Identificação
Portaria Nº 242 de 10/11/2020
Apelido
---
Ementa

Institui o Comitê de Segurança Cibernética do Poder Judiciário.

Situação
Vigente
Situação STF
Origem
Presidência
Fonte
DJe/CNJ nº 358/2020, de 11/11/2020, p. 9-11.
Alteração
Legislação Correlata
Assunto
Instituição; Comitê de Segurança Cibernética do Poder Judiciário  
Observação
 
Texto

O PRESIDENTE DO CONSELHO NACIONAL DE JUSTIÇA (CNJ), no uso de suas atribuições legais e regimentais,

CONSIDERANDO competir ao CNJ a atribuição de coordenar o planejamento e a gestão estratégica de Tecnologia da Informação e Comunicação (TIC) do Poder Judiciário;

CONSIDERANDO que é imprescindível garantir a segurança cibernética do ecossistema digital do Poder Judiciário Brasileiro;

CONSIDERANDO o número crescente de incidentes cibernéticos no ambiente da rede mundial de computadores e a necessidade de processos de trabalho orientados para a boa gestão da segurança da informação;

CONSIDERANDO os termos da Resolução CNJ nº 211/2015, que instituiu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD), e estabeleceu as diretrizes para sua governança, gestão e infraestrutura;

CONSIDERANDO a importância de se estabelecer objetivos, princípios e diretrizes de Segurança da Informação alinhados às recomendações constantes da norma NBR ISO/IEC 27001:2013, que trata da segurança da informação;

CONSIDERANDO a importância de se estabelecer objetivos, princípios e diretrizes de Gestão de Riscos de Segurança da Informação alinhados às recomendações constantes da norma NBR ISO/IEC 27005:2019, que trata da gestão de riscos segurança da informação;

CONSIDERANDO a necessidade de garantir o cumprimento da Lei Federal nº 12.527/2011 (Lei de Acesso à Informação), bem como, no âmbito do Poder Judiciário, da Resolução CNJ nº 215/2015, normas que disciplinam o direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral;

CONSIDERANDO o que dispõe a Lei Federal nº 13.709/2018, com a redação dada pela Lei Federal nº 13.853/2019, sobre a proteção de dados pessoais, que altera a Lei nº 12.965/2014 (Marco Civil da Internet);

CONSIDERANDO o disposto na Resolução CNJ nº 176/2013, que institui o Sistema Nacional de Segurança do Poder Judiciário;

 

RESOLVE:

 

Art. 1º Instituir o Comitê de Segurança Cibernética do Poder Judiciário (CSCPJ).

Art. 2º Integram o CSCPJ especialistas técnicos indicados pelos seguintes órgãos:

I – dois representantes do Conselho Nacional de Justiça;

II – dois representantes do Supremo Tribunal Federal (STF);

III – um representante do Superior Tribunal de Justiça (STJ);

IV – um representante do Tribunal Superior Eleitoral (TSE);

V – um representante do Tribunal Superior do Trabalho (TST);

VI – um representante do Conselho da Justiça Federal (CJF), representando a Justiça Federal;

VII – um representante do Superior Tribunal Militar (STM); e

VIII – dois representantes dos Tribunais de Justiça Estaduais.

§ 1º O CSCPJ será coordenado por um representante do Conselho Nacional de Justiça designado pela Presidência.

§ 2º As indicações dos representantes dos incisos I e VIII serão feitas pela Presidência do CNJ.

§ 3º O comitê poderá convidar representantes de órgãos de segurança pública, das Forças Armadas e especialistas técnicos de outros órgãos públicos ou privados que pretendam subsidiar os respectivos trabalhos.

§4º Os integrantes do CSCPJ deverão ter conhecimento técnico na área de segurança cibernética.

Art. 3º O CSCPJ deverá apresentar, à Presidência do CNJ:

I – no prazo de até 20 (vinte) dias, Protocolo de Prevenção e Protocolo de Gerenciamento de Crise para o enfrentamento de ilícitos cibernéticos no âmbito do Poder Judiciário;

II – no prazo de até 30 (trinta) dias, Protocolo de Investigação para ilícitos cibernéticos que possam afetar o Poder Judiciário, e

III – no prazo de até 120 (cento e vinte) dias, minuta da Estratégia da Segurança Cibernética e da Informação do Poder Judiciário, contendo, no mínimo:

a) política de segurança cibernética;

b) estratégia nacional de segurança cibernética, incluindo governança e gestão de segurança da informação;

c) padrões mínimos de gestão de riscos de segurança da informação;

d) padrões mínimos para proteção de ativos de TIC, que adotem soluções integradoras;

e) requisitos que assegurem confiança digital, prevenção e mitigação de ameaças cibernéticas;

f) padrões mínimos de resiliência e continuidade dos serviços de TIC em caso de incidentes de segurança e indisponibilidade;

g) política de cultura e educação cibernética, prevendo treinamento e habilidades em segurança cibernética em todos os níveis (profissionais que atuam na área e usuários que utilizam recursos de TIC);

h) padrões orçamentários mínimos para que cada tribunal possa garantir a segurança cibernética no âmbito da sua jurisdição;

i) diretrizes para pesquisa e desenvolvimento de inovações na área de segurança cibernética;

j) previsões de conformidade com a Lei Federal nº 13.709/2018 (LGPD);

k) previsões para a fiscalização da adequação dos requisitos de segurança estabelecidos por auditoria externa ou interna;

l) política de gestão de identidade e acesso; e

m) política de encriptação de dados sensíveis.

Parágrafo único. As entregas poderão ser fracionadas e tornadas eficazes por ato da Presidência em virtude da urgência e necessidade, sem prejuízo de ulterior consolidação a ser submetida a Plenário no prazo acima previsto.

Art. 4º Para efeitos deste ato considera-se ativos de TIC:

I – hardwares (computadores servidores, estações de trabalho, notebooks, periféricos, equipamentos de rede, etc.);

II – softwares (sistemas operacionais, aplicativos, sistemas corporativos, etc.);

III – serviços (nuvem, SaaS, desenvolvimento, manutenção, helpdesk, etc.);

IV – canais de comunicação de dados, de uso exclusivo, que interligam todas as unidades do Tribunais e órgãos parceiros;

V – dispositivos móveis fornecidos pelos tribunais (tokens, tablets, smartphones, etc.);

VI – correio eletrônico;

VII – intranet e internet;

VIII – bases de dados;

IX – sistemas de automação predial;

X – sistemas de segurança da informação;

XI– central telefônica e VOIP;

XII – sistemas de videoconferência;

XIII – Circuito Fechado de Televisão (CFTV); e

XIV – outros recursos de TIC ou SI em uso ou que venham a ser usados nos tribunais.

Art. 5º O CSCPJ deverá propor norma para a criação, a ativação e o efetivo funcionamento do Centro de Tratamento de Incidentes de Segurança Cibernética (CTISC) do CNJ, que funcionará como canal oficial para orquestração e divulgação de ações preventivas e corretivas, em caso de ameaças ou de ataques cibernéticos.

Parágrafo único. O CTISC deverá ser composto por um representante e um suplente de cada Tribunal da Federação.

Art. 6º Caberá ao CSCPJ propor revisões e atualizações das normas de segurança cibernética aprovadas pelo CNJ, bem como acompanhar a sua implementação em todos os tribunais.

Art. 7º O Comitê realizará reuniões ordinárias trimestrais, preferencialmente nos meses de março, junho, setembro e dezembro, para a avaliação e monitoramento das ações de segurança cibernética no Poder Judiciário.

Art. 8º Fica revogada a Portaria CNJ nº 112/2013.

Art. 9º Esta Portaria entra em vigor na data da sua publicação.

 

Ministro LUIZ FUX