O Conselho da Justiça Federal baixou nesta terça-feira (22/04) a Resolução nº 6, que trata da implantação da Política de Segurança da Informação e a utilização dos ativos de informática no âmbito do Conselho e da Justiça Federal de primeiro e segundo graus.

Com essa Resolução, a Justiça Federal centraliza nela, todas as diretrizes e regulamentações relativas à Segurança da Iinformação já foram traçadas até agora pelas respectivas áreas de informática dos tribunais federais, no tocante às práticas seguras de gestão, aproveitamento, processamento, armazenamento, transmissão e recuperação de toda informação produzida no Conselho e na Justiça Federal de primeiro e segundo graus.

"Cada órgão responsável pela implantação da Política de Segurança da Informação deverá elaborar documentos próprios e diferenciados, conforme orientações contidas no Anexo I desta Resolução. Os sistemas de informações do Conselho e da Justiça Federal de primeiro e segundo graus deverão ser adaptados ao disposto nesta Resolução no período máximo de dois anos, contados a partir de sua publicação (22/04/2008). A Resolução foi assinada pelo presidente do CJF, ministro Humnberto Gomes de Barros.

Política de Segurança

No Anexo I desta Resolução nº 6, a Justiça Federal define o conjunto de medidas que nortearão toda a proteção que deverão ser aplicadas a toda e qualquer informação, independentemente de onde ela se encontre. "Suas orientações devem ser lidas, entendidas e seguidas em todos os níveis hierárquicos, para que seu maior patrimônio, a informação, tenha o grau de confidencialidade, integridade, disponibilidade e autenticidade exigidos", destaca o item nº 1 deste Anexo.

O documento também estabelece que a Política de Segurança da Informação abrangerá todos os Tribunais Regionais Federais, suas seções e subseções, Conselho da Justiça Federal e demais participantes. E terá como "público alvo" os agentes públicos dos órgãos participantes e ainda a estagiários, aprendizes, clientes e parceiros.

A Política define as Diretrizes para a Segurança da Informação dos participantes, visando preservar a confidencialidade, integridade, disponibilidade e autenticidade das informações, descrevendo a conduta considerada adequada para o tratamento da informação em todo o seu ciclo de vida (criação, manuseio, armazenamento, transporte e descarte).

Atribuições e Responsabilidades

O Conselho da Justiça Federal terá por atribuição criar e regulamentar o Comitê de Segurança da Informação da Justiça (CSI-Jus) e o Comitê de Resposta a Incidentes da Justiça (CRI-Jus);
aprovar e regulamentar administrativamente esta Política de Segurança da Informação e sua aplicação. Os órgãos participantes deverão criar e definir a composição da Comissão Local de Segurança da Informação e da Comissão Local de Resposta a Incidentes; aprovar e regulamentar, administrativamente, os documentos acessórios da Política de Segurança da Informação, dentro do âmbito de seu órgão.

A Resolução homologa a criação do "Sistema de Tecnologia da Informação e Comunicação da Justiça Federal - SIJUS", que terá por competência recomendar as providências necessárias a cada órgão, para a implementação das práticas de segurança da informação; definir as competências, atribuições e composição do Centro de Resposta a Incidentes de Segurança da Informação da Justiça (CRI-Jus) e do Comitê de Segurança da Informação da Justiça (CSIJus).

Gerenciamento

O gerenciamento ficará por conta das Áreaa de TI & Comunicação dos órgãos participantes e o cumprimento das práticas propostas. Essas áreas deverão indicar os componentes da área de TIC para o Centro Local de Resposta a Incidentes de segurança. Agentes Públicos, Estagiários e Aprendizes também são obrigados a cumprir esta política, assim como os clientes e parceiros, em relação aos recursos compartilhados com os participantes.

CSIJus

O Comitê de Segurança da Informação da Justiça - CSIJus será composto por, no mínimo, um titular e um suplente, provenientes da Área de Segurança da Informação de cada Tribunal Regional Federal e do Conselho da Justiça Federal, por indicação de seus dirigentes. Como requisito, "todo e qualquer membro do CSI-Jus deve, preferencialmente, receber qualificação em gestão de segurança da informação", informa o Anexo I da Resolução nº 6.

Compete ao CSI-Jus:

- Manter, em conjunto com as áreas de TI & C de cada órgão,
- Promover ações preventivas e educativas de segurança da informação;
- Manter atualizada a política de segurança da informação e seus documentos acessórios, de acordo com a periodicidade determinada em cada documento;
- Dar ciência aos responsáveis pelas áreas de TI & C de todas as modificações e ajustes propostos nos documentos da política de segurança da informação, mediante relatórios periódicos;
- Manter estreito intercâmbio com as Comissões Locais de Segurança da Informação;
- Sugerir convite ou contratação de profissionais externos à Justiça, de relevante importância na área de segurança da informação, para auxílio em questões que assim o exijam, sob a condição de confidencialidade;
- Definir e manter atualizadas as métricas de segurança da informação, incluindo as necessárias ao trabalho do CRI-Jus;
- Propor ações de treinamento e atualização necessárias;
- Coordenar as atividades e analisar os resultados do CRI-Jus em caráter consultivo.

CRI-Jus

O Comitê de Resposta a Incidentes de Segurança da Justiça - CRI-Jus deverá ser composto por no mínimo um titular e um suplente, provenientes da Área de Segurança da Informação de cada TRF e CJF, por indicação de seus dirigentes; e deve receber completa qualificação em tratamento de incidentes.

Compete ao CRI-Jus:

- Manter, em conjunto com as áreas de TI & C de cada órgão, ações preventivas e educativas de segurança;
- Dar resposta a qualquer incidente de segurança relevante no âmbito dos órgãos participantes, em conjunto com as Comissões Locais de Resposta a Incidentes e as áreas de TI & C de cada órgão;
- Dar ciência aos responsáveis pelas áreas de TI & C de todos os incidentes relevantes tratados pelo comitê, mediante relatórios periódicos, além de manter o registro estatístico e pericial dos incidentes;
- Manter estreito intercâmbio com outros comitês ou centros de resposta a incidentes de segurança;
- Sugerir convite ou contratação de profissionais externos à Justiça, de relevante importância na área de segurança da informação, para auxílio em questões que assim o exijam, sob a condição de confidencialidade;
- Auxiliar na implementação e revisão da Política de Segurança.

CSLI

A Comissão Local de Segurança da Informação - CLSI deverá ser presidida pelo dirigente do órgão ou seu representante, e composta por, no mínimo, um membro da Área de Segurança da Informação, um membro da área administrativa, um membro da área judiciária e um membro da área jurídica, sob a chefia da Área de Segurança da Informação para questões técnicas.

Cabe ao CLSI:

- Manter ações preventivas e educativas de segurança;
- Manter atualizados os documentos acessórios da política de segurança de sua competência, de acordo com a periodicidade determinada em cada um;
- Dar ciência ao Comitê de Segurança da Informação da Justiça - CSI-Jus, de todas as modificações e ajustes propostos nos documentos da política de segurança de sua competência, por meio de relatórios periódicos, além de manter atualizados os dados estatísticos e indicadores de ambas as estruturas;
- Utilizar as métricas de segurança da informação definidas pelo CSI-Jus;
- Propor ações de treinamento e atualização necessárias;
- Coordenar as atividades e analisar os resultados do CLRI (Comissão Local de Resposta a Incidentes de Segurança da Informação).

CLRI

A CLRI - Comissão Local de Resposta a Incidentes de Segurança da Informação - deve ser chefiada por um membro da Área de Segurança da Informação e composta por, no mínimo, um membro da Área de Segurança da Informação e um membro da Área de Informática, sob a coordenação da CLSI para questões jurídicas e administrativas; com completa qualificação em tratamento de incidentes.

Compete à CLRI:

- Manter, em conjunto com a CLSI, ações preventivas e educativas de segurança;
- Dar resposta a qualquer incidente de segurança no âmbito de seu órgão, dando ciência à CRI-Jus e à área de TI & C;
- Classificar os incidentes de segurança de acordo com as métricas definidas pelo CSI-Jus, solicitando auxílio ao CRI-Jus sempre que o evento atingir os parâmetros de relevância definidos;
- Dar ciência aos responsáveis pelas áreas de TI & C de todos os incidentes relevantes tratados pela comissão, através de relatórios periódicos, além de manter o registro estatístico e pericial dos incidentes;
- Manter estreito intercâmbio com o CRI-Jus e com os outros CLRIs;
- Auxiliar na implementação e revisão dos documentos acessórios da Política de Segurança da Informação de sua alçada.

Nesta política de Segurança da Informação definida pelo Conselho da Justiça Federal, são estabelecidos os procedimentos de acesso lógico aos "ativos de informação", em todos os seus níveis, de forma a possibilitar não só o controle de acesso à rede, como também o controle de acesso aos dados internos de caráter sensível ou confidencial. Os seguintes pontos que são considerados como prioritários para efeito de controle de informação são:

- Rede local;
- Confiança entre sites distintos;
- Acesso via Rede Virtual Privada (VPN);
- Acesso via linha discada;
- Acesso via redes sem fio;
- Telefonia IP externa;
- Novos serviços de interesse dos órgãos participantes;
- Mensageria externa;
- Mensageria corporativa;
- Mensageria instantânea;
- Acesso à Internet;
- Acesso à Intranet;
- Acesso a Extranets;
- Transferências de arquivos;
- Novos serviços que venham a ser incorporados.