| Origem | |
| Tipo de ato | |
| Data de publicação | |
| Ementa |
RESOLUÇÃO PRES Nº 422, DE 12 DE MAIO DE 2021.
Institui a Equipe de Tratamento de Resposta a Incidentes de Segurança Cibernética – ETIR e o Comitê de Crises Cibernéticas.
O PRESIDENTE DO TRIBUNAL REGIONAL FEDERAL DA 3ª REGIÃO, no uso de suas atribuições legais,
CONSIDERANDO a necessidade de garantir a segurança cibernética no ecossistema digital da Justiça Federal da 3ª Região;
CONSIDERANDO o crescente número de incidentes cibernéticos na rede mundial de computadores, bem como a necessidade do estabelecimento de processos eficazes de trabalho para prevenção, resposta e apuração de incidentes;
CONSIDERANDO os termos da Resolução n.º 370/2021 do Conselho Nacional de Justiça, que instituiu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD), e estabeleceu as diretrizes para sua governança, gestão e infraestrutura;
CONSIDERANDO a edição das Portarias n.º 290, n.º 291, e n.º 292, de 17 de dezembro de 2021, do Conselho Nacional de Justiça;
CONSIDERANDO a edição das Resoluções n.º 360, n.º 361, e n.º 362, de 17 de dezembro de 2020, do Conselho Nacional de Justiça,
R E S O L V E:
CAPÍTULO I
EQUIPE DE TRATAMENTO E RESPOSTA A INCIDENTES DE SEGURANÇA DE CIBERNÉTICA – ETIR-JF3
Art. 1.º Instituir a unidade de segurança da informação, denominada Equipe de Tratamento e Resposta a Incidentes de Segurança de Cibernética – ETIR-JF3, subordinada à Presidência do Tribunal, com as atribuições e responsabilidades de prevenir, receber, analisar, apurar e responder a notificações e atividades relacionadas a incidentes de segurança em redes de computadores.
Parágrafo único. A ETIR-JF3 tem como missão facilitar e coordenar as atividades de tratamento e resposta a incidentes em redes computacionais, atuando também de forma proativa com o objetivo de minimizar vulnerabilidades e ameaças que possam comprometer a integridade dos sistemas e dos dados da Justiça Federal da 3.ª Região.
Art. 2.º Compete à ETIR-JF3 a elaboração do Protocolo de Prevenção a Incidentes Cibernéticos no âmbito do Poder Judiciário (PPICiber/PJ), Protocolo de Gerenciamento de Crises Cibernéticas no âmbito do Poder Judiciário (PGCC/ PJ), e Protocolo de Investigação para Ilícitos Cibernéticos no âmbito do Poder Judiciário.
§ 1.º Os protocolos referidos no caput deverão ser homologados pela Comissão de Informática, Comissão Local de Resposta a Incidentes de Segurança da Informação - CLRI e Comissão Local de Segurança da Informação – CLSI.
§ 2.º Eventuais alterações nos protocolos também deverão ser submetidas às comissões.
Art. 3.º São também atribuições da ETIR-JF3:
I – Atuar como setor responsável pela normatização e atualização da Política de Segurança da Informação do Tribunal Regional Federal da 3.ª Região;
II – Promover a adoção de normas técnicas de segurança da informação e dos padrões de proteção de dados;
III – Avaliar a conformidade dos sistemas desenvolvidos pela Secretaria de Tecnologia da Informação (SETI) e de programas e equipamentos adquiridos, em relação às boas práticas, às normas e aos padrões de segurança estabelecidos;
IV – Definir em conjunto com as demais áreas da SETI as ferramentas tecnológicas de segurança da informação;
V – Apoiar as demais unidades da SETI no mapeamento, monitoramento e mitigação de riscos associados aos seus projetos e processos;
VI – Exercer outras atividades inerentes à competência da unidade, em colaboração com a SETI, a requerimento do Diretor de Tecnologia da Informação, desde que autorizado pela Presidência;
VII - Promover a consciência da necessidade e dos objetivos da segurança dos sistemas de informação, incluindo a conduta ética no uso dos sistemas de informação e adoção de boas práticas de segurança;
VIII - Fornecer e promover educação e treinamento de desenvolvedores, proprietários, provedores e usuários de sistemas de informação, especialistas e auditores de sistemas de informação, especialistas e auditores de segurança de sistemas de informação e autoridades policiais, investigadores, advogados e juízes;
IX - Instruir a equipe executiva sobre o status e os riscos, incluindo assumir o papel de defensor da estratégia geral e do orçamento necessário;
X- Comunicar as melhores práticas e os riscos a todos os usuários dos sistemas;
XI- Realizar o gerenciamento de identidades, de acesso e garantir o uso adequado de medidas de autenticação, autorização e concessão de privilégios;
XII – Coletar evidências, apurar o ocorrido e interagir com as autoridades competentes para realizar a investigação e elaborar laudo periciais;
XIII - Definir e implementar programa de resposta a incidentes de segurança juntamente com a CLRI;
XIV – Receber, analisar e responder a notificações e atividades relacionadas a incidentes de segurança em rede de computadores.
Art. 4.º O Agente Responsável pela ETIR-JF3, que a coordena e gerencia, fará parte da Comissão Local de Resposta a Incidentes de Segurança da Informação – CLRI e da Comissão Local de Segurança da Informação – CLSI.
Art. 5.º A ETIR-JF3 apresentará relatórios mensais ao Presidente do Tribunal, ao Corregedor-Regional e à Comissão de Informática, com todos os elementos relacionados à gestão das crises cibernéticas, às diretrizes de prevenção e à investigação e apuração de ilícitos cibernéticos ocorridos, apurados ou investigados no período.
Art. 6.º No âmbito da investigação e apuração a ilícitos cibernéticos, constitui falta funcional o acesso a computadores e sistemas sem o competente registro das providências adotadas ou sem justa causa que o ampare.
Art. 7.º Constarão da página eletrônica do Tribunal a definição da missão da ETIR-JF3, seu público-alvo, modelo de implementação, nível de autonomia, designação de integrantes, canal de comunicação de incidentes de segurança, os serviços que serão por ela prestados e glossário com os termos necessários à compreensão de suas atividades.
CAPÍTULO II – COMITÊ DE CRISES CIBERNÉTICAS
Art. 8.º Fica instituído o Comitê de Crises Cibernéticas, suportado pela ETIR-JF3, de caráter multidisciplinar, composta por representante da Alta Administração do Tribunal e por especialistas das seguintes áreas:
I – Jurídica;
II – Comunicação;
III – Tecnologia da Informação;
IV – Privacidade de Dados Pessoais;
V – Segurança da Informação;
VI – Unidades administrativas de apoio à contratação; e
VII – Segurança Institucional.
Parágrafo único. Os membros do Comitê de Crises Cibernéticas serão nomeados por portaria da Presidência deste Tribunal.
Art. 9.º Ao qualificar o incidente como crise cibernética, a ETIR-JF3 deverá informar imediatamente ao Comitê de Crises Cibernéticas, nos termos do Protocolo de Gerenciamento de Crises Cibernéticas no âmbito do Poder Judiciário - PGCC/ PJ, que deverá reunir-se na sala de situação previamente definida.
Parágrafo único. Os planos de contingência existentes, caso aplicáveis, devem ser efetivados imediatamente, visando à continuidade dos serviços prestados.
Art. 10. Quando as operações retornarem à normalidade, o Comitê de Crises Cibernéticas deverá realizar a análise criteriosa das ações tomadas, observando as que foram bem-sucedidas e as que ocorreram de forma inadequada, registrando-as em relatório.
Art. 11. A presente resolução entra em vigor a partir da data de sua publicação.
Publique-se. Registre-se. Cumpra-se.
Documento assinado eletronicamente por Mairan Gonçalves Maia Júnior, Desembargador Federal Presidente, em 13/05/2021, às 10:20, conforme art. 1º, III, "b", da Lei 11.419/2006.
Disponibilizada no Diário Eletrônico da Justiça Federal da 3.ª Região em 14/05/2021, Caderno Administrativo, págs. 1 a 3. Considera-se data de publicação o primeiro dia útil subsequente à data acima mencionada, nos termos do art. 4.º, §§ 3.º e 4.º, da Lei 11.419/2006.