RESOLUÇÃO Nº 192, DE 20 DE FEVEREIRO DE 2009

Dispõe sobre aspectos da segurança da informação do PrecWeb.

A PRESIDENTE DO TRIBUNAL REGIONAL FEDERAL DA TERCEIRA REGIÃO, no uso de suas atribuições regimentais,

CONSIDERANDO a Resolução nº 6, de 7/4/2008, do Conselho da Justiça Federal, que dispõe sobre a implantação da Política de Segurança da Informação e a utilização dos ativos de informática no âmbito do Conselho e da Justiça Federal de primeiro e segundo graus;

CONSIDERANDO as Resoluções nºs 179, de 15/8/2008, e 187, de  19/12/2008, ambas desta Presidência, que dispõem sobre o encaminhamento eletrônico de precatórios e requisições de pequeno valor oriundas dos Juízos que atuam em competência constitucionalmente delegada;

CONSIDERANDO que a Instrução Normativa nº 37-03, que estabelece a política de segurança dos sistemas informatizados da Justiça Federal da 3ª Região, não contempla o contexto em que foi desenvolvido o Sistema de Precatório e RPV Eletrônico,

R E S O L V E:

Art. 1º Disciplinar os aspectos da segurança da informação aplicáveis ao Sistema de Precatório e RPV Eletrônico – PrecWeb concernentes a:

I – Autorização, autenticação e contabilização;

II – Comunicação segura;

III – Disponibilidade, contingência e continuidade de operações;

IV – Desenvolvimento seguro da aplicação;

V – Restauração e backup.

Capítulo I

Da autorização, autenticação e contabilização

Art. 2º O PrecWeb será utilizado somente por pessoas devidamente autorizadas e cadastradas pelo Tribunal de Justiça do Estado de São Paulo – TJSP e Tribunal de Justiça do Estado de Mato Grosso do Sul – TJSM, juízos que atuam em competência constitucionalmente delegada, junto a este Tribunal Regional Federal da 3ª Região – TRF3, para pagamento de quantia certa a que for condenada a Fazenda Pública.

Art. 2º O PrecWeb será utilizado somente por pessoas devidamente autorizadas e cadastradas pelo Tribunal de Justiça do Estado de São Paulo – TJSP e Tribunal de Justiça do Estado de Mato Grosso do Sul – TJMS, juízos que atuam em competência constitucionalmente delegada, junto a este Tribunal Regional Federal da 3ª Região – TRF3, para requisição de pagamento de quantia certa a que for condenada a Fazenda Pública. (alterado pela Resolução n. 215-PRES, de 8/10/2009)

Parágrafo único. A autorização dos usuários nas diferentes rotinas obedece aos termos descritos no “Documento de Visão do Sistema de Autenticação e de Controle de Acesso por Usuário de Órgão Externo – SISA-EXT”, que torna-se parte integrante desta Resolução.

Art. 3º O processo de autenticação será implementado em três fases, sendo a primeira de implementação imediata e as demais à medida que a disponibilidade de recursos técnicos do TRF, do TJSP e do TJMS o permitir.

I – na 1ª fase será implementado um cadastro simplificado de usuários, usando autenticação por CPF e senha correspondente, criado e mantido pela área de informática do TRF3;

II – na 2ª fase, o PrecWeb será convertido para suportar integração com sistemas de diretório eletrônico, independentemente de sua plataforma;

III – na 3ª fase, sem prejuízo das implementações já adotadas, o PrecWeb deverá suportar autenticação em dois fatores, pelo uso de certificados digitais AC-JUS, armazenados em dispositivos inteligentes (smartcards, tokens ou equivalentes), validando os certificados digitais do usuários tanto do ponto de vista da expiração quanto do da revogação, por meio de Lista de Certificados Digitais Revogados da Autoridade Certificadora.

Parágrafo único. É requisito fundamental ao cumprimento do disposto no caput a atualização constante dos dados cadastrais dos usuários e o acesso aos sistemas de diretório eletrônico, no mínimo em modo de consulta, do TJSP e do TJMS.

Art. 4º As ações praticadas no PrecWeb serão registradas em log, com a devida proteção contra acesso indevido, adulteração, apagamento, estouro ou qualquer outra ameaça a sua confidencialidade e integridade, permitindo o rastreamento das ocorrências e a investigação dos incidentes de segurança.

Parágrafo único. Deverão constar do log:

I – data, hora e natureza do evento;

II – identificação unívoca do(s) usuário(s) responsáveis pelo evento;

III – reprodução de eventual informação excluída ou modificada.

Capítulo II

Da comunicação segura

Art. 5º Toda a comunicação do PrecWeb, incluindo a apresentação de páginas ao usuário, será feita por intermédio de protocolos seguros (SSL e HTTPS), com certificados digitais AC-JUS, sendo vedado o uso de certificados digitais auto-gerados.

Capítulo III

Da disponibilidade, contingência e continuidade de operações

Art. 6º O PrecWeb deverá estar disponível em 99% do tempo, nos dias úteis, entre as 7 e as 20 horas do dia, horário de Brasília.

§ 1º O período compreendido entre as 20 horas de um dia e as 7 horas do dia seguinte poderá ser utilizado para operações de “backup” e de manutenção, devendo as últimas serem rigorosamente documentadas.

§ 2º Salvo emergências devidamente justificadas e documentadas, qualquer manutenção no Sistema será comunicada, pelo TRF3, à área de informática do TJSP e do TJMS, com antecedência mínima de 48 horas, por correio eletrônico e por telefone.

§ 3º Toda manutenção ficará sob a responsabilidade de um servidor da área de informática do TRF3, para tanto designado, ao qual caberá o acompanhamento dos serviços executados e a elaboração de relatório detalhado.

Art. 6º O PrecWeb  estará disponível nos sítios de internet/intranet do TRF3 e da Justiça Federal de 1º Grau de São Paulo - SP e de Mato Grosso do Sul - MS. (alterado pela Resolução n. 215-PRES, de 8/10/2009)

§ 1º O período compreendido entre as 19 horas de um dia e 9 horas do dia seguinte poderá ser utilizado para operações de “backup” e de manutenção, devendo esta ser rigorosamente documentada. (alterado pela Resolução n. 215-PRES, de 8/10/2009)

§ 2º Por serem registrados automaticamente nos “logs” do sistema, a aplicação de correções e de “patches” automáticos não será documentada pelo servidor da área de informática. (alterado pela Resolução n. 215-PRES, de 8/10/2009)

§ 3º Salvo emergências devidamente justificadas e documentadas, qualquer manutenção no Sistema será comunicada, pela área de informática do TRF3, à área de Precatórios desta Corte, às áreas de informática do TJSP e do TJMS, com antecedência mínima de 48 horas, por correio eletrônico ou por telefone, cabendo ao TRF3 a manutenção de um cadastro de contato, com nome, endereço eletrônico e número de telefone. (alterado pela Resolução n. 215-PRES, de 8/10/2009)

§ 4º Toda manutenção ficará sob a responsabilidade de um servidor da área de informática do TRF3, para tanto designado, ao qual caberá: (incluído pela Resolução n. 215-PRES, de 8/10/2009)

a) o acompanhamento dos serviços executados; e

b) a elaboração de relatório detalhado com posterior envio para a Secretaria de Informática do TRF3, onde será arquivado.

§ 5º A parada do sistema para manutenção deve ser evitada entre as 9 e 19 horas, horário de Brasília, nos seguintes períodos críticos de utilização: (incluído pela Resolução n. 215-PRES, de 8/10/2009)

a) os 10 últimos dias de junho;

b) os 10 primeiros dias de julho; e

c) os 3 primeiros dias e 3 últimos dos demais meses.

§ 6º Caso sobrevenha nova política de disponibilidade para os sistemas processuais, o PrecWeb deve aderir àquela que assegure o mais alto nível de serviço. (incluído pela Resolução n. 215-PRES, de 8/10/2009)

Art. 7º A Informática do TRF3 elaborará, em até 180 dias da publicação desta Resolução, um plano de contingência e de continuidade de negócios para o Sistema PrecWeb, contemplando:

I – análise de impacto na atividade-fim dos Tribunais envolvidos;

II – ações de contingência priorizadas segundo o impacto;

III – recursos tecnológicos e humanos;

IV – estratégias de recuperação;

V – estratégias de normalização de operações e de continuidade de negócios.

Parágrafo único: Caso sobrevenha plano de contingência e de continuidade de negócios cujo escopo inclua o conjunto dos sistemas de informação do TRF3, o Sistema PrecWeb deverá aderir aos seus requerimentos. (incluído pela Resolução n. 215-PRES, de 8/10/2009)

Capítulo IV

Do desenvolvimento seguro da aplicação

Art. 8º No desenvolvimento das novas versões do PrecWeb deverão ser atendidos os seguintes requisitos:

I – utilização de técnicas de desenvolvimento seguro;

II – compatibilidade com o Modelo de Requisitos para Sistemas de Gerenciamento Eletrônico de Documentos da Justiça Federal – MoReq-Jus, em sua versão mais recente;

III – ausência de vulnerabilidades em suas interfaces que possam servir como vetores de ataque;

IV – mecanismos de impedimento de uso automático indevido de sua interface, destinando outros métodos para automação ou para processamento em bloco.

Capítulo V

Da restauração e backup

Art. 9º A área de informática do TRF3 desenvolverá estratégia de restauração e de backup para o PrecWeb que atenda aos seguintes requisitos:

I – backup completo: semanal;

II – backup parcial, incremental, diário;

III – verificação dos backups por método confiável;

IV – teste periódico, no mínimo duas vezes por mês, de restauração completa (incluindo das cópias dos backups incrementais;

V – armazenamento das mídias em local adequado, com proteção contra intempéries, manipulação indevida e apagamento acidental;

V – proibição expressa de armazenamento das mídias no datacenter;

VI – sanitização ou apagamento total e irreversível das mídias de backup antes do seu descarte ou inutilização.

I – “backup” completo: semanal; (alterado pela Resolução n. 215-PRES, de 8/10/2009)

II – “backup” parcial e incremental: diário; (alterado pela Resolução n. 215-PRES, de 8/10/2009)

III – teste periódico, no mínimo duas vezes por mês, de restauração completa, inclusive as cópias dos “backups” incrementais; (alterado pela Resolução n. 215-PRES, de 8/10/2009)

IV – armazenamento das mídias em local adequado, com proteção contra intempéries, manipulação indevida e apagamento acidental; (alterado pela Resolução n. 215-PRES, de 8/10/2009)

V – proibição expressa de armazenamento das mídias no “datacenter”, na hipótese do “backup” completo referido no inciso I; e (alterado pela Resolução n. 215-PRES, de 8/10/2009)

VI – apagamento total e irreversível das mídias de “backup” antes do seu descarte ou inutilização. (alterado pela Resolução n. 215-PRES, de 8/10/2009)

Art. 10 Esta Resolução entra em vigor na data de sua publicação.

Publique-se. Registre-se. Cumpra-se.

 

 

MARLI FERREIRA

Presidente

 

Disponibilizada no Diário Eletrônico da Justiça Federal da 3ª Região em 25/02/2009, Caderno Administrativo, página 7. Publicada em 26/02/2009.