Posic institui normas para segurança da informação no Tribunal

publicado 28/01/2015 12:46, modificado 28/01/2015 14:46

Novas regras para o controle da gestão de informações fazem parte da Política de Segurança da Informação e Comunicação do Tribunal Regional do Trabalho da 3ª Região (Posic-TRT3). A normativa instituída pela Resolução GP/DG nº 7, de 21 de novembro de 2014, tem como princípio garantir a proteção de toda a informação gerada, recebida, adquirida, armazenada, processada, transmitida ou descartada, esteja ela em meio físico ou virtual.

Controles no momento de criação, aquisição, uso, transporte, guarda e descarte de informação deverão dar garantia contínua de acesso disponível e restrito a usuários autorizados, impedir modificação ou destruição não autorizada ou acidental de informação e assegurar a veracidade na obtenção das fontes que a emitem. As diretrizes se aplicam a magistrados, servidores, estagiários e colaboradores do Tribunal.

Entre as normas definidas pela resolução está a limitação de uso do correio eletrônico corporativo à execução de atividades relacionadas ao Tribunal. Servidores e demais usuários podem ser responsabilizados por utilizar o email do TRT com materiais obscenos, ilegais, antiéticos, preconceituosos ou discriminatórios, caluniosos ou difamatórios, protegidos por leis de propriedade intelectual, vinculados a entretenimentos e correntes; bem como com listas de endereços eletrônicos do Tribunal; vírus ou programas danosos; propagandas com objetivos comerciais; propaganda político-partidária ou sindical, que promova a eleição de candidatos para cargos públicos eletivos, clubes, associações ou sindicatos; assuntos ofensivos; músicas, vídeos ou animações que não sejam de interesse específico do trabalho e mensagens maliciosas em massa (spam).

De acordo com a Posic, a instalação e a utilização de programas de computador dependem de homologação, de modo a estar em conformidade com as atividades da instituição e com a área de atuação das unidades, sendo explicitamente vedada quando inexistir licença ou direito de uso pertencente ao Tribunal. O texto define o usuário como responsável pelo acesso autorizado a recursos de tecnologia de informação, que deve se dar de forma "individual, pessoal e intransferível"; sendo dele também a responsabilidade pela guarda e pelo sigilo da respectiva senha, o que faz com que responda pelos acessos efetuados com sua credencial (login).

O Comitê Gestor de Segurança da Informação e Comunicação terá o papel de criar normas específicas para regulamentar diversos temas da Política respectiva, bem como de providenciar revisões e atualizações periódicas das suas disposições. Cabe ao Comitê a criação de unidade gestora de segurança da informação responsável por supervisionar e acompanhar o cumprimento da Posic-TRT3. Eventuais decisões determinando o bloqueio do acesso a páginas da Internet poderão ser tomadas pelo Comitê, que também é o fórum responsável por avaliar casos omissos. Tais bloqueios são previstos em relação a endereços que tenham conteúdo incompatível com as atividades profissionais, que desrespeitem a legislação ou tragam risco à segurança da informação na rede.

Potenciais ameaças e vulnerabilidades serão avaliadas periodicamente pela unidade gestora de segurança da informação. A Diretoria da Secretaria de Coordenação de Informática irá registrar e monitorar a utilização dos equipamentos e programas, o acesso à rede de computadores e aos serviços por ela disponibilizados, com o intuito de detectar e evidenciar possíveis "incidentes de segurança" - denominação dada a eventos que comprometam disposições normativas deste Regional ou diretrizes governamentais, que não estejam em conformidade com a legislação sobre a matéria, que representem ameaça à disponibilidade de serviços, exponham ou facilitem acesso não autorizado a informações sob guarda deste TRT. A mesma Diretoria se encarregará também de fazer auditorias ordinárias e extraordinárias dos recursos tecnológicos do Tribunal: as primeiras periódicas e as últimas por solicitação, para apurar possíveis eventos que exponham a segurança de ativos de informação e boas práticas de utilização do ambiente informatizado. Possíveis "incidentes de segurança" devem ser reportados à Central de Atendimento de Tecnologia da Informação.

Visualizações: