Conecte-se
Fazer login

Galeria de mapas mentais Resolução 396/2021 CNJ 07/06/2021 ENSEC-PJ

Resolução 396/2021 CNJ 07/06/2021 ENSEC-PJ

Este sistema de mapa mental explica o quadro político do Conselho Nacional de Justiça (CNJ) sobre a gestão judicial da segurança da informação. No capítulo 3, os objetivos da visão digital do sistema judicial são enfatizados, com o artigo 10 exigindo explicitamente que os tribunais de todos os níveis estabeleçam um sistema de gestão da segurança da informação baseado em riscos. O Capítulo 6 enfatiza que, com exceção da Suprema Corte dos Estados Unidos, todos os departamentos administrativos do judiciário devem assumir a principal responsabilidade pela segurança da informação e responder às ameaças cibernéticas através da construção de uma rede nacional de cooperação em segurança judiciária. A apresentação geral apresenta um plano abrangente de governança da segurança da informação desde a construção institucional até a implementação específica.

Editado em 2023-10-09 18:08:01

Mauricio Martins

Trabalhos recentes Ver mais trabalhos>>

Resolução 396/2021 CNJ 07/06/2021 ENSEC-PJ

Mauricio Martins

Trabalhos recentes Ver mais trabalhos>>

Recomendado para você
Descrição

CARLOS
- 10
Carlos Henrique Duarte
O PODER DISCIPLINAR UMA LEITURA EM VIGIAR E PUNIR
- 5
micheli.lazzaris@unidavi.edu.br
Inquérito Policial
- 12
- 1
JANNA
LEGISLAÇÃO AMBIENTAL
- 16
Thalita mirian
SERVIÇOS PÚBLICOS
- 5
JANNA
COISA PERDIDA
- 8
Felipe Melhem Karasinski
DIREITOS E DEVERES INDIVIDUAIS COLETIVOS
- 12
deluanyy@gmail.com
OBRIGAÇÕES
- 12
- 1
Sara Moreira
DISSOLUÇÃO DA UNIÃO ESTAVEL
- 9
felipemtairone@gmail.com
DIREITO PENAL
- 6
adryelle.rhayanne1@gmail.com

Resolução 396/2021 CNJ 07/06/2021 ENSEC-PJ

CAPÍTULO III - DA VISÃO, DOS OBJETIVOS E DAS AÇÕES

Art 10. Para fortalecer as ações de governança cibernética, deve-se estabelecer um Sistema de Gestão em Segurança da Informação baseado em riscos, de acordo com recomendação do CNJ.

Sistema de Gestão em Segurança da Informação baseado em riscos

Será necessário criar a Gestão de Risco do TJMT.

Art. 11. Para elevar o nível de segurança das infraestruturas críticas, deve-se:

I – estabelecer todas as ações que possibilitem maior eficiência, ou seja, capacidade de responder de forma satisfatória a incidentes de segurança, permitindo a contínua prestação dos serviços essenciais a cada órgão;

II – instituir e manter Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética (ETIR);

Portaria TJMT-PRES nº 1.167 de 3 de Novembro de 2022 - Institui a Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética (ETIR).

III – elaborar e aplicar processo de resposta e tratamento a incidentes de segurança cibernética que contenha, entre outros, procedimento de continuidade do serviço prestado e seu rápido restabelecimento, além de comunicação interna e externa;

Plano de continuidade e de Recuperação de Serviços essenciais de TIC

Relação de Serviços Essenciais

Relação de riscos, impactos e probabilidades associados a cada sistema

Descrição das estratégias de continuidade existentes

Procedimentos de recuperação dos serviços essenciais

IV – utilizar tecnologia que possibilite a análise consolidada dos registros de auditorias coletados em diversas fontes de ativos de informação e de ações de usuários, permitindo automatizar ações de segurança e oferecer inteligência à análise de eventos de segurança;

V – utilizar tecnologia que permita a inteligência em ameaças cibernéticas em redes de informação; especialmente em fóruns, inclusive da iniciativa privada e comunidades virtuais da internet;

VI – providenciar a realização de cópias de segurança atualizadas e segregadas de forma automática em local protegido, em formato que permita a investigação de incidentes;

VII – elaborar requisitos específicos de segurança cibernética relativos aos ativos sob sua jurisdição, incluindo ambientes centralizados, endpoints, equipamentos intermediários ou finais conectados em rede ou a algum sistema de comunicação, inclusive computadores portáteis e telefones celulares;

VIII – elaborar requisitos específicos de segurança cibernética relacionados com o trabalho remoto;

IX – adotar práticas e requisitos de segurança cibernética no desenvolvimento de novos projetos, tais como dupla verificação do acesso externo;

X – realizar, ao menos semestralmente, avaliação e testes de conformidade em segurança cibernética de forma a aferir a eficácia dos controles estabelecidos;

XI realizar prática em gestão de incidentes e efetivar o aprimoramento contínuo do processo; e

XII – estabelecer troca de informações e boas práticas com outros membros do poder público em geral e do setor privado com objetivo colaborativo.

CAPÍTULO VI - DA REDE NACIONAL DE COOPERAÇÃO DO PODER JUDICIÁRIO NA ÁREA DE SEGURANÇA CIBERNÉTICA

Art. 19. Compete à alta administração dos órgãos do Poder Judiciário, com exceção do STF, realizar a governança da segurança da informação e especialmente:

I – implementar, no que lhe couber, a Política de Segurança Cibernética do Poder Judiciário;

II – elaborar a Política de Segurança da Informação e normas internas correlatas ao tema, observadas as normas de segurança da informação editadas pelo CNJ;

III – destinar recursos orçamentários específicos para as ações de segurança da informação;

IV – promover ações de capacitação e profissionalização dos recursos humanos em temas relacionados à segurança da informação;

V – instituir e implementar ETIR, que comporá a rede de equipes vinculadas ao CPTRIC-PJ;

VI – coordenar e executar as ações de segurança da informação no âmbito de sua atuação; e

VII – aplicar as ações corretivas e disciplinares cabíveis nos casos de violação da segurança da informação.

Art. 20. Cada órgão do Poder Judiciário, com exceção do STF, deverá constituir Comitê de Governança de Segurança da Informação (CGSI), ao qual caberá:

I – assessorar a alta administração do órgão do Poder Judiciário em todas as questões relacionadas à segurança da informação;

II – propor alterações na política de segurança da informação e deliberar sobre assuntos a ela relacionados, incluindo atividades de priorização de ações e gestão de riscos de segurança;

III – propor normas internas relativas à segurança da informação;

IV – constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação; e

V – consolidar e analisar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação.

§ 1º o O CGSI será coordenado pela autoridade responsável pela segurança da informação no respectivo órgão do Poder Judiciário, nomeado por seu presidente.

§ 2º Os órgãos do Poder Judiciário, com exceção do STF, editarão atos para definir a forma de funcionamento dos respectivos CGSIs, observado o disposto nesta Resolução e na legislação de regência.

Art. 21. Cada órgão do Poder Judiciário, com exceção do STF, deverá constituir estrutura de segurança da informação, subordinada diretamente à alta administração do órgão e desvinculada da área de TIC.

§ 1º O titular da estrutura prevista no caput deste artigo será o gestor de segurança da informação do órgão.

§ 2º O gestor de segurança da informação terá as seguintes atribuições:

I – instituir e gerir o Sistema de Gestão de Segurança da Informação;

II – implementar controles internos fundamentados na gestão de riscos da segurança da informação;

III – planejar a execução de programas, de projetos e de processos relativos à segurança da informação com as demais unidades do órgão;

IV – implantar procedimento de tratamento e resposta a incidentes em segurança da informação; e

V – observar as normas e os procedimentos específicos aplicáveis em consonância com os princípios e as diretrizes desta Resolução e da legislação de regência.

CAPÍTULO VII - DA POLÍTICA DE SEGURANÇA CIBERNÉTICA DO PODER JUDICIÁRIO

Art. 25. São instrumentos da PSEC-PJ:

I – a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

II – o Protocolo de Prevenção de Incidentes Cibernéticos no âmbito do Poder Judiciário (PPINC-PJ);

III – o Protocolo de Gerenciamento de Crises Cibernéticas no âmbito do Poder Judiciário (PGCC-PJ);

IV – o Protocolo de Investigação para Ilícitos Cibernéticos no âmbito do Poder Judiciário (PIILC-PJ).

§ 1º Os protocolos previstos neste artigo deverão ser revisados sempre que necessário, por ato do Presidente do CNJ.

§ 2º Além dos protocolos previstos nesta Resolução, serão aprovados por ato do Presidente do CNJ os Manuais de Referência para o gerenciamento, controle e padrões necessários ao aperfeiçoamento da segurança cibernética.

Art. 26. Todos os órgãos do Poder Judiciário, à exceção do STF, deverão adotar e seguir, além dos Manuais de Referência para o gerenciamento, controle e padrões necessários ao aperfeiçoamento da segurança cibernética, o PPINC-PJ, que deverá contemplar um conjunto de diretrizes para a prevenção a incidentes cibernéticos em seu mais alto nível; o PGCC-PJ, objetivando contribuir para a resiliência corporativa por meio de resposta, tão célere e eficiente quanto possível, a incidentes em que os ativos de informação do Poder Judiciário tenham a sua integridade, confidencialidade ou disponibilidade comprometidos em larga escala ou por longo período; e o PIINC-PJ, com a finalidade de estabelecer os procedimentos básicos para coleta e preservação de evidências, bem como para comunicar fatos penalmente relevantes aos órgãos de investigação e com atribuição para o início da persecução penal.

Art. 28. Cada tribunal, com exceção do STF, deverá estabelecer em sua Política de Segurança da Informação ações para:

I – realizar a Gestão dos Ativos de Informação e da Política de Controle de Acesso;

II – criar controles para o tratamento de informações com restrição de acesso;

III – promover treinamento contínuo e certificação internacional dos profissionais diretamente envolvidos na área de segurança cibernética;

IV – estabelecer requisitos mínimos de segurança cibernética nas contratações e nos acordos que envolvam a comunicação com outros órgãos;

V – utilizar os recursos de soluções de criptografia, ampliando o uso de assinatura eletrônica, conforme legislações específicas; e

VI – comunicar e articular as ações de segurança da informação com a alta administração do órgão.

CAPÍTULO VIII - DA GESTÃO DE USUÁRIOS

Art. 29. Cada órgão do Poder Judiciário, com exceção do STF, deverá implementar a gestão de usuários de sistemas informatizados composta de:

I – gerenciamento de identidades;

II – gerenciamento de acessos; e

III – gerenciamento de privilégios.

CAPÍTULO IX - DA POLÍTICA DE CULTURA E EDUCAÇÃO EM SEGURANÇACIBERNÉTICA

Art. 30. Fica instituída, no âmbito dos órgãos do Poder Judiciário, à exceção do STF, a Política de Cultura e Educação em Segurança Cibernética no âmbito do Poder Judiciário (PCESC-PJ).

CAPÍTULO X - DO ORÇAMENTO

Art. 31. Para execução das ações estratégicas, os órgãos do Poder Judiciário, objeto desta norma, deverão destinar os recursos orçamentários necessários.

Portaria 162/2021 CNJ

Protocolos

I – Prevenção de Incidentes Cibernéticos do Poder Judiciário (PPINC-PJ);

Anexo I - Pag. 1 ate 9

II – Gerenciamento de Crises Cibernéticas do Poder Judiciário (PGCRC-PJ); e

Anexo II - Pag 9 ate 16

III – Investigação de Ilícitos Cibernéticos do Poder Judiciário (PIILC-PJ).

Anexo III - Pag 17 ate 23

Manuais

I – Proteção de Infraestruturas Críticas de TIC;

Anexo I - Pag 24 ate 41

Controles Minimos

II – Prevenção e Mitigação de Ameaças Cibernéticas e Confiança Digital;

Anexo II - Pag 42 ate 77

III – Gestão de Identidades; e

Anexo III - Pag 78 ate 90

IV – Política de Educação e Cultura em Segurança Cibernética do Poder Judiciário.

Anexo IV - Pag 90 ate 99

Esta a cargo da Escola de Servidores a execução deste anexo.

Revogadas

Portaria CNJ 292/2020

Portaria CNJ 291/2020

Portaria CNJ 290/2020

Revogados os arts. 39 e 40 da Resolução CNJ nº 370/2021.

Legislação Correlata

Resolução n. 370, de 28 de janeiro de 2021

Lei n. 13.709, de 14 de agosto de 2018

Lei n. 13.853, de 8 de julho de 2019

Lei n. 12.965, 23 de abril de 2014

Resolução n. 291, de 23 de agosto de 2019

Portaria n. 242, de 10 de novembro de 2020

Portaria n. 249, de 13 de novembro de 2020

Resolução n. 360, de 17 de dezembro de 2020 (revogada)

Resolução n. 361, de 17 de dezembro de 2020 (revogada)

Resolução n. 362, de 17 de dezembro de 2020 (revogada)

POSIC - Resolução TJMT/OE nº. 17 de 28 de Julho de 2022

Política Gestão de Ativos

Sistemas de proteção mínimos obrigatórios aplicáveis a cada ativo

Regras de controle do ciclo de vida dos ativos;

Termos de uso de cada ativo Art. 4, Inciso III

Política Segurança das Comunicações

Diretrizes de Segregação de Ambientes

Regramento para troca de mensagens eletrônicas como e-mail, SMS, serviços de mensageria instantânea, serviços de interoperabilidade entre sistemas, entre outras

Regramento padrão para o acesso à internet no âmbito do PJMT

Meios de ampla e recorrente divulgação da política estabelecida

Política Segurança de Desenvolvimento de Sistemas

Controle sobre os códigos fontes;

Segregação do ambiente de produção, dos demais locais de confecção e validação dos sistemas: de teste, de homologação e de treinamento, etc;

Padronização tecnológica;

Segregação de permissões, no mínimo, entre os ambientes de desenvolvimento e produção;

Padronização de mecanismos de autenticação e autorização para usuários;

Processo de controle de versões que garanta os níveis de autorização adequados;

Avaliação de impacto nos dados pessoais

Política Controle de Acesso

Padrões de autenticação e autorização de credenciais de acesso dos usuários e sistemas

Termos de Uso. Art 5º. Incisos II, III,IV

Incluido cláusula de LGPD para usuários externos

Plano de continuidade e de Recuperação de Serviços essenciais de TIC

Relação de Serviços Essenciais

Relação de riscos, impactos e probabilidades associados a cada sistema

Descrição das estratégias de continuidade existentes

Procedimentos de recuperação dos serviços essenciais

Processo Gestão de Incidentes de Segurança da Informação

Tratamento de Incidentes

Prevenção

Protocolo Prevenção de Incidentes Cibernéticos do Poder Judiciário (PPINC-PJ); - CNJ

PORTARIA TJMT-PRES Nº 1.167, DE 3 DE NOVEMBRO DE 2022 - ETIR

Gerenciamento de Crises

Minuta de criação do Comitê de Crises

Protocolo Gerenciamento de Crises Cibernéticas do Poder Judiciário (PGCRC-PJ); - CNJ

Investigação de Ilícitos Cibernéticos

Protocolo Investigação de Ilícitos Cibernéticos do Poder Judiciário (PIILC-PJ) - CNJ

Processos

Processo de Gestão da Política de Segurança

PORTARIA TJMT-PRES Nº 981, DE 27 DE JULHO DE 2018 - Institui os processos de trabalho contemplados no macroprocesso Gestão Tecnológica da Cadeia de Valor do Poder Judiciário do Estado de Mato Grosso e dá outras providências.

Fluxo do processo

Processo de Gestão de Incidentes de Segurança da Informação

PORTARIA TJMT-PRES Nº 1011, DE 5 DE AGOSTO DE 2019 - Institui os processos de trabalho contemplados no macroprocesso Gestão Tecnológica da Cadeia de Valor do Poder Judiciário do Estado e Mato Grosso e dá outras providências.

Fluxo do processo

Manual do processo

Cartilha do processo

Processo Gerir Riscos de TIC

PORTARIA TJMT/PRES N. 1247 DE 14 DE SETEMBRO DE 2023. Institui o processo de trabalho Gerir Riscos de TIC do Poder Judiciário do Estado de Mato Grosso.

Fluxo do processo

PORTARIA TJMT/PRES N. 1248 DE 14 DE SETEMBRO DE 2023. Institui o Plano de Gestão dos Riscos de TIC do Poder Judiciário do Estado de Mato Grosso.

Plano Gestão dos Riscos de TIC

PSI - Res. 11/2013 - REVOGADA