13.06.2013 Views

anexos ato gp nº 25/2011 - Tribunal Regional do Trabalho da 22ª ...

anexos ato gp nº 25/2011 - Tribunal Regional do Trabalho da 22ª ...

anexos ato gp nº 25/2011 - Tribunal Regional do Trabalho da 22ª ...

SHOW MORE
SHOW LESS

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

ANEXO 1<br />

Classificação <strong>da</strong>s Informações<br />

PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

1. A classificação <strong>da</strong>s Informações visa assegurar que os ativos de informação recebam o nível<br />

adequa<strong>do</strong> de proteção requeri<strong>da</strong> para a geração, o manuseio, a tramitação, o acesso, a guar<strong>da</strong> e a<br />

eliminação no âmbito <strong>do</strong> TRT <strong>da</strong> <strong>22ª</strong> Região, de acor<strong>do</strong> com o seu grau de sigilo.<br />

2. Os ativos de informação são classifica<strong>do</strong>s, segun<strong>do</strong> seu grau de sigilo, nas seguintes categorias:<br />

CLASSIFICAÇÃO<br />

RESERVADO<br />

CORPORATIVO<br />

OSTENSIVO<br />

DESCRIÇÃO<br />

Informações cujo conhecimento<br />

por pessoas não autoriza<strong>da</strong>s<br />

comprometa as operações e<br />

objetivos previstos para o<br />

exercícios <strong>da</strong>s ativi<strong>da</strong>des<br />

jurisdicionais executa<strong>da</strong>s pelo<br />

<strong>Tribunal</strong>.<br />

To<strong>da</strong>s as demais informações<br />

elabora<strong>da</strong>s e/ou manipula<strong>da</strong>s<br />

pelos servi<strong>do</strong>res, que não se<br />

incluam na categoria superior e<br />

que não tenham si<strong>do</strong><br />

classifica<strong>da</strong>s como ostensivas.<br />

Informações dirigi<strong>da</strong>s ao público<br />

em geral.<br />

3. A seguir são apresenta<strong>da</strong>s as seguintes tabelas:<br />

1/24<br />

QUEM CLASSIFICA<br />

A Diretoria <strong>do</strong> Serviço de<br />

Informática e também o<br />

Comitê de Segurança <strong>da</strong><br />

Informação define a tabela<br />

Ativos de Informação e<br />

sua Classificação.<br />

To<strong>do</strong> servi<strong>do</strong>r no exercício<br />

de suas funções pode gerar<br />

e manipular informações<br />

nesta categoria.<br />

O Comitê de Segurança <strong>da</strong><br />

Informação define na<br />

tabela abaixo as<br />

informações com esta<br />

classificação.<br />

I - Ativos de Informação e suas classificações onde são lista<strong>do</strong>s os ativos de informação<br />

encontra<strong>do</strong>s no âmbito <strong>do</strong> TRT <strong>22ª</strong> Região e suas respectivas classificações;<br />

II - Controles por classificação onde estão descritos os controles que devem ser aplica<strong>do</strong>s aos<br />

ativos de informação, de acor<strong>do</strong> com sua classificação, de forma a garantir sua confidenciali<strong>da</strong>de,<br />

integri<strong>da</strong>de e disponibili<strong>da</strong>de.


PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

Ativo de<br />

Informação Nome<br />

Registros<br />

Ativos de Informação e suas classificações<br />

2/24<br />

Classificação<br />

Logs de transações Corporativo<br />

Logs <strong>do</strong> Sistema Corporativo<br />

Logs de Segurança Corporativo<br />

Relatórios Corporativo<br />

Registros de entra<strong>da</strong> e saí<strong>da</strong> Corporativo<br />

Livro de Bor<strong>do</strong> Corporativo<br />

Resulta<strong>do</strong>s de Auditoria Corporativo<br />

Mídias de backup (DAT, DLT, DVD e CD) Corporativo<br />

Ativo de<br />

Informação Nome<br />

Documentação<br />

Classificação<br />

Documentos Processuais Reserva<strong>do</strong><br />

Comunicações Internas Corporativo<br />

Editais Ostensivo<br />

Avaliação de Risco Reserva<strong>do</strong><br />

Plano de Tratamento de Risco Corporativo<br />

Plano de Continui<strong>da</strong>de <strong>do</strong> Negócio - PCN Corporativo<br />

Procedimentos <strong>do</strong> PCN Corporativo<br />

Procedimentos Operacionais Corporativo<br />

Outros Termos Corporativo<br />

Ativo de<br />

Informação Nome<br />

Infra-estrutura<br />

Classificação<br />

Números de telefone Ostensivo<br />

Diagramas de rede lógica Reserva<strong>do</strong><br />

Diagramas <strong>da</strong> rede elétrica Corporativo<br />

Inventário de ativos Corporativo<br />

Configuração de equipamentos Corporativo<br />

Regras de Firewall Corporativo


PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

Especificação Técnica de Hardware Corporativo<br />

Especificação Técnica <strong>da</strong> infra-estrutura Corporativo<br />

Ativo de<br />

Informação Nome<br />

Controle de Acesso<br />

Competência<br />

para<br />

classificar<br />

Marcação em<br />

papel<br />

Marcação em<br />

meio<br />

eletrônico<br />

Expedição e<br />

Comunicação<br />

3/24<br />

Classificação<br />

Crachá Corporativo<br />

Contas <strong>da</strong> estação de trabalho Corporativo<br />

Smartcard/Token Reserva<strong>do</strong><br />

Controles por classificação<br />

Reserva<strong>do</strong> Corporativo Ostensivo<br />

Diretoria <strong>do</strong> Serviço de<br />

Informática e também o<br />

Comitê de Segurança <strong>da</strong><br />

Informação (Tabela Ativos<br />

de Informação e sua<br />

Classificação).<br />

To<strong>da</strong>s as páginas e capa se<br />

houver.<br />

Relatórios, Manuais, ou<br />

outros <strong>do</strong>cumentos<br />

semelhantes devem ter suas<br />

páginas numera<strong>da</strong>s com<br />

número/total de páginas.<br />

Marcação <strong>do</strong>s meios de<br />

armazenamento em local<br />

visível e adequa<strong>do</strong>.<br />

Telas de computa<strong>do</strong>r devem<br />

exibir de forma visível a<br />

marcação.<br />

Envelopes duplos ,externo<br />

sem indicação <strong>do</strong> grau de<br />

sigilo e o interno com<br />

To<strong>do</strong> Servi<strong>do</strong>r no exercício<br />

de suas funções pode gerar e<br />

manipular informações nesta<br />

categoria..<br />

Sem marcação.<br />

Sem marcação.<br />

To<strong>do</strong> ativo de informação<br />

sem marcação é considera<strong>do</strong><br />

CORPORATIVO.<br />

Uso de envelope comum,<br />

sem marcação.<br />

Comitê de Segurança <strong>da</strong><br />

Informação (Tabela Ativos<br />

de Informação e sua<br />

Classificação).<br />

Na primeira página ou na<br />

capa se houver.<br />

Marcação <strong>do</strong>s meios de<br />

armazenamento em local<br />

visível e adequa<strong>do</strong>.<br />

Telas de computa<strong>do</strong>r devem<br />

exibir de forma visível a<br />

marcação.<br />

Uso de envelope comum,<br />

sem marcação.


Expedição e<br />

Comunicação<br />

em meio<br />

eletrônico<br />

PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

Reserva<strong>do</strong> Corporativo Ostensivo<br />

indicação <strong>do</strong> grau de sigilo.<br />

Entrega por serviço postal,<br />

serviço de malote ou<br />

pessoal.<br />

Somente assina<strong>do</strong>s e<br />

criptografa<strong>do</strong>s com uso de<br />

certifica<strong>do</strong>s digitais <strong>da</strong> ICP-<br />

Brasil.<br />

Reprodução Por necessi<strong>da</strong>de de<br />

trabalho. Mesmo grau de<br />

sigilo <strong>do</strong> original.<br />

Registro,<br />

Tramitação e<br />

Guar<strong>da</strong><br />

No recebimento: verificar a<br />

integri<strong>da</strong>de; Proceder ao<br />

registro <strong>do</strong> <strong>do</strong>cumento e ao<br />

controle de sua tramitação e<br />

envelope interno aberto só<br />

pelo destinatário ou<br />

autori<strong>da</strong>de superior.<br />

Guar<strong>da</strong><strong>do</strong>s em arquivos ou<br />

armários tranca<strong>do</strong>s, que<br />

ofereçam proteção contra<br />

acesso não autoriza<strong>do</strong>. Não<br />

deve ser deixa<strong>do</strong> exposto<br />

em cima de mesa de<br />

trabalho ou tela de<br />

computa<strong>do</strong>r.<br />

Conferi<strong>do</strong>s quan<strong>do</strong> <strong>da</strong><br />

transferência de<br />

responsabili<strong>da</strong>de.<br />

Eliminação Documentos em papel<br />

devem passar por processo<br />

seguro de destruição, com<br />

uso de tritura<strong>do</strong>ra.<br />

Documentos em meio<br />

eletrônico devem ser<br />

Entrega por serviço postal,<br />

pessoal ou pelo serviço de<br />

malote.<br />

Utilização normal <strong>da</strong> rede<br />

interna. Em redes externas<br />

ou mídias portáveis,<br />

cifra<strong>do</strong>.<br />

Não há restrição para a<br />

reprodução de informações<br />

corporativas em papel ou em<br />

meios magnéticos, sempre<br />

por necessi<strong>da</strong>de de trabalho.<br />

Se tramita<strong>do</strong> via malote ou<br />

correio eletrônico, os<br />

registros próprios de ca<strong>da</strong><br />

serviço podem ser<br />

utiliza<strong>do</strong>s.<br />

O manuseio de informações<br />

corporativas, em papel ou<br />

meio eletrônico, está restrito<br />

aos agentes de registro.<br />

Excepcionalmente, por<br />

necessi<strong>da</strong>de de trabalho,<br />

podem ser manusea<strong>do</strong>s por<br />

terceiros, se autoriza<strong>do</strong>s.<br />

Devem ser guar<strong>da</strong><strong>do</strong>s em<br />

local protegi<strong>do</strong> contra per<strong>da</strong>.<br />

Não deve ser deixa<strong>do</strong><br />

exposto em cima de mesa de<br />

trabalho ou tela de<br />

computa<strong>do</strong>r.<br />

Documentos em papel<br />

devem passar por processo<br />

normal de destruição,<br />

tornan<strong>do</strong>-os ilegíveis.<br />

Recomen<strong>da</strong><strong>do</strong> o uso de<br />

tritura<strong>do</strong>ra.<br />

4/24<br />

Entrega por serviço postal,<br />

pessoal ou pelo serviço de<br />

malote.<br />

Utilização normal <strong>da</strong> rede<br />

interna, redes externas ou<br />

mídias portáveis.<br />

Não há restrição para sua<br />

reprodução.<br />

O original, em papel ou<br />

meio magnético, deve ser<br />

armazena<strong>do</strong> em local<br />

protegi<strong>do</strong> contra a per<strong>da</strong>.<br />

Documentos em papel que<br />

não necessitem ser<br />

guar<strong>da</strong><strong>do</strong>s podem ser<br />

reutiliza<strong>do</strong>s ou recicla<strong>do</strong>s.<br />

Para os ativos de informação<br />

grava<strong>do</strong>s em meios


PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

Reserva<strong>do</strong> Corporativo Ostensivo<br />

elimina<strong>do</strong>s através de<br />

processo de deleção seguro.<br />

Nos casos de saí<strong>da</strong> <strong>da</strong> sala<br />

de AR, salvo para fins de<br />

trabalho, ativos de<br />

informação e quaisquer<br />

meios de armazenamento<br />

devem passar por processo<br />

de deleção seguro.<br />

Acesso Apenas ao emprega<strong>do</strong> ou<br />

pessoa no exercício de<br />

cargo ou função que tenha<br />

necessi<strong>da</strong>de de conhecê-lo.<br />

ANEXO 2<br />

Em meio eletrônico,<br />

controla<strong>do</strong> e registra<strong>do</strong> em<br />

log de acesso, deven<strong>do</strong> a<br />

área que detém a sua guar<strong>da</strong><br />

possuir sistemática de<br />

registro destes logs.<br />

Documentos em meio<br />

eletrônico devem ser<br />

elimina<strong>do</strong>s por processo de<br />

deleção normal.<br />

Nos casos de saí<strong>da</strong> <strong>da</strong> sala<br />

de AR, salvo para fins de<br />

trabalho, ativos de<br />

informação e quaisquer<br />

meios de armazenamento<br />

devem passar por processo<br />

de deleção seguro.<br />

Apenas ao emprega<strong>do</strong> ou<br />

pessoa no exercício de cargo<br />

ou função que tenha<br />

necessi<strong>da</strong>de de conhecê-lo.<br />

Gerenciamento de Identi<strong>da</strong>de e Controle de Acesso Lógico<br />

1. Disposições Gerais<br />

5/24<br />

magnéticos que possam ser<br />

apaga<strong>do</strong>s, originais e cópias,<br />

deve ser utiliza<strong>do</strong> processo<br />

de deleção normal.<br />

Não há restrição quanto ao<br />

acesso.<br />

1.1. Somente será permiti<strong>do</strong> o acesso às informações sigilosas <strong>do</strong> TRT <strong>da</strong> <strong>22ª</strong> Região a pessoas<br />

devi<strong>da</strong>mente autoriza<strong>da</strong>s<br />

1.2. Os servi<strong>do</strong>res têm acesso apenas aos recursos e às informações <strong>do</strong> TRT <strong>da</strong> <strong>22ª</strong> Região que<br />

estejam em conformi<strong>da</strong>de com o perfil funcional e as ativi<strong>da</strong>des a serem exerci<strong>da</strong>s.<br />

1.3. O acesso aos recursos computacionais por parte <strong>do</strong> servi<strong>do</strong>r é realiza<strong>do</strong> por meio de uma<br />

credencial pessoal.<br />

1.4. O servi<strong>do</strong>r pode utilizar a rede e os sistemas, única e exclusivamente, após identificação por


PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

meio de sua credencial, cujo acesso se dá por código de identi<strong>da</strong>de de usuário e senha.<br />

1.5. É ve<strong>da</strong><strong>do</strong> ao servi<strong>do</strong>r compartilhar a sua credencial sob qualquer hipótese.<br />

1.6. O acesso de presta<strong>do</strong>res de serviços deve possuir prazo de vali<strong>da</strong>de, de acor<strong>do</strong> com o prazo <strong>do</strong><br />

contr<strong>ato</strong> firma<strong>do</strong> com o TRT <strong>da</strong> <strong>22ª</strong> Região.<br />

1.7. Quanto aos recursos <strong>da</strong> rede, as formas de acesso irregulares são classifica<strong>da</strong>s como:<br />

I - não-autoriza<strong>do</strong>: acesso aos recursos que não possui permissão, pela utilização de conta de outrem<br />

ou não, sob qualquer circunstância.<br />

II - simultâneo: acesso a partir de uma mesma conta por meio de mais de um microcomputa<strong>do</strong>r de<br />

rede (desktop, notebook ou servi<strong>do</strong>r), em um mesmo perío<strong>do</strong> de tempo, exceto para execução de<br />

ativi<strong>da</strong>des de administração de redes.<br />

III - indevi<strong>do</strong>: acesso a conteú<strong>do</strong>s com imagens, fotos e textos que não estejam relaciona<strong>do</strong>s ao<br />

desempenho <strong>da</strong>s ativi<strong>da</strong>des ou em conformi<strong>da</strong>de com os interesses <strong>do</strong> <strong>Tribunal</strong>.<br />

1.8. As formas de acesso irregulares são ve<strong>da</strong><strong>da</strong>s ao servi<strong>do</strong>r.<br />

1.9. Não é permiti<strong>do</strong> o compartilhamento de recursos, salvo para utilização de impressoras.<br />

1.10. O compartilhamento de arquivos ou pastas que não possuam cunho confidencial deve ser<br />

realiza<strong>do</strong> com a utilização de pastas públicas.<br />

1.11. É classifica<strong>do</strong> como indevi<strong>do</strong> o compartilhamento de arquivos ou pastas com imagens, vídeo,<br />

áudio ou texto que não estejam relaciona<strong>do</strong>s ao desempenho <strong>da</strong>s ativi<strong>da</strong>des ou em conformi<strong>da</strong>de<br />

com os interesses <strong>do</strong> <strong>Tribunal</strong> <strong>Regional</strong> <strong>do</strong> <strong>Trabalho</strong> <strong>da</strong> <strong>22ª</strong> Região.<br />

1.12. Em caso de transferência <strong>do</strong> servi<strong>do</strong>r para outra Vara ou Setor, serão altera<strong>da</strong>s as condições de<br />

acesso.<br />

1.13. Os acessos serão concedi<strong>do</strong>s apenas a grupos de usuários.<br />

1.14. Os grupos de usuários serão defini<strong>do</strong>s de acor<strong>do</strong> com os perfis funcionais <strong>do</strong>s servi<strong>do</strong>res.<br />

1.15. O acesso aos recursos <strong>da</strong> rede, incluin<strong>do</strong> software, aplicativos e acesso remoto, será defini<strong>do</strong><br />

de acor<strong>do</strong> com perfis funcionais, em relação aos seguintes aspectos:<br />

I - permissão ou não de acesso;<br />

II - níveis de privilégios de acesso.<br />

1.16. As configurações <strong>do</strong>s perfis funcionais devem definir claramente as permissões e as restrições<br />

quanto ao nível de privilégios de acesso.<br />

6/24


PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

1.17. Os direitos de acesso devem ser revoga<strong>do</strong>s imediatamente, em casos de desligamento,<br />

afastamento ou transferência de servi<strong>do</strong>res.<br />

1.18. Quanto aos grupos com perfis de administra<strong>do</strong>r, cabe a Diretoria <strong>do</strong> Serviço de Informática:<br />

I - autorizar a inclusão e atualização de servi<strong>do</strong>res no grupo;<br />

II - controlar e analisar o conteú<strong>do</strong> <strong>do</strong>s grupos trimestralmente.<br />

1.19. Contas privilegia<strong>da</strong>, que possuem permissões especiais para realização de tarefas de<br />

administração de redes e execução de serviços <strong>do</strong> sistema operacional, devem a<strong>do</strong>tar senhas fortes,<br />

que devem ser altera<strong>da</strong>s a ca<strong>da</strong> seis meses.<br />

1.20. Os administra<strong>do</strong>res de rede possuirá duas contas de acesso distintas: uma com privilégios<br />

especiais para as tarefas de administração e outra com privilégios para acesso a outros recursos.<br />

1.21. Quanto às contas de administra<strong>do</strong>res de <strong>do</strong>mínio, cabe a Diretoria <strong>do</strong> Serviço de Informática:<br />

I - definir os perfis necessários para acesso;<br />

II - vali<strong>da</strong>r a permissão ou não de acesso a usuários e grupos;<br />

III - analisar bimestralmente a adequação <strong>do</strong>s perfis <strong>do</strong>s usuários e grupos que já possuem<br />

permissão.<br />

1.22. A senha é pessoal e intransferível. Em caso de suspeita <strong>da</strong> per<strong>da</strong> de sigilo, o servi<strong>do</strong>r deve<br />

alterá-la imediatamente. O tamanho mínimo de senhas é de 8 caracteres.<br />

1.23. Cabe ao servi<strong>do</strong>r:<br />

I - escolher uma nova senha no primeiro acesso;<br />

II - utilizar senhas fortes;<br />

III - evitar a reutilização de senhas antigas.<br />

1.24. O servi<strong>do</strong>r tem direito a três tentativas de autenticação de senha para acesso à rede intranet <strong>do</strong><br />

TRT <strong>da</strong> <strong>22ª</strong> Região.<br />

1.<strong>25</strong>. O acesso à rede será bloquea<strong>do</strong> caso o servi<strong>do</strong>r não obtenha sucesso após atingir o limite de<br />

tentativas de autenticação.<br />

1.26. Software gerencia<strong>do</strong>r <strong>do</strong> ambiente de rede deve armazenar as senhas anteriores em um<br />

histórico de senhas, que manterá, no mínimo, as 10 últimas senhas utiliza<strong>da</strong>s por ca<strong>da</strong> servi<strong>do</strong>r. O<br />

software gerencia<strong>do</strong>r <strong>do</strong> ambiente de rede solicitará a alteração de senhas a ca<strong>da</strong> 30 dias.<br />

1.27. O sigilo e a privaci<strong>da</strong>de na escolha e uso de senhas são responsabili<strong>da</strong>de exclusiva <strong>do</strong><br />

servi<strong>do</strong>r.<br />

7/24


2. Wireless<br />

PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

2.1. O acesso a rede Wireless deve ser basea<strong>da</strong>, preferencialmente, em autenticação forte<br />

2.2. A segurança deve ser forneci<strong>da</strong> através de criptografia de <strong>da</strong><strong>do</strong>s com protocolos como<br />

WPA/WPA2 e WPA-PSK/WPA2-PSK com criptografia TKIP/AES, ou protocolos e criptografias<br />

mais atuais.<br />

2.3. To<strong>do</strong>s os dispositivos e usuários, inclusive convi<strong>da</strong><strong>do</strong>s, devem ser minuciosamente<br />

identifica<strong>do</strong>s afim de obter a autorização e permissão de acesso a rede.<br />

3. Firewall e IDS/IPS<br />

3.1. As tecnologias de segurança para gerenciamento de identi<strong>da</strong>des e controle de acesso utiliza<strong>da</strong>s<br />

pelo TRT <strong>da</strong> <strong>22ª</strong> Região são:<br />

I - firewall;<br />

II - ferramentas de detecção e prevenção de ataques;<br />

3.2. A Supervisão/Gerência de Redes definirá e gerenciará o padrão de tráfego normal, com o<br />

objetivo de facilitar a detecção de desvios e anomalias de rede.<br />

3.3. O ambiente de firewall é composto de dispositivos de hardware e software para verificação <strong>do</strong><br />

tráfego <strong>da</strong> rede corporativa <strong>do</strong> <strong>Tribunal</strong>.<br />

3.4. O serviço de firewall tem o objetivo de:<br />

I - disciplinar a conectivi<strong>da</strong>de entre a rede <strong>do</strong> <strong>Tribunal</strong> e as redes públicas ou priva<strong>da</strong>s de parceiros;<br />

II - prevenir acessos não autoriza<strong>do</strong>s aos recursos internos <strong>da</strong> rede corporativa;<br />

II - implementar políticas de tráfego de rede.<br />

3.5. A detecção e prevenção de ataques é uma ação complementar na segurança de recursos<br />

computacionais <strong>do</strong> TRT <strong>da</strong> <strong>22ª</strong> Região.<br />

3.6. A ferramenta de detecção e prevenção de ataques deve:<br />

I - estar sempre atualiza<strong>da</strong> por meio de assinaturas de ataques divulga<strong>do</strong>s por órgãos de segurança<br />

ou por fornece<strong>do</strong>res;<br />

II - ter gerenciamento centraliza<strong>do</strong>;<br />

II - detectar mu<strong>da</strong>nças no funcionamento normal;<br />

III - prover mecanismos para gerenciamento;<br />

IV - ser configura<strong>da</strong> com revisões sistemáticas, para identificar falso positivo em eventos de ataque.<br />

V - construir uma base de conhecimento centraliza<strong>da</strong> de forma a permitir uma visão ampla <strong>do</strong> nível<br />

8/24


de segurança <strong>da</strong> rede.<br />

PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

3.7. A ferramenta de detecção e prevenção de ataques será provi<strong>da</strong> de pelo menos um <strong>do</strong>s sensores<br />

de:<br />

I - rede: localizar-se-ão em segmentos estratégicos, observan<strong>do</strong> o tráfego <strong>da</strong> rede, o form<strong>ato</strong> <strong>do</strong>s<br />

pacotes, etc.;<br />

II - hosts: localizam-se em servi<strong>do</strong>res críticos, observan<strong>do</strong> as ações realiza<strong>da</strong>s no sistema<br />

operacional, as ações <strong>do</strong>s serviços e o comportamento <strong>da</strong> pilha TCP/IP.<br />

3.8 Ao ser identifica<strong>do</strong> um ataque real, serão toma<strong>da</strong>s as devi<strong>da</strong>s providências de combate de mo<strong>do</strong><br />

a impedir o sucesso <strong>da</strong> ação ou de ações futuras semelhantes.<br />

3.9 A Diretoria <strong>do</strong> Serviço de Informática é responsável pela configuração e administração <strong>da</strong><br />

ferramenta de prevenção e detecção de ataques.<br />

ANEXO 3<br />

Controle de Acesso Físico<br />

1. O acesso físico às dependências <strong>do</strong> TRT <strong>da</strong> <strong>22ª</strong> Região deve ser controla<strong>do</strong> e orienta<strong>do</strong>, de<br />

maneira a disciplinar a movimentação e circulação de pessoas, materiais, equipamentos e veículos.<br />

2. O TRT <strong>da</strong> <strong>22ª</strong> Região deve estabelecer regras para o uso de credenciais físicas (crachá, botom,<br />

cartões, selos, biometria, etc,) e implementar outros controles (catracas, cancelas, torniquetes, portas<br />

de acesso inteligente, alarmes, etc.) , que se destinam ao controle de acesso <strong>do</strong>s usuários às áreas e<br />

instalações sob suas responsabili<strong>da</strong>des;<br />

2. O <strong>Tribunal</strong> deve implantar CFTV (Circuito Fecha<strong>do</strong> de TV) para monitorar a eficiência de outro<br />

dispositivos de controles de acesso, além de gerar imagens que podem ser utiliza<strong>da</strong>s após um<br />

incidente de segurança<br />

3. O <strong>Tribunal</strong> deve definir a necessi<strong>da</strong>de e orientar para a instalação de sistemas de detecção de<br />

intrusos nas áreas e instalações sob suas responsabili<strong>da</strong>des;<br />

4. A Diretoria <strong>do</strong> Serviço de Informática deve classificar as áreas e instalações como ativos de<br />

informação de acor<strong>do</strong> com o valor, a critici<strong>da</strong>de, o tipo de ativo de informação e o grau para<br />

usuários ca<strong>da</strong>stra<strong>do</strong>s para execução de tarefas específicas de sigilo <strong>da</strong>s informações que podem ser<br />

trata<strong>da</strong>s em tais áreas e instalações, mapean<strong>do</strong> aquelas áreas e instalações considera<strong>da</strong>s críticas;<br />

5. O <strong>Tribunal</strong> deve:<br />

I - orientar o uso de barreiras físicas de segurança, bem como equipamentos ou mecanismos de<br />

9/24


PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

controle de entra<strong>da</strong> e saí<strong>da</strong>;<br />

II - proteger os ativos de informação contra ações de van<strong>da</strong>lismo, sabotagem, ataques, etc.,<br />

especialmente em relação àqueles considera<strong>do</strong>s críticos.<br />

III - implementar área de recepção com regras claras para a entra<strong>da</strong> e saí<strong>da</strong> de pessoas,<br />

equipamentos e materiais;<br />

IV - deve definir pontos de entrega e carregamento de material com acesso exclusivo a pessoal<br />

credencia<strong>do</strong>;<br />

V - intensificar os controles para as áreas e instalações considera<strong>da</strong>s críticas em conformi<strong>da</strong>de com<br />

a legislação vigente.<br />

ANEXO 4<br />

Controle de Acesso à Internet<br />

1. Acesso à Internet<br />

1.1 O acesso à Internet <strong>da</strong>r-se-á, exclusivamente, por intermédio <strong>do</strong>s meios autoriza<strong>do</strong>s,<br />

configura<strong>do</strong>s pela Diretoria <strong>do</strong> Serviço de Informática.<br />

1.2 É expressamente proibi<strong>do</strong> o uso de proxies externos ou similares.<br />

2. Perfis de acesso<br />

2.1 Os usuários que possuem acesso à rede <strong>do</strong> <strong>Tribunal</strong> também possuem acesso à Internet, sempre<br />

seguin<strong>do</strong> o item 3 de melhores práticas;<br />

2.2 Presta<strong>do</strong>res de serviços terceiriza<strong>do</strong>s e estagiários poderão ter acesso à Internet durante o<br />

perío<strong>do</strong> de prestação <strong>do</strong>s serviços, observan<strong>do</strong> as normas aqui enumera<strong>da</strong>s, desde que seja<br />

formalmente solicita<strong>do</strong> e justifica<strong>do</strong> pelo responsável <strong>da</strong> área onde está sen<strong>do</strong> presta<strong>do</strong> o serviço<br />

terceiriza<strong>do</strong> ou estágio.<br />

3. Melhores práticas<br />

3.1 Qualquer acesso à Internet partin<strong>do</strong> de computa<strong>do</strong>res situa<strong>do</strong>s nas uni<strong>da</strong>des deste <strong>Tribunal</strong><br />

deverá ser feito seguin<strong>do</strong> as normas aqui apresenta<strong>da</strong>s.<br />

3.2 Constitui uso indevi<strong>do</strong> <strong>do</strong> serviço de acesso à Internet qualquer <strong>da</strong>s seguintes ações:<br />

I – acessar páginas de conteú<strong>do</strong> considera<strong>do</strong> ofensivo, ilegal, impróprio ou incompatível com as<br />

ativi<strong>da</strong>des funcionais ou com a política de segurança, tais como pornografia, pe<strong>do</strong>filia, racismo,<br />

comuni<strong>da</strong>des de relacionamento, sítios de compras, jogos e páginas de distribuição e de<br />

compartilhamento de software;<br />

10/24


PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

II – utilizar programas de troca de mensagens em tempo real (bate-papo) ou programas para troca<br />

de conteú<strong>do</strong> via rede ponto-a-ponto (peer-to-peer), exceto os defini<strong>do</strong>s como ferramenta de trabalho<br />

e homologa<strong>do</strong>s pela Diretoria <strong>do</strong> Serviço de Informática.<br />

III – utilizar programas e/ou acessar páginas de áudio e vídeo em tempo real, ou sob deman<strong>da</strong>,<br />

exceto as defini<strong>da</strong>s como ferramenta de trabalho.<br />

IV – acessar sítios que representem ameaça de segurança ou que possam comprometer de alguma<br />

forma a integri<strong>da</strong>de <strong>da</strong> rede de computa<strong>do</strong>res <strong>do</strong> TRT.<br />

3.3. A liberação de acesso a sítios e serviços não-autoriza<strong>do</strong>s, mas necessários ao desempenho <strong>da</strong>s<br />

atribuições funcionais <strong>do</strong> usuário, dependerá de solicitação por escrito <strong>do</strong> dirigente <strong>da</strong> uni<strong>da</strong>de à<br />

Diretoria <strong>do</strong> Serviço de Informática, que a submeterá, quan<strong>do</strong> for o caso, ao Comitê de Segurança<br />

<strong>da</strong> Informação.<br />

ANEXO 5<br />

Controle de Uso <strong>do</strong> Correio Eletrônico<br />

1. Política de Utilização <strong>do</strong> Correio Eletrônico<br />

1.1 Estabelece regras e padrões para a utilização <strong>do</strong> serviço de Correio Eletrônico no âmbito <strong>do</strong><br />

TRT <strong>da</strong> <strong>22ª</strong> Região, disciplina a troca de mensagens eletrônicas e estabelece critérios para que<br />

sejam utiliza<strong>do</strong>s em conformi<strong>da</strong>de com a política de segurança <strong>da</strong> informação e com a legislação<br />

vigente.<br />

1.2. O correio eletrônico deve ser utiliza<strong>do</strong> obrig<strong>ato</strong>riamente em to<strong>do</strong>s os serviços disponibiliza<strong>do</strong>s<br />

pelo TRT <strong>da</strong> <strong>22ª</strong> Região, para fins exclusivamente institucionais, e sempre no estrito interesse <strong>da</strong><br />

Administração, de forma a tornar mais ágil o processo de comunicação entre os seus servi<strong>do</strong>res,<br />

reduzir custos e auxiliar o desenvolvimento <strong>da</strong>s ativi<strong>da</strong>des a ela atribuí<strong>da</strong>.<br />

1.3. Os usuários poderão ter contas de correio eletrônico de <strong>do</strong>is tipos:<br />

I - Caixas-postais funcionais, personaliza<strong>da</strong>s por servi<strong>do</strong>r que desempenhe quaisquer funções na<br />

instituição abrangi<strong>da</strong> por este <strong>do</strong>cumento;<br />

II - Caixas-postais institucionais, despersonaliza<strong>da</strong>s, mas vincula<strong>da</strong>s a projetos, programas,<br />

campanhas ou serviços específicos, relevantes para o TRT, desde que os responsáveis pelo uso<br />

dessas contas sejam identifica<strong>do</strong>s junto a Diretoria <strong>do</strong> Serviço de Informática.<br />

1.4. A denominação <strong>do</strong> endereço de correio eletrônico funcional será composta valen<strong>do</strong>-se de um<br />

prenome e um sobrenome <strong>do</strong> servi<strong>do</strong>r, em letras minúsculas, sem acentos, cedilhas ou caracteres<br />

especiais, separa<strong>do</strong>s pelo sinal de ponto e acresci<strong>do</strong>s <strong>do</strong> sufixo “@trt22.jus.br”.<br />

1.5. Em situações justifica<strong>da</strong>s, as porções iniciais <strong>do</strong>s endereços de correio eletrônico poderão ser<br />

11/24


PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

compostas segun<strong>do</strong> outra ordem ou abreviação <strong>do</strong> nome <strong>do</strong> servi<strong>do</strong>r.<br />

1.6. A denominação <strong>do</strong> endereço de correio eletrônico institucional deve ser composto pelo<br />

Nome/Sigla <strong>da</strong> Diretoria ou Setor/Projeto, em letras minúsculas, sem acentos, cedilhas ou caracteres<br />

especiais, separa<strong>do</strong>s pelo sinal de ponto e acresci<strong>do</strong>s <strong>do</strong> sufixo “@trt22.jus.br”.<br />

1.7. É ve<strong>da</strong><strong>da</strong> a tentativa de acesso não-autoriza<strong>do</strong> às caixas postais de terceiros.<br />

1.8. Presta<strong>do</strong>res de serviços terceiriza<strong>do</strong>s e estagiários poderão, durante o perío<strong>do</strong> de prestação <strong>do</strong>s<br />

serviços, a critério <strong>do</strong> responsável e no interesse <strong>do</strong> serviço, ter acesso ao correio eletrônico<br />

institucional, observan<strong>do</strong> as normas aqui enumera<strong>da</strong>s.<br />

1.8. As mensagens de correio eletrônico de terceiriza<strong>do</strong>s e estagiários só poderão ser envia<strong>da</strong>s para<br />

endereços dentro <strong>do</strong> âmbito <strong>do</strong> TRT. Caso seja necessário, para interesse <strong>do</strong> serviço, o envio de<br />

mensagens para endereço externo, o responsável pela uni<strong>da</strong>de administrativa deverá solicitar o<br />

acesso à Diretoria <strong>do</strong> Serviço de Informática.<br />

2. Administração <strong>do</strong> Serviço<br />

2.1. Compete à administração <strong>do</strong> serviço de correio eletrônico:<br />

I - Garantir a disponibili<strong>da</strong>de <strong>do</strong> serviço de correio eletrônico em níveis de serviço adequa<strong>do</strong>s à<br />

necessi<strong>da</strong>de <strong>do</strong> trabalho;<br />

II - Garantir a recuperação de mensagens em caso de <strong>da</strong>nos ao ambiente;<br />

III - Criar caixas postais públicas, institucionais, vincula<strong>da</strong>s a projetos, campanhas ou serviços<br />

específicos, relevantes para o TRT, desde que os responsáveis pelo uso dessas contas sejam<br />

identifica<strong>do</strong>s junto ao gestor de serviços.<br />

IV - Criar pastas públicas para armazenar e disponibilizar <strong>do</strong>cumentos em discussão por um grupo<br />

determina<strong>do</strong>, delegan<strong>do</strong> privilégios para o proprietário destas, de inclusão e exclusão de usuários<br />

com permissões de uso escolhi<strong>da</strong>s por ele;<br />

V - Criar listas de distribuição;<br />

VI - Desenvolver ações que garantam a operacionalização deste <strong>do</strong>cumento;<br />

VII - Divulgar essa regulamentação aos usuários;<br />

VIII - Apoiar e facilitar o uso de correio eletrônico nas uni<strong>da</strong>des administrativas; e<br />

IX - Orientar os usuários no uso <strong>da</strong> ferramenta de correio eletrônico.<br />

2.2. Para efeito de limitações de tamanho ficam estipula<strong>da</strong>s as seguintes capaci<strong>da</strong>des:<br />

I – Caixa Postal – o limite <strong>da</strong> caixa postal será de 1GB, incluí<strong>do</strong>s os <strong>anexos</strong> <strong>da</strong>s mensagens;<br />

II – Mensagem – o limite para o tamanho de mensagem envia<strong>da</strong> ou recebi<strong>da</strong> será de 10 MB,<br />

incluí<strong>do</strong>s os <strong>anexos</strong>;<br />

III – Pasta Pública tem limite de 2GB.<br />

IV - A quanti<strong>da</strong>de máxima de destinatários por mensagem não excederá 30 endereços.<br />

12/24


PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

2.3. Os limites defini<strong>do</strong>s nos itens I, II e III acima podem ser altera<strong>do</strong>s por meio de solicitação<br />

devi<strong>da</strong>mente justifica<strong>da</strong> ao Comitê de Segurança <strong>da</strong> Informação e autoriza<strong>da</strong> pelo superior, desde<br />

que haja espaço no disco <strong>do</strong> servi<strong>do</strong>r de correio eletrônico.<br />

3. Caixas Postais<br />

3.1. As solicitações de novas caixas postais deverão ser encaminha<strong>da</strong>s à Diretoria <strong>do</strong> Serviço de<br />

Informática, pela chefia imediata ou superior com os respectivos <strong>da</strong><strong>do</strong>s ca<strong>da</strong>strais.<br />

3.2. Cabe à chefia imediata ou superior comunicar à Diretoria <strong>do</strong> Serviço de Informática o<br />

desligamento de emprega<strong>do</strong>s terceiriza<strong>do</strong>s, temporários e estagiários sob sua responsabili<strong>da</strong>de para<br />

a exclusão definitiva <strong>da</strong> caixa postal.<br />

3.3. A caixa postal sem movimentação por um perío<strong>do</strong> igual ou superior a três meses será bloquea<strong>da</strong><br />

automaticamente pela Administração <strong>do</strong> Correio Eletrônico.<br />

3.4. As caixas postais de servi<strong>do</strong>res e magistra<strong>do</strong>s afasta<strong>do</strong>s em decorrência de exoneração,<br />

aposenta<strong>do</strong>ria, cedência ou retorno à origem serão excluí<strong>da</strong>s 48 horas após a publicação <strong>do</strong> <strong>ato</strong>.<br />

4. Endereços eletrônicos<br />

4.1. A Diretoria <strong>do</strong> Serviço de Informática manterá um processo sistemático para gravação e<br />

retenção de arquivos de registro de mensagens (logs) de correio eletrônico.<br />

4.2. Os arquivos de registro de mensagens (logs) de correio eletrônico serão manti<strong>do</strong>s pelo perío<strong>do</strong><br />

de três meses, pelo menos.<br />

4.3. A eliminação <strong>do</strong>s arquivos de registro de mensagens e de caixas postais deverá ser adia<strong>da</strong> em<br />

caso de auditoria, ou qualquer outro tipo de notificação administrativa ou judicial.<br />

4.4 É de responsabili<strong>da</strong>de <strong>do</strong> usuário:<br />

I – utilizar o correio eletrônico institucional para os objetivos e funções próprios e inerentes às suas<br />

atribuições funcionais, observan<strong>do</strong> as melhores práticas <strong>do</strong> item 1.6;<br />

II – eliminar periodicamente as mensagens conti<strong>da</strong>s nas caixas postais;<br />

III – não permitir acesso de terceiros à sua conta de correio eletrônico;<br />

IV – atualizar seus <strong>da</strong><strong>do</strong>s ca<strong>da</strong>strais utilizan<strong>do</strong> os meios disponíveis.<br />

5. Envio e Recebimento de Mensagens<br />

5.1. O envio de e-mails a listas de distribuição deve atender ao interesse de seus componentes, a ser<br />

utiliza<strong>do</strong> de forma criteriosa e restrita.<br />

13/24


PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

5.2. É ve<strong>da</strong><strong>do</strong> ao usuário o envio de qualquer mensagem que contrarie o especifica<strong>do</strong> no item 1.6<br />

desta Norma (Melhores Práticas).<br />

5.3. O recebimento de mensagens que contrariem o disposto no item 1.6 desta Norma (melhores<br />

práticas) será informa<strong>do</strong> pelos usuários ao Comitê de Segurança <strong>da</strong> Informação para as providências<br />

cabíveis.<br />

6. Uso de Certificação Digital<br />

6.1. As mensagens eletrônicas com Assinaturas Digitais e cujos Certifica<strong>do</strong>s forem emiti<strong>do</strong>s por<br />

enti<strong>da</strong>des certifica<strong>do</strong>ras que façam parte <strong>da</strong> ICP-Brasil são considera<strong>da</strong>s <strong>do</strong>cumentos oficiais no<br />

âmbito <strong>do</strong> TRT.<br />

6.2. Uso de Serviços Externos de Correio Eletrônico<br />

6.2.1. Não será permiti<strong>do</strong> o acesso a serviços de correio eletrônico externos, exceto necessi<strong>da</strong>des<br />

devi<strong>da</strong>mente justifica<strong>da</strong>s e previamente autoriza<strong>da</strong>s.<br />

7. Melhores práticas<br />

7.1. O uso <strong>do</strong> correio eletrônico está restrito a funções e ativi<strong>da</strong>des inerentes ao trabalho deste<br />

<strong>Tribunal</strong>.<br />

7.2. Somente clientes de correio eletrônico homologa<strong>do</strong>s pela Diretoria <strong>do</strong> Serviço de Informática<br />

podem ser utiliza<strong>do</strong>s.<br />

7.3. O campo de cópia oculta (BCC/CCO) <strong>do</strong> cliente de correio eletrônico deve ser usa<strong>do</strong>,<br />

preferencialmente, sempre que for envia<strong>da</strong> uma mensagem para mais de um destinatário.<br />

7.4. Considera-se envio não-apropria<strong>do</strong> de mensagens de Correio Eletrônico conten<strong>do</strong>:<br />

I – informações proprietárias, confidenciais e privilegia<strong>da</strong>s para indivíduos ou organizações nãoautoriza<strong>da</strong>s;<br />

II – materiais obscenos, ilegais ou antiéticos;<br />

III – materiais preconceituosos ou discriminatórios;<br />

IV – materiais caluniosos ou difamatórios;<br />

V – propagan<strong>da</strong>s com objetivos comerciais;<br />

VI – listas de endereços eletrônicos <strong>do</strong>s usuários <strong>do</strong> Correio Eletrônico <strong>do</strong> TRT;<br />

VII – vírus ou qualquer programa <strong>da</strong>noso;<br />

VIII – material de natureza político-partidária ou sindical, que promova a eleição de candid<strong>ato</strong>s para<br />

cargos públicos eletivos, clubes, associações e sindic<strong>ato</strong>s;<br />

IX – material protegi<strong>do</strong> por leis de proprie<strong>da</strong>de intelectual;<br />

14/24


PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

X – entretenimentos e “correntes”;<br />

XI – assuntos ofensivos;<br />

XII – músicas, vídeos ou animações que não sejam de interesse específico <strong>do</strong> trabalho;<br />

XIII- materiais criptografa<strong>do</strong>s.<br />

7.5. Não será permiti<strong>do</strong> o uso <strong>do</strong> correio eletrônico funcional em Listas de Discussão externas com<br />

assuntos não relaciona<strong>do</strong>s à ativi<strong>da</strong>de profissional.<br />

7.6. Compete ao usuário:<br />

I - Acessar no mínimo diariamente a sua caixa de correio eletrônico, dispon<strong>do</strong> o TRT de meios para<br />

realizar tal verificação de acesso;<br />

II - Gerenciar compromissos, cont<strong>ato</strong>s, tarefas, arquivos e ativi<strong>da</strong>des;<br />

III - Utilizar o correio eletrônico para os objetivos e funções próprios e inerentes às suas atribuições<br />

no âmbito Institucional, de acor<strong>do</strong> com o estabeleci<strong>do</strong> no art. 3º;<br />

IV - Eliminar periodicamente as mensagens que julgar não necessárias, visan<strong>do</strong> a organização e um<br />

bom desempenho <strong>da</strong>s caixas postais;<br />

V - Responder pelo conteú<strong>do</strong> de mensagens envia<strong>da</strong>s ou encaminha<strong>da</strong>s através de sua caixa postal;<br />

VI - Manter sua caixa postal dentro <strong>do</strong>s limites de tamanho defini<strong>do</strong>s neste <strong>do</strong>cumento para garantir<br />

seu funcionamento contínuo;<br />

VII - Ao enviar uma mensagem com informações confidenciais, informar ao destinatário a<br />

classificação <strong>da</strong> informação;<br />

VIII - Não abrir <strong>anexos</strong> de mensagens a menos que sejam espera<strong>do</strong>s;<br />

IX - Não permitir o acesso de terceiros ao correio eletrônico através de sua senha; e<br />

X - Atualizar seus <strong>da</strong><strong>do</strong>s ca<strong>da</strong>strais por meios usuais disponíveis.<br />

ANEXO 6<br />

Utilização de Equipamentos de Tecnologia <strong>da</strong> Informação<br />

1. Equipamento em Geral<br />

1.1. As estações de trabalho e as máquinas servi<strong>do</strong>ras serão protegi<strong>do</strong>s por ferramentas de segurança<br />

ou procedimentos administrativos que garantam a liberação <strong>do</strong> uso somente após identificação <strong>do</strong><br />

servi<strong>do</strong>r.<br />

1.2. To<strong>da</strong>s as estações de trabalho e as máquinas servi<strong>do</strong>ras serão protegi<strong>do</strong>s pela solução de antimalware<br />

defini<strong>da</strong> como padrão pelo <strong>Tribunal</strong>, estan<strong>do</strong> este sempre ativo e atualiza<strong>do</strong>.<br />

1.3. Cabe a Diretoria <strong>do</strong> Serviço de Informática implantar e manter um procedimento que garanta a<br />

sincronia <strong>do</strong>s relógios e corrija qualquer variação significativa de tempo nos equipamentos <strong>do</strong><br />

<strong>Tribunal</strong>.<br />

15/24


PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

1.4. Não é permiti<strong>da</strong> a utilização de equipamentos de proprie<strong>da</strong>de particular na rede <strong>do</strong> <strong>Tribunal</strong>,<br />

salvo se estiver:<br />

I - em conformi<strong>da</strong>de com os padrões técnicos e de segurança defini<strong>do</strong>s pelo <strong>Tribunal</strong>;<br />

II - homologa<strong>do</strong> e autoriza<strong>do</strong> pela Diretoria <strong>do</strong> Serviço de Informática.<br />

2. Servi<strong>do</strong>res<br />

2.1. É ve<strong>da</strong><strong>do</strong> ao servi<strong>do</strong>r, nas máquinas servi<strong>do</strong>rea de arquivos, o armazenamento de arquivos:<br />

I - pessoais ou não associa<strong>do</strong>s aos interesses <strong>do</strong> TRT <strong>da</strong> <strong>22ª</strong> Região;<br />

II - <strong>do</strong> tipo áudio ou vídeo com conteú<strong>do</strong> não-institucional.<br />

2.2. Arquivos que possuam conteú<strong>do</strong> de caráter institucional devem ser armazena<strong>do</strong>s nas máquinas<br />

servi<strong>do</strong>ras de rede.<br />

3. Estações de <strong>Trabalho</strong><br />

3.1. As estações de trabalho no ambiente computacional <strong>do</strong> TRT <strong>da</strong> <strong>22ª</strong> Região são disponibiliza<strong>da</strong>s<br />

aos servi<strong>do</strong>res com o objetivo de agilizar o atendimento <strong>da</strong>s deman<strong>da</strong>s internas e as deman<strong>da</strong>s<br />

gera<strong>da</strong>s pela prestação de serviço aos jurisdiciona<strong>do</strong>s.<br />

3.2. Informações de caráter institucional, armazena<strong>da</strong>s em arquivos de qualquer form<strong>ato</strong> podem<br />

residir, de forma temporária, nas estações de trabalho.<br />

3.3. Os periféricos de gravação existentes em estações somente poderão ser usa<strong>do</strong>s para realização<br />

de cópias eventuais de arquivos com conteú<strong>do</strong>s relaciona<strong>do</strong>s ao interesse <strong>do</strong> TRT, desde que<br />

respeita<strong>do</strong>s os direitos de proprie<strong>da</strong>de intelectual.<br />

4. Computa<strong>do</strong>res Móveis<br />

4.1. A liberação <strong>do</strong> uso e <strong>do</strong> acesso a equipamentos móveis <strong>do</strong> TRT para servi<strong>do</strong>res está sujeita à<br />

assinatura de Termo de Posse de Equipamentos Móveis.<br />

4.2. A proteção de equipamentos móveis ou computa<strong>do</strong>res portáteis inclui o próprio equipamento e,<br />

principalmente, o conteú<strong>do</strong> <strong>da</strong>s informações que são transporta<strong>da</strong>s.<br />

4.3. O servi<strong>do</strong>r não deve informar a terceiros que no equipamento de computação móvel existem<br />

informações confidenciais e estratégicas para o Tribuanl .<br />

4.4. Em caso de roubo ou furto <strong>do</strong> equipamento, o servi<strong>do</strong>r seguirá os seguintes passos:<br />

16/24


PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

I - procurar o posto policial mais próximo para que seja lavra<strong>do</strong> um Boletim de Ocorrências (BO);<br />

II - informar imediatamente a ocorrência à Diretoria <strong>do</strong> Serviço de Informática;<br />

4.5. As informações sigilosas em computa<strong>do</strong>res portáteis serão criptografa<strong>do</strong>s.<br />

4.6. Os computa<strong>do</strong>res portáteis serão configura<strong>do</strong>s de mo<strong>do</strong> a evitar:<br />

I - inicialização através de outro dispositivo que não seja o disco rígi<strong>do</strong> interno, configura<strong>do</strong> com os<br />

padrões defini<strong>do</strong>s pelo <strong>Tribunal</strong>;<br />

II - inicialização <strong>do</strong> sistema operacional em mo<strong>do</strong> de segurança;<br />

II - acesso aos arquivos através de mais de um sistema operacional.<br />

4.7. Cabe ao porta<strong>do</strong>r fazer cópias de segurança <strong>da</strong>s informações estratégicas em sua pasta pessoal<br />

na máquina servi<strong>do</strong>ra <strong>da</strong> sua uni<strong>da</strong>de de mo<strong>do</strong> sistemático, de preferência diariamente.<br />

4.8. Cabe ao servi<strong>do</strong>r:<br />

I - manter o computa<strong>do</strong>r portátil seguro por meio de cabo de aço com cadea<strong>do</strong> em escritórios ou<br />

locais que tenham movimentação de pessoas;<br />

II - guar<strong>da</strong>r o equipamento em local seguro que impeça o acesso de pessoas não autoriza<strong>da</strong>s quan<strong>do</strong><br />

não estiver em uso.<br />

5. Impressoras<br />

5.1. O uso <strong>da</strong>s impressoras é restrito à reprodução de material estritamente relaciona<strong>do</strong> as ativi<strong>da</strong>des<br />

jurisdicionais.<br />

5.2. As impressoras devem ser utiliza<strong>da</strong>s de maneira racional, com o intuito de economizar os<br />

produtos <strong>da</strong> impressão, papel e tinta.<br />

5.3. Impressões errôneas e não utilizáveis, conten<strong>do</strong> informações classifica<strong>da</strong>s como corporativas<br />

ou reserva<strong>da</strong>s, devem ser elimina<strong>da</strong>s por tritura<strong>do</strong>r ou descarta<strong>da</strong>s de maneira a tornar a informação<br />

ilegível.<br />

ANEXO 7<br />

Utilização de Softwares<br />

1. Tipos de Software<br />

1.1 São utiliza<strong>do</strong>s no TRT <strong>da</strong> <strong>22ª</strong> Região em qualquer plataforma computacional:<br />

I - software básico: são os sistemas necessários à operacionalização <strong>do</strong>s computa<strong>do</strong>res (sistema<br />

17/24


PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

operacional);<br />

II - software de apoio: são software complementares ao software básico, necessários à realização<br />

<strong>da</strong>s diversas ativi<strong>da</strong>des diárias como: software de proteção, de automação de escritórios, de<br />

desenvolvimento e de suporte.<br />

1.2 O software básico ou o software de apoio, no momento de sua aquisição, deve ser submeti<strong>do</strong> à<br />

homologação e autoriza<strong>do</strong> quanto:<br />

I - às licenças de uso pela Diretoria de Serviço de Informática;<br />

II - aos aspectos de segurança pelo Comitê de Segurança <strong>da</strong> Informação.<br />

1.3 A instalação e a desinstalação de software básico e de apoio somente poderão ser realiza<strong>da</strong>s pelo<br />

Serviço de Manutenção <strong>da</strong> Diretoria <strong>do</strong> Serviço de Informática.<br />

1.4 Cabe ao Serviço de Manutenção controlar a instalação de software nas estações de trabalho <strong>do</strong><br />

<strong>Tribunal</strong>.<br />

1.5 Cabe ao Supervisão/Gerência de Redes controlar a instalação de software nas máquinas<br />

servi<strong>do</strong>ras <strong>do</strong> <strong>Tribunal</strong>.<br />

2. Sistema Operacional<br />

2.1. Os administra<strong>do</strong>res de rede devem <strong>do</strong>cumentar os componentes instala<strong>do</strong>s no sistema e to<strong>da</strong>s as<br />

modificações na sua configuração global, descriminan<strong>do</strong> o responsável, <strong>da</strong>ta, justificativa e a<br />

descrição.<br />

2.2. As falhas detecta<strong>da</strong>s devem ser registra<strong>da</strong>s e trata<strong>da</strong>s.<br />

2.3. O procedimento para tratamento <strong>da</strong>s falhas deve estar defini<strong>do</strong> e <strong>do</strong>cumenta<strong>do</strong>, para garantia <strong>da</strong><br />

continui<strong>da</strong>de <strong>do</strong>s serviços.<br />

2.4. Quan<strong>do</strong> ocioso, o Sistema Operacional deve estar habilita<strong>do</strong> para bloqueio automático de<br />

tela/login após 5 minutos.<br />

3. Software de Proteção<br />

3.1. Os softwares de proteção devem fazer controle de detecção e prevenção de software malicioso.<br />

3.2. To<strong>do</strong>s os computa<strong>do</strong>res <strong>do</strong> <strong>Tribunal</strong> devem possuir pelo menos um software de proteção<br />

instala<strong>do</strong>.<br />

4. Software de Automação de Escritórios<br />

4.1. São considera<strong>do</strong>s software de automação de escritórios os editores de texto, planilhas<br />

eletrônicas ou qualquer outro necessário para o prosseguimento <strong>do</strong>s processos de negócios.<br />

4.2. As suítes de automação de escritório devem ser instala<strong>da</strong>s somente com as funcionali<strong>da</strong>des<br />

necessárias para a finali<strong>da</strong>de a que se destina, sen<strong>do</strong> BrOffice.org a suíte padrão oficial a ser<br />

18/24


utiliza<strong>da</strong> pelo <strong>Tribunal</strong>.<br />

ANEXO 8<br />

Inventário de Recursos Computacionais<br />

PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

1. O inventário de recursos computacionais tem a finali<strong>da</strong>de de obter informações sobre os ativos de<br />

hardware e de software <strong>do</strong> TRT <strong>da</strong> <strong>22ª</strong> Região.<br />

2. As informações para inventário de recursos computacionais devem ser coleta<strong>da</strong>s por ferramentas<br />

de gerenciamento automatiza<strong>da</strong>s.<br />

3. To<strong>da</strong>s as estações de trabalho e as máquinas servi<strong>do</strong>ras devem ser registra<strong>do</strong>s por ferramenta de<br />

inventário de recursos computacionais defini<strong>da</strong> como padrão pelo <strong>Tribunal</strong>, deven<strong>do</strong> também estar<br />

sempre ativa e atualiza<strong>da</strong>.<br />

4. É ve<strong>da</strong><strong>do</strong> ao servi<strong>do</strong>r a desinstalação, desativação ou procedimento que impeça a execução <strong>da</strong><br />

ferramenta de inventário em qualquer computa<strong>do</strong>r <strong>do</strong> <strong>Tribunal</strong>.<br />

5. A ferramenta de inventário de recursos computacionais deve:<br />

I - ter gerenciamento centraliza<strong>do</strong>;<br />

II - detectar a instalação ou remoção de hardware;<br />

III - detectar e impedir a instalação e/ou execução de software não homologa<strong>do</strong>;<br />

IV - detectar a inserção e remoção de computa<strong>do</strong>res na rede interna;<br />

V - detectar e impedir o uso de licenças de software acima <strong>do</strong> número adquiri<strong>do</strong>;<br />

VI - detectar mu<strong>da</strong>nças de configuração ocorri<strong>da</strong>s nos computa<strong>do</strong>res;<br />

VII - apresentar relatórios básicos e detalha<strong>do</strong>s de acompanhamento.<br />

6. Cabe a Diretoria <strong>do</strong> Serviço de Informática, em conjunto com o Comitê de Segurança <strong>da</strong><br />

Informação, definir a lista de softwares homologa<strong>do</strong>s no <strong>Tribunal</strong>.<br />

7. A responsabili<strong>da</strong>de pelo acompanhamento <strong>da</strong>s mu<strong>da</strong>nças de hardware e software ocorri<strong>da</strong>s em:<br />

I - estações de trabalho é <strong>do</strong> Serviço de Manutenção;<br />

II - servi<strong>do</strong>res é <strong>da</strong> Supervisão/Gerência de Redes.<br />

8. Ao ser identifica<strong>do</strong> software não homologa<strong>do</strong> pelo <strong>Tribunal</strong> em qualquer computa<strong>do</strong>r, a Diretoria<br />

<strong>do</strong> Serviço de Informática deve analisar o caso e solicitar ao Serviço de Manutenção que proce<strong>da</strong> à<br />

remoção.<br />

9. O inventário de hardware deve incluir, no mínimo, as seguintes informações:<br />

I - fornece<strong>do</strong>r ou fabricante;<br />

II - tipo (estação, notebook, máquina servi<strong>do</strong>ra).<br />

10. O inventário de software deve incluir, no mínimo, as seguintes informações:<br />

I - fornece<strong>do</strong>r ou fabricante;<br />

II - número de licenças.<br />

19/24


ANEXO 9<br />

PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

Monitoração e auditoria de recursos tecnológicos,<br />

1. Compete a Supervisão/Gerência de Redes monitorar:<br />

I - a instalação e a atualização regular de software de detecção e remoção de malware para o exame<br />

de computa<strong>do</strong>res e meios magnéticos;<br />

II - quaisquer arquivos de atualização não autoriza<strong>do</strong>s;<br />

III - arquivos recebi<strong>do</strong>s por meio de correio eletrônico ou importa<strong>do</strong>s (<strong>do</strong>wnload).<br />

2. To<strong>do</strong> acesso à Internet deve ser monitora<strong>do</strong>, cujos registros serão manti<strong>do</strong>s pela Diretoria <strong>do</strong><br />

Serviço de Informática por perí<strong>do</strong> de tempo apropria<strong>do</strong>.<br />

3. O uso <strong>do</strong> correio eletrônico deve ser monitora<strong>do</strong> por meio de ferramentas específicas com o<br />

intuito de impedir o recebimento nas caixas postais de spams, trojans, worms, phishings, etc.<br />

4. Compete a Supervisão/Gerência de Redes analisar os conteú<strong>do</strong>s de <strong>anexos</strong> de mensagens<br />

envia<strong>da</strong>s ou recebi<strong>da</strong>s com as seguintes extensões:<br />

I – EXE;<br />

II – COM;<br />

III – VBS;<br />

IV – JS;<br />

V – SCR;<br />

VI – PPS;<br />

VII – BAT;<br />

VIII – MSI.<br />

5. Os relatórios decorrentes <strong>da</strong>s auditorias ordinárias realiza<strong>da</strong>s pela Diretoria <strong>do</strong> Serviço de<br />

Informática serão encaminha<strong>do</strong>s ao Comitê de Segurança <strong>da</strong> Informação.<br />

6. Em caso de indícios de incidentes de segurança específicos, a chefia imediata ou superior deve<br />

solicitar ao Comitê de Segurança <strong>da</strong> Informação a realização de auditoria extraordinária.<br />

20/24


ANEXO 10<br />

Gestão de Riscos<br />

><br />

PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

21/24


PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

ANEXO 11<br />

Plano de Contingência e Continui<strong>da</strong>de de Negócios<br />

><br />

22/24


PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

TERMO DE RESPONSABILIDADE<br />

Pelo presente instrumento, eu ____________________________________________________,<br />

CPF <strong>nº</strong> 999.999.999-99, identi<strong>da</strong>de <strong>nº</strong> ______________, expedi<strong>da</strong> pelo ______, em ____________,<br />

e lota<strong>do</strong> no(a)________________________________________________deste (Nome <strong>do</strong> órgão ou<br />

enti<strong>da</strong>de), DECLARO , sob pena <strong>da</strong>s sanções cabíveis nos termos <strong>da</strong> ______________ (legislação<br />

vigente) que assumo a responsabili<strong>da</strong>de por:<br />

I) tratar o(s) ativo(s) de informação como patrimônio <strong>do</strong> TRT <strong>da</strong> <strong>22ª</strong> Região;<br />

II) utilizar as informações em qualquer suporte sob minha custódia, exclusivamente, no interesse <strong>do</strong><br />

serviço <strong>do</strong> TRT <strong>da</strong> <strong>22ª</strong> Região;<br />

III) contribuir para assegurar a disponibili<strong>da</strong>de, a integri<strong>da</strong>de, a confidenciali<strong>da</strong>de e a autentici<strong>da</strong>de<br />

<strong>da</strong>s informações;<br />

IV) utilizar as credenciais ou contas de acesso e os ativos de informação em conformi<strong>da</strong>de com a<br />

legislação vigente e normas específicas <strong>do</strong> TRT <strong>da</strong> <strong>22ª</strong> Região;<br />

V) responder, perante o TRT <strong>da</strong> <strong>22ª</strong> Região, pelo uso indevi<strong>do</strong> <strong>da</strong>s minhas credenciais ou contas de<br />

acesso e <strong>do</strong>s ativos de informação;<br />

Ci<strong>da</strong>de, PI, ______de ___________________de <strong>2011</strong>.<br />

______________________________________<br />

Assinatura<br />

Nome <strong>do</strong> usuário<br />

Vara/Setor<br />

______________________________________<br />

Assinatura<br />

Nome <strong>da</strong> autori<strong>da</strong>de responsável pela autorização <strong>do</strong> acesso<br />

23/24


REFERÊNCIA LEGAL<br />

REFERÊNCIA NORMATIVA<br />

PODER JUDICIÁRIO<br />

JUSTIÇA DO TRABALHO<br />

TRIBUNAL REGIONAL DO TRABALHO DA <strong>22ª</strong> REGIÃO<br />

NBR ISO/IEC 27001:2006 - Sistema de Gestão de segurança <strong>da</strong> Informação;<br />

NBR ISO/IEC 27002:2005 - Código de Práticas para a Gestão <strong>da</strong> Segurança <strong>da</strong> Informação;<br />

NBR ISO/IEC 27005:2008 – Gestão de Riscos de Segurança <strong>da</strong> Informação;<br />

NBR 11514/91 Controle de acesso para segurança física de instalações de processamento de <strong>da</strong><strong>do</strong>s.<br />

NBR 11515/91 Critérios de segurança física, relativos ao armazenamento de <strong>da</strong><strong>do</strong>s.<br />

NBR 11584/91 Critérios de segurança física, relativos a microcomputa<strong>do</strong>res e terminais, em<br />

estações de trabalho.<br />

24/24

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!