurança da Informação; VI - Unidades administrativas de apoio à contratação; e VII - Segurança Institucional. Art. 9º O Plano de Gestão de Incidentes Cibernéticos deve possuir, no mínimo, as categorias de incidentes a que os ativos críticos estão sujeitos, a indicação do procedimento de resposta específico a ser aplicado em caso de ocorrência do incidente e a severidade do incidente. Parágrafo único. O ANEXO I contém um exemplo básico de estruturação de Plano de Gestão de Incidentes Cibernéticos. CAPÍTULO VI - DURANTE A CRISE Art. 10. A comunicação entre todas as áreas envolvidas em uma crise é fator crítico para uma organização responder a uma crise cibernética de longa duração ou de grande impacto. Art. 11. Assim que a Equipe de Tratamento e Resposta a Incidentes Cibernéticos identificar que um incidente constitui uma crise cibernética, deverá ser reunido imediatamente o Comitê de Crise na sala de situação previamente definida. Parágrafo único. Os planos de contingência existentes, caso aplicáveis, devem ser efetivados imediatamente, visando à continuidade dos serviços prestados. Art. 12. A chefia do Comitê de Crise deve ficar a cargo de profissional com autoridade e autonomia para tomar decisões sobre conteúdo de comunicados e textos a serem divulgados, bem como, delegar atribuições, estabelecer metas e prazos de ações. Art. 13. A sala de situação é o local a partir do qual são geridas as situações de crise, devendo dispor dos meios necessários (ex. Sistemas de áudio, vídeo, chamadas telefônicas) e estar próxima a um local onde se possa fazer declarações públicas à imprensa e com o acesso restrito ao Comitê de Crise e a outros atores eventualmente convidados a participar de reuniões. Parágrafo único. A sala de situação deve ser um ambiente que permita ao Comitê deliberar com tranquilidade e que possua uma equipe dedicada à execução de atividades administrativas para o período da crise. Art. 14. Para eficácia do trabalho do Comitê de Crise, é necessário: I - entender claramente o incidente que gerou a crise, sua gravidade e os impactos negativos; II - levantar todas as informações relevantes, verificando fatos e descartando boatos; III -levantar soluções alternativas para a crise, apreciando sua viabilidade e suas consequências; IV - avaliar a necessidade de suspender serviços e/ou sistemas informatizados; V - centralizar a comunicação na figura de um porta-voz para evitar informações equivocadas ou imprecisas; VI - realizar uma comunicação tempestiva e eficiente, de forma a evidenciar o trabalho diligente das equipes e a enfraquecer boatos ou investigações paralelas que alimentem notícias falsas; VII - definir estratégias de comunicação com a imprensa e/ ou redes sociais e estabelecer qual a mídia mais adequada para se utilizar em cada caso; VIII -aplicar o Protocolo de Investigação para Ilícitos Cibernéticos do Poder Judiciário; IX - solicitar a colaboração de especialistas ou de centros de resposta a incidentes de segurança; X - apoiar equipes de resposta e de recuperação com gerentes de crise experientes; XI - avaliar a necessidade de recursos adicionais extraordinários para apoiar as equipes de resposta; XII - fornecer aconselhamento sobre as prioridades e estratégias da organização para uma recuperação rápida e eficaz; XIII - definir os procedimentos de compartilhamento de informações relevantes para a proteção de outras organizações com base nas informações colhidas sobre o incidente; e XIV - elaborar plano de retorno à normalidade. Art. 15. As etapas e procedimentos de resposta são diferentes a depender do tipo de crise e são necessárias reuniões regulares para avaliar o progresso até que seja possível retornar à condição de normalidade. Art. 16. Todos os incidentes graves deverão ser comunicados ao órgão superior vinculado e ao Conselho Nacional de Justiça. CAPÍTULO VII - FASE DE APREDIZADO E REVISÃO (PÓS-CRISE) Art. 17. Quando as operações retornarem à normalidade, o Comitê de Crises Cibernéticas deverá realizar a análise criteriosa das ações tomadas, observando as que foram bem-sucedidas e as que ocorreram de forma inadequada. Art. 18. Para a identificação das lições aprendidas e a elaboração de relatório final, deve ser objeto de avaliação: I - a identificação e análise da causa-raiz do incidente; II - a linha do tempo das ações realizadas; III - a escala do impacto nos dados, sistemas e operações de negócios importantes durante a crise; IV - os mecanismos e processos de detecção e proteção existentes e as necessidades de melhoria identificadas; V - o escalonamento da crise; VI -a investigação e preservação de evidências; VII - a efetividade das ações de contenção; VIII - a coordenação da crise, liderança das equipes e gerenciamento de informações, e IX - a tomada de decisão e as estratégias de recuperação. Art. 19. As lições aprendidas devem ser utilizadas para a elaboração ou revisão dos procedimentos específicos de resposta (playbooks) e a melhoria do processo de preparação para crises cibernéticas. Art. 20. Deve ser elaborado relatório contendo a descrição e detalhamento da crise, bem como o plano de ação tomado para evitar que incidentes similares ocorram novamente ou para que, em caso de ocorrência, se reduzam os danos causados. CAPÍTULO VIII - DISPOSIÇÕES FINAIS Art. 21. Nos termos da Portaria CNJ no 242/2020, que instituiu o Comitê de Segurança Cibernética do Poder Judiciário, e da Resolução CNJ nº 360/2020, que instituiu o Protocolo de Gerenciamento de Crises Cibernéticas no âmbito do Poder Judiciário (PGCC/PJ), o protocolo definido neste ato normativo será objeto de reavaliação por ocasião da edição da Estratégia da Segurança Cibernética e da Informação do Poder Judiciário,bem como remanescerá passível de atualização a qualquer tempo. Art. 22. Os órgãos do Poder Judiciário deverão elaborar e formalizar plano de ação, com vistas à construção de seus Protocolos de Gerenciamento de Crises Cibernéticas (PGCC/PJ), no prazo máximo de sessenta dias e comunicar a sua aprovação ao CNJ. Art. 23. Esta Portaria entra em vigor na data de sua publicação, revogando-se as disposições em sentido contrário. [ANEXO - ver o documento em pdf com inteiro teor] Este texto não substitui a publicação oficial. Poder Judiciário Gestão de crise Protocolo Crime cibernético Internet Ambiente virtual Tecnologia da informação e comunicação Proteção de dados Prevenção Segurança da informação Investigação https://biblioteca.sophia.com.br/terminal/9549/acervo/detalhe/439889 |
| institution |
TRF 3ª Região / SJSP |
| collection |
TRF 3ª Região / SJSP |
| language |
Português |
| topic |
Poder Judiciário Gestão de crise Protocolo Crime cibernético Internet Ambiente virtual Tecnologia da informação e comunicação Proteção de dados Prevenção Segurança da informação Investigação |
| spellingShingle |
Poder Judiciário Gestão de crise Protocolo Crime cibernético Internet Ambiente virtual Tecnologia da informação e comunicação Proteção de dados Prevenção Segurança da informação Investigação Portaria 290 (CNJ)/2020 |
| description |
Institui o Protocolo de Gerenciamento de Crises Cibernéticas no âmbito do Poder Judiciário (PGCC/ PJ). |
| format |
Ato normativo |
| title |
Portaria 290 (CNJ)/2020 |
| title_short |
Portaria 290 (CNJ)/2020 |
| title_full |
Portaria 290 (CNJ)/2020 |
| title_fullStr |
Portaria 290 (CNJ)/2020 |
| title_full_unstemmed |
Portaria 290 (CNJ)/2020 |
| title_sort |
portaria 290 (cnj)/2020 |
| publisher |
Conselho Nacional de Justiça (Brasil) |
| url |
https://biblioteca.sophia.com.br/terminal/9549/acervo/detalhe/439889 |
| _version_ |
1847800986907705344 |
| score |
12,572395 |