Identificação
Portaria Nº 242 de 10/11/2020
Apelido
---
Temas
Ementa

Institui o Comitê de Segurança Cibernética do Poder Judiciário.

Situação
Revogado
Situação STF
---
Origem
Presidência
Fonte
DJe/CNJ nº 358/2020, de 11/11/2020, p. 9-11.
Alteração

Portaria n. 46 de 10 de fevereiro de 2022 - revogadora

Legislação Correlata

Lei nº 12.527, de 18 de novembro de 2011

Lei nº 13.709, de 14 de agosto de 2018

Lei nº 13.853, de 8 de julho de 2019

Lei nº 12.965, de 23 de abril de 2014

Resolução nº 211, de 15 de dezembro de 2015

Resolução nº 215, de 16 de dezembro de 2015

Resolução nº 176, de 10 de junho de 2013

Portaria nº 112, de 11 de julho de 2013

 
Observação / CUMPRDEC / CONSULTA
 
Texto
Texto Original
Texto Compilado

O PRESIDENTE DO CONSELHO NACIONAL DE JUSTIÇA (CNJ), no uso de suas atribuições legais e regimentais,

CONSIDERANDO competir ao CNJ a atribuição de coordenar o planejamento e a gestão estratégica de Tecnologia da Informação e Comunicação (TIC) do Poder Judiciário;

CONSIDERANDO que é imprescindível garantir a segurança cibernética do ecossistema digital do Poder Judiciário Brasileiro;

CONSIDERANDO o número crescente de incidentes cibernéticos no ambiente da rede mundial de computadores e a necessidade de processos de trabalho orientados para a boa gestão da segurança da informação;

CONSIDERANDO os termos da Resolução CNJ nº 211/2015, que instituiu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD), e estabeleceu as diretrizes para sua governança, gestão e infraestrutura;

CONSIDERANDO a importância de se estabelecer objetivos, princípios e diretrizes de Segurança da Informação alinhados às recomendações constantes da norma NBR ISO/IEC 27001:2013, que trata da segurança da informação;

CONSIDERANDO a importância de se estabelecer objetivos, princípios e diretrizes de Gestão de Riscos de Segurança da Informação alinhados às recomendações constantes da norma NBR ISO/IEC 27005:2019, que trata da gestão de riscos segurança da informação;

CONSIDERANDO a necessidade de garantir o cumprimento da Lei Federal nº 12.527/2011 (Lei de Acesso à Informação), bem como, no âmbito do Poder Judiciário, da Resolução CNJ nº 215/2015, normas que disciplinam o direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral;

CONSIDERANDO o que dispõe a Lei Federal nº 13.709/2018, com a redação dada pela Lei Federal nº 13.853/2019, sobre a proteção de dados pessoais, que altera a Lei nº 12.965/2014 (Marco Civil da Internet);

CONSIDERANDO o disposto na Resolução CNJ nº 176/2013, que institui o Sistema Nacional de Segurança do Poder Judiciário;

 

RESOLVE:

 

Art. 1º Instituir o Comitê de Segurança Cibernética do Poder Judiciário (CSCPJ).

Art. 2º Integram o CSCPJ especialistas técnicos indicados pelos seguintes órgãos:

I – dois representantes do Conselho Nacional de Justiça;

II – dois representantes do Supremo Tribunal Federal (STF);

III – um representante do Superior Tribunal de Justiça (STJ);

IV – um representante do Tribunal Superior Eleitoral (TSE);

V – um representante do Tribunal Superior do Trabalho (TST);

VI – um representante do Conselho da Justiça Federal (CJF), representando a Justiça Federal;

VII – um representante do Superior Tribunal Militar (STM); e

VIII – dois representantes dos Tribunais de Justiça Estaduais.

§ 1º O CSCPJ será coordenado por um representante do Conselho Nacional de Justiça designado pela Presidência.

§ 2º As indicações dos representantes dos incisos I e VIII serão feitas pela Presidência do CNJ.

§ 3º O comitê poderá convidar representantes de órgãos de segurança pública, das Forças Armadas e especialistas técnicos de outros órgãos públicos ou privados que pretendam subsidiar os respectivos trabalhos.

§4º Os integrantes do CSCPJ deverão ter conhecimento técnico na área de segurança cibernética.

Art. 3º O CSCPJ deverá apresentar, à Presidência do CNJ:

I – no prazo de até 20 (vinte) dias, Protocolo de Prevenção e Protocolo de Gerenciamento de Crise para o enfrentamento de ilícitos cibernéticos no âmbito do Poder Judiciário;

II – no prazo de até 30 (trinta) dias, Protocolo de Investigação para ilícitos cibernéticos que possam afetar o Poder Judiciário, e

III – no prazo de até 120 (cento e vinte) dias, minuta da Estratégia da Segurança Cibernética e da Informação do Poder Judiciário, contendo, no mínimo:

a) política de segurança cibernética;

b) estratégia nacional de segurança cibernética, incluindo governança e gestão de segurança da informação;

c) padrões mínimos de gestão de riscos de segurança da informação;

d) padrões mínimos para proteção de ativos de TIC, que adotem soluções integradoras;

e) requisitos que assegurem confiança digital, prevenção e mitigação de ameaças cibernéticas;

f) padrões mínimos de resiliência e continuidade dos serviços de TIC em caso de incidentes de segurança e indisponibilidade;

g) política de cultura e educação cibernética, prevendo treinamento e habilidades em segurança cibernética em todos os níveis (profissionais que atuam na área e usuários que utilizam recursos de TIC);

h) padrões orçamentários mínimos para que cada tribunal possa garantir a segurança cibernética no âmbito da sua jurisdição;

i) diretrizes para pesquisa e desenvolvimento de inovações na área de segurança cibernética;

j) previsões de conformidade com a Lei Federal nº 13.709/2018 (LGPD);

k) previsões para a fiscalização da adequação dos requisitos de segurança estabelecidos por auditoria externa ou interna;

l) política de gestão de identidade e acesso; e

m) política de encriptação de dados sensíveis.

Parágrafo único. As entregas poderão ser fracionadas e tornadas eficazes por ato da Presidência em virtude da urgência e necessidade, sem prejuízo de ulterior consolidação a ser submetida a Plenário no prazo acima previsto.

Art. 4º Para efeitos deste ato considera-se ativos de TIC:

I – hardwares (computadores servidores, estações de trabalho, notebooks, periféricos, equipamentos de rede, etc.);

II – softwares (sistemas operacionais, aplicativos, sistemas corporativos, etc.);

III – serviços (nuvem, SaaS, desenvolvimento, manutenção, helpdesk, etc.);

IV – canais de comunicação de dados, de uso exclusivo, que interligam todas as unidades do Tribunais e órgãos parceiros;

V – dispositivos móveis fornecidos pelos tribunais (tokens, tablets, smartphones, etc.);

VI – correio eletrônico;

VII – intranet e internet;

VIII – bases de dados;

IX – sistemas de automação predial;

X – sistemas de segurança da informação;

XI– central telefônica e VOIP;

XII – sistemas de videoconferência;

XIII – Circuito Fechado de Televisão (CFTV); e

XIV – outros recursos de TIC ou SI em uso ou que venham a ser usados nos tribunais.

Art. 5º O CSCPJ deverá propor norma para a criação, a ativação e o efetivo funcionamento do Centro de Tratamento de Incidentes de Segurança Cibernética (CTISC) do CNJ, que funcionará como canal oficial para orquestração e divulgação de ações preventivas e corretivas, em caso de ameaças ou de ataques cibernéticos.

Parágrafo único. O CTISC deverá ser composto por um representante e um suplente de cada Tribunal da Federação.

Art. 6º Caberá ao CSCPJ propor revisões e atualizações das normas de segurança cibernética aprovadas pelo CNJ, bem como acompanhar a sua implementação em todos os tribunais.

Art. 7º O Comitê realizará reuniões ordinárias trimestrais, preferencialmente nos meses de março, junho, setembro e dezembro, para a avaliação e monitoramento das ações de segurança cibernética no Poder Judiciário.

Art. 8º Fica revogada a Portaria CNJ nº 112/2013.

Art. 9º Esta Portaria entra em vigor na data da sua publicação.

 

Ministro LUIZ FUX