Identificação
Portaria Nº 99 de 30/08/2016
Apelido
---
Temas
Ementa

Institui norma para a gestão de acesso às informações e aos recursos de Tecnologia da Informação e Comunicação no âmbito do Conselho Nacional de Justiça.

Situação
Vigente
Situação STF
---
Origem
Presidência
Fonte
DJe/CNJ, nº 160, de 09/09/2016, p. 2-3.
Alteração
Legislação Correlata
Observação / CUMPRDEC / CONSULTA
 
Texto
Texto Original
Texto Compilado

 

O PRESIDENTE DO CONSELHO NACIONAL DE JUSTIÇA (CNJ), no uso de suas atribuições legais e regimentais,

CONSIDERANDO que o CNJ no exercício de suas competências, gera, adquire e armazena informações, que devem permanecer íntegras, disponíveis e, quando for o caso, com o sigilo devidamente resguardado para a preservação da intimidade de seus usuários;

CONSIDERANDO o que as informações no CNJ são armazenadas em distintos meios eletrônicos, veiculadas por diferentes formas e, portanto, vulneráveis;

CONSIDERANDO o que a adequada gestão de segurança da informação pressupõe a observância do disposto no art. 5º, XII, da Constituição Federal, o qual assegura a inviolabilidade e o sigilo das informações em trânsito, sejam elas correspondências ou comunicações de dados;

CONSIDERANDO o advento da Lei 12.965/2014, que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil, dentre os quais, a proteção da intimidade e da vida privada, a inviolabilidade e sigilo do fluxo das comunicações, em especial daquelas armazenadas por provedores e administradores de redes, bem como a vedação do fornecimento de dados pessoais a terceiros, inclusive dos registros de conexão dos usuários;

CONSIDERANDO, finalmente, a necessidade de melhor disciplinar o acesso às informações produzidas ou custodiadas pelo CNJ, que não sejam de domínio público, de acordo com a Lei 12.965/2014;

CONSIDERANDO a Portaria 112 de 11 de julho de 2013, que Institui o Comitê de Gestor de Segurança da Informação (CGSI) do Conselho Nacional de Justiça; e

CONSIDERANDO os termos da Resolução CNJ 211/2015, que determina que cada órgão do Judiciário deverá elaborar e aplicar política, gestão e processo de segurança da informação a serem desenvolvidos em todos os níveis da instituição, inclusive no que se refere à gestão de acessos aos recursos de Tecnologia da Informação e Comunicação, e em harmonia com as diretrizes nacionais preconizadas pelo Conselho Nacional de Justiça;

 

RESOLVE:

 

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

 

Art. 1º A gestão de acesso às informações produzidas ou custodiadas pelo CNJ e aos recursos de Tecnologia da Informação e Comunicação (TIC) são disciplinados na forma estabelecida nesta Instrução Normativa.

Art. 2º Para os efeitos desta norma, ficam estabelecidos os seguintes conceitos:

I – administrador de domínio: o Diretor de Tecnologia da Informação e Comunicação (DTI);

II – Comitê Gestor de Segurança da Informação (CGSI): comitê composto por representantes de áreas relevantes do órgão, responsável pela formulação, implementação, acompanhamento e revisão das ações de segurança pertinentes;

III – confidencialidade: propriedade de que a informação não será disponibilizada ou divulgada a indivíduos, entidades ou processos sem autorização;

IV – disponibilidade: propriedade da informação que indica ser esta acessível e utilizável sob demanda por uma entidade autorizada;

V – domínio: conjunto de recursos de Tecnologia da Informação e Comunicação destinados a gerar, processar, armazenar e transmitir informação;

VI – informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente do meio em que resida ou da forma pela qual seja veiculado;

VII – integridade: propriedade que resguarda a precisão e a perfeição de recursos. Está relacionada à proteção das informações contra alteração, gravação ou exclusão acidental ou proposital;

VIII – segurança da informação: proteção da informação contra riscos, a fim de garantir a continuidade das atividades do CNJ e minimizar a incidência e os efeitos de eventos de segurança da informação;

IX – usuário de rede: autoridade, servidor, prestador de serviço terceirizado, estagiário ou qualquer outro colaborador que tenha acesso a informações produzidas pelo CNJ de forma autorizada e pela rede de comunicação de dados;

X – vulnerabilidade: ponto falho ou fraqueza em um ativo que possa ser explorado negativamente de forma proposital ou inadvertida;

Art. 3º As informações produzidas ou custodiadas pelo CNJ, que não sejam de domínio geral, permanecerão inacessíveis para o público externo, o administrador de domínio e os demais usuários, preferencialmente por intermédio de codificação criptográfica, nos termos o art. 5º, XII, da Constituição Federal, sem prejuízo do disposto na Lei 12.527/2011.

§ 1º As informações de caráter sigiloso, bem assim as de cunho privado, referidas no caput deste artigo, somente poderão ser disponibilizadas a terceiros mediante ordem judicial, hipótese em que a credencial denominada “Administrador de Domínio” terá o seu uso disciplinado da seguinte maneira:

I – Todas as senhas de acesso serão divididas em duas partes:

a) a primeira delas será de conhecimento exclusivo do Diretor e dos Coordenadores do Departamento de Tecnologia da Informação e Comunicação;

b) a segunda parte será conhecida apenas pelo Secretário-Geral ou a quem tal atribuição possa ser delegada;

II – As duas partes das senhas deverão ser utilizadas conjuntamente para o acesso às informações de caráter sigiloso;

III- As senhas de acesso serão alteradas todas as vezes em que ocorrerem mudanças na lotação dos indicados nos incisos I e II, do §1º, deste artigo;

IV – Poderão ser estabelecidas credenciais subordinadas àquelas do “Administrador de Domínio”, de modo a permitir a execução de rotinas operacionais de caráter ordinário, sendo estritamente vedada a utilização dessas credenciais para burlar o disposto no caput deste artigo.

V – Para fins de monitoramento, far-se-á, em arquivo próprio, o registro de cada utilização das credenciais de “Administrador de Domínio”, acompanhada da respectiva justificativa, ao qual terão acesso os membros do Comitê Gestor de Segurança da Informação.

§ 2º A responsabilidade pela manutenção do sigilo das informações de caráter sigiloso de que trata o caput deste artigo é do Administrador de Domínio, o qual deverá custodiá-las em ambiente seguro e controlado, cujo acesso somente poderá ocorrer na forma indicada no § 1º.

§ 3º As informações de caráter sigiloso permanecerão sob a guarda do Administrador de Domínio pelo período de 1 (um) ano, salvo pedido formal em contrário do usuário.

§ 4º O referido prazo poderá ser prorrogado a requerimento de autoridade competente por até 60 (sessenta) dias, contados a partir do final do período indicado acima.

§ 5º Decorrido o prazo de 1 (um) ano previsto no § 3º e não havendo a prorrogação prevista nos §§ 3º e 4º, as informações de que trata este artigo serão definitiva e completamente eliminadas.

§ 6º O acesso aos recursos de Tecnologia da Informação e Comunicação somente é permitido mediante identificação e autenticação da conta de acesso do usuário na rede.

§ 7º O usuário da rede do CNJ disporá de uma única conta de acesso.

§ 8º São de responsabilidade exclusiva do usuário os acessos realizados por meio de sua conta.

§ 9º É pessoal e intransferível a senha que permite o acesso aos recursos de rede, a exemplo do correio eletrônico, dos servidores de arquivos e dos demais sistemas do CNJ.

§ 10. Apenas os recursos de Tecnologia da Informação e Comunicação indispensáveis à realização das respectivas atividades laborais serão acessíveis ao usuário.

§ 11. O usuário é responsável pelos recursos de Tecnologia da Informação e Comunicação por ele utilizados.

§ 12. O sigilo das informações deverá ser estritamente preservado pelo usuário, dentro e fora das dependências do CNJ, sob pena de responsabilização, na forma da lei.

 

CAPÍTULO II

DAS DISPOSIÇÕES FINAIS

 

Art. 4º Os sistemas computacionais afetados por esta Instrução Normativa deverão ser adaptados no prazo improrrogável de 60 (sessenta) dias.

Art. 5º Os usuários de rede que, de forma autorizada, tenham acesso a informações produzidas pelo CNJ estão sujeitos às disposições constantes desta norma.

Art. 6º A inobservância dos dispositivos constantes desta Instrução Normativa pode acarretar, isolada ou cumulativamente, nos termos da lei, sanções administrativas, civis ou penais, assegurados aos envolvidos o contraditório e a ampla defesa.

Art. 7º Esta Instrução Normativa entra em vigor na data de sua publicação.

 

Ministro Ricardo Lewandowski