A POLÍTICA DE SEGURANÇA A INFORMAÇÃO

1. POLÍTICA DE SEGURANÇA A INFORMAÇÃO

1. Conjunto de Documentos contendo regras de negócio, que visam promover a segurança Institucional. Balizada em dispositivos legais, bem como nas Diretrizes e Princípios da Instituição.

1. OBJETIVO DA PSI:

1. Garantir a Integridade, Autenticidade, Disponibilidade das informações;
2. Proteção, Custódia e Controle de acesso as informações;
3. Garantir o direito pessoal e coletivo à intimidade e ao sigilo da correspondência e das comunicações individuais; e
4. A proteção dos dados, informações e conhecimentos produzidos no Poder Judiciário Tocantinense;

1. MANUAL DE ORGANIZAÇÃO DE CONCEITOS

1. Este manual apresenta os termos e definições utilizados na documentação da Política de Segurança da Informação do TJTO;
2. Diretoria de Tecnologia da Informação: A Diretoria de Tecnologia da Informação é a área responsável por desenvolver e manter os recursos computacionais e de telecomunicações do Tribunal de Justiça e Comarcas (Ref. Resolução 0017 2009), competindo-lhe:

1. Manter a integração e a conectividade dos sistemas, veiculando as informações de todas as áreas informatizadas;
2. Desenvolver e gerenciar sistemas de computação necessários ao bom funcionamento do Poder Judiciário;
3. Elaborar as especificações técnicas para os editais de aquisição de equipamentos e suprimentos de informática e telecomunicações;
4. Gerenciar os serviços de telefonia fixa e móvel;
5. Manter o bom funcionamento de todo o parque tecnológico;
6. Propiciar treinamento interno aos usuários dos recursos computacionais disponíveis.
7. Compete prover o parque de hardware e software das estações de trabalho, prover suporte ao uso de soluções de tecnologia da informação para os usuários, bem como identificar novas demandas.
8. Divisão de Sistema da Informação: À Divisão de Sistema de Informação compete o desenvolvimento de sistemas e programas computacionais relativos às atividades-fim e meio do Poder Judiciário, bem como à manutenção e à assistência técnica daqueles em funcionamento. (Ref. Resolução 0017 2009);
9. Divisão de Administração e Segurança de Rede: À Divisão de Administração e Segurança de Rede compete gerenciar redes com formatos em diferentes ambientes de dados, como interfaceamento de sistemas de plataformas e com redes abertas e redes virtuais. (Ref. Resolução 0017 2009);
10. Divisão de Administração de Banco de Dados: À Divisão de Administração de Banco de Dados compete a participação em projetos de modelagem de dados, manutenção em objetos de banco de dados, monitoramento e administração das bases de dados corporativas do Poder Judiciário, assim como controle de acesso, instalação lógica e física, implementação de rotinas de segurança, backup e recuperação de dados. (Ref. Resolução 0017 2009);
11. Divisão de Manutenção e Suporte: À Divisão de Manutenção e Suporte compete: dar suporte aos usuários e manutenção dos computadores e periféricos, na sede do Tribunal e nas Comarcas. (Ref. Resolução 0017 2009);
12. Arquivo público: Conjuntos de documentos produzidos e recebidos, no exercício de suas atividades, por órgãos públicos de âmbito federal, estadual, do Distrito Federal e municipal em decorrência de suas funções administrativas, legislativas e judiciárias (Ref. Lei 8.159).
13. Acesso: Possibilidade de consulta e/ou reprodução aos documentos de arquivo.
14. Alta direção: Diretoria executiva e conselho de administração.
15. Ativo: Qualquer coisa que tenha valor para a organização.
16. Áreas de segurança: Locais onde estão armazenadas ou são manipuladas informações classificadas como confidenciais.
17. Backup: Cópia de segurança dos arquivos de computador.
18. Classificação: Atribuição, pelo classificador, de grau de segurança a dado, informação, documento ou material (Ref. Decreto 4.553).
19. Classificador: Agente Público responsável por tomar decisões em nome do Tribunal no que diz respeito ao acesso, à classificação, à reclassificação, à desclassificação e a proteção de uma informação ou de um ativo específico.
20. Código móvel: É um código transferido de um computador a outro executando automaticamente e realizando funções específicas com pequena ou nenhuma interação por parte do usuário.
21. Confidencialidade: Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados.
22. Coordenação de Segurança da Informação: Grupo responsável por tomar decisões estratégicas de assuntos relacionados com a segurança da informação.
23. Credencial de segurança: Certificado concedido por autoridade competente, que habilita uma pessoa a ter acesso a ativo sigiloso ou ambiente físico reservado.
24. Criptografia: Técnica utilizada em sistemas de segurança, que transforma, através de combinações matemáticas, um arquivo de texto legível em texto codificado, que somente poderá ser decodificado por alguém que tiver a tabela ou fórmula de decriptografia específica para aquele arquivo.
25. Custodiante: Agente Público ou unidade organizacional responsável pela guarda e transporte de ativos e manutenção das medidas de proteção estabelecidas.
26. Código malicioso: E um programa de computador – uma parte do código executável – com capacidade de auto-replicação. Da mesma forma que os vírus biológicos, os códigos maliciosos de computador podem se disseminar com rapidez e a sua erradicação normalmente é difícil. Eles podem se anexar a praticamente qualquer tipo de arquivo e se disseminam como arquivos que são copiados e enviados de uma pessoa para outra.
27. Ambiente de Alta Disponibilidade – AAD: Trata-se do Ambiente de Alta Disponibilidade que compreende as salas seguras, sendo uma principal na sede do Tribunal de Justiça (AAD-TJTO) e uma secundária no  Fórum de Palmas (AAD-FORUM).
28. NOC: NOC significa Network Operations Center (centro de operação de rede, em inglês);
29. CPD: Centro de Processamento de Dados do TJTO.
30. Desclassificação: Cancelamento, por autoridade ou por transcurso de prazo, da classificação, tornando ostensivos dados e informações.
31. Disponibilidade: Propriedade de estar acessível e utilizável sob demanda de uma entidade autorizada.
32. Diretoria Executiva: Colegiado composto pelos diretores e presidente.
33. Documento: Documento é o registro de um determinado fato ou evento ocorrido em determinado espaço de tempo, independente do meio em que foi efetuado tal registro.
34. Documento confidencial: Documento que contém assunto classificado como sigiloso e que, portanto, requer medidas especiais de acesso.
35. Documento Eletrônico: Documento Eletrônico (documento digital), trata-se de um documento produzido por aplicativos de computador e armazenado em meio eletrônico como peça de substituição de documento em papel;
36. Equipamentos de interconexão: Equipamentos que possibilitam a interligação de dois ou mais recursos de informática, tais como servidores de rede e estações de trabalho.
37. Formato digital: Formato no qual a informação é armazenada em mídia digital, por exemplo: CD-rom, DVD-rom, fita magnética, disquete, disco rígido, fita cartucho, memória flash e etc.
38. Comissão: Grupo de pessoas formado para estudo de um tema específico.
39. Gestor do processo: Colaborador responsável por um determinado processo dentro da organização.
40. Grau de segurança: Gradação de segurança atribuída a ativos em decorrência de sua natureza ou conteúdo (Ref. Decreto 4.553).
41. Incidente de Segurança: Todo e qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança das informações ou dos recursos de informática.
42. Identificação de acesso: Conjunto do "nome de usuário" e "senha".
43. Integridade: Propriedade de salvaguarda da exatidão e completeza de ativos.
44. Manipulação: Manuseio da informação, ou seja, todo tratamento que ela recebe tais como: cópia, processamento, etc.
45. Medidas de proteção: Medidas destinadas a garantir sigilo, inviolabilidade, integridade, autenticidade, legitimidade e disponibilidade de dados e informações. Também objetivam prevenir, detectar, anular e registrar ameaças reais ou potenciais aos ativos (Ref. Decreto 4.553).
46. Partes externas: Fornecedores, parceiros e clientes que trocam informações com o Tribunal;
47. Plano de Continuidade de Negócios: Conjunto de ações que uma Instituição deve tomar para assegurar a continuidade das operações essenciais em caso de falhas nos processos de negócios.
48. Processo crítico: Conjunto de ações vitais para o Tribunal que devem ser conduzidas adequadamente, a fim de evitar prejuízos financeiros, comprometimento da sua imagem e, até a inviabilização do seu negócio.
49. RAID: Conjunto Redundante de Discos Independentes é um meio de se criar uma unidade virtual composta por vários discos individuais, com a finalidade de ganhar segurança e desempenho.
50. Reclassificação: Alteração da classificação de ativos pelo classificador. (Ref. Decreto 4.553).
51. Recursos de Informática: Considera-se recurso de informática as estações de trabalho, servidores de rede e equipamento de interconexão de propriedade ou custodiados pelo TJTO.
52. Registro (log) ou log de eventos: Arquivo eletrônico com a finalidade de registrar eventos, podendo ser gerado por sistemas operacionais, aplicações, entre outros, e armazenado durante um período pré-determinado.
53. Segurança da informação: Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.
54. Servidores de rede: Recurso de informática com a finalidade de disponibilizar ou gerenciar serviços.
55. Sigilo: Garantia que a informação é acessível somente por pessoas autorizadas a terem o acesso (Ref. NBR ISO/IEC 27002:2005).
56. Sinistro: Qualquer ocorrência que coloque em risco os ativos do TJTO.
57. Software: Um programa de computador é composto por uma sequência de instruções, que é interpretada e executada por um processador ou por uma máquina virtual.
58. Tabela de Temporalidade: Instrumentos arquivísticos da Gestão Documental, resultado da avaliação de documentos. Neles estão dispostos os códigos de classificação, os assuntos, os prazos de guarda e a destinação final da massa documental produzida e recebida pelo Tribunal.
59. Usuário: Considera-se usuário todo servidor público, estagiário, prestadores de serviço ou empresa contratada pelo TJTO que no exercício de atividades do Tribunal tenha acesso as informações e aos recursos de informática do Órgão.
60. Computação em Nuvem: O conceito de computação em nuvem (em inglês, cloud computing) refere-se à utilização da memória e das capacidades de armazenamento, de computadores e servidores compartilhados e interligados por meio da Internet.
61. Função Hash: A função hash é um mecanismo criptográfico usado para garantir a integridade da informação;
62. Assinatura Digital: A assinatura digital consiste na aplicação da função hash a um documento original, gerando um resumo. Em seguida, utiliza-se a chave privada do Certificado Digital, para cifrar o resumo. O resumo cifrado é comumente chamado de Assinatura Digital;
63. Certificado Digital: O Certificado Digital — recurso tecnológico advindo da criptografia moderna — uma credencial, que possui a função de identificar uma pessoa física ou jurídica; um computador ou um sítio web, e associar essa identidade a um par de chaves criptográficas, conhecida como criptografia de chave pública, que é composta por chave pública e chave privada;
64. ICP-Brasil: Infraestrutura de Chaves Públicas Brasileira – ICP - Brasil foi instituída pela Medida Provisória (MP) 2.200-2/2001;
65. Autoridades Certificadoras: Autoridades Certificadoras emitem, assinam e revogam Certificados Digitais;
66. Token Criptográfico: É um dispositivo eletrônico, que pode ser conectado ao computador, geralmente pela porta USB, que armazenam as chaves privadas e certificados digitais e possuem suporte para vários algoritmos de criptografia. É o dispositivo usado para assinar documentos eletrônicos no eproc, sei e etc.

1. Disposições finais:

1. Este manual entra em vigor a partir da data de sua divulgação e sua revisão deve ocorrer em intervalos planejados, pelo menos anualmente, ou sempre que existir(em) alteração(ões) das regras acima expostas.
2. Os casos omissos a essa norma devem ser encaminhados a Área de Segurança da Informação para o devido tratamento.

1. DIRETRIZES

1. OBJETIVO E ABRANGÊNCIA

1. Art. 1º A Política de Segurança da Informação – PSI – do Tribunal de Justiça do Estado de Tocantins –TJTO – compreende princípios, diretrizes e requisitos com a finalidade de proteger seus ativos de informação e processamento, bem como direitos de propriedade intelectual, englobando aspectos de segurança pessoal, lógica e física, devendo ser observada por todos os usuários na forma desta resolução.

1. PRINCÍPIOS

1. Art. 2º A Política de Segurança da Informação tem como princípios a confidencialidade, a integridade, a autenticidade e a disponibilidade das informações.

1. TERMOS E DEFINIÇÕES

1. Art. 3º Para fins desta PSI entendem-se:
2. I – usuários: autoridades, servidores e estagiários do TJTO, fornecedores de produtos e serviços, seus prepostos e empregados, representantes de órgãos e entidades jurisdicionados e visitantes, que tenham acesso aos ativos de informação e processamento disponibilizados pelo Tribunal;
3. II - ativo de informação: patrimônio composto por todos os dados e informações gerados, manipulados ou descartados nos processos envolvendo atividades do TJTO;
4. III – ativo de processamento: patrimônio composto por todos os elementos de hardware, software necessários à execução de processos envolvendo atividades do TJTO, tanto produzidos internamente quanto adquiridos;
5. IV – hardware: componente ou conjunto de componentes físicos de um computador ou de seus periféricos;
6. V – software: conjunto dos componentes que não fazem parte do equipamento físico e que incluem as instruções e programas, bem como dados a eles associados, empregados na execução dos processos envolvendo atividades do TJTO;
7. VI – confidencialidade: garantia de que o acesso ao ativo de informação seja obtido somente por pessoas, entidades ou processos autorizados;
8. VII – integridade: garantia de que o ativo de informação seja disponibilizado sempre exato e completo;
9. VIII – autenticidade: garantia de que a origem do dado ou da informação é verdadeira e fidedigna;
10. IX - disponibilidade: garantia de que os usuários autorizados obtenham acesso aos ativos de informação e processamento, sempre que necessário;
11. X – termo de responsabilidade: acordo de confidencialidade quanto ao sigilo de informações, dando conhecimento ao usuário da correta utilização dos ativos de informação e processamento do TJTO e das responsabilidades e sanções pelo seu uso indevido;
12. XI – servidor de rede local: ativo de processamento dedicado ao fornecimento de serviços para a realização das atividades do TJTO.

1. DIRETRIZES DE SEGURANÇA

1. CAPÍTULO I: SEGURANÇA ORGANIZACIONAL

1. Art. 4º O Tribunal deve estabelecer, na sua estrutura organizacional, área responsável pela gestão da segurança da informação.

1. CAPÍTULO II: PROPRIEDADE DA INFORMAÇÃO

1. Art 5º Todo ativo de informação gerado, adquirido ou custodiado pelo usuário, na realização de atividades para o TJTO, é considerado de propriedade do Tribunal e deve ser protegido segundo as regras definidas nesta PSI e demais regulamentações, em vigor.

§ 1º O Tribunal deve providenciar junto ao fornecedor documentação formal relativa à cessão de direitos sobre o ativo de informação, antes de utilizá-los.

§ 2º Nos casos de cessão de ativo de informação do Tribunal, o responsável pelo ativo, assessorado pela área Jurídica do TJTO deve, se necessário, providenciar documentação formal relativa à cessão de direitos sobre o respectivo ativo.

1. CAPÍTULO III: GESTÃO DE ATIVOS

1. Art. 6º Todos os ativos de informação e processamento devem ser inventariados, periodicamente, e a eles atribuídos um responsável.

§ 1º Cada ativo de informação e processamento deve ser classificado, segundo os critérios definidos pelo TJTO, quanto aos aspectos de confidencialidade, integridade e disponibilidade por seu respectivo responsável, observando sua importância para os processos do TJTO, a fim de receberem níveis de proteção adequados.

...