TrabalhosGratuitos.com - Trabalhos, Monografias, Artigos, Exames, Resumos de livros, Dissertações
Pesquisar

A POLÍTICA DE SEGURANÇA A INFORMAÇÃO

Por:   •  1/7/2021  •  Resenha  •  9.709 Palavras (39 Páginas)  •  172 Visualizações

Página 1 de 39

  1. POLÍTICA DE SEGURANÇA A INFORMAÇÃO

  1. Conjunto de Documentos contendo regras de negócio, que visam promover a segurança Institucional. Balizada em dispositivos legais, bem como nas Diretrizes e Princípios da Instituição.
  1. OBJETIVO DA PSI:
  1. Garantir a Integridade, Autenticidade, Disponibilidade das informações;
  2. Proteção, Custódia e Controle de acesso as informações;
  3. Garantir o direito pessoal e coletivo à intimidade e ao sigilo da correspondência e das comunicações individuais; e
  4. A proteção dos dados, informações e conhecimentos produzidos no Poder Judiciário Tocantinense;

  1. MANUAL DE ORGANIZAÇÃO DE CONCEITOS
  1. Este manual apresenta os termos e definições utilizados na documentação da Política de Segurança da Informação do TJTO;
  2. Diretoria de Tecnologia da Informação: A Diretoria de Tecnologia da Informação é a área responsável por desenvolver e manter os recursos computacionais e de telecomunicações do Tribunal de Justiça e Comarcas (Ref. Resolução 0017 2009), competindo-lhe:
  1. Manter a integração e a conectividade dos sistemas, veiculando as informações de todas as áreas informatizadas;
  2. Desenvolver e gerenciar sistemas de computação necessários ao bom funcionamento do Poder Judiciário;
  3. Elaborar as especificações técnicas para os editais de aquisição de equipamentos e suprimentos de informática e telecomunicações;
  4. Gerenciar os serviços de telefonia fixa e móvel;
  5. Manter o bom funcionamento de todo o parque tecnológico;
  6. Propiciar treinamento interno aos usuários dos recursos computacionais disponíveis.
  7. Compete prover o parque de hardware e software das estações de trabalho, prover suporte ao uso de soluções de tecnologia da informação para os usuários, bem como identificar novas demandas.
  8. Divisão de Sistema da Informação: À Divisão de Sistema de Informação compete o desenvolvimento de sistemas e programas computacionais relativos às atividades-fim e meio do Poder Judiciário, bem como à manutenção e à assistência técnica daqueles em funcionamento. (Ref. Resolução 0017 2009);
  9. Divisão de Administração e Segurança de Rede: À Divisão de Administração e Segurança de Rede compete gerenciar redes com formatos em diferentes ambientes de dados, como interfaceamento de sistemas de plataformas e com redes abertas e redes virtuais. (Ref. Resolução 0017 2009);
  10. Divisão de Administração de Banco de Dados: À Divisão de Administração de Banco de Dados compete a participação em projetos de modelagem de dados, manutenção em objetos de banco de dados, monitoramento e administração das bases de dados corporativas do Poder Judiciário, assim como controle de acesso, instalação lógica e física, implementação de rotinas de segurança, backup e recuperação de dados. (Ref. Resolução 0017 2009);
  11. Divisão de Manutenção e Suporte: À Divisão de Manutenção e Suporte compete: dar suporte aos usuários e manutenção dos computadores e periféricos, na sede do Tribunal e nas Comarcas. (Ref. Resolução 0017 2009);
  12. Arquivo público: Conjuntos de documentos produzidos e recebidos, no exercício de suas atividades, por órgãos públicos de âmbito federal, estadual, do Distrito Federal e municipal em decorrência de suas funções administrativas, legislativas e judiciárias (Ref. Lei 8.159).
  13. Acesso: Possibilidade de consulta e/ou reprodução aos documentos de arquivo.
  14. Alta direção: Diretoria executiva e conselho de administração.
  15. Ativo: Qualquer coisa que tenha valor para a organização.
  16. Áreas de segurança: Locais onde estão armazenadas ou são manipuladas informações classificadas como confidenciais.
  17. Backup: Cópia de segurança dos arquivos de computador.
  18. Classificação: Atribuição, pelo classificador, de grau de segurança a dado, informação, documento ou material (Ref. Decreto 4.553).
  19. Classificador: Agente Público responsável por tomar decisões em nome do Tribunal no que diz respeito ao acesso, à classificação, à reclassificação, à desclassificação e a proteção de uma informação ou de um ativo específico.
  20. Código móvel: É um código transferido de um computador a outro executando automaticamente e realizando funções específicas com pequena ou nenhuma interação por parte do usuário.
  21. Confidencialidade: Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados.
  22. Coordenação de Segurança da Informação: Grupo responsável por tomar decisões estratégicas de assuntos relacionados com a segurança da informação.
  23. Credencial de segurança: Certificado concedido por autoridade competente, que habilita uma pessoa a ter acesso a ativo sigiloso ou ambiente físico reservado.
  24. Criptografia: Técnica utilizada em sistemas de segurança, que transforma, através de combinações matemáticas, um arquivo de texto legível em texto codificado, que somente poderá ser decodificado por alguém que tiver a tabela ou fórmula de decriptografia específica para aquele arquivo.
  25. Custodiante: Agente Público ou unidade organizacional responsável pela guarda e transporte de ativos e manutenção das medidas de proteção estabelecidas.
  26. Código malicioso: E um programa de computador – uma parte do código executável – com capacidade de auto-replicação. Da mesma forma que os vírus biológicos, os códigos maliciosos de computador podem se disseminar com rapidez e a sua erradicação normalmente é difícil. Eles podem se anexar a praticamente qualquer tipo de arquivo e se disseminam como arquivos que são copiados e enviados de uma pessoa para outra.
  27. Ambiente de Alta Disponibilidade – AAD: Trata-se do Ambiente de Alta Disponibilidade que compreende as salas seguras, sendo uma principal na sede do Tribunal de Justiça (AAD-TJTO) e uma secundária no  Fórum de Palmas (AAD-FORUM).
  28. NOC: NOC significa Network Operations Center (centro de operação de rede, em inglês);
  29. CPD: Centro de Processamento de Dados do TJTO.
  30. Desclassificação: Cancelamento, por autoridade ou por transcurso de prazo, da classificação, tornando ostensivos dados e informações.
  31. Disponibilidade: Propriedade de estar acessível e utilizável sob demanda de uma entidade autorizada.
  32. Diretoria Executiva: Colegiado composto pelos diretores e presidente.
  33. Documento: Documento é o registro de um determinado fato ou evento ocorrido em determinado espaço de tempo, independente do meio em que foi efetuado tal registro.
  34. Documento confidencial: Documento que contém assunto classificado como sigiloso e que, portanto, requer medidas especiais de acesso.
  35. Documento Eletrônico: Documento Eletrônico (documento digital), trata-se de um documento produzido por aplicativos de computador e armazenado em meio eletrônico como peça de substituição de documento em papel;
  36. Equipamentos de interconexão: Equipamentos que possibilitam a interligação de dois ou mais recursos de informática, tais como servidores de rede e estações de trabalho.
  37. Formato digital: Formato no qual a informação é armazenada em mídia digital, por exemplo: CD-rom, DVD-rom, fita magnética, disquete, disco rígido, fita cartucho, memória flash e etc.
  38. Comissão: Grupo de pessoas formado para estudo de um tema específico.
  39. Gestor do processo: Colaborador responsável por um determinado processo dentro da organização.
  40. Grau de segurança: Gradação de segurança atribuída a ativos em decorrência de sua natureza ou conteúdo (Ref. Decreto 4.553).
  41. Incidente de Segurança: Todo e qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança das informações ou dos recursos de informática.
  42. Identificação de acesso: Conjunto do "nome de usuário" e "senha".
  43. Integridade: Propriedade de salvaguarda da exatidão e completeza de ativos.
  44. Manipulação: Manuseio da informação, ou seja, todo tratamento que ela recebe tais como: cópia, processamento, etc.
  45. Medidas de proteção: Medidas destinadas a garantir sigilo, inviolabilidade, integridade, autenticidade, legitimidade e disponibilidade de dados e informações. Também objetivam prevenir, detectar, anular e registrar ameaças reais ou potenciais aos ativos (Ref. Decreto 4.553).
  46. Partes externas: Fornecedores, parceiros e clientes que trocam informações com o Tribunal;
  47. Plano de Continuidade de Negócios: Conjunto de ações que uma Instituição deve tomar para assegurar a continuidade das operações essenciais em caso de falhas nos processos de negócios.
  48. Processo crítico: Conjunto de ações vitais para o Tribunal que devem ser conduzidas adequadamente, a fim de evitar prejuízos financeiros, comprometimento da sua imagem e, até a inviabilização do seu negócio.
  49. RAID: Conjunto Redundante de Discos Independentes é um meio de se criar uma unidade virtual composta por vários discos individuais, com a finalidade de ganhar segurança e desempenho.
  50. Reclassificação: Alteração da classificação de ativos pelo classificador. (Ref. Decreto 4.553).
  51. Recursos de Informática: Considera-se recurso de informática as estações de trabalho, servidores de rede e equipamento de interconexão de propriedade ou custodiados pelo TJTO.
  52. Registro (log) ou log de eventos: Arquivo eletrônico com a finalidade de registrar eventos, podendo ser gerado por sistemas operacionais, aplicações, entre outros, e armazenado durante um período pré-determinado.
  53. Segurança da informação: Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.
  54. Servidores de rede: Recurso de informática com a finalidade de disponibilizar ou gerenciar serviços.
  55. Sigilo: Garantia que a informação é acessível somente por pessoas autorizadas a terem o acesso (Ref. NBR ISO/IEC 27002:2005).
  56. Sinistro: Qualquer ocorrência que coloque em risco os ativos do TJTO.
  57. Software: Um programa de computador é composto por uma sequência de instruções, que é interpretada e executada por um processador ou por uma máquina virtual.
  58. Tabela de Temporalidade: Instrumentos arquivísticos da Gestão Documental, resultado da avaliação de documentos. Neles estão dispostos os códigos de classificação, os assuntos, os prazos de guarda e a destinação final da massa documental produzida e recebida pelo Tribunal.
  59. Usuário: Considera-se usuário todo servidor público, estagiário, prestadores de serviço ou empresa contratada pelo TJTO que no exercício de atividades do Tribunal tenha acesso as informações e aos recursos de informática do Órgão.
  60. Computação em Nuvem: O conceito de computação em nuvem (em inglês, cloud computing) refere-se à utilização da memória e das capacidades de armazenamento, de computadores e servidores compartilhados e interligados por meio da Internet.
  61. Função Hash: A função hash é um mecanismo criptográfico usado para garantir a integridade da informação;
  62. Assinatura Digital: A assinatura digital consiste na aplicação da função hash a um documento original, gerando um resumo. Em seguida, utiliza-se a chave privada do Certificado Digital, para cifrar o resumo. O resumo cifrado é comumente chamado de Assinatura Digital;
  63. Certificado Digital: O Certificado Digital — recurso tecnológico advindo da criptografia moderna — uma credencial, que possui a função de identificar uma pessoa física ou jurídica; um computador ou um sítio web, e associar essa identidade a um par de chaves criptográficas, conhecida como criptografia de chave pública, que é composta por chave pública e chave privada;
  64. ICP-Brasil: Infraestrutura de Chaves Públicas Brasileira – ICP - Brasil foi instituída pela Medida Provisória (MP) 2.200-2/2001;
  65. Autoridades Certificadoras: Autoridades Certificadoras emitem, assinam e revogam Certificados Digitais;
  66. Token Criptográfico: É um dispositivo eletrônico, que pode ser conectado ao computador, geralmente pela porta USB, que armazenam as chaves privadas e certificados digitais e possuem suporte para vários algoritmos de criptografia. É o dispositivo usado para assinar documentos eletrônicos no eproc, sei e etc.
  1. Disposições finais:
  1. Este manual entra em vigor a partir da data de sua divulgação e sua revisão deve ocorrer em intervalos planejados, pelo menos anualmente, ou sempre que existir(em) alteração(ões) das regras acima expostas.
  2. Os casos omissos a essa norma devem ser encaminhados a Área de Segurança da Informação para o devido tratamento.
  1. DIRETRIZES
  1. OBJETIVO E ABRANGÊNCIA
  1. Art. 1º A Política de Segurança da Informação – PSI – do Tribunal de Justiça do Estado de Tocantins –TJTO – compreende princípios, diretrizes e requisitos com a finalidade de proteger seus ativos de informação e processamento, bem como direitos de propriedade intelectual, englobando aspectos de segurança pessoal, lógica e física, devendo ser observada por todos os usuários na forma desta resolução.
  1. PRINCÍPIOS
  1. Art. 2º A Política de Segurança da Informação tem como princípios a confidencialidade, a integridade, a autenticidade e a disponibilidade das informações.
  1. TERMOS E DEFINIÇÕES
  1. Art. 3º Para fins desta PSI entendem-se:
  2. I – usuários: autoridades, servidores e estagiários do TJTO, fornecedores de produtos e serviços, seus prepostos e empregados, representantes de órgãos e entidades jurisdicionados e visitantes, que tenham acesso aos ativos de informação e processamento disponibilizados pelo Tribunal;
  3. II - ativo de informação: patrimônio composto por todos os dados e informações gerados, manipulados ou descartados nos processos envolvendo atividades do TJTO;
  4. III – ativo de processamento: patrimônio composto por todos os elementos de hardware, software necessários à execução de processos envolvendo atividades do TJTO, tanto produzidos internamente quanto adquiridos;
  5. IV – hardware: componente ou conjunto de componentes físicos de um computador ou de seus periféricos;
  6. V – software: conjunto dos componentes que não fazem parte do equipamento físico e que incluem as instruções e programas, bem como dados a eles associados, empregados na execução dos processos envolvendo atividades do TJTO;
  7. VI – confidencialidade: garantia de que o acesso ao ativo de informação seja obtido somente por pessoas, entidades ou processos autorizados;
  8. VII – integridade: garantia de que o ativo de informação seja disponibilizado sempre exato e completo;
  9. VIII – autenticidade: garantia de que a origem do dado ou da informação é verdadeira e fidedigna;
  10. IX - disponibilidade: garantia de que os usuários autorizados obtenham acesso aos ativos de informação e processamento, sempre que necessário;
  11. X – termo de responsabilidade: acordo de confidencialidade quanto ao sigilo de informações, dando conhecimento ao usuário da correta utilização dos ativos de informação e processamento do TJTO e das responsabilidades e sanções pelo seu uso indevido;
  12. XI – servidor de rede local: ativo de processamento dedicado ao fornecimento de serviços para a realização das atividades do TJTO.
  1. DIRETRIZES DE SEGURANÇA
  1. CAPÍTULO I: SEGURANÇA ORGANIZACIONAL
  1. Art. 4º O Tribunal deve estabelecer, na sua estrutura organizacional, área responsável pela gestão da segurança da informação.
  1. CAPÍTULO II: PROPRIEDADE DA INFORMAÇÃO
  1. Art 5º Todo ativo de informação gerado, adquirido ou custodiado pelo usuário, na realização de atividades para o TJTO, é considerado de propriedade do Tribunal e deve ser protegido segundo as regras definidas nesta PSI e demais regulamentações, em vigor.

§ 1º O Tribunal deve providenciar junto ao fornecedor documentação formal relativa à cessão de direitos sobre o ativo de informação, antes de utilizá-los.

§ 2º Nos casos de cessão de ativo de informação do Tribunal, o responsável pelo ativo, assessorado pela área Jurídica do TJTO deve, se necessário, providenciar documentação formal relativa à cessão de direitos sobre o respectivo ativo.

  1. CAPÍTULO III: GESTÃO DE ATIVOS
  1. Art. 6º Todos os ativos de informação e processamento devem ser inventariados, periodicamente, e a eles atribuídos um responsável.

§ 1º Cada ativo de informação e processamento deve ser classificado, segundo os critérios definidos pelo TJTO, quanto aos aspectos de confidencialidade, integridade e disponibilidade por seu respectivo responsável, observando sua importância para os processos do TJTO, a fim de receberem níveis de proteção adequados.

...

Baixar como (para membros premium)  txt (54.2 Kb)   pdf (152.3 Kb)   docx (36.9 Kb)  
Continuar por mais 38 páginas »
Disponível apenas no TrabalhosGratuitos.com