NORMA INTERNA 7-01/2007
- Regulamentar a Política de Segurança da Informação Digital, definindo critérios para a preservação da integridade, confidencialidade, disponibilidade e legalidade das informações digitais no âmbito da SJES. - Regulamentar o uso dos equipamentos e programas de informática disponibilizados pela SJES...
| Autor principal: | Direção do Foro (Espírito Santo) |
|---|---|
| Tipo de documento: | Ato normativo |
| Idioma: | Português |
| Publicado em: |
Seção Judiciária do Espírito Santo
2007
|
| Assuntos: | |
| Obter o texto integral: |
|
| id |
oai:bdjur.stj.jus.br.trf2an:oai:trf2.jus.br:89868 |
|---|---|
| recordtype |
trf2 |
| spelling |
oai:bdjur.stj.jus.br.trf2an:oai:trf2.jus.br:898682020-07-22 NORMA INTERNA 7-01/2007 Direção do Foro (Espírito Santo) Legislação Seção Judiciária do Espírito Santo 2007-09-13T00:00:00Z Português - Regulamentar a Política de Segurança da Informação Digital, definindo critérios para a preservação da integridade, confidencialidade, disponibilidade e legalidade das informações digitais no âmbito da SJES. - Regulamentar o uso dos equipamentos e programas de informática disponibilizados pela SJES. JUSTIÇA FEDERAL DE 1º GRAU - SEÇÃO JUDICIÁRIA DO ESPÍRITO SANTO REGULAMENTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DIGITAL E DOS BENS DE INFORMÁTICA NORMA INTERNA 7-01 ÍNDICE ASSUNTOS MÓDULO Nº FOLHAS ÍNDICE 0 1/1 GENERALIDADES 1 1/3 ASSUNTOS ESPECÍFICOS COMISSÃO PERMANENTE DE SEGURANÇA DA INFORMAÇÃO 2 1/1 DIRETRIZES DE SEGURANÇA 3 1/9 DISPOSIÇÕES FINAIS 4 1/2 ANEXOS 5 1/1 GENERALIDADES I . REFERÊNCIA 1.1. Lei nº 9.609, de 19 de fevereiro de 1998, que dispõe sobre a proteção da propriedade intelectual de programa de computador, sua comercialização no País e dá outras providências. 1.2. Decreto nº 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. 1.3. Ato nº. 138, de 13 de novembro de 2001, Superior Tribunal de Justiça,que dispõe sobre o uso dos equipamentos e programas de informática disponibilizados nas unidades do Tribunal. 1.4. Decreto nº 4.553, de 27 de dezembro de 2002, que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal e dá outras providências. 1.5. Norma NBR ISO/IEC 17799, de 2005. 1.6. Orientação nº. 3 da Corregedoria Nacional de Justiça publicada no Diário Nacional de Justiça - Seção 1, nº. 107, 05/06/2007. II . FINALIDADE 2.1. Regulamentar a Política de Segurança da Informação Digital, definindo critérios para a preservação da integridade, confidencialidade, disponibilidade e legalidade das informações digitais no âmbito da SJES. 2.2. Regulamentar o uso dos equipamentos e programas de informática disponibilizados pela SJES. III . OBJETIVOS 3.1. Estabelecer orientações gerais de segurança da informação. 3.2. Salvaguardar a informação em formato digital desta SJES assegurando-lhe integridade, confidencialidade, disponibilidade e legalidade. 3.3. Definir critérios para o uso dos equipamentos e programas de informática disponibilizados nas unidades organizacionais da SJES. IV . CONVENÇÕES 4.1. Esta Norma Interna (NI) referencia: 4.1.1. A Comissão Permanente de Segurança da Informação pela sigla CP/SI; 4.1.2. As unidades organizacionais de acordo com as siglas estabelecidas no Manual de Organização desta SJES. 4.1.3. A Seção Judiciária do Espírito Santo como SJES. V . CONCEITOS E DEFINIÇÕES 5.1. Confidencialidade: grau de sigilo do conteúdo da informação. Toda informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo, visando à limitação de seu acesso e uso apenas às pessoas para quem elas são destinadas. A confidencialidade deve ser considerada com base no valor que a informação tem para o Órgão e os impactos que a sua divulgação indevida pode causar. Assim ela deve ser acessada, lida e alterada apenas por aqueles indivíduos que possuem permissões para tal. O acesso deve ser considerado com base no grau de sigilo das informações, pois nem todas as informações sensíveis da organização são confidenciais. 5.2. Disponibilidade: é a acessibilidade da informação. Toda informação gerada ou adquirida por um indivíduo ou instituição deve estar disponível aos seus usuários no momento em que delas necessitem para qualquer finalidade. Logo, as informações devem ser acessíveis de forma segura para que possam ser usadas no momento em que são solicitadas e que sua integridade e confidencialidade sejam mantidas. Para também garantir a disponibilidade, são realizadas as cópias de segurança-backup. 5.3. E-mail institucional: é a conta de e-mail fornecida pela SJES com o domínio no formato "@jfes.trf2.gov.br" ou outro que, porventura, venha a ser adotado por esta Seccional. 5.4. Informação: conjunto de dados utilizados para a transferência de uma mensagem entre indivíduos e/ou máquinas em processos comunicativos (baseados em troca de mensagens) ou transacionais (processos com operações que envolvam, por exemplo, a transferência de valores monetários). As informações podem estar presentes ou ser manipuladas por inúmeros elementos desse processo, chamados ativos, os quais são alvos de proteção da segurança da informação. 5.5. Integridade: inalterabilidade da informação original. Informação íntegra é uma informação original, que não tenha sido alterada de forma indevida, não autorizada. Para que as informações possam ser utilizadas, elas devem ser íntegras. Logo, toda informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário, visando protegêla contra alterações indevidas, intencionais ou acidentais. 5.6. Segurança da Informação: preservação da integridade, confidencialidade, disponibilidade e legalidade da informação. 5.7. Usuário: é o magistrado, servidor, comissionado, estagiário, menor-aprendiz ou funcionário de empresa contratada que faz uso dos recursos de informática da SJES e que manipula as informações. DA COMISSÃO PERMANENTE DE SEGURANÇA DA INFORMAÇÃO I . FINALIDADE 1.1. Zelar pelo cumprimento da Política de Segurança da Informação. 1.2. Adequar a Política de Segurança da Informação às novas realidades e desafios desta SJES. II . CONSTITUIÇÃO 2.1. Presidente: Diretor do NIN. 2.2. Membros: um representante de cada seção subordinada ao NIN, indicado pelo respectivo Supervisor. III . COMPETÊNCIA 3.1. Supervisionar, atualizar e revisar a Política de Segurança da Informação. 3.2. Analisar, aprovar, acompanhar e avaliar os programas, planos e projetos de segurança da informação. 3.3. Coordenar as iniciativas corporativas de segurança da informação que envolverem a SJES. 3.4. Homologar e autorizar o uso de sistemas e dispositivos de processamento de informações. 3.5. Bloquear o acesso a sítios que não tenham relação com as necessidades do serviço da SJES. DIRETRIZES DE SEGURANÇA I. DISPOSIÇÕES GERAIS 1.1. Os equipamentos e recursos de informática disponibilizados nas diversas áreas e unidades da SJES destinam-se, exclusivamente, ao atendimento das necessidades de serviço. 1.2. Os arquivos gerados nas estações de trabalho, em decorrência do serviço, são de propriedade exclusiva da SJES. 1.3. A privacidade de acesso à internet é garantida, mas os endereços acessados serão registrados, e o conteúdo das mensagens poderá ser rastreado ou varrido para verificar a adequação de seu conteúdo às normas estabelecidas nesta NI. 1.4. A privacidade no uso de correio eletrônico ou de serviço de mensagem instantânea é garantida, mas as mensagens poderão ser rastreadas ou varridas, de forma automática, por software especial para verificar a adequação de seu conteúdo às normas estabelecidas nesta NI. 1.5. A exclusão de sigilo dos registros de arquivos, das mensagens eletrônicas ou do acesso à internet poderá ocorrer no interesse de apuração de infração disciplinar. 1.6. O disposto no item 1.5 é restrito aos servidores, comissionados, estagiários, menoresaprendizes ou funcionários de empresa contratada desta SJES, sendo que, quanto aos magistrados, a hipótese ali prevista será regida por ato próprio do TRF 2ª Região, nos termos da Orientação nº. 03, de 05/03/2007 do Conselho Nacional de Justiça - Corregedoria. 1.7. A existência de arquivos pessoais nas estações de trabalho não vedará o acesso da Administração aos equipamentos de informática sempre que necessário, para fins de apuração de infração disciplinar pelos órgãos competentes. 1.7.1. O acesso aos arquivos relacionados a processos sob segredo de justiça obedecerá aos procedimentos legais. 1.8. É proibida a instalação, em qualquer computador, de produtos que não tenham sido homologados e adquiridos pelo NIN. 1.8.1. Excetuam-se da proibição acima as instalações cuja homologação tenha sido solicitada formalmente e autorizada pelo NIN; 1.8.2. O NIN poderá proceder à desinstalação sumária dos produtos que não se enquadrem nos critérios estabelecidos neste item. 1.9. O acesso aos recursos de informática (computador, programas, rede eletrônica de comunicação e outros) é garantido a todos os magistrados, servidores, comissionados, estagiários, menores-aprendizes e funcionários das empresas contratadas da SJES, ficando vedada a conexão de equipamentos particulares à rede, bem como o uso de recursos de tais equipamentos. 1.9.1. É facultado ao NIN autorizar a instalação e o uso vedados neste item, desde que previamente solicitado pela chefia maior da lotação do servidor. 1.9.2. O acesso aos recursos de informática por estagiários, menores-aprendizes e funcionários de empresas contratadas pela SJES será mediante solicitação formal dos titulares das unidades onde os estagiários/menores-aprendizes estejam lotados ou dos gestores dos contratos, respectivamente. 1.9.3. Os direitos de acesso a cada recurso de informática serão configurados pelo NIN, observadas as necessidades do serviço. 1.9.4. Os direitos de acesso a cada recurso de informática poderão ser retirados por solicitação do responsável pela unidade de lotação do servidor ou dos responsáveis pelos estagiários, menores-aprendizes e funcionários das empresas contratadas. 1.9.5. Caberá a cada usuário manter em sigilo sua senha de acesso aos computadores da SJES, bem como proceder frequentemente a sua atualização. 1.10. A Seção de Redes, com a ciência do NIN, poderá, a qualquer tempo, suspender preventivamente o acesso de usuário a recursos de informática desta SJES, quando suspeitar de riscos à segurança da informação digital. 1.11. A segurança é direcionada contra a fraude, destruição, modificação ou divulgação indevida das informações e dos bens de informática, quer acidental ou intencional. 1.12. Ao usuário caberá a co-responsabilidade no zelo pela segurança da informação, devendo comunicar qualquer anormalidade percebida ao NIN. 1.13. O NIN fará diariamente cópia de segurança dos arquivos de seus computadores centrais (servidores de rede), exceto se houver impedimento por razões técnico-operacionais. 1.14. Caberá ao NRH informar ao NIN qualquer período de afastamento dos usuários superior a 7 (sete) dias, bem como a posse, relotação, exoneração e a movimentação de cargos de chefia, para que seja garantido o bloqueio dos logins no período, para as providências cabíveis. 1.15. Caberá à SAGAB-DIRFO informar ao NIN a posse, exoneração e movimentação de magistrados para as providências cabíveis, quando os atos pertinentes forem enviados pela Corregedoria do Tribunal à SAGAB-DIRFO, bem como as Varas Federais e magistrados escalados para o Plantão Judiciário, a fim de ser garantido o acesso aos sistemas informatizados durante o plantão. 1.15.1. Caberá à SEDRE e ao gestor de contrato informar ao NIN o desligamento dos estagiários, dos menores-aprendizes e dos funcionários das empresas contratadas, respectivamente, para que seja retirado o acesso aos recursos de informática desta SJES. II. IDENTIFICAÇÃO DO USUÁRIO 2.1. Cada usuário receberá uma identificação única, doravante denominada login, e uma senha secreta para acesso aos recursos computacionais. 2.2. Login e senha são pessoais e intransferíveis, sendo vedado seu empréstimo ou cessão a terceiros sob qualquer pretexto, cabendo ao usuário a responsabilidade por seu uso em qualquer hipótese. 2.3. A senha a ser escolhida, obrigatoriamente constituída de letras e números, deverá possuir, no mínimo, 6 (seis) caracteres. 2.4. As senhas terão validade de 120 (cento e vinte) dias. Após esse prazo, o usuário deverá escolher nova senha, vedada a repetição das 2 (duas) últimas senhas utilizadas pelo usuário. 2.5. Caberá a cada usuário manter em sigilo sua senha de acesso aos computadores da SJES, bem como proceder frequentemente a sua atualização. 2.6. A autenticação do usuário na rede para disponibilização de recursos, doravante denominado logon, será possível apenas no horário de 8 às 20 horas. Aqueles que necessitarem de liberação fora desse horário ou nos finais de semana deverão comunicarse com o NIN preferencialmente com 1 (um) dia de antecedência, no mínimo. 2.7. A criação de logins de usuário só se dará mediante Termo de Responsabilidade (ANEXO A), devidamente assinado pelo usuário responsável e por seu superior imediato, respectivamente. 2.8. As senhas dos usuários que eventualmente as esquecerem somente serão reiniciadas com a presença do usuário ou por pedido via telefone, sendo neste último caso solicitada confirmação de dados constantes em seu Termo de Responsabilidade. 2.9. A digitação do login e da senha do usuário será sempre necessária a cada processo de logon. III. ESTAÇÕES DE TRABALHO 3.1. Os parâmetros de configuração dos computadores serão definidos pelo NIN, tendo em vista os requisitos de segurança, estabilidade, confiabilidade e padronização do ambiente computacional da SJES. 3.1.1. Será considerada não-autorizada modificação efetuada em parâmetros dissonantes das definições estabelecidas pelo NIN. 3.2. O setor que tiver necessidade de software ou licenciamento de software não disponível nesta SJES deverá formalizar a solicitação de aquisição ou de desenvolvimento ao NIN. 3.3. A instalação de programas nas estações de trabalho é de responsabilidade do NIN, por intermédio dos servidores de seu quadro ou de técnicos contratados para este serviço, vedado ao usuário esse tipo de operação. 3.4. A opção Painel de Controle das estações de trabalho não estará disponível ao usuário. Para sua alteração, é necessária a abertura de chamado técnico. 3.5. A proteção de tela padrão nas estações de trabalho será de bloqueio automático após 10 minutos de inatividade e não poderá ser alterada sob nenhuma alegação. 3.6. O uso do recurso Active Desktop, que provê o computador de papéis de parede dinâmicos e atualizáveis, será bloqueado nas estações de trabalho. No entanto, será permitida a personalização de papéis de parede (como fotos) pelos usuários. 3.7. As configurações do Internet Explorer serão feitas automaticamente durante o processo de logon, não cabendo ao usuário sua alteração. 3.8. A página inicial usada no Internet Explorer será a da Intranet desta Seccional, não podendo ser alterada pelo usuário sob nenhuma alegação; 3.9. A cópia de segurança, backup, dos dados da estação de trabalho, drive local, será de inteira responsabilidade do usuário. 3.10. A SJES disponibiliza aos usuários as seguintes unidades cujo backup é realizado de forma automática diariamente pelo NIN: a) Unidade (S:): exclusiva para arquivos de trabalhos pessoais, com limite de 200 MBytes por usuário; b) Unidade (T:): exclusiva para arquivos de trabalho comuns à unidade organizacional, com limite de 500 MBytes por unidade organizacional. 3.11. Backups em outros tipos de mídia poderão ser solicitados, sendo para isso necessária a abertura de chamado técnico. 3.12. O armazenamento de arquivos de áudio e vídeo nos formatos .mp3, .wav, .mpeg, .jpg, .gif e outros não será permitido nas unidades "S:" e "T:". A unidade de armazenamento local (C:), drive local, poderá ser utilizada para o armazenamento desses tipos de arquivo. 3.13. O NIN exime-se de qualquer responsabilidade sobre dados eventualmente perdidos armazenados nas estações de trabalho (drive local), considerando que são disponibilizadosrecursos de backup para os usuários. IV. REGRAS DE USO DE E-MAIL E DE SERVIÇO DE MENSAGENS INSTANTÂNEAS CORPORATIVO 4.1. O uso do e-mail institucional e do serviço de mensagem instantânea é opcional. Requerido o uso, o usuário assume as cominações legais daí decorrentes. 4.2. Cada magistrado, servidor, comissionado, estagiário, menor-aprendiz ou funcionário de empresa contratada poderá solicitar uma conta de e-mail. 4.3. Será disponibilizado para cada unidade organizacional um e-mail específico. A indicação do usuário que terá acesso a essa respectiva conta será pelo superior hierárquico. 4.4. O e-mail escolhido pelo usuário não poderá ser igual a nenhum login em uso nesta localidade, nem sequer ao de seu proprietário. 4.5. As comunicações por e-mail entre magistrados, servidores e unidades organizacionais serão realizadas obrigatoriamente por intermédio dos e-mails institucionais (com domínio no formato @jfes.trf2.gov.br ou outro que venha a ser utilizado por esta SJES). 4.6. O envio de mensagens, imagens ou notas a todos os componentes da lista de endereços do correio eletrônico fica restrito a assuntos de interesse geral dos servidores e magistrados e é de responsabilidade da SECOM. 4.7. É vedado o envio de mensagem, imagens ou notas que tenha como destinatários todos os componentes da lista para tratar de assuntos de um pequeno grupo de servidores. 4.8. Poderá ser criada lista parcial de destinatários, desde que o conteúdo das mensagens, das imagens e das notas enviadas seja compatível com as atribuições do servidor, bem como de natureza diversa da de corrente, propaganda comercial e propaganda política. 4.9. Não serão permitidos o envio e o recebimento de arquivos com extensão exe, pif, cmd, bat, com, lnk, ou com conteúdo possivelmente malicioso. 4.10. O tamanho máximo permitido para o envio e o recebimento de um e-mail é de 10 Mbytes, sendo bloqueados e notificados os e-mails que excederem a este limite. 4.11. O repositório para e-mails, denominado caixa postal, terá capacidade máxima para 300 Mbytes, sendo recusados e notificados os e-mails que chegarem após o esgotamento de sua capacidade. 4.12. O NIN divulgará orientação para liberação da caixa postal, competindo ao usuário excluir emails desnecessários e realizar procedimento de arquivamento dos e-mails importantes. 4.13. Os acessos às caixas postais se darão por meio de Web-Mail corporativo (por meio de acesso pela página da intranet) ou por cliente de correio eletrônico (Outlook Express). V. REGRAS DE ACESSO À INTERNET 5.1. A critério da CP/SI, alguns sites serão bloqueados por não fazerem parte do escopo de atividades desta SJES. 5.1.1. Em caso de necessidade de desbloqueio de algum site, o usuário deverá encaminhar solicitação ao NIN, devidamente justificada. 5.2. O uso de salas de bate-papo de sites externos (chats) fica expressamente proibido. 5.3. O uso de softwares de mensagens instantâneas (MSN, Yahoo Messenger, AOL Messenger e correlatos) fica expressamente proibido, com exceção dos disponibilizados pelo NIN para uso estritamente corporativo. 5.4. Os acessos a sites de correio eletrônico serão bloqueados. Qualquer e-mail enviado ou recebido deverá usar uma conta institucional de e-mail. 5.5. Downloads de arquivos com extensão .exe, .pif, .cmd, .bat, .com, .lnk ou com conteúdo possivelmente malicioso serão bloqueados. 5.6. Cada usuário poderá abrir até 03 (três) conexões simultâneas com a Internet, sendo bloqueada a conexão que exceder esse limite. 5.7. O acesso à Internet poderá ser contingenciado em caso de problemas de comunicação nos links de dados desta SJES. VI. ABERTURA DE CHAMADO TÉCNICO 6.1. Duas formas de abertura de chamado técnico serão disponibilizadas: a) por meio de telefone divulgado para tal fim; b) pela Intranet, com informação do local para efetuar o serviço. 6.2. Para abertura de chamado técnico serão necessárias as seguintes informações: a) código do equipamento defeituoso; b) nome do usuário; c) localidade; d) descrição do problema; e) ramal para contato. 6.3. O histórico de chamados será usado para fins estatísticos, bem como para detecção de eventuais anomalias em estações de trabalho que possam ferir os princípios de segurança estabelecidos. DIRETRIZES DE SEGURANÇA 1. O usuário que apagar, destruir, modificar, ou, de qualquer forma, inutilizar total ou parcialmente, arquivo ou programa de computador, fizer uso, de forma indevida ou nãoautorizada, dos equipamentos de informática; bem com agir em desacordo com os termos desta NI, fica sujeito à aplicação das penalidades previstas na Lei nº. 8.112, de 11 de dezembro de 1990, que dispõe sobre o Regime Jurídico dos Servidores Públicos Civis da União, das Autarquias e das Fundações Públicas Federais e legislação pertinente, bem como à legislação que rege a sua relação com a administração pública (estagiários, menoresaprendizes, funcionários de empresas contratadas). 2. O usuário poderá, ainda, ser penalizado com as seguintes sanções: 2.1. suspensão do acesso aos recursos de informática desta SJES por até quinze dias, por decisão do NIN; 2.2. proibição definitiva de acesso a tais recursos, por decisão da Diretoria do Foro. 3. A Diretoria do Foro e a Direção da Secretaria-Geral, esta última no seu âmbito de atuação, poderão restringir, em ato próprio, o uso de equipamentos de informática quando observado que o usuário ou grupo de usuários estejam utilizando os equipamentos em matérias de natureza não-condizente com as atividades desta SJES. 4. Caberá à SECOM confeccionar material informativo a ser usado em campanhas de conscientização de servidores e magistrados, sobre o tema da segurança da informação, conforme minutas a serem fornecidas pelo NIN. 5. Os casos omissos serão avaliados pela CP/SI e encaminhados à Diretoria do Foro para decisão. 6. Esta NI entra em vigor a partir desta data. 7. Fica revogada a NI-7-01, de 12.12.2006, que trata da Regulamentação da Política de Segurança de Informação. Vitória, 13 de setembro de 2007. ELOÁ ALVES FERREIRA DE MATTOS Juíza Federal Diretora do Foro REGULAMENTAÇÃO SEGURANÇA SEGURANÇA DE DADOS http://www7.trf2.jus.br/sophia_web/index.asp?codigo_sophia=89868 |
| institution |
TRF 2ª Região |
| collection |
TRF 2ª Região |
| language |
Português |
| topic |
REGULAMENTAÇÃO SEGURANÇA SEGURANÇA DE DADOS |
| spellingShingle |
REGULAMENTAÇÃO SEGURANÇA SEGURANÇA DE DADOS Direção do Foro (Espírito Santo) NORMA INTERNA 7-01/2007 |
| description |
- Regulamentar a Política de Segurança da Informação Digital, definindo critérios para a preservação da integridade, confidencialidade, disponibilidade e legalidade das informações digitais no âmbito da SJES.
- Regulamentar o uso dos equipamentos e programas de informática disponibilizados pela SJES. |
| format |
Ato normativo |
| author |
Direção do Foro (Espírito Santo) |
| title |
NORMA INTERNA 7-01/2007 |
| title_short |
NORMA INTERNA 7-01/2007 |
| title_full |
NORMA INTERNA 7-01/2007 |
| title_fullStr |
NORMA INTERNA 7-01/2007 |
| title_full_unstemmed |
NORMA INTERNA 7-01/2007 |
| title_sort |
norma interna 7-01/2007 |
| publisher |
Seção Judiciária do Espírito Santo |
| publishDate |
2007 |
| url |
http://www7.trf2.jus.br/sophia_web/index.asp?codigo_sophia=89868 |
| _version_ |
1848149341325230080 |
| score |
12,572524 |