RESOLUÇÃO PRES Nº 541, DE 27 DE SETEMBRO DE 2022.

Dispõe sobre a Norma de Gestão de Incidentes de Segurança da Informação e institui os protocolos a serem observados.

A PRESIDENTE DO TRIBUNAL REGIONAL FEDERAL DA TERCEIRA REGIÃO, no uso de suas atribuições legais e regulamentares,

CONSIDERANDO a Resolução CNJ n.º 396, de 7 de junho de 2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Portaria CNJ n.º 162, de 10 de junho de 2021, que aprova Protocolos e Manuais criados pela Resolução CNJ n.º 396/2021, e instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução CJF n.º 687/2020, de 15 de dezembro de 2020, que altera a Resolução CJF n° 6, de 7 de abril de 2008, e dispõe sobre a implantação da Política de Segurança da Informação do Conselho e da Justiça Federal de 1.º e 2.° graus;

CONSIDERANDO a Norma Complementar n.º 05/IN01/DSIC/GSIPR, que disciplina a criação de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais - ETIR nos órgãos e entidades da Administração Pública Federal;

CONSIDERANDO a Norma Complementar n.º 08/IN01/DSIC/GSIPR, que estabelece as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal;

CONSIDERANDO a Norma Complementar n.º 21/IN01/DSIC/GSIPR, que estabelece as Diretrizes para o Registro de Eventos, Coleta e Preservação de Evidências de Incidentes de Segurança em Redes nos órgãos e entidades da Administração Pública Federal, direta e indireta;

CONSIDERANDO a ABNT NBR ISO-IEC 27001:2013, que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente sistema de gestão da segurança da informação dentro do contexto da organização e, também, inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização;

CONSIDERANDO a ABNT NBR ISO-IEC 27002:2013, que fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para organizações;

CONSIDERANDO a ABNT NBR ISO-IEC 27035-3:2021, que fornece o guia detalhado para a gestão de incidentes de segurança da informação, cobrindo o processo de mapeamento de eventos, incidentes e vulnerabilidades de segurança;

CONSIDERANDO a ABNT NBR ISO-IEC 27037:2013, que estabelece as diretrizes para identificação, coleta, aquisição e preservação de evidência digital;

CONSIDERANDO a ISO-IEC 27043:2015, que estabelece os princípios e o processo de investigação de incidentes de segurança da informação;

CONSIDERANDO a ABNT NBR ISO-IEC 27701:2019, que especifica os requisitos e fornece as diretrizes para estabelecimento, implementação, manutenção e melhoria contínua de Sistema de Gestão de Privacidade da Informação (SGPI) na forma de extensão das ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, para a gestão da privacidade dentro do contexto da organização,

CONSIDERANDO o processo SEI n.º 0033661-35.2022.4.03.8000,

R E S O L V E:

CAPÍTULO I

Da Gestão de Incidentes de Segurança da Informação

Art. 1.º Instituir a Norma de Gestão de Incidentes de Segurança da Informação no âmbito da Justiça Federal da 3.ª Região, com a finalidade de implantar a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ), apoiar na prevenção de incidentes cibernéticos, investigar ilícitos cibernéticos e gerenciar crises cibernéticas, com o objetivo de aprimorar a segurança cibernética.

Art. 2.º A norma de gestão de incidentes de segurança da informação definida nesta Resolução deve ser observada por todos os gestores e por todas as áreas de atuação nos níveis estratégico, tático e operacional.

CAPÍTULO II

Do Processo de Gestão de Incidentes de Segurança da Informação

Art. 3.º O processo de gestão de incidentes de segurança da informação inclui as seguintes fases:

I – Prevenção de incidentes cibernéticos: envolve as diretrizes para a comunicação, a identificação, a contenção, a erradicação, a recuperação, o encerramento e as lições aprendidas com os incidentes cibernéticos, no âmbito da Justiça Federal da 3.ª Região;

II – Investigação de ilícitos cibernéticos: envolve as diretrizes para a coleta e a preservação das evidências dos incidentes relevantes, além da comunicação de ilícitos cibernéticos, no âmbito da Justiça Federal da 3.ª Região;

III – Gerenciamento de crises cibernéticas: envolve as diretrizes para o planejamento (pré-crise), a execução (durante a crise) e a melhoria contínua (pós-crise) do gerenciamento de crises cibernéticas no âmbito da Justiça Federal da 3.ª Região.

SEÇÃO I

Da Prevenção de Incidentes Cibernéticos

Art. 4.º O protocolo de prevenção de incidentes cibernéticos inclui as seguintes fases:

I – Identificação: envolve as diretrizes para a comunicação e a categorização dos eventos de segurança ou das vulnerabilidades, bem como o registro e a deliberação sobre o incidente cibernético;

II – Contenção: envolve as diretrizes para a definição do ponto de contato da CLRI, o isolamento dos ativos comprometidos, a comunicação às áreas impactadas, a coleta das evidências e a execução de ações de contorno, caso necessário;

III – Erradicação: envolve as diretrizes para a investigação do incidente, a emissão do relatório de evidências, a comunicação com as áreas impactadas e a remoção das ameaças identificadas no incidente cibernético;

IV – Recuperação: envolve as diretrizes para a emissão e apreciação do plano de recuperação, o acionamento das áreas competentes para a execução do plano de recuperação, a análise detalhada do incidente cibernético, além de deliberações e demais providências, caso necessário; e

V – Encerramento e registro das lições aprendidas: envolve as diretrizes para a emissão do relatório de encerramento de incidente, a atualização do banco de dados de incidentes conhecidos (BDIC), o encerramento formal do incidente cibernético, além da comunicação às áreas envolvidas sobre o fim do tratamento do incidente cibernético.

Subseção I

Da Identificação

Art. 5.º A ETIR-JF3R viabilizará canais de comunicação para que os usuários, tanto internos quanto externos à JF3R, possam comunicar os eventos ou indícios de incidente de segurança por meio de preenchimento do “Formulário de Comunicação de Evento de Segurança”, preferencialmente pelos canais abaixo:

I – Envio do formulário para o e-mail etir-jf3@trf3.jus.br; ou

II – Abertura de chamado no https://callcenterotrs.trf3.jus.br/otrs/index.pl, anexando obrigatoriamente o formulário ao respectivo chamado.

Art. 6.º Recebido o formulário, a ETIR-JF3R deverá apreciá-lo, observando o Plano de Gestão de Incidentes Cibernéticos para a categorização dos eventos, podendo:

I – Comunicar ao usuário requisitante o encerramento do tratamento do evento reportado, na hipótese de não se tratar de incidente de segurança tipificado no Plano de Gestão de Incidentes Cibernéticos;

II – Registrá-lo no Registro de Incidente de Segurança e requerer informações adicionais ao usuário requisitante para nortear as deliberações, caso necessário, na hipótese do evento reportado se tratar de incidente de segurança tipificado no Plano de Gestão de Incidentes Cibernéticos.

Art. 7.º Após o preenchimento do Registro de Incidente de Segurança, a ETIR-JF3R deliberará a seu respeito, observando:

I – Os protocolos previstos neste ato, na hipótese de se tratar de Incidente de Crise Cibernética, conforme os critérios de tipificação contidos no art. 28;

II – O “Protocolo para Investigação de Ilícitos Cibernéticos”, na hipótese de se tratar de incidente de segurança cibernética penalmente relevante, conforme os critérios de tipificação contidos no art. 28;

III – O protocolo previsto para contenção, dando-se ciência do incidente de segurança digital ao CRI-Jus e ao CPTRIC-PJ, na hipótese de se tratar de incidentes de segurança cibernética, conforme os critérios de tipificação contidos no plano de gestão de incidentes cibernéticos.

Subseção II

Da Contenção

Art. 8.º A ETIR-JF3R deverá consultar a base de conhecimento sobre tratamento do incidente, bem como o Protocolo de Prevenção a Incidentes Cibernéticos do Poder Judiciário para:

I – Identificar e definir equipe responsável, além do ponto de contato, pelo acompanhamento dos procedimentos de contenção, erradicação, recuperação e encerramento do incidente registrado;

II – Isolar os ativos de informação comprometidos no incidente registrado;

III – Comunicar às áreas responsáveis pelo serviço comprometido as ações a serem tomadas;

IV – Coletar as evidências do incidente, observando sua volatilidade; e

V – Adotar as ações de contorno, de acordo como os planos de continuidade e contingência.

Subseção III

Da Erradicação

Art. 9.º A equipe responsável pelo incidente deverá investigá-lo detalhadamente e formular os quesitos necessários para esclarecer as possíveis causas, extensões e impactos, a fim de subsidiar as decisões e ações para sua contenção ou para seu encaminhamento.

Art. 10. Incumbe à equipe responsável pela investigação do incidente:

I – Elaborar relatório da análise de evidências;

II – Comunicar o incidente às áreas ou aos usuários afetados;

III – Remover as ameaças cibernéticas existentes nos ativos de informação comprometidos, garantindo que as operações essenciais sejam apoiadas, caso surjam desafios durante a etapa de restauração.

Subseção IV

Da Recuperação

Art. 11. A equipe responsável por investigar o incidente deverá elaborar plano de recuperação e executar as verificações ambientais e de segurança paralelas ao controle dos impactos de desempenho não intencionais da restauração.

Parágrafo Único. O plano de recuperação deverá ser executado em fases para restauração de operações, com foco prioritário nos sistemas críticos ou na execução da operação, em modo analógico, até que haja confiança no desempenho do sistema.

Art. 12. A ETIR-JF3R deverá submeter o plano de recuperação à apreciação do CLSI-JF3R para aprovação ou rejeição das ações nele contidas.

Parágrafo Único. Em caso de rejeição do plano de recuperação, a ETIR-JF3R elaborará novo plano e o submeterá novamente à CLSI-JF3R para as manifestações necessárias.

Art. 13. A ETIR-JF3R acionará as áreas competentes para apoiá-la na execução do Plano de Recuperação.

Art. 14. Após a execução do plano de recuperação, a ETIR-JF3R analisará detalhadamente o incidente para:

I – Certificar estar solucionado;

II – Verificar as ações e/ou providências adotadas até o momento, devendo submeter o Relatório de necessidades e soluções do incidente para deliberação da CLSI-JF3R, caso necessário;

III – Elaborar novo plano de recuperação e submetê-lo à CLSI-JF3R para aprovação, na hipótese de o incidente de segurança não ter sido solucionado;

IV – Executar a Subseção V – Do encerramento e das lições aprendidas desta seção, na hipótese de o incidente de segurança ter sido solucionado e não existir outras ações ou providências a serem tomadas.

Art. 15. A CLSI-JF3R apreciará o relatório de necessidades e soluções do incidente e deliberará sobre as providências, se necessário.

Subseção V

Do Encerramento e das Lições Aprendidas

Art. 16. Solucionado o incidente, a ETIR-JF3R deverá:

I – Preencher o relatório de encerramento de incidente e registrá-lo em meio apropriado;

II – Atualizar o indicador de desempenho dos incidentes de segurança, o Banco de Dados dos Incidentes Conhecidos (BDIC) e o Plano de Gestão de Incidentes de Segurança, caso necessário;

III – Encerrar o tratamento do Incidente de Segurança;

IV – Avaliar a necessidade de comunicar a CLSI-JF3R sobre o tratamento e o encerramento do incidente de segurança;

V – Comunicar ao usuário requisitante sobre o encerramento do incidente de segurança reportado.

SEÇÃO II

Da Investigação de Ilícitos Cibernéticos

Art. 17. O protocolo de investigação de ilícitos cibernéticos inclui as seguintes fases:

I – Coleta das evidências: envolve as diretrizes para a identificação dos ativos de informação e recursos de dados envolvidos, a solicitação de apoio das áreas para a coleta das evidências, a coleta dos dados voláteis e não-voláteis, a coleta e armazenamento de cópia dos arquivos afetados, e da elaboração da justificativa em caso de inviabilidade de preservação das evidências no Relatório de Comunicação de Incidente de Segurança Cibernética;

II – Preservação das evidências: envolve as diretrizes para a geração dos resumos criptográficos dos arquivos e da lista de resumos criptográficos, o lacre do material coletado e o preenchimento do Termo de Custódia dos Ativos de Informação; e

III – Comunicação do ilícito cibernético: envolve as diretrizes para a elaboração e apreciação do Relatório de Comunicação de Incidente de Segurança Cibernética, a comunicação ao Ministério Público e à Polícia Judiciária, além do encaminhamento para execução do Protocolo de Gerenciamento de Crises Cibernéticas no âmbito da Justiça Federal da 3.ª Região.

Art. 18. A execução da investigação de ilícitos cibernéticos será aplicada nos seguintes casos, entre outros:

I – Divulgação não autorizada de dado ou informação sigilosa contida em sistema, arquivo ou base de dados da APF, nos termos do art. 153, §1.º-A, do Código Penal;

II – Invasão de dispositivo informático, nos termos dos arts. 154-A e 154-B do Código Penal;

III – Interrupção de serviço telemático ou de informação de utilidade pública, previsto no art. 266, §1.º, do Código Penal;

IV – Inserção ou facilitação de inserção de dados falsos, alteração ou exclusão de dados corretos nos sistemas informatizados ou bancos de dados da APF, nos termos do art. 313-A do Código Penal;

V – Modificação ou alteração por funcionário público de sistema de informação ou programa de informática sem autorização, nos termos do art. 313-B do Código Penal;

VI – Distribuição, armazenamento ou conduta vinculada à pornografia infantil, nos termos dos arts. 240, 241, 241-A, 241-B, 241-C e 241-D da Lei n.º 8.069/90; e

VII – Interceptação telemática clandestina, nos termos do art. 10 da Lei n.º 9.296/96.

Subseção I

Da Coleta de Evidências

Art. 19. Para fins de coleta de evidência a ETIR-JF3R deverá:

I – Identificar os ativos de informação envolvidos no incidente de segurança e quais serão os recursos de dados requeridos para a coleta das evidências;

II – Solicitar apoio das unidades de TI envolvidas para a coleta das evidências, observando a ordem de volatilidade das evidências;

III – Avaliar a viabilidade de preservação das mídias de armazenamento dos dispositivos afetados ou de suas respectivas imagens forenses, em razão da necessidade de pronto restabelecimento do serviço afetado;

IV – Coletar e preservar, sem prejuízo de outras ações, os seguintes itens:

a) dados voláteis armazenados nos dispositivos computacionais, tais como a memória principal (memória RAM, processos em execução, conexões de rede estabelecidas, tabela de rotas, dentre outros);

b) mídias de armazenamento dos dispositivos afetados ou imagens forenses; e

c) registros de eventos citados no ANEXO III da Portaria CNJ n.° 162.

Subseção II

Da Preservação de Evidências

Art. 20. A ETIR-JF3R deverá:

I – Gerar a lista dos resumos criptográficos (hashes) contendo a relação das evidências coletadas e armazená-la em arquivo no formato de texto puro (“.txt”);

II – Gravar os arquivos coletados (evidências) e o arquivo criado nos termos do inciso I;

III – Gerar hash do arquivo criado nos termos do inciso I;

IV – Lacrar o material coletado nos termos dos incisos I, II e III, e disponibilizá-lo para análise da CLSI-JF3R;

V – Preencher o Termo de Custódia dos Ativos de Informação relacionados ao incidente de segurança penalmente relevante; e

VI – Armazenar os materiais lacrados em local seguro e com acesso restrito.

Subseção III

Da Comunicação de Ilícito Cibernético

Art. 21. A ETIR-JF3R elaborará o Relatório de Comunicação de Incidente Cibernético (RCIC-JF3R), que deverá conter as seguintes informações, sem prejuízo de outras julgadas relevantes:

I – Nome do responsável pela preservação dos dados do incidente e informações de contato;

II – Nome do servidor da ETIR-JF3R responsável e informações de contato;

III – Unidade comunicante com sua localização e informações de contato;

IV – Número de controle da ocorrência;

V – Relato sobre o incidente, descrevendo o que ocorreu, como foi detectado e quais dados foram coletados e preservados;

VI – Descrição das atividades de tratamento e resposta ao incidente e todas as providências tomadas pela ETIR-JF3R, incluindo as ações de preservação e coleta, a metodologia, as ferramentas utilizadas e o local de armazenamento das informações preservadas;

VII – Resumo criptográfico dos arquivos coletados;

VIII – Termo de custódia dos ativos de informação relacionados ao incidente de segurança;

IX – Número de lacre de material físico preservado, se houver; e

X – Justificativa sobre eventual inviabilidade de preservação das mídias de armazenamento dos dispositivos afetados, diante da impossibilidade de mantê-las.

Art. 22. A ETIR-JF3R acondicionará o RCIC-JF3R em envelope lacrado e rubricado pelo presidente da CLRI-JF3R, além de protocolá-lo e encaminhá-lo formalmente à CLSI-JF3R para apreciação.

Parágrafo Único. Constará no documento formal de encaminhamento apenas a informação de que se trata de comunicação de evento relacionado à segurança da informação, sem a descrição dos fatos.

Art. 23. A CLSI-JF3R deverá apreciar o RCIC-JF3R e comunicar os fatos de imediato à Polícia Judiciária e ao Ministério Público para apuração, se for o caso.

Art. 24. A CLRI-JF3R deverá acionar os protocolos de Gerenciamento de Crises Cibernéticas.

SEÇÃO III

Do Gerenciamento de Crises Cibernéticas

Art. 25. O protocolo de gerenciamento de crises cibernéticas inclui as seguintes fases:

I – Planejamento do gerenciamento de crises cibernéticas (pré-crise): envolve as diretrizes do Comitê de Crise Cibernética (CCC-JF3R), a execução do Programa de Gestão da Continuidade de Serviços (PGCS-JF3R) e a avaliação do resultado das simulações dos planos e dos procedimentos produzidos;

II – Execução do gerenciamento de crises cibernéticas (durante a crise): envolve as diretrizes para o acionamento do CCC-JF3R, a execução dos planos e procedimentos aplicáveis, o levantamento das informações e das soluções alternativas para a crise, a centralização da comunicação no porta-voz do CCC-JF3R, o acionamento do protocolo de ilícitos cibernéticos, a orientação das prioridades e estratégias da organização para a recuperação, a definição dos procedimentos de compartilhamento de informações relevantes com outros órgãos, a elaboração, a apreciação e a execução do plano de retorno à normalidade; e

III – Melhoria contínua do gerenciamento de crises cibernéticas (pós-crise): envolve as diretrizes para identificar e registrar as lições aprendidas, a elaboração do relatório de encerramento do incidente de segurança, da necessidade de atualizar os procedimentos, o encerramento da crise e a comunicação do fim do tratamento da crise às partes interessadas.

Subseção I

Do Planejamento do Gerenciamento de Crises Cibernéticas

Art. 26. O CCC-JF3R apoiará o Comitê Multidisciplinar de Governança de Tecnologia de Informação e Comunicação (COMIT-JF3R) para estabelecer Programa de Gestão da Continuidade de Serviços (PGCS-JF3R) que contemple as seguintes atividades:

I – Definir os procedimentos críticos fundamentais para a atividade finalística da JF3R;

II – Identificar, com o apoio da ETIR-JF3R, os ativos de informação críticos, ou seja, aqueles que suportam as atividades primordiais, incluindo as pessoas, os processos, a infraestrutura e os recursos de tecnologia da informação;

III – Avaliar continuamente os riscos a que as atividades críticas estão expostas e que possam impactar diretamente na continuidade do negócio;

IV – Categorizar os incidentes por meio do plano de gestão de incidentes cibernéticos;

V – Priorizar os riscos de maior criticidade por meio da relação de prioridades para a elaboração dos procedimentos;

VI – Elaborar, com o apoio da ETIR-JF3R, os planos e procedimentos para cada tipo de incidente, de forma a apoiar equipes técnicas e de liderança em casos de incidentes cibernéticos;

VII – Realizar simulações, com o apoio da ETIR-JF3R, para validar os planos e os procedimentos elaborados; e

VIII – Apreciar o resultado das simulações bem-sucedidas dos planos e dos procedimentos.

Art. 27. A ETIR-JF3R avaliará o resultado das simulações dos planos e procedimentos, devendo:

I – Na hipótese de os planos e procedimentos serem simulados com sucesso, submetê-los para a apreciação da CCC-JF3R;

II – Na hipótese de os planos e procedimentos não serem simulados com sucesso, submetê-los ao CCC-JF3R para nova categorização dos incidentes, ou seja, retornar ao inciso IV do artigo anterior.

Subseção II

Da Execução do Gerenciamento de Crises Cibernéticas

Art. 28. A execução do gerenciamento de crise cibernética deve ser iniciada quando:

I – Ficar caracterizado ilícito cibernético ou grave dano material ou à imagem;

II – Restar evidente que as ações de resposta ao incidente cibernético provavelmente persistirão por longo período, podendo se estender por dias, semanas ou meses;

III – O incidente impactar a atividade finalística, o serviço crítico mantido pelo órgão ou atrair grande atenção da mídia e da população em geral.

Art. 29. A ETIR-JF3R acionará o Comitê de Crise Cibernética caso ocorra incidente de crise cibernética tipificado no artigo anterior.

Art. 30. O CCC-JF3R possui autoridade e autonomia para decidir sobre o conteúdo de comunicação a ser divulgado na respectiva crise cibernética, bem como para delegar atribuições, estabelecer metas e prazos de ações.

Art. 31. O CCC-JF3R deverá se reunir imediatamente para iniciar o tratamento da respectiva crise cibernética para:

I – Na hipótese de existirem procedimentos ou planos aplicáveis, autorizar sua execução pela ETIR-JF3R;

II – Na hipótese de não existirem procedimentos ou planos aplicáveis:

a) entender claramente o incidente que gerou a crise, sua gravidade e os impactos negativos;

b) levantar informações relevantes sobre a crise cibernética, verificando fatos e descartando boatos;

c) levantar soluções alternativas para a crise, avaliando sua viabilidade e consequências; e

d) avaliar a necessidade de suspender serviços ou sistemas informatizados.

Art. 32. O CCC-JF3R deverá definir o porta-voz da crise, o qual deverá:

I – Centralizar a comunicação para evitar informações equivocadas ou imprecisas;

II – Realizar comunicação tempestiva e eficiente, de forma a evidenciar o trabalho diligente das equipes e evitar boatos ou investigações paralelas;

III – Definir estratégias de comunicação com a imprensa e/ou redes sociais e estabelecer qual a mídia mais adequada para se utilizar em cada caso; e

IV – Comunicar os incidentes graves ao Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Poder Judiciário (CPTRIC-PJ), órgão superior vinculado ao Conselho Nacional de Justiça.

Art. 33. O CCC-JF3R executará o protocolo de investigação para ilícitos cibernéticos e avaliará a necessidade de apoio ou colaboração de especialistas ou centros de resposta a incidentes de segurança durante a crise cibernética, podendo requerer formalmente tal colaboração, caso necessário.

Art. 34. O CCC-JF3R orientará a ETIR-JF3R sobre as prioridades e estratégias da organização para recuperação rápida e eficaz dos dados, bem como avaliará a necessidade de providencias adicionais extraordinárias a serem adotadas.

Art. 35. Incumbe ao CCC-JF3R:

I – Definir os procedimentos de compartilhamento de informações relevantes para a proteção de outras organizações com base nas informações colhidas sobre o incidente;

II – Elaborar o plano de retorno à normalidade – PRN-JF3R.

Parágrafo único. As etapas e procedimentos de resposta poderão variar de acordo com o tipo de crise e o progresso de implementação deverá ser avaliado até que seja possível retornar à condição de normalidade.

Art. 36. A ETIR-JF3R executará o PRN-JF3R, reportando ao CCC-JF3R o progresso das ações de retorno à normalidade.

I – Na hipótese de o PRN-JF3R obter sucesso, a subseção III – Da Melhoria Contínua do Gerenciamento de Crises Cibernéticas desta seção deverá ser executada; ou

II – Na hipótese de o PRN-JF3R não obter sucesso, a ETIR-JF3R deverá comunicar ao CCC-JF3R os motivos desse insucesso e, consequentemente, aprimorar o PRN-JF3R previsto no artigo anterior.

Subseção III

Da Melhoria Contínua do Gerenciamento de Crises Cibernéticas

Art. 37. Após o retorno das operações à normalidade, o CCC-JF3R realizará a análise criteriosa das ações tomadas, identificando as que foram bem-sucedidas e as inadequadas.

Art. 38. O CCC-JF3R considerará os itens abaixo na identificação das lições aprendidas e na elaboração do relatório de encerramento do incidente de segurança:

I – Identificação e análise da causa-raiz do incidente;

II – Linha do tempo das ações realizadas;

III – Escala do impacto nos dados, sistemas e operações de negócios importantes durante a crise;

IV – Mecanismos e processos de detecção e proteção existentes e as necessidades de melhoria identificadas;

V – Escalonamento da crise;

VI – Investigação e preservação de evidências;

VII – Efetividade das ações de contenção;

VIII – Coordenação da crise, liderança das equipes e gerenciamento de informações; e

IX – Tomada de decisão e estratégias de recuperação.

Art. 39. A ETIR-JF3R, em apoio ao CCC-JF3R, deverá elaborar as lições aprendidas com a crise, as quais deverão ser utilizadas para o aperfeiçoamento ou a revisão dos procedimentos específicos de resposta e melhoria do processo de preparação para crises cibernéticas.

Parágrafo único. A ETIR-JF3R atualizará os procedimentos e/ou os normativos identificados pelo CCC-JF3R nas lições aprendidas, caso necessário.

Art. 40. A ETIR-JF3R, em apoio ao CCC-JF3R, elaborará o relatório de encerramento do incidente de segurança, contendo a descrição e o detalhamento da crise, bem como o plano de ação adotado para evitar que incidentes similares ocorram novamente ou para redução de danos causados.

Parágrafo único. A ETIR-JF3R deverá anexar o Relatório de Encerramento do Incidente de Segurança em sistema.

Art. 41. A CCC-JF3R deverá:

I – Encerrar formalmente o incidente/crise em sistema; e

II – Comunicar aos envolvidos o encerramento do incidente/crise de segurança reportado.

Art. 42. Esta Resolução entra em vigor na data de sua publicação.

Publique-se. Registre-se. Cumpra-se.

‎

Disponibilizada no Diário Eletrônico da Justiça Federal da 3ª Região em 30/09/2022, Caderno Administrativo, págs. 1 a 8. Considera-se data de publicação o primeiro dia útil subsequente à data acima mencionada, nos termos do art. 4º, §§ 3º e 4º, da Lei 11.419/2006
‎

‎

ANEXO DA RESOLUÇÃO PRES N.º 541, DE 27 DE SETEMBRO DE 2022.

APF - Administração Pública Federal;

BDIC – Banco de dados de incidentes conhecidos;

CCC-JF3R – Comitê de Crise Cibernética;

CLRI – Comissão Local de Resposta a Incidentes;

CPTRIC-PJ – Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do CNJ;

COMIT-JF3R – Comitê Multidisciplinar de Governança de Tecnologia de Informação e Comunicação;

CRI-Jus – Comitê de Resposta a Incidentes de Segurança da Informação da Justiça Federal;

ENSEC-PJ – Estratégia Nacional de Segurança Cibernética do Poder Judiciário;

ETIR-JF3R – Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais;

JF3R - Justiça Federal da 3.ª Região;

HASH – Algoritmo matemático para a criptografia, na qual ocorre transformação do dado (como um arquivo, senha ou informações) em conjunto alfanumérico com comprimento fixo de caracteres;

Interceptação Telemática – Consiste na captação de troca de mensagens seja ela de texto ou áudio através de aplicativos de mensagens instantâneas com a finalidade de tomar conhecimento de seu conteúdo, sem que os interlocutores tenham ciência de um terceiro observando a comunicação;

PGCS-JF3R – Programa de Gestão da Continuidade de Serviços;

PRN-JF3R – Plano de Retorno à Normalidade;

RCIC-JF3R – Relatório de Comunicação de Incidente Cibernético;

SGPI – Sistema de Gestão de Privacidade da Informação.