ATO TRT21-GP Nº 395/2014
O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 21ª. REGIÃO, no uso das atribuições legais de que trata o inciso XV, art. 25, do Regimento Interno deste Tribunal, e no exercício da competência regulamentar delegada no art. 11 da Resolução Administrativa nº 21/2010;
Considerando o disposto no art. 6º, inciso I, da Resolução Administrativa nº 21/2010, sobre a necessidade de regulamentação de normas e políticas de uso dos recursos de informação,
Considerando o disposto no art. 6º, inciso I, da Resolução Administrativa nº 21/2010, sobre a necessidade de regulamentação de normas e políticas de uso dos recursos de informação,
RESOLVE:
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 1º. Regulamentar a utilização de recursos de tecnologia da informação, nos termos da Resolução Administrativa nº 21/2010, no âmbito do Tribunal Regional do Trabalho da 21ª Região, incluindo políticas para:
I - utilização de equipamentos de tecnologia da informação;
II - utilização de softwares (programas e aplicativos);
III - utilização de armazenamento lógico.
Parágrafo único. Integram-se a este Ato as seguintes políticas já regulamentadas:
I - gerenciamento de identidade e controle de acesso lógico;
II - controle de acesso e uso da internet;
III - controle de acesso e uso de correio eletrônico.
Art. 2º. Para efeitos deste Ato, aplicam-se as seguintes definições:
I - códigos maliciosos: termo genérico que abrange todos os tipos de software especificamente desenvolvidos para executar ações maliciosas em sistemas ou equipamentos de tecnologia da informação;
II - dispositivos móveis: equipamentos portáteis com capacidade de processamento e conexão à rede corporativa, tais como notebooks, celulares, tablets e similares;
III - mídias removíveis: memórias ou dispositivos de armazenamento portáteis, tais como CDs, DVDs, pen drives, HDs externos, SD cards etc.
IV - rede corporativa: rede primária de comunicação de dados do Tribunal, não contemplando redes e terminais disponibilizados ao público (redes sem fio, quiosques, etc.).
Art. 3º. É vedado o uso de recursos de tecnologia da informação deste Regional para atividades ilegais ou alheias às funções institucionais, tais como:
I - atividades de interesse pessoal, salvo as exceções formalmente autorizadas pela Presidência;
II - atividades que possam comprometer a confidencialidade, integridade ou disponibilidade das informações institucionais;
III - jogos de qualquer espécie;
IV - acessar, reproduzir, divulgar ou transferir conteúdo ilegal, obsceno, erótico, discriminatório, ofensivo ou impróprio, a exemplo de pornografia, pedofilia, racismo etc.;
V - acessar, reproduzir, divulgar ou transferir conteúdo ou software em desacordo com as leis de propriedade intelectual e de direitos autorais (-pirataria-).
§ 1º As exceções previstas no inciso I devem ser precedidas de parecer do Comitê de Segurança da Informação, observando o disposto no art. 7º deste Ato.
§ 2º A vedação de que trata o caput inclui os dispositivos móveis e mídias removíveis fornecidos pelo Tribunal a magistrados e servidores.
Art. 4º. O usuário deve zelar pela segurança, conservação e utilização adequada dos recursos de tecnologia da informação.
Parágrafo único. Compete ao usuário, quando de seu conhecimento, comunicar à sua chefia imediata e superior acerca de negligências deste Ato ocorridas no âmbito de sua unidade, contribuindo para o cumprimento do disposto no art. 8º da Resolução Administrativa nº 21/2010.
Art. 5º. Toda iniciativa para a obtenção (aquisição, locação, convênio, etc.) de recurso de tecnologia da informação deve ser previamente submetida à Secretaria de Tecnologia da Informação para avaliação técnica quanto à segurança da informação e compatibilidade com a infraestrutura existente.
CAPÍTULO II
DA UTILIZAÇÃO DE EQUIPAMENTOS DE TECNOLOGIA DA INFORMAÇÃO
Art. 6º. Os equipamentos de tecnologia da informação serão instalados e configurados exclusivamente pela Secretaria de Tecnologia da Informação ou sob a supervisão desta.
§ 1º A instalação ou configuração de que trata o caput poderá ser delegada ao usuário, mediante orientação, em razão da continuidade de negócio ou por limitação de atendimento.
§ 2º Nos casos em que, por força contratual, a instalação ou configuração deva ser realizada por terceiros, a Secretaria de Tecnologia da Informação autorizará e supervisionará a execução do serviço em questão.
§ 3º O disposto no caput não se aplica à reposição de insumos (papel, cartucho de impressão, etc.), ficando esta sob responsabilidade do usuário.
§ 4º A configuração de que trata o caput deverá ser realizada, preferencialmente, através de acesso remoto.
§ 5º É vedada a instalação ou configuração de equipamentos pessoais dos usuários internos (magistrados, servidores, etc.) e externos (advogados, peritos, etc.) pela Secretaria de Tecnologia da Informação.
Art. 7º. A conexão à rede corporativa é permitida somente para equipamentos de tecnologia da informação fornecidos pelo Tribunal, inclusive dispositivos móveis e mídias removíveis.
§ 1º A vedação do caput não se aplica a mídias removíveis de usuários externos necessários ao cumprimento de funções institucionais, tais como mídias contendo documentos de processos judiciais.
§ 2º Redes e terminais disponibilizados ao público (redes sem fio, quiosques, etc.), que pressupõem a conexão de equipamentos de tecnologia da informação pessoais, devem ter isolamento físico ou lógico da rede corporativa.
Art. 8º. Computadores e terminais, quando não estiverem sendo utilizados, devem ser mantidos desligados ou protegidos com mecanismo de travamento de tela ou similar.
Art. 9º. É vedado o empréstimo a terceiros dos equipamentos de tecnologia da informação disponibilizados pelo Tribunal.
Art. 10. O usuário deverá comunicar imediatamente a Secretaria de Tecnologia da Informação em caso de extravio, perda, furto ou roubo de equipamento de tecnologia da informação em sua custódia.
CAPÍTULO III
DA UTILIZAÇÃO DE SOFTWARE E PREVENÇÃO CONTRA CÓDIGOS MALICIOSOS
Art. 11. Os softwares em uso neste Tribunal serão instalados e configurados exclusivamente pela Secretaria de Tecnologia da Informação ou sob a supervisão desta.
§ 1º A instalação ou configuração de que trata o caput poderá ser delegada ao usuário, mediante orientação, em razão da continuidade de negócio ou por limitação de atendimento.
§ 2º Não é permitido ao usuário, salvo o disposto no parágrafo anterior, a instalação, atualização ou remoção de programas, aplicativos, drivers ou quaisquer componentes de software em computadores e terminais, bem como a alteração de configurações em serviços relacionados à segurança da informação, como antivírus, proxy e firewall.
§ 3º Nos casos em que, por força contratual, a instalação ou configuração deva ser realizada por terceiros, a Secretaria de Tecnologia da Informação autorizará e supervisionará a execução do serviço em questão.
§ 4º A instalação ou configuração de que trata o caput deverá ser realizada, preferencialmente, através de acesso remoto.
Art. 12. A utilização de software neste Regional deve ser feita exclusivamente em conformidade com a respectiva licença de uso e com a legislação em vigor.
Parágrafo único. Devem ser observados, inclusive pelo usuário final, os direitos e obrigações estabelecidos na licença do software, tais como acesso à documentação e suporte, atualizações, restrições de cópia, transferência para terceiros, engenharia reversa etc., podendo a Secretaria de Tecnologia da Informação orientar e alertar aos usuários quanto a questões específicas das licenças de software.
Art. 13. Serão instalados ou utilizados neste Regional somente softwares homologados pelo Comitê de Segurança da Informação.
§ 1º O disposto no caput não se aplica à instalação ou utilização de softwares feita pela Secretaria de Tecnologia da Informação em atividades inerentes às suas atribuições, tais como pesquisa e desenvolvimento, testes de segurança da informação, tarefas pré-homologação de software, etc.
§ 2º A homologação de softwares deverá primar, preferencialmente, pela utilização de softwares livres ou de código aberto, sempre que viável tecnicamente e não acarrete prejuízo para as funções institucionais.
§ 3º A Secretaria de Tecnologia da Informação publicará, na Intranet, a listagem de softwares homologados, constando para cada software, pelo menos, nome, versão e grupos de usuários autorizados a utilizá-lo.
§ 4º Fica a Secretaria de Tecnologia da Informação autorizada a proceder, através de mecanismos manuais ou automáticos, a remoção ou desinstalação de softwares não homologados presentes em computadores e terminais dos usuários, devendo a referida Secretaria notificar previamente o usuário no prazo de 48 horas quando não oferecer riscos à segurança da informação.
Art. 14. A solicitação de homologação de novo software, quando em atendimento a demanda de determinada unidade, deverá ser dirigida pelo gestor daquela unidade à Secretaria de Tecnologia da Informação, que por sua vez, encaminhará a referida solicitação ao Comitê de Segurança da Informação, acompanhada de parecer técnico.
§ 1º A solicitação de novo software emitida pelo gestor da unidade deverá contemplar, pelo menos, as seguintes informações:
I - Nome;
II - Versão;
III - Fabricante;
IV - Funcionalidades básicas;
V - Justificativa de uso;
VI - Necessidade de suporte (configuração e utilização) pela Secretaria de Tecnologia da Informação.
§ 2º A análise técnica da Secretaria de Tecnologia da Informação deverá contemplar, pelo menos, os seguintes critérios:
I - Alternativas ao software solicitado;
II - Segurança da informação;
III - Desempenho e compatibilidade tecnológica;
IV - Custo e licenciamento;
V - Suporte do fabricante;
VI - Capacidade de suporte (configuração e utilização) pela Secretaria de Tecnologia da Informação.
§ 3º Caso a implantação do software solicitado implique em projeto ou investimento, o Comitê de Segurança da Informação deverá encaminhar a solicitação para aprovação e priorização do Comitê de Tecnologia da Informação e Comunicações.
CAPÍTULO IV
DA UTILIZAÇÃO DO ARMAZENAMENTO LÓGICO
Art. 15. Os documentos eletrônicos de caráter institucional devem ser armazenados exclusivamente em meios oficiais disponibilizados pelo Tribunal.
§ 1º Compete à Secretaria de Tecnologia da Informação, quando necessário, estabelecer quotas (limites) de armazenamento para usuários e unidades deste Regional, de forma a prover uso otimizado e seguro dos recursos de tecnologia da informação disponíveis.
§ 2º Pastas temporárias (-Lixeira-, -Spam-, etc.) poderão ter seu conteúdo eliminado periodicamente por rotinas manuais ou automáticas e sem aviso prévio.
§ 3º Compete ao usuário realizar manutenção periódica nos meios de armazenamento a ele disponibilizados, tais como e-mail, estações de trabalho e diretórios da rede, eliminando arquivos desnecessários.
§ 4º O usuário deve evitar manter cópias redundantes do mesmo arquivo.
§ 5º É proibida a salvaguarda de documentos de caráter institucional em meios de armazenamento pessoais, tais como mídias removíveis, e-mail e computação em nuvem (Dropbox, Google Drive, SkyDrive etc.).
Art. 16. Como regra geral, os documentos de caráter institucional devem ser armazenados nas pastas de rede do serviço de diretórios do Tribunal, e como exceção, em outros meios institucionais formalmente autorizados pelo Comitê de Segurança da Informação, tais como e-mail, mídias removíveis e pastas locais de estações de trabalho e dispositivos móveis.
Art. 17. Não serão contemplados em planos e rotinas de backup e contingência de negócio adotados pela Secretaria de Tecnologia da Informação:
I - Documentos de caráter pessoal;
II - Quaisquer documentos armazenados em pastas locais de estações de trabalho, mídias removíveis e dispositivos móveis, salvo as exceções previstas no art. 16 deste Ato.
Art. 18. A Secretaria de Tecnologia da Informação poderá excluir conteúdo que não esteja em conformidade com a Política de Segurança da Informação do Tribunal, quando da realização de manutenção em recursos de tecnologia da informação, tais como estações de trabalho, dispositivos móveis, e-mail ou diretórios de rede, devendo a referida Secretaria notificar previamente o usuário no prazo de 48 horas quando não oferecer riscos à segurança da informação.
CAPÍTULO V
DA COMPUTAÇÃO MÓVEL E O ACESSO REMOTO
Art. 19. Os dispositivos móveis (notebooks, smartphones etc.) fornecidos pelo Tribunal aos usuários serão disponibilizados mediante assinatura de Termo de Responsabilidade pela custódia de patrimônio e das informações armazenadas ou processadas nos respectivos equipamentos.
Art. 20. Os dispositivos móveis disponibilizados pelo Tribunal aos usuários devem ser configurados e mantidos, quando aplicável, com requisitos de segurança da informação equivalentes às estações de trabalho da rede corporativa.
§ 1º As atualizações de segurança (sistema operacional, antivírus, políticas etc.) poderão ser feitas de forma automática, quando da conexão do dispositivo à rede corporativa, ou manualmente pelo usuário, podendo a Secretaria de Tecnologia da Informação bloquear o acesso realizado a partir de dispositivos que não tenham sido atualizados por mais de 30 (trinta) dias.
§ 2º O disposto no caput também se aplica a modems e demais acessórios fornecidos ao usuário.
Art. 21. O acesso remoto à rede corporativa será concedido somente através dos meios disponibilizados pelo Tribunal (e.g.: Gabinete Virtual).
§ 1º Compete à Secretaria de Tecnologia da Informação homologar e manter meios de acesso remoto que não comprometam a confidencialidade, integridade e disponibilidade dos recursos de tecnologia da informação.
§ 2º Em caso de acesso remoto feito a partir de equipamento pessoal, compete ao usuário configurar seu equipamento e realizar periodicamente as atualizações de segurança (sistema operacional, antivírus, etc.).
§ 3º Poderá ser negado o acesso remoto a partir de computadores e terminais que não estejam devidamente configurados e atualizados conforme o disposto no parágrafo anterior.
§ 4º É proibido o acesso remoto a partir de computadores e terminais de uso público (lan houses, quiosques de Internet, redes sem fio públicas etc.).
Art. 22. O acesso remoto de que trata o artigo anterior é restrito a magistrados e gestores de unidades.
Parágrafo único. O Comitê de Segurança da Informação poderá autorizar o acesso remoto a usuários não contemplados pelo caput.
Art. 23. O suporte da Secretaria de Tecnologia da Informação a usuários que estejam fora das dependências do Tribunal será restrito a orientações por telefone, sendo vedada, neste caso, a intervenção presencial ou remota em equipamentos de tecnologia da informação, considerando os riscos à confidencialidade, integridade e disponibilidade das informações, salvo nas hipóteses estritamente necessárias.
Art. 24. É proibido o acesso alternativo à Internet ou a rede externa ao Tribunal a partir de computadores e terminais da rede corporativa através de modems e adaptadores de rede sem fio ou conexões de dispositivos móveis, salvo acesso de uso institucional formalmente autorizado pelo Comitê de Segurança da Informação.
CAPÍTULO VI
DAS DISPOSIÇÕES FINAIS
Art. 25. Compete à Secretaria de Tecnologia da Informação:
I - Implementar as funcionalidades tecnológicas e procedimentos necessários ao cumprimento dos controles deste Ato.
II - Comunicar o Comitê de Segurança da Informação acerca de irregularidades e violações desta política.
Art. 26. Compete ao Comitê de Segurança da Informação:
I - Deliberar sobre os casos omissos ou que suscitem dúvidas quanto ao disposto neste Ato.
II - Aplicar as penalidades cabíveis, em caso de irregularidade ou violação desta política.
Art. 27. A implementação das funcionalidades tecnológicas e procedimentos de que trata o inciso I do art. 25 ocorrerá de forma gradativa em um prazo de, no máximo, 12 (doze) meses contados a partir da data da publicação deste Ato.
Art. 28. Este Ato entra em vigor na data de sua publicação.
Publique-se.
Natal, 11 de junho de 2014.
JOSÉ RÊGO JÚNIOR
Desembargador Presidente
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 1º. Regulamentar a utilização de recursos de tecnologia da informação, nos termos da Resolução Administrativa nº 21/2010, no âmbito do Tribunal Regional do Trabalho da 21ª Região, incluindo políticas para:
I - utilização de equipamentos de tecnologia da informação;
II - utilização de softwares (programas e aplicativos);
III - utilização de armazenamento lógico.
Parágrafo único. Integram-se a este Ato as seguintes políticas já regulamentadas:
I - gerenciamento de identidade e controle de acesso lógico;
II - controle de acesso e uso da internet;
III - controle de acesso e uso de correio eletrônico.
Art. 2º. Para efeitos deste Ato, aplicam-se as seguintes definições:
I - códigos maliciosos: termo genérico que abrange todos os tipos de software especificamente desenvolvidos para executar ações maliciosas em sistemas ou equipamentos de tecnologia da informação;
II - dispositivos móveis: equipamentos portáteis com capacidade de processamento e conexão à rede corporativa, tais como notebooks, celulares, tablets e similares;
III - mídias removíveis: memórias ou dispositivos de armazenamento portáteis, tais como CDs, DVDs, pen drives, HDs externos, SD cards etc.
IV - rede corporativa: rede primária de comunicação de dados do Tribunal, não contemplando redes e terminais disponibilizados ao público (redes sem fio, quiosques, etc.).
Art. 3º. É vedado o uso de recursos de tecnologia da informação deste Regional para atividades ilegais ou alheias às funções institucionais, tais como:
I - atividades de interesse pessoal, salvo as exceções formalmente autorizadas pela Presidência;
II - atividades que possam comprometer a confidencialidade, integridade ou disponibilidade das informações institucionais;
III - jogos de qualquer espécie;
IV - acessar, reproduzir, divulgar ou transferir conteúdo ilegal, obsceno, erótico, discriminatório, ofensivo ou impróprio, a exemplo de pornografia, pedofilia, racismo etc.;
V - acessar, reproduzir, divulgar ou transferir conteúdo ou software em desacordo com as leis de propriedade intelectual e de direitos autorais (-pirataria-).
§ 1º As exceções previstas no inciso I devem ser precedidas de parecer do Comitê de Segurança da Informação, observando o disposto no art. 7º deste Ato.
§ 2º A vedação de que trata o caput inclui os dispositivos móveis e mídias removíveis fornecidos pelo Tribunal a magistrados e servidores.
Art. 4º. O usuário deve zelar pela segurança, conservação e utilização adequada dos recursos de tecnologia da informação.
Parágrafo único. Compete ao usuário, quando de seu conhecimento, comunicar à sua chefia imediata e superior acerca de negligências deste Ato ocorridas no âmbito de sua unidade, contribuindo para o cumprimento do disposto no art. 8º da Resolução Administrativa nº 21/2010.
Art. 5º. Toda iniciativa para a obtenção (aquisição, locação, convênio, etc.) de recurso de tecnologia da informação deve ser previamente submetida à Secretaria de Tecnologia da Informação para avaliação técnica quanto à segurança da informação e compatibilidade com a infraestrutura existente.
CAPÍTULO II
DA UTILIZAÇÃO DE EQUIPAMENTOS DE TECNOLOGIA DA INFORMAÇÃO
Art. 6º. Os equipamentos de tecnologia da informação serão instalados e configurados exclusivamente pela Secretaria de Tecnologia da Informação ou sob a supervisão desta.
§ 1º A instalação ou configuração de que trata o caput poderá ser delegada ao usuário, mediante orientação, em razão da continuidade de negócio ou por limitação de atendimento.
§ 2º Nos casos em que, por força contratual, a instalação ou configuração deva ser realizada por terceiros, a Secretaria de Tecnologia da Informação autorizará e supervisionará a execução do serviço em questão.
§ 3º O disposto no caput não se aplica à reposição de insumos (papel, cartucho de impressão, etc.), ficando esta sob responsabilidade do usuário.
§ 4º A configuração de que trata o caput deverá ser realizada, preferencialmente, através de acesso remoto.
§ 5º É vedada a instalação ou configuração de equipamentos pessoais dos usuários internos (magistrados, servidores, etc.) e externos (advogados, peritos, etc.) pela Secretaria de Tecnologia da Informação.
Art. 7º. A conexão à rede corporativa é permitida somente para equipamentos de tecnologia da informação fornecidos pelo Tribunal, inclusive dispositivos móveis e mídias removíveis.
§ 1º A vedação do caput não se aplica a mídias removíveis de usuários externos necessários ao cumprimento de funções institucionais, tais como mídias contendo documentos de processos judiciais.
§ 2º Redes e terminais disponibilizados ao público (redes sem fio, quiosques, etc.), que pressupõem a conexão de equipamentos de tecnologia da informação pessoais, devem ter isolamento físico ou lógico da rede corporativa.
Art. 8º. Computadores e terminais, quando não estiverem sendo utilizados, devem ser mantidos desligados ou protegidos com mecanismo de travamento de tela ou similar.
Art. 9º. É vedado o empréstimo a terceiros dos equipamentos de tecnologia da informação disponibilizados pelo Tribunal.
Art. 10. O usuário deverá comunicar imediatamente a Secretaria de Tecnologia da Informação em caso de extravio, perda, furto ou roubo de equipamento de tecnologia da informação em sua custódia.
CAPÍTULO III
DA UTILIZAÇÃO DE SOFTWARE E PREVENÇÃO CONTRA CÓDIGOS MALICIOSOS
Art. 11. Os softwares em uso neste Tribunal serão instalados e configurados exclusivamente pela Secretaria de Tecnologia da Informação ou sob a supervisão desta.
§ 1º A instalação ou configuração de que trata o caput poderá ser delegada ao usuário, mediante orientação, em razão da continuidade de negócio ou por limitação de atendimento.
§ 2º Não é permitido ao usuário, salvo o disposto no parágrafo anterior, a instalação, atualização ou remoção de programas, aplicativos, drivers ou quaisquer componentes de software em computadores e terminais, bem como a alteração de configurações em serviços relacionados à segurança da informação, como antivírus, proxy e firewall.
§ 3º Nos casos em que, por força contratual, a instalação ou configuração deva ser realizada por terceiros, a Secretaria de Tecnologia da Informação autorizará e supervisionará a execução do serviço em questão.
§ 4º A instalação ou configuração de que trata o caput deverá ser realizada, preferencialmente, através de acesso remoto.
Art. 12. A utilização de software neste Regional deve ser feita exclusivamente em conformidade com a respectiva licença de uso e com a legislação em vigor.
Parágrafo único. Devem ser observados, inclusive pelo usuário final, os direitos e obrigações estabelecidos na licença do software, tais como acesso à documentação e suporte, atualizações, restrições de cópia, transferência para terceiros, engenharia reversa etc., podendo a Secretaria de Tecnologia da Informação orientar e alertar aos usuários quanto a questões específicas das licenças de software.
Art. 13. Serão instalados ou utilizados neste Regional somente softwares homologados pelo Comitê de Segurança da Informação.
§ 1º O disposto no caput não se aplica à instalação ou utilização de softwares feita pela Secretaria de Tecnologia da Informação em atividades inerentes às suas atribuições, tais como pesquisa e desenvolvimento, testes de segurança da informação, tarefas pré-homologação de software, etc.
§ 2º A homologação de softwares deverá primar, preferencialmente, pela utilização de softwares livres ou de código aberto, sempre que viável tecnicamente e não acarrete prejuízo para as funções institucionais.
§ 3º A Secretaria de Tecnologia da Informação publicará, na Intranet, a listagem de softwares homologados, constando para cada software, pelo menos, nome, versão e grupos de usuários autorizados a utilizá-lo.
§ 4º Fica a Secretaria de Tecnologia da Informação autorizada a proceder, através de mecanismos manuais ou automáticos, a remoção ou desinstalação de softwares não homologados presentes em computadores e terminais dos usuários, devendo a referida Secretaria notificar previamente o usuário no prazo de 48 horas quando não oferecer riscos à segurança da informação.
Art. 14. A solicitação de homologação de novo software, quando em atendimento a demanda de determinada unidade, deverá ser dirigida pelo gestor daquela unidade à Secretaria de Tecnologia da Informação, que por sua vez, encaminhará a referida solicitação ao Comitê de Segurança da Informação, acompanhada de parecer técnico.
§ 1º A solicitação de novo software emitida pelo gestor da unidade deverá contemplar, pelo menos, as seguintes informações:
I - Nome;
II - Versão;
III - Fabricante;
IV - Funcionalidades básicas;
V - Justificativa de uso;
VI - Necessidade de suporte (configuração e utilização) pela Secretaria de Tecnologia da Informação.
§ 2º A análise técnica da Secretaria de Tecnologia da Informação deverá contemplar, pelo menos, os seguintes critérios:
I - Alternativas ao software solicitado;
II - Segurança da informação;
III - Desempenho e compatibilidade tecnológica;
IV - Custo e licenciamento;
V - Suporte do fabricante;
VI - Capacidade de suporte (configuração e utilização) pela Secretaria de Tecnologia da Informação.
§ 3º Caso a implantação do software solicitado implique em projeto ou investimento, o Comitê de Segurança da Informação deverá encaminhar a solicitação para aprovação e priorização do Comitê de Tecnologia da Informação e Comunicações.
CAPÍTULO IV
DA UTILIZAÇÃO DO ARMAZENAMENTO LÓGICO
Art. 15. Os documentos eletrônicos de caráter institucional devem ser armazenados exclusivamente em meios oficiais disponibilizados pelo Tribunal.
§ 1º Compete à Secretaria de Tecnologia da Informação, quando necessário, estabelecer quotas (limites) de armazenamento para usuários e unidades deste Regional, de forma a prover uso otimizado e seguro dos recursos de tecnologia da informação disponíveis.
§ 2º Pastas temporárias (-Lixeira-, -Spam-, etc.) poderão ter seu conteúdo eliminado periodicamente por rotinas manuais ou automáticas e sem aviso prévio.
§ 3º Compete ao usuário realizar manutenção periódica nos meios de armazenamento a ele disponibilizados, tais como e-mail, estações de trabalho e diretórios da rede, eliminando arquivos desnecessários.
§ 4º O usuário deve evitar manter cópias redundantes do mesmo arquivo.
§ 5º É proibida a salvaguarda de documentos de caráter institucional em meios de armazenamento pessoais, tais como mídias removíveis, e-mail e computação em nuvem (Dropbox, Google Drive, SkyDrive etc.).
Art. 16. Como regra geral, os documentos de caráter institucional devem ser armazenados nas pastas de rede do serviço de diretórios do Tribunal, e como exceção, em outros meios institucionais formalmente autorizados pelo Comitê de Segurança da Informação, tais como e-mail, mídias removíveis e pastas locais de estações de trabalho e dispositivos móveis.
Art. 17. Não serão contemplados em planos e rotinas de backup e contingência de negócio adotados pela Secretaria de Tecnologia da Informação:
I - Documentos de caráter pessoal;
II - Quaisquer documentos armazenados em pastas locais de estações de trabalho, mídias removíveis e dispositivos móveis, salvo as exceções previstas no art. 16 deste Ato.
Art. 18. A Secretaria de Tecnologia da Informação poderá excluir conteúdo que não esteja em conformidade com a Política de Segurança da Informação do Tribunal, quando da realização de manutenção em recursos de tecnologia da informação, tais como estações de trabalho, dispositivos móveis, e-mail ou diretórios de rede, devendo a referida Secretaria notificar previamente o usuário no prazo de 48 horas quando não oferecer riscos à segurança da informação.
CAPÍTULO V
DA COMPUTAÇÃO MÓVEL E O ACESSO REMOTO
Art. 19. Os dispositivos móveis (notebooks, smartphones etc.) fornecidos pelo Tribunal aos usuários serão disponibilizados mediante assinatura de Termo de Responsabilidade pela custódia de patrimônio e das informações armazenadas ou processadas nos respectivos equipamentos.
Art. 20. Os dispositivos móveis disponibilizados pelo Tribunal aos usuários devem ser configurados e mantidos, quando aplicável, com requisitos de segurança da informação equivalentes às estações de trabalho da rede corporativa.
§ 1º As atualizações de segurança (sistema operacional, antivírus, políticas etc.) poderão ser feitas de forma automática, quando da conexão do dispositivo à rede corporativa, ou manualmente pelo usuário, podendo a Secretaria de Tecnologia da Informação bloquear o acesso realizado a partir de dispositivos que não tenham sido atualizados por mais de 30 (trinta) dias.
§ 2º O disposto no caput também se aplica a modems e demais acessórios fornecidos ao usuário.
Art. 21. O acesso remoto à rede corporativa será concedido somente através dos meios disponibilizados pelo Tribunal (e.g.: Gabinete Virtual).
§ 1º Compete à Secretaria de Tecnologia da Informação homologar e manter meios de acesso remoto que não comprometam a confidencialidade, integridade e disponibilidade dos recursos de tecnologia da informação.
§ 2º Em caso de acesso remoto feito a partir de equipamento pessoal, compete ao usuário configurar seu equipamento e realizar periodicamente as atualizações de segurança (sistema operacional, antivírus, etc.).
§ 3º Poderá ser negado o acesso remoto a partir de computadores e terminais que não estejam devidamente configurados e atualizados conforme o disposto no parágrafo anterior.
§ 4º É proibido o acesso remoto a partir de computadores e terminais de uso público (lan houses, quiosques de Internet, redes sem fio públicas etc.).
Art. 22. O acesso remoto de que trata o artigo anterior é restrito a magistrados e gestores de unidades.
Parágrafo único. O Comitê de Segurança da Informação poderá autorizar o acesso remoto a usuários não contemplados pelo caput.
Art. 23. O suporte da Secretaria de Tecnologia da Informação a usuários que estejam fora das dependências do Tribunal será restrito a orientações por telefone, sendo vedada, neste caso, a intervenção presencial ou remota em equipamentos de tecnologia da informação, considerando os riscos à confidencialidade, integridade e disponibilidade das informações, salvo nas hipóteses estritamente necessárias.
Art. 24. É proibido o acesso alternativo à Internet ou a rede externa ao Tribunal a partir de computadores e terminais da rede corporativa através de modems e adaptadores de rede sem fio ou conexões de dispositivos móveis, salvo acesso de uso institucional formalmente autorizado pelo Comitê de Segurança da Informação.
CAPÍTULO VI
DAS DISPOSIÇÕES FINAIS
Art. 25. Compete à Secretaria de Tecnologia da Informação:
I - Implementar as funcionalidades tecnológicas e procedimentos necessários ao cumprimento dos controles deste Ato.
II - Comunicar o Comitê de Segurança da Informação acerca de irregularidades e violações desta política.
Art. 26. Compete ao Comitê de Segurança da Informação:
I - Deliberar sobre os casos omissos ou que suscitem dúvidas quanto ao disposto neste Ato.
II - Aplicar as penalidades cabíveis, em caso de irregularidade ou violação desta política.
Art. 27. A implementação das funcionalidades tecnológicas e procedimentos de que trata o inciso I do art. 25 ocorrerá de forma gradativa em um prazo de, no máximo, 12 (doze) meses contados a partir da data da publicação deste Ato.
Art. 28. Este Ato entra em vigor na data de sua publicação.
Publique-se.
Natal, 11 de junho de 2014.
JOSÉ RÊGO JÚNIOR
Desembargador Presidente
Fonte