Portal TRT21

RESOLVE:


CAPÍTULO I
DAS DISPOSIÇÕES GERAIS

Art. 1º. Regulamentar o gerenciamento de identidade e controle de acesso lógico no âmbito do Tribunal Regional do Trabalho da 21ª Região.

Art. 2º. Para efeitos deste Ato aplicam-se as seguintes definições:

I - acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem como a possibilidade de usar os ativos de informação de um órgão ou entidade;

II - controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso;

III - conta de acesso (credencial): permissões, concedidas por autoridade competente após o processo de credenciamento, que habilitam determinada pessoa, sistema ou organização ao acesso. A credencial pode ser física, como crachá, cartão e selo ou lógica, como identificação de usuário e senha;

IV - conta de serviço: conta de acesso à rede corporativa de computadores necessária a um procedimento automático (aplicação, script, etc.) sem qualquer intervenção humana no seu uso;

V - perfil de acesso: conjunto de atributos de cada usuário, definidos previamente como
necessários para credencial de acesso;

VI - bloqueio de acesso: processo que tem por finalidade suspender temporariamente o acesso;

VII - exclusão de acesso: processo que tem por finalidade suspender definitivamente o acesso, incluindo o cancelamento do código de identificação e do perfil de acesso;

VIII - gerenciamento de identidade: processo de criação e administração de contas de acesso;

IX - informação pública: informações que podem ser divulgadas a qualquer pessoa;

X - informação restrita: informações que, em razão de lei, devam ser de conhecimento reservado e, portanto, requeiram medidas especiais de segurança e salvaguarda.


CAPÍTULO II
DO GERENCIAMENTO DE IDENTIDADE

Art. 3º. O acesso lógico dos usuários aos recursos de tecnologia da informação deste Órgão se dará preferencialmente por meio de contas de acesso.
§ 1º No caso de recursos de tecnologia da informação relacionados a informação classificada como restrita, o acesso se dará exclusivamente por meio de contas de acesso.
§ 2º A cada usuário será fornecida, no máximo, uma conta de acesso por recurso de TI, sendo esta pessoal e intransferível, salvo no caso previsto no parágrafo 2º do art. 6º deste Ato.
§ 3º Os acessos em nome de setores do Tribunal devem ser exercidos pelas contas de acesso pessoais dos usuários que representem a unidade, passível de rastreamento, sempre que houver viabilidade para isso.

Art. 4º. Deve-se respeitar o princípio do menor privilégio para configurar as contas de acesso dos usuários aos recursos de tecnologia da informação.

Art. 5º. A concessão de privilégios às contas de acesso deverá, sempre que possível, ser atribuída a perfis ou a grupos de usuários que executem tarefas comuns ou que tenham funções equivalentes, contemplando a segregação de funções e facilitando a operacionalização do procedimento de concessão e revogação de privilégios de acesso.

Art. 6º. Contas de acesso com perfil de administrador serão fornecidas somente aos usuários autorizados a exercer funções de administração de recursos de tecnologia da informação.
§ 1º Compete à Diretoria da Secretaria de Tecnologia da Informação autorizar a concessão de perfil de administrador aos recursos de TI, exceto no caso de sistemas, que será concedido por autoridade competente.
§ 2º Os administradores devem evitar o uso de credenciais compartilhadas, salvo em caso de comprovada impossibilidade técnica relacionada a algum recurso específico.
§ 3º Nos casos quando, impreterivelmente, as credenciais ou senhas de administrador precisarem ser compartilhadas, estas devem ser conhecidas apenas pela equipe habilitada e deverá ser trocada necessariamente quando houver subtração ou substituição de qualquer membro da equipe.

Art. 7º. Os acessos aos recursos de tecnologia da informação, quando possível, devem ser registrados de forma a permitir a rastreabilidade e a identificação do usuário.
Parágrafo único. Compete ao Comitê de Segurança da Informação a definição do conteúdo e período de histórico dos registros de acesso, conforme os requisitos de segurança específicos de cada recurso de tecnologia da informação.

Art. 8º. As credenciais de acesso serão concedidas mediante solicitação de autoridade competente, após a contratação ou entrada em exercício do usuário.

Art. 9º. A concessão ou revogação de privilégios de acesso do usuário se dará mediante solicitação de autoridade competente.
Parágrafo único. Eventos que impliquem em redução parcial ou total de privilégios, tais como remanejamento, afastamento, aposentadoria ou desligamento do usuário, deverão ser imediatamente comunicados pela autoridade competente.

Art. 10. Os usuários serão responsabilizados por incidentes de segurança ocorridos com a sua respectiva conta de acesso, mediante assinatura de Termo de Responsabilidade, cujo modelo consta no Anexo I deste Ato.


CAPÍTULO III
DOS MECANISMOS DE AUTENTICAÇÃO

Art. 11. Os mecanismos de autenticação de acesso aos recursos de tecnologia da informação em geral deverão considerar, preferencialmente, o uso de dispositivos de autenticação baseado em certificados digitais, tais como os tokens e cartões inteligentes, ou o uso de biometria.

Art. 12. Os serviços de rede deverão implementar, para fins de autenticação, base de dados única e centralizada de contas de acesso, baseada, preferencialmente, em serviço de diretório.
Parágrafo único. Sempre que aplicável, o usuário previamente autenticado na rede corporativa deverá automaticamente obter acesso aos sistemas e serviços autorizados, dispensando nova autenticação.

Art. 13. Os mecanismos de autenticação de usuário não deverão exibir o identificador do último usuário logado.

Art. 14. Os mecanismos de autenticação de usuário, após uma tentativa de autenticação mal-sucedida, não deverão indicar, individualmente, qual parte dos dados (identificador do usuário ou senha) estava incorreta.
Parágrafo único. O identificador de usuário e sua respectiva senha deverão ser
autenticados simultaneamente.

Art. 15. O mecanismo de autenticação, quando viável, deverá bloquear a conta do usuário, por um período não inferior a 2 (dois) minutos, nos seguintes casos:
I. Após a terceira tentativa consecutiva de autenticação sem sucesso;
II. Após a quinta autenticação consecutiva em um período inferior a 5 (cinco) minutos.
§ 1º O mecanismo de autenticação poderá desbloquear automaticamente as
contas de usuário após 30 (trinta) minutos do último bloqueio.
§ 2º O usuário poderá entrar em contato com a Secretaria de Tecnologia da Informação e solicitar formalmente o desbloqueio manual da conta antes de decorrido o período de bloqueio estipulado.

Art. 16. Devem ser implementados, quando aplicáveis, mecanismos de desconexão automática de sessão após período de inatividade, o qual não deverá ser superior a 30 (trinta) minutos.


CAPÍTULO IV
DA POLÍTICA DE SENHAS

Art. 17. Compete ao usuário zelar pela confidencialidade de sua senha, preservando o caráter pessoal e intransferível da mesma.

Art. 18. As senhas devem ser armazenadas e transmitidas com criptografia compatível com a informação classificada como restrita.

Art. 19. Quanto ao seu grau de complexidade, a senha deve:
I. Ter tamanho mínimo de 8 (oito) dígitos;
II. Ser formada, preferencialmente, por números, letras e caracteres especiais (pontuação, acentuação etc);
III. Preferencialmente, não conter caracteres sequenciais (-123456...-, -abcdef...-);
IV. Preferencialmente, não conter palavras de dicionário ou termos de fácil dedução (CPF, RG, nomes próprios, matrícula etc).

Art. 20. Fica estabelecida a obrigatoriedade de troca periódica de senhas.
§ 1º A senha de acesso à rede corporativa deverá expirar em um período não superior a 90 (noventa) dias, ficando a encargo do Comitê de Segurança da Informação a definição do período de validade das senhas dos demais recursos de TI, conforme os requisitos de segurança específicos de cada recurso.
§ 2º Deve-se manter um histórico de senhas anteriores do usuário, não inferior a 20 (vinte) senhas, para inibir a reutilização das mesmas.
§ 3º É facultado ao usuário a troca de sua senha, em qualquer tempo, por iniciativa própria.

Art. 21. A distribuição de senhas iniciais deverá ser realizada de forma segura, através de meio confiável.
§ 1º. Deve-se adotar mecanismo para geração de senhas iniciais aleatórias e com complexidade compatível com o disposto no art. 19 deste Ato.
§ 2º. O usuário deverá, na ocasião de seu primeiro acesso, trocar a senha inicial fornecida.


CAPÍTULO V
DAS REGULAMENTAÇÕES COMPLEMENTARES

Art. 22. O acesso à informação restrita obedecerá à regulamentação deste Tribunal quanto à classificação da informação.

Art. 23. O acesso remoto aos recursos de tecnologia da informação obedecerá à regulamentação deste Tribunal quanto ao teletrabalho.

Art. 24. O uso da Internet obedecerá a regulamentação específica da Presidência deste Regional.

Art. 25. O uso do correio eletrônico obedecerá a regulamentação específica da Presidência deste Regional.

Art. 26. O uso de redes sem fio e computação móvel obedecerá a regulamentação específica da Presidência deste Regional.

Art. 27. A gestão e o uso de certificados digitais obedecerão a regulamentação específica da Presidência deste Regional.


CAPÍTULO VI
DAS DISPOSIÇÕES FINAIS

Art. 28. Compete à Secretaria de Tecnologia da Informação:
I. Implementar as funcionalidades tecnológicas e procedimentos necessários ao cumprimento dos controles desta norma.
II. Comunicar o Comitê de Segurança da Informação acerca de irregularidades e violações desta política.

Art. 29. Compete ao Comitê de Segurança da Informação:
I. Deliberar sobre os casos omissos ou que suscitem dúvidas quanto ao disposto neste Ato.
II. Aplicar as penalidades cabíveis, em caso de irregularidade ou violação desta política.

Art. 30. As disposições deste Ato não se aplicam aos sistemas de acompanhamento processual legados de primeira instância (SAP-1) e segunda instância (SAP-2), bem como sistemas nacionais e sistemas legados desenvolvidos por terceiros.

Art. 31. Este Ato entrará em vigor 18 (dezoito) meses após a data de sua publicação.

Publique-se.
Natal, 28 de junho de 2013.



JOSÉ RÊGO JÚNIOR
Desembargador Presidente