ATO TRT21-GP Nº 390/2013
O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 21ª. REGIÃO, no uso das atribuições legais de que trata o inciso XV, art. 25, do Regimento Interno deste Tribunal, e no exercício da competência regulamentar delegada no art. 11 da Resolução Administrativa nº. 21/2010,
Considerando o disposto no Art. 10 da Resolução 90/2009-CNJ, sobre a adequação da gestão de tecnologia da informação e comunicações (TIC) às melhores práticas preconizadas pelos padrões nacionais e internacionais para as áreas de governança e gerenciamento de serviços de TIC;
Considerando a necessidade de assegurar que os requisitos de segurança para os sistemas sejam acordados junto às áreas de negócio, consoante orientações do COBIT 4.1, item AI 2.4, bem como da norma ABNT-NBR 27.002/2005;
Considerando o disposto na Norma Complementar 16/IN01/DSIC/GSIPR, que estabelece diretrizes de segurança da informação e comunicações para a aquisição e desenvolvimento de software seguro, no âmbito da Administração Pública Federal;
Considerando o disposto no Art. 10 da Resolução 90/2009-CNJ, sobre a adequação da gestão de tecnologia da informação e comunicações (TIC) às melhores práticas preconizadas pelos padrões nacionais e internacionais para as áreas de governança e gerenciamento de serviços de TIC;
Considerando a necessidade de assegurar que os requisitos de segurança para os sistemas sejam acordados junto às áreas de negócio, consoante orientações do COBIT 4.1, item AI 2.4, bem como da norma ABNT-NBR 27.002/2005;
Considerando o disposto na Norma Complementar 16/IN01/DSIC/GSIPR, que estabelece diretrizes de segurança da informação e comunicações para a aquisição e desenvolvimento de software seguro, no âmbito da Administração Pública Federal;
RESOLVE:
Art. 1º. Regulamentar a definição de requisitos de segurança para os sistemas em uso no âmbito deste Regional.
Art. 2º. Para efeitos deste Ato aplicam-se as seguintes definições:
I - requisitos de segurança: conjunto de necessidades de segurança que o software deve atender, direcionadas pela política de segurança da informação institucional, compreendendo aspectos funcionais e não funcionais. Os aspectos funcionais descrevem comportamentos que viabilizam a criação ou a manutenção da segurança e, geralmente, podem ser testados diretamente. Os aspectos não funcionais descrevem procedimentos necessários para que o software permaneça executando suas funções adequadamente mesmo quando sob uso indevido;
II - gestor de sistema: representante da área de negócio deste Regional responsável pela definição e validação dos requisitos de segurança da informação que o sistema deva atender;
Art. 3º. Compete ao Comitê de Segurança da Informação:
I. Designar os gestores dos sistemas;
II. Deliberar sobre a aplicabilidade deste Ato para sistemas legados, bem como para sistemas desenvolvidos por terceiros.
III. Apreciar requisitos de segurança definidos pelos gestores de sistemas que impliquem em projeto ou investimento e encaminhá-los para aprovação e priorização do Comitê de Tecnologia da Informação e Comunicações (CTIC), instituído pela Portaria TRT-GP 89/2013.
IV. Deliberar sobre os casos omissos ou que suscitem dúvidas quanto ao disposto neste Ato.
Parágrafo único. O demandante de novo sistema será o gestor do sistema até a designação do Comitê de Segurança da Informação de que trata o inciso I.
Art. 4º. Compete ao gestor do sistema:
I. Definir os requisitos de segurança, em resposta aos riscos identificados e em linha com a classificação das informações, política de controle de acesso lógico e outras regulamentações que tratarem sobre o assunto.
II. Validar os requisitos de segurança implementados.
Parágrafo único. Os requisitos de segurança para novos sistemas deverão ser definidos no início do projeto de desenvolvimento.
Art. 5º. Compete à Secretaria de Tecnologia da Informação:
I. Receber os requisitos de segurança definidos pelos gestores de sistemas e encaminhá-los para apreciação do Comitê de Segurança da Informação quando implicarem em projeto ou investimento;
II. Implementar as funcionalidades tecnológicas e procedimentos necessários para que os sistemas atendam aos requisitos de segurança aprovados.
Parágrafo único. Fica proibida a liberação de novos sistemas para uso sem o devido atendimento aos requisitos de segurança aprovados.
Art. 6º. Este Ato entra em vigor na data de sua publicação.
Publique-se.
Natal, 28 de junho de 2013.
JOSÉ RÊGO JÚNIOR
Desembargador Presidente
Art. 1º. Regulamentar a definição de requisitos de segurança para os sistemas em uso no âmbito deste Regional.
Art. 2º. Para efeitos deste Ato aplicam-se as seguintes definições:
I - requisitos de segurança: conjunto de necessidades de segurança que o software deve atender, direcionadas pela política de segurança da informação institucional, compreendendo aspectos funcionais e não funcionais. Os aspectos funcionais descrevem comportamentos que viabilizam a criação ou a manutenção da segurança e, geralmente, podem ser testados diretamente. Os aspectos não funcionais descrevem procedimentos necessários para que o software permaneça executando suas funções adequadamente mesmo quando sob uso indevido;
II - gestor de sistema: representante da área de negócio deste Regional responsável pela definição e validação dos requisitos de segurança da informação que o sistema deva atender;
Art. 3º. Compete ao Comitê de Segurança da Informação:
I. Designar os gestores dos sistemas;
II. Deliberar sobre a aplicabilidade deste Ato para sistemas legados, bem como para sistemas desenvolvidos por terceiros.
III. Apreciar requisitos de segurança definidos pelos gestores de sistemas que impliquem em projeto ou investimento e encaminhá-los para aprovação e priorização do Comitê de Tecnologia da Informação e Comunicações (CTIC), instituído pela Portaria TRT-GP 89/2013.
IV. Deliberar sobre os casos omissos ou que suscitem dúvidas quanto ao disposto neste Ato.
Parágrafo único. O demandante de novo sistema será o gestor do sistema até a designação do Comitê de Segurança da Informação de que trata o inciso I.
Art. 4º. Compete ao gestor do sistema:
I. Definir os requisitos de segurança, em resposta aos riscos identificados e em linha com a classificação das informações, política de controle de acesso lógico e outras regulamentações que tratarem sobre o assunto.
II. Validar os requisitos de segurança implementados.
Parágrafo único. Os requisitos de segurança para novos sistemas deverão ser definidos no início do projeto de desenvolvimento.
Art. 5º. Compete à Secretaria de Tecnologia da Informação:
I. Receber os requisitos de segurança definidos pelos gestores de sistemas e encaminhá-los para apreciação do Comitê de Segurança da Informação quando implicarem em projeto ou investimento;
II. Implementar as funcionalidades tecnológicas e procedimentos necessários para que os sistemas atendam aos requisitos de segurança aprovados.
Parágrafo único. Fica proibida a liberação de novos sistemas para uso sem o devido atendimento aos requisitos de segurança aprovados.
Art. 6º. Este Ato entra em vigor na data de sua publicação.
Publique-se.
Natal, 28 de junho de 2013.
JOSÉ RÊGO JÚNIOR
Desembargador Presidente
Fonte