Sistema de Consulta a Atos Normativos
| Relacionamento | Número | Ano | Origem | Baixar |
|---|---|---|---|---|
| Compilação de | 38 | 2021 | GP - Gabinete da Presidência | Baixar |
Íntegra:
Atenção: A versão HTML deste documento é gerada de forma automática e a apresentação abaixo pode conter formatação divergente do documento original. Para acesso ao documento, em seu formato original, clique aqui para iniciar o download.
RESOLUÇÃO GP N. 11 DE 1º DE MARÇO DE 2021
Institui a Política de Controle de Acesso aos Recursos e Serviços de Tecnologia da Informação no âmbito do Poder Judiciário do Estado de Santa Catarina e dá outras providências.
O PRESIDENTE DO TRIBUNAL DE JUSTIÇA DO ESTADO DE SANTA CATARINA, considerando o art. 18 da Resolução TJ n. 15 de 4 de julho de 2018, que institui a Política de Segurança da Informação do Poder Judiciário do Estado de Santa Catarina; o Guia de Boas Práticas em Segurança da Informação do Tribunal de Contas da União e a norma da Associação Brasileira de Normas Técnicas n. ABNT/NBR/ISO/IEC/27002:2013, que tratam dos requisitos de um sistema de gestão em segurança da informação; a garantia do direito de acesso à informação, conforme disposto na Lei n. 12.527, de 18 de novembro de 2011, e na Resolução n. 215, de 16 de dezembro de 2015, do Conselho Nacional de Justiça; a necessidade de um processo sistemático para garantir que os acessos aos recursos tecnológicos e aos serviços de tecnologia da informação sejam feitos de forma segura e controlada, a fim de proteger equipamentos, aplicativos e arquivos de dados contra perda, modificação ou divulgação não consentida e prevenir acessos não autorizados a serviços e sistemas; e o exposto no Processo Administrativo n. 0029906-98.2020.8.24.0710,
RESOLVE:
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º Fica instituída a Política de Controle de Acesso à Informação no Poder Judiciário do Estado de Santa Catarina - PCAI/PJSC, que faz parte de um conjunto de normas que atendem à Política de Segurança da Informação do Poder Judiciário do Estado de Santa Catarina - PSI/PJSC.
Parágrafo único. A PCAI/PJSC observará os princípios, as diretrizes e os objetivos estabelecidos nesta resolução, bem como às disposições constitucionais, legais e regimentais.
Art. 2º Para os efeitos desta resolução, aplicam-se as seguintes definições:
I - ativos de informação: meios de armazenamento, de transmissão e de processamento, sistemas de informação, locais onde se encontram os meios de armazenamento e as pessoas que a eles têm acesso;
II - ativo de tecnologia da informação (TI): são os itens físicos e virtuais que compõem uma rede corporativa. O conceito engloba tanto recursos tangíveis quanto intangíveis. Exemplos: dispositivos de armazenamento móvel, como pendrive e HD externo; componentes do computador, como placa-mãe, memória RAM, processador, HD; sistemas operacionais, softwares; equipamentos como servidores, roteadores, switches; impressoras conectadas à rede; etc.
III - acesso lógico: acesso por meio de tecnologia da informação - TI aos sistemas, softwares e aplicativos da instituição;
IV - acesso físico: acesso de pessoas aos ativos de informação. O sistema de controle de acesso físico é composto de mecanismos de controle e de procedimentos que garantam a segurança desses ativos;
V - bloqueio de acesso: suspende temporariamente ou definitivamente o acesso físico ou lógico;
VI - confidencialidade: propriedade que garante que a informação não esteja disponível ou não seja revelada a indivíduos, a entidades ou a processos não autorizados;
VII - conta de acesso: identificação do usuário, com senha associada, para acesso aos recursos de TI;
VIII - controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso;
IX - credenciais: permissões concedidas pelo gestor da informação, após o processo de credenciamento, que habilitam determinada pessoa ao acesso dos recursos de TI. Podem ser físicas, como crachá, cartão e selo, ou lógicas, como identificação de usuário e senha;
X - credenciamento: processo pelo qual o usuário recebe credenciais de acesso, incluindo a identificação, a autenticação, o cadastramento de código de identificação e a definição de perfil de acesso, em razão de autorização prévia e da necessidade de conhecer;
XI - disponibilidade: propriedade que garante que as informações estejam acessíveis às pessoas e aos processos autorizados, no momento requerido;
XII - gestor da informação: pessoa responsável por unidade ou pela execução de processo no Poder Judiciário do Estado de Santa Catarina - PJSC que produza informação ou detenha a sua guarda e a quem é atribuída a responsabilidade de autorizar o acesso a essas informações;
XIII - integridade: propriedade da informação que salvaguarda a exatidão e a completude de suas condições de origem;
XIV - perfil de acesso: conjunto de atributos de cada usuário, definidos previamente como necessários para credencial de acesso, com os privilégios e direitos de acesso;
XV - recursos de TI: conjunto dos ativos e serviços de TI;
XVI - rede corporativa: conjunto de computadores, funcionalidades e outros dispositivos de propriedade do PJSC ou por este providos que, ligados em uma rede de comunicação de dados, possibilitam a prestação de serviços de TI e comunicação;
XVII - serviços de TI: combinação de processos, pessoas e tecnologia em operações implementadas para atender a necessidades de negócio e possibilitar a cocriação de valor na organização;
XVIII - usuário interno: magistrado, servidor ativo ou unidade organizacional que tenha autorização para acesso a informações produzidas ou custodiadas pelo PJSC ou que faça uso dos ativos de informação ou dos recursos de TI;
XIX - usuário colaborador: prestador de serviço terceirizado, estagiário, voluntário ou qualquer outro colaborador do PJSC que tenha autorização para acesso a informações produzidas ou custodiadas pelo PJSC ou que faça uso dos ativos de informação ou dos recursos de TI; e
XX - usuário externo: qualquer pessoa física ou jurídica que tenha autorização para acesso a informações produzidas ou custodiadas pelo PJSC e que não seja caracterizado como usuário interno ou usuário colaborador.
Parágrafo único. São exemplos de ativos de informação descritos no inciso I deste artigo: base de dados e arquivos, contratos e acordos, documentação de sistema, relatórios de pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte, de operação ou de recuperação, planos de continuidade do negócio, trilhas de auditoria, entre outros.
CAPÍTULO II
DAS DIRETRIZES GERAIS
Art. 3º Aos usuários serão concedidos perfis de acesso com direitos e privilégios, conforme os seguintes princípios:
I - necessidade de conhecer: permissão de acesso à informação vinculada ao desempenho das tarefas do usuário; e
II - necessidade de uso: permissão de acesso aos ativos de TI, vinculada ao que se fizer necessário para o usuário desempenhar tarefa ou função.
Art. 4º A implementação, a divulgação e a conscientização dos controles de acesso deverão estar em conformidade com a PSI/PJSC.
Art. 5º Aos titulares de dados pessoais é garantido o livre acesso, a consulta facilitada e gratuita sobre a forma e a duração do tratamento desses dados pessoais, e a integralidade dos dados, na forma da lei e em regulamentação específica.
CAPÍTULO III
DIRETRIZES PARA O CONTROLE DE ACESSO LÓGICO
Seção I
Da Criação e da Administração de Contas de Acesso
Art. 6º As contas de acesso aos ativos de TI e ativos de informação serão criadas pelo setor competente da Diretoria de Tecnologia da Informação - DTI por meio de procedimentos prévios de credenciamento do usuário.
§ 1º A conta de acesso será de uso pessoal e intransferível e em nenhuma hipótese poderá ser compartilhada.
§ 2º O usuário será responsabilizado pela quebra de segurança ocorrida com o uso de sua conta de acesso, nos termos da legislação aplicável.
§ 3º A conta de acesso no perfil Administrador somente será fornecida aos usuários cadastrados para execução de tarefas específicas na administração de ativos de informação e não deverá ser compartilhada.
Art. 7º É vedada a criação de conta de acesso com identificação genérica do usuário.
Art. 8º As contas de serviço e de privilégios, que fornecem uma solução de identidade única para serviços executados por computadores servidores e/ou sistemas, serão tratadas de forma especial, podendo estar associadas a várias sessões concorrentes e sendo seus prazos de expiração de senha definidos internamente pela DTI.
Art. 9º A DTI, em conjunto com o gestor da informação da área de negócio, é responsável por estabelecer regras para credenciamento, criação e bloqueio de contas de acesso de usuários.
Seção II
Do Acesso à Rede Interna e aos Serviços de Tecnologia da Informação
Art. 10. A criação de contas de acesso à rede interna do PJSC se vinculará à data de entrada em exercício do usuário interno ou do colaborador.
Parágrafo único. O acesso à rede e aos serviços de TI será concedido aos usuários externos nos termos específicos em que forem autorizados a usar.
Art. 11. A conta de acesso à rede interna e aos serviços de TI será bloqueada quando do desligamento do usuário interno ou do colaborador.
§ 1º Considera-se desligamento a exoneração, demissão, aposentadoria, falecimento ou qualquer outro tipo de afastamento definitivo do usuário.
§ 2º As contas de estagiários e prestadores de serviço serão configuradas para expirar concomitantemente ao término do contrato.
§ 3º É responsabilidade do gestor da unidade solicitar o bloqueio da conta de acesso do estagiário quando do desligamento antes do término do contrato.
§ 4º É responsabilidade do gestor do contrato solicitar a exclusão da conta de acesso do prestador de serviço quando do desligamento antes do término do contrato.
Art. 12. Os acessos à rede interna e aos serviços de TI poderão ser registrados e rastreados pela equipe técnica da DTI e bloqueados nos casos de tentativa de acesso fracassada ou suspeita de incidente de segurança da informação.
Art. 13. Os procedimentos operacionais de acesso aos serviços de TI, como acesso à rede local, à internet, à intranet e aos sistemas de informação, a utilização de rede sem fio, de mensageria corporativa e instantânea e outros serviços que sejam incorporados deverão ser implementados por meio de regulamentação específica.
Seção III
Do Gerenciamento de Acesso do Usuário
Art. 14. O processo de gerenciamento de acesso do usuário, alinhado aos princípios de segurança da informação quanto à confidencialidade, integridade e disponibilidade, considera:
I - o registro e o cancelamento de usuário;
II - o provisionamento para acesso de usuário;
III - o gerenciamento do perfil de acessos;
IV - o gerenciamento de credenciais de acesso;
V - a análise crítica dos perfis de acesso de usuário;
VI - a retirada ou ajuste dos perfis de acesso; e
VII - a responsabilidade dos usuários.
Art. 15. Os acessos serão viabilizados pelo uso individual de credenciais únicas que permitam relacionar os usuários delas com suas responsabilidades e ações, observado o seguinte:
I - o acesso aos serviços de TI será criado sob demanda pela DTI;
II - o gestor da informação é responsável por solicitar modificações no perfil de acesso, bloqueio ou revogação de credencial e verificar a correta utilização dos acessos concedidos na realização das atividades dos usuários; e
III - todos os usuários deverão assinar termo de sigilo e de responsabilidade para a utilização dos serviços de TI.
Parágrafo único. Se o serviço de TI tiver funcionalidade específica para a manutenção e a criação de contas, habilitada para o uso do gestor da informação, a responsabilidade pela criação e manutenção de contas é desse gestor, que deverá zelar pela base de usuários de forma que somente pessoas autorizadas tenham acesso.
Seção IV
Das Responsabilidades
Art. 16. Compete à DTI implementar as diretrizes estabelecidas e comunicar ao Comitê Gestor de Segurança da Informação a ocorrência de incidentes de segurança da informação que decorram do não cumprimento das normas de controle de acesso.
Art. 16. Compete à DTI implementar as diretrizes estabelecidas e comunicar ao Comitê de Governança de Segurança da Informação a ocorrência de incidentes de segurança da informação que decorram do não cumprimento das normas de controle de acesso. (Redação dada pelo art. 19 da Resolução GP n. 38 de 20 de outubro de 2021)
Art. 17. São responsabilidades do gestor da informação definir o perfil de acesso a ser atribuído a cada usuário, determinar as mudanças de perfil e bloquear o acesso quando este não for mais necessário.
Parágrafo único. O gestor da informação deverá revisar os direitos de acesso concedidos a cada 12 (doze) meses, ajustando os perfis de acordo com a necessidade de conhecer do usuário.
Art. 18. Os usuários se sujeitarão às diretrizes, às normas e aos procedimentos de controle de acesso à informação de que trata esta resolução e à PSI/PJSC.
Art. 19. O usuário é responsável:
I - por garantir a segurança das informações a que tenha acesso;
II - pela proteção de suas informações de autenticação;
III - por todas as ações realizadas por meio de seus acessos;
IV - pelo uso das credenciais de acesso; e
V - pelo conhecimento dos conceitos e regras definidos para a segurança das informações.
CAPÍTULO IV
DAS DIRETRIZES PARA O CONTROLE DE ACESSO FÍSICO
Art. 20. A DTI é responsável por estabelecer regras para o uso de credenciais físicas, que visam ao controle de acesso dos usuários às áreas e instalações onde se localizam os ativos de TI e ativos de informação.
§ 1º As áreas e instalações serão classificadas de acordo com o valor, a criticidade, o tipo de ativo e o grau de sigilo das informações, e serão mapeadas aquelas consideradas críticas.
§ 2º Além das credenciais de acesso, deverão ser utilizadas barreiras físicas de segurança e equipamentos ou mecanismos de controle de entrada e saída para a proteção dos ativos contra ações de vandalismo, sabotagem, ataques, entre outros, especialmente em relação aos ativos considerados críticos.
§ 3º O mapeamento do processo de controle de acesso físico deverá:
I - integrar a área de recepção com regras claras para a entrada e a saída de pessoas, equipamentos e materiais;
II - definir pontos de entrega e carregamento de material com acesso exclusivo a pessoal credenciado; e
III - intensificar os controles para as áreas e instalações consideradas críticas conforme a legislação vigente.
CAPÍTULO V
DISPOSIÇÕES FINAIS
Art. 21. As normas publicadas com base nesta resolução deverão ser revisadas anualmente ou sempre que for necessário.
Art. 22. Fica vedada a instalação de softwares não homologados pela DTI.
Art. 23. Ficam revogadas as disposições contrárias.
Art. 24. Esta resolução entra em vigor na data de sua publicação.
Desembargador Ricardo Roesler
Presidente
Versão compilada em 21 de outubro de 2021 por meio da incorporação das alterações introduzidas pela seguinte norma:
- Resolução GP n. 38 de 20 de outubro de 2021.