A POLÍTICA DE SEGURANÇA A INFORMAÇÃO
Por: Millena Barbosa Menezes • 1/7/2021 • Resenha • 9.709 Palavras (39 Páginas) • 172 Visualizações
- POLÍTICA DE SEGURANÇA A INFORMAÇÃO
- Conjunto de Documentos contendo regras de negócio, que visam promover a segurança Institucional. Balizada em dispositivos legais, bem como nas Diretrizes e Princípios da Instituição.
- OBJETIVO DA PSI:
- Garantir a Integridade, Autenticidade, Disponibilidade das informações;
- Proteção, Custódia e Controle de acesso as informações;
- Garantir o direito pessoal e coletivo à intimidade e ao sigilo da correspondência e das comunicações individuais; e
- A proteção dos dados, informações e conhecimentos produzidos no Poder Judiciário Tocantinense;
- MANUAL DE ORGANIZAÇÃO DE CONCEITOS
- Este manual apresenta os termos e definições utilizados na documentação da Política de Segurança da Informação do TJTO;
- Diretoria de Tecnologia da Informação: A Diretoria de Tecnologia da Informação é a área responsável por desenvolver e manter os recursos computacionais e de telecomunicações do Tribunal de Justiça e Comarcas (Ref. Resolução 0017 2009), competindo-lhe:
- Manter a integração e a conectividade dos sistemas, veiculando as informações de todas as áreas informatizadas;
- Desenvolver e gerenciar sistemas de computação necessários ao bom funcionamento do Poder Judiciário;
- Elaborar as especificações técnicas para os editais de aquisição de equipamentos e suprimentos de informática e telecomunicações;
- Gerenciar os serviços de telefonia fixa e móvel;
- Manter o bom funcionamento de todo o parque tecnológico;
- Propiciar treinamento interno aos usuários dos recursos computacionais disponíveis.
- Compete prover o parque de hardware e software das estações de trabalho, prover suporte ao uso de soluções de tecnologia da informação para os usuários, bem como identificar novas demandas.
- Divisão de Sistema da Informação: À Divisão de Sistema de Informação compete o desenvolvimento de sistemas e programas computacionais relativos às atividades-fim e meio do Poder Judiciário, bem como à manutenção e à assistência técnica daqueles em funcionamento. (Ref. Resolução 0017 2009);
- Divisão de Administração e Segurança de Rede: À Divisão de Administração e Segurança de Rede compete gerenciar redes com formatos em diferentes ambientes de dados, como interfaceamento de sistemas de plataformas e com redes abertas e redes virtuais. (Ref. Resolução 0017 2009);
- Divisão de Administração de Banco de Dados: À Divisão de Administração de Banco de Dados compete a participação em projetos de modelagem de dados, manutenção em objetos de banco de dados, monitoramento e administração das bases de dados corporativas do Poder Judiciário, assim como controle de acesso, instalação lógica e física, implementação de rotinas de segurança, backup e recuperação de dados. (Ref. Resolução 0017 2009);
- Divisão de Manutenção e Suporte: À Divisão de Manutenção e Suporte compete: dar suporte aos usuários e manutenção dos computadores e periféricos, na sede do Tribunal e nas Comarcas. (Ref. Resolução 0017 2009);
- Arquivo público: Conjuntos de documentos produzidos e recebidos, no exercício de suas atividades, por órgãos públicos de âmbito federal, estadual, do Distrito Federal e municipal em decorrência de suas funções administrativas, legislativas e judiciárias (Ref. Lei 8.159).
- Acesso: Possibilidade de consulta e/ou reprodução aos documentos de arquivo.
- Alta direção: Diretoria executiva e conselho de administração.
- Ativo: Qualquer coisa que tenha valor para a organização.
- Áreas de segurança: Locais onde estão armazenadas ou são manipuladas informações classificadas como confidenciais.
- Backup: Cópia de segurança dos arquivos de computador.
- Classificação: Atribuição, pelo classificador, de grau de segurança a dado, informação, documento ou material (Ref. Decreto 4.553).
- Classificador: Agente Público responsável por tomar decisões em nome do Tribunal no que diz respeito ao acesso, à classificação, à reclassificação, à desclassificação e a proteção de uma informação ou de um ativo específico.
- Código móvel: É um código transferido de um computador a outro executando automaticamente e realizando funções específicas com pequena ou nenhuma interação por parte do usuário.
- Confidencialidade: Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados.
- Coordenação de Segurança da Informação: Grupo responsável por tomar decisões estratégicas de assuntos relacionados com a segurança da informação.
- Credencial de segurança: Certificado concedido por autoridade competente, que habilita uma pessoa a ter acesso a ativo sigiloso ou ambiente físico reservado.
- Criptografia: Técnica utilizada em sistemas de segurança, que transforma, através de combinações matemáticas, um arquivo de texto legível em texto codificado, que somente poderá ser decodificado por alguém que tiver a tabela ou fórmula de decriptografia específica para aquele arquivo.
- Custodiante: Agente Público ou unidade organizacional responsável pela guarda e transporte de ativos e manutenção das medidas de proteção estabelecidas.
- Código malicioso: E um programa de computador – uma parte do código executável – com capacidade de auto-replicação. Da mesma forma que os vírus biológicos, os códigos maliciosos de computador podem se disseminar com rapidez e a sua erradicação normalmente é difícil. Eles podem se anexar a praticamente qualquer tipo de arquivo e se disseminam como arquivos que são copiados e enviados de uma pessoa para outra.
- Ambiente de Alta Disponibilidade – AAD: Trata-se do Ambiente de Alta Disponibilidade que compreende as salas seguras, sendo uma principal na sede do Tribunal de Justiça (AAD-TJTO) e uma secundária no Fórum de Palmas (AAD-FORUM).
- NOC: NOC significa Network Operations Center (centro de operação de rede, em inglês);
- CPD: Centro de Processamento de Dados do TJTO.
- Desclassificação: Cancelamento, por autoridade ou por transcurso de prazo, da classificação, tornando ostensivos dados e informações.
- Disponibilidade: Propriedade de estar acessível e utilizável sob demanda de uma entidade autorizada.
- Diretoria Executiva: Colegiado composto pelos diretores e presidente.
- Documento: Documento é o registro de um determinado fato ou evento ocorrido em determinado espaço de tempo, independente do meio em que foi efetuado tal registro.
- Documento confidencial: Documento que contém assunto classificado como sigiloso e que, portanto, requer medidas especiais de acesso.
- Documento Eletrônico: Documento Eletrônico (documento digital), trata-se de um documento produzido por aplicativos de computador e armazenado em meio eletrônico como peça de substituição de documento em papel;
- Equipamentos de interconexão: Equipamentos que possibilitam a interligação de dois ou mais recursos de informática, tais como servidores de rede e estações de trabalho.
- Formato digital: Formato no qual a informação é armazenada em mídia digital, por exemplo: CD-rom, DVD-rom, fita magnética, disquete, disco rígido, fita cartucho, memória flash e etc.
- Comissão: Grupo de pessoas formado para estudo de um tema específico.
- Gestor do processo: Colaborador responsável por um determinado processo dentro da organização.
- Grau de segurança: Gradação de segurança atribuída a ativos em decorrência de sua natureza ou conteúdo (Ref. Decreto 4.553).
- Incidente de Segurança: Todo e qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança das informações ou dos recursos de informática.
- Identificação de acesso: Conjunto do "nome de usuário" e "senha".
- Integridade: Propriedade de salvaguarda da exatidão e completeza de ativos.
- Manipulação: Manuseio da informação, ou seja, todo tratamento que ela recebe tais como: cópia, processamento, etc.
- Medidas de proteção: Medidas destinadas a garantir sigilo, inviolabilidade, integridade, autenticidade, legitimidade e disponibilidade de dados e informações. Também objetivam prevenir, detectar, anular e registrar ameaças reais ou potenciais aos ativos (Ref. Decreto 4.553).
- Partes externas: Fornecedores, parceiros e clientes que trocam informações com o Tribunal;
- Plano de Continuidade de Negócios: Conjunto de ações que uma Instituição deve tomar para assegurar a continuidade das operações essenciais em caso de falhas nos processos de negócios.
- Processo crítico: Conjunto de ações vitais para o Tribunal que devem ser conduzidas adequadamente, a fim de evitar prejuízos financeiros, comprometimento da sua imagem e, até a inviabilização do seu negócio.
- RAID: Conjunto Redundante de Discos Independentes é um meio de se criar uma unidade virtual composta por vários discos individuais, com a finalidade de ganhar segurança e desempenho.
- Reclassificação: Alteração da classificação de ativos pelo classificador. (Ref. Decreto 4.553).
- Recursos de Informática: Considera-se recurso de informática as estações de trabalho, servidores de rede e equipamento de interconexão de propriedade ou custodiados pelo TJTO.
- Registro (log) ou log de eventos: Arquivo eletrônico com a finalidade de registrar eventos, podendo ser gerado por sistemas operacionais, aplicações, entre outros, e armazenado durante um período pré-determinado.
- Segurança da informação: Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.
- Servidores de rede: Recurso de informática com a finalidade de disponibilizar ou gerenciar serviços.
- Sigilo: Garantia que a informação é acessível somente por pessoas autorizadas a terem o acesso (Ref. NBR ISO/IEC 27002:2005).
- Sinistro: Qualquer ocorrência que coloque em risco os ativos do TJTO.
- Software: Um programa de computador é composto por uma sequência de instruções, que é interpretada e executada por um processador ou por uma máquina virtual.
- Tabela de Temporalidade: Instrumentos arquivísticos da Gestão Documental, resultado da avaliação de documentos. Neles estão dispostos os códigos de classificação, os assuntos, os prazos de guarda e a destinação final da massa documental produzida e recebida pelo Tribunal.
- Usuário: Considera-se usuário todo servidor público, estagiário, prestadores de serviço ou empresa contratada pelo TJTO que no exercício de atividades do Tribunal tenha acesso as informações e aos recursos de informática do Órgão.
- Computação em Nuvem: O conceito de computação em nuvem (em inglês, cloud computing) refere-se à utilização da memória e das capacidades de armazenamento, de computadores e servidores compartilhados e interligados por meio da Internet.
- Função Hash: A função hash é um mecanismo criptográfico usado para garantir a integridade da informação;
- Assinatura Digital: A assinatura digital consiste na aplicação da função hash a um documento original, gerando um resumo. Em seguida, utiliza-se a chave privada do Certificado Digital, para cifrar o resumo. O resumo cifrado é comumente chamado de Assinatura Digital;
- Certificado Digital: O Certificado Digital — recurso tecnológico advindo da criptografia moderna — uma credencial, que possui a função de identificar uma pessoa física ou jurídica; um computador ou um sítio web, e associar essa identidade a um par de chaves criptográficas, conhecida como criptografia de chave pública, que é composta por chave pública e chave privada;
- ICP-Brasil: Infraestrutura de Chaves Públicas Brasileira – ICP - Brasil foi instituída pela Medida Provisória (MP) 2.200-2/2001;
- Autoridades Certificadoras: Autoridades Certificadoras emitem, assinam e revogam Certificados Digitais;
- Token Criptográfico: É um dispositivo eletrônico, que pode ser conectado ao computador, geralmente pela porta USB, que armazenam as chaves privadas e certificados digitais e possuem suporte para vários algoritmos de criptografia. É o dispositivo usado para assinar documentos eletrônicos no eproc, sei e etc.
- Disposições finais:
- Este manual entra em vigor a partir da data de sua divulgação e sua revisão deve ocorrer em intervalos planejados, pelo menos anualmente, ou sempre que existir(em) alteração(ões) das regras acima expostas.
- Os casos omissos a essa norma devem ser encaminhados a Área de Segurança da Informação para o devido tratamento.
- DIRETRIZES
- OBJETIVO E ABRANGÊNCIA
- Art. 1º A Política de Segurança da Informação – PSI – do Tribunal de Justiça do Estado de Tocantins –TJTO – compreende princípios, diretrizes e requisitos com a finalidade de proteger seus ativos de informação e processamento, bem como direitos de propriedade intelectual, englobando aspectos de segurança pessoal, lógica e física, devendo ser observada por todos os usuários na forma desta resolução.
- PRINCÍPIOS
- Art. 2º A Política de Segurança da Informação tem como princípios a confidencialidade, a integridade, a autenticidade e a disponibilidade das informações.
- TERMOS E DEFINIÇÕES
- Art. 3º Para fins desta PSI entendem-se:
- I – usuários: autoridades, servidores e estagiários do TJTO, fornecedores de produtos e serviços, seus prepostos e empregados, representantes de órgãos e entidades jurisdicionados e visitantes, que tenham acesso aos ativos de informação e processamento disponibilizados pelo Tribunal;
- II - ativo de informação: patrimônio composto por todos os dados e informações gerados, manipulados ou descartados nos processos envolvendo atividades do TJTO;
- III – ativo de processamento: patrimônio composto por todos os elementos de hardware, software necessários à execução de processos envolvendo atividades do TJTO, tanto produzidos internamente quanto adquiridos;
- IV – hardware: componente ou conjunto de componentes físicos de um computador ou de seus periféricos;
- V – software: conjunto dos componentes que não fazem parte do equipamento físico e que incluem as instruções e programas, bem como dados a eles associados, empregados na execução dos processos envolvendo atividades do TJTO;
- VI – confidencialidade: garantia de que o acesso ao ativo de informação seja obtido somente por pessoas, entidades ou processos autorizados;
- VII – integridade: garantia de que o ativo de informação seja disponibilizado sempre exato e completo;
- VIII – autenticidade: garantia de que a origem do dado ou da informação é verdadeira e fidedigna;
- IX - disponibilidade: garantia de que os usuários autorizados obtenham acesso aos ativos de informação e processamento, sempre que necessário;
- X – termo de responsabilidade: acordo de confidencialidade quanto ao sigilo de informações, dando conhecimento ao usuário da correta utilização dos ativos de informação e processamento do TJTO e das responsabilidades e sanções pelo seu uso indevido;
- XI – servidor de rede local: ativo de processamento dedicado ao fornecimento de serviços para a realização das atividades do TJTO.
- DIRETRIZES DE SEGURANÇA
- CAPÍTULO I: SEGURANÇA ORGANIZACIONAL
- Art. 4º O Tribunal deve estabelecer, na sua estrutura organizacional, área responsável pela gestão da segurança da informação.
- CAPÍTULO II: PROPRIEDADE DA INFORMAÇÃO
- Art 5º Todo ativo de informação gerado, adquirido ou custodiado pelo usuário, na realização de atividades para o TJTO, é considerado de propriedade do Tribunal e deve ser protegido segundo as regras definidas nesta PSI e demais regulamentações, em vigor.
§ 1º O Tribunal deve providenciar junto ao fornecedor documentação formal relativa à cessão de direitos sobre o ativo de informação, antes de utilizá-los.
§ 2º Nos casos de cessão de ativo de informação do Tribunal, o responsável pelo ativo, assessorado pela área Jurídica do TJTO deve, se necessário, providenciar documentação formal relativa à cessão de direitos sobre o respectivo ativo.
- CAPÍTULO III: GESTÃO DE ATIVOS
- Art. 6º Todos os ativos de informação e processamento devem ser inventariados, periodicamente, e a eles atribuídos um responsável.
§ 1º Cada ativo de informação e processamento deve ser classificado, segundo os critérios definidos pelo TJTO, quanto aos aspectos de confidencialidade, integridade e disponibilidade por seu respectivo responsável, observando sua importância para os processos do TJTO, a fim de receberem níveis de proteção adequados.
...