Detalhes do documento

Número: 03/2018
Assunto: 1.Regulamentação 2.Presidência 3.Correio Eletrônico 4.e-mail Institucional 5.Utilização 6.Monitoramento e Auditoria
Data: 2018-07-04 00:00:00.0
Diário: 2294
Situação: VIGENTE
Ementa: Estabelece normas de segurança para a utilização do serviço de Correio Eletrônico institucional no âmbito do Poder Judiciário do Estado do Paraná.
Anexos:
Referências: Não há referências

Documento

ceifador

TRIBUNAL DE JUSTIÇA

INSTRUÇÃO NORMATIVA Nº 03/2018


Estabelece normas de segurança para a utilização do serviço de Correio Eletrônico institucional no âmbito do Poder Judiciário do Estado do Paraná.


O PRESIDENTE DO TRIBUNAL DE JUSTIÇA DO ESTADO DO PARANÁ, no uso de suas atribuições legais e regimentais, especialmente a estabelecida no artigo 14, inciso III, do Regimento Interno do Tribunal de Justiça do Estado do Paraná;

CONSIDERANDO as diretrizes traçadas por meio do Decreto Judiciário nº 631/2016, que dispõe sobre a Política de Segurança de Tecnologia da Informação - PSTI - do Poder Judiciário do Estado do Paraná;

CONSIDERANDO que o Correio Eletrônico (e-mail) institucional é disponibilizado pelo Tribunal de Justiça como instrumento de trabalho, e que conforme entendimento jurisprudencial já consolidado não há direito a sigilo do seu conteúdo;

CONSIDERANDO o teor do expediente eletrônico SEI nº 0029764-62.2017.8.16.6000.


RESOLVE:


CAPÍTULO I
DO OBJETIVO

Art. 1º. A presente instrução normativa visa estabelecer regras e padrões para a utilização do serviço de Correio Eletrônico (e-mail) institucional no âmbito do Poder Judiciário do Estado do Paraná.

DAS CONSIDERAÇÕES INICIAIS

Art. 2º. Deve ser do interesse de todos da instituição o bom uso dos meios eletrônicos de comunicação, buscando com isso garantir a estabilidade do serviço, a melhor distribuição dos recursos destinados as soluções de comunicação e prezar pela reputação da instituição na Internet. Assim esta norma busca regulamentar e instruir os usuários dos sistemas de correio eletrônico no uso desse serviço.

CAPÍTULO II
DOS CONCEITOS E DEFINIÇÕES

Art. 3º. Para efeito desta norma, fica estabelecido o significado dos seguintes termos e expressões:
I - Serviço de correio eletrônico institucional: serviço de envio, recebimento e armazenamento de mensagens eletrônicas (também conhecidas por “e-mails”), no âmbito do TJPR;
II - Caixa postal: Repositório de correio eletrônico onde são armazenadas as mensagens recebidas e/ou enviadas:
a - Caixa Postal Individual: Repositório de correio eletrônico de um único usuário (magistrado, servidor, estagiário);
b - Caixa Postal Corporativa Interna: Repositório de correio eletrônico compartilhado que representa uma unidade e utilizada exclusivamente por usuários com caixa postal individual;
c - Caixa Postal Corporativa Externa: Repositório de correio eletrônico compartilhado que representa uma unidade judicial não estatizada;
III - Grupo de Distribuição: Recurso responsável em receber mensagens e reencaminhar cópia da mesma para todos os endereços membros do grupo, duplicando a mensagem em todas as caixas postais individuais;
IV - Cabeçalho de mensagem: Consiste nas informações enviadas junto a mensagem, sem considerar o próprio conteúdo. Como por exemplo: remetente, destinatário, assunto, histórico de trânsito da mensagem, entre outras;
V - Conta de usuário (login de rede ou identidade): Nome utilizado para identificar unicamente um usuário ou perfil. Esta Identidade é usada para concessão de direitos;
VI - Cópia de segurança (backup): Cópia de dados para proteção contra perda da integridade ou da disponibilidade do original;
VII - Endereço eletrônico: Padrão de nome utilizado para identificar um remetente e/ou destinatário no serviço de correio eletrônico. É montado utilizando um identificador seguido de @ e um domínio (ex: tjpr.jus.br);
VIII - Gestor da Unidade: Magistrado e/ou chefia imediata responsável pela unidade;
IX - Infraestrutura Tecnológica: Todo o hardware, software, redes, instalações, etc. que são necessárias para desenvolver, testar, entregar, monitorar, controlar ou suportar aplicativos e serviços de TI. O termo infraestrutura de TI inclui toda a tecnologia da informação, exceto as pessoas, os processos e a documentação associados;
X - Malware: Programa indesejado desenvolvido com a finalidade de executar ações danosas e atividades maliciosas em um computador ou sistema;
XI - Spam: Mensagem indesejada enviada a um grande número de endereços eletrônicos, que não possua carácter institucional e/ou cujo objeto não seja inerente à atividade funcional do usuário ou da unidade;
XII - Phishing: Fraude eletrônica, caracterizada pela tentativa de obtenção de dados e informações pessoais com o uso de meios técnicos e de engenharia social;
XIII - Hoax: Mensagem eletrônica encaminhada a muitos destinatários, de conteúdo geralmente alarmante e com pouca ou nenhuma veracidade, cujo objetivo é a propagação de boatos e informações distorcidas;
XIV - Material Criptografado: Dados e/ou informações codificadas por meio de técnicas que impossibilitam o seu entendimento/leitura, cuja reversão ocorre somente com a utilização de uma senha previamente conhecida e/ou dispositivo criptográfico (ex.: token, smart card, entre outros);
XV - Mensagem de “correntes”: Mensagem encaminhada para um número de destinatários com a intenção que ela seja repassada para outros destinatários, buscando o crescimento exponencial no envio desta mensagem;
XVI - Moderação de grupos de distribuição: Ação de controlar as mensagens que são entregues aos membros dos grupos. Filtrando, através de um moderador, as mensagens válidas das inválidas;
XVII - Moderador: Pessoa com atribuição de avaliar as mensagens recebidas pelos grupos de distribuição;
XVIII - Proprietário: Pessoa responsável por gerenciar um recurso do serviço de correio eletrônico;
XIX - Protocolo de acesso: Padrões de comunicação entre os programas e o servidor de correio eletrônico;
XX - Quarentena: Ação de reter mensagens para avaliação, liberação ou descarte futuro;
XXI - Recurso de Tecnologia da Informação: Serviço ou equipamento que é oferecido e mantido pelo DTIC;
XXII - Siglário: Conjunto de definições das siglas que identificam as unidades do TJPR;
XXIII - Software: Conjunto de informações, codificadas em linguagem de máquina, destinadas a controlar ou realizar tarefas em um computador;
XXIV - Script/Macro: Conjunto de informações, codificadas em linguagem humana, destinadas a controlar ou realizar tarefas em um computador;
XXV - Unidade: Segmento organizacional destinado para o desempenho de atividade especifica;
XXVI - Usuário: Pessoa que usa o serviço de Tecnologia de Informação e Comunicação - TIC.

CAPÍTULO III
DA ABRANGÊNCIA

Art. 4º. A presente norma deve ser cumprida por todos os usuários do serviço de correio eletrônico institucional.

CAPÍTULO IV
DAS CAIXAS POSTAIS DE CORREIO ELETRÔNICO

Art. 5º. A Caixa Postal tem como características:
I - Ser associada e identificada através de uma conta de usuário no diretório do domínio tjpr.net;
II - Proprietário, responsável pela gerência de permissões e também pela manutenção do conteúdo da mesma;
III - Endereço principal, criado conforme regras definidas nesta norma;
IV - Endereços associados chamados de “Alias” (apelidos);
V - Capacidade de armazenamento inicial de 3 gigabytes;
VI - Aviso de “limitação sendo alcançada” quando espaço de armazenamento disponível for inferior a 200 megabytes.
VII - Limitação de envio quando espaço de armazenamento disponível for inferior a 100 megabytes;

Art. 6º. As solicitações de criação, alteração e exclusão de caixas postais devem ser encaminhadas ao DTIC, obrigatoriamente pelo Sistema de Atendimento ao Usuário - SAU - conforme procedimentos de criação, alteração e exclusão de caixa postal.

Art. 7º. Para repositórios de mensagens, somente serão criadas Caixa Postal: Individual, Corporativa Interna ou Corporativa Externa.

Art. 8º. Para acesso a Caixa Postal sem autorização do proprietário, será necessária apresentação de justificativa e mediante autorização do Supervisor Geral de Informática e Comunicação - SGIC - observada a legislação vigente.



DA CAIXA POSTAL INDIVIDUAL

Art. 9º. Define-se como proprietário da Caixa Postal Individual a pessoa responsável pelo login de rede associado.

Art. 10. A criação do endereço da Caixa Postal Individual é padronizada utilizando [NOME.SOBRENOME]@tjpr.jus.br.
§ 1º: Homônimos serão tratados através de procedimento específico.
§ 2º: O proprietário da Caixa Postal Individual poderá solicitar uma única alteração desse endereço nos primeiros 30 dias após a criação do recurso, através do SAU.

Art. 11. Para magistrados, servidores e estagiários do TJPR, será criada automaticamente a Caixa Postal Individual na habilitação do login de rede.

Art. 12. Poderá ser disponibilizada Caixa Postal Individual a usuário externo, desde que justificada a necessidade de uso do domínio corporativo e com aprovação do SGIC, podendo haver restrições diferenciadas no espaço disponibilizado.

Art. 13. O proprietário poderá compartilhar o acesso as Caixas Postais de sua responsabilidade para os demais usuários do Serviço de Correio Eletrônico.

Art. 14. A expansão de capacidade de armazenamento poderá ser solicitada pelo proprietário, mediante justificativa, em especial com o motivo da não utilização de uma Caixa Postal Corporativa, devendo seguir as orientações do procedimento de alteração de Caixa Postal.

Art. 15. A desativação da Caixa Postal Individual se dará automaticamente com a desativação do login de rede ou cessação do vínculo do proprietário com o TJPR, sendo excluída definitivamente após 30 dias.

DA CAIXA POSTAL CORPORATIVA INTERNA

Art. 16. A Caixa Postal Corporativa Interna deve estar associada a uma Unidade deste Tribunal de Justiça.

Art. 17. O proprietário da Caixa Postal Corporativa Interna é o gestor da Unidade, e seu substituto eventual, registrado no Sistema Hércules.
Parágrafo único: Quando não for possível identificar o proprietário da Caixa Postal Corporativa Interna através do Sistema Hercules, este deverá ser informado e cadastrado no Sistema de Correio Eletrônico no momento da criação desse recurso.

Art. 18. O endereço da Caixa Postal Corporativa Interna deverá seguir, sempre que possível, o padrão [SIGLÁRIO]@tjpr.jus.br. Se necessário adicionando identificação única.

Art. 19. Qualquer gestor de unidade constante na estrutura organizacional deste Tribunal pode solicitar a criação de Caixa Postal Corporativa Interna através do procedimento de criação de caixa postal.

Art. 20. As comissões, os grupos de trabalho e outros núcleos formalmente constituídos, ainda que não constantes na estrutura organizacional do Tribunal, poderão, em caráter excepcional, ter Caixa Postal Corporativa Interna quando o desempenho das atividades que lhes são afetas necessitar a troca e/ou armazenamento de mensagens eletrônicas.
Parágrafo único: Fica a critério da Diretoria do DTIC a aprovação da criação desse recurso, sendo necessário este recurso estar associado a alguma Unidade.

Art. 21. Terá acesso a Caixa Postal Corporativa Interna qualquer usuário do serviço de Correio Eletrônico autorizado pelo proprietário.
Parágrafo único: O acesso à Caixa Postal Corporativa Interna deverá ser realizado através de autenticação pelo login de rede individual do usuário

Art. 22. O armazenamento de mensagens deverá ser efetuado prioritariamente nas Caixas Postais Corporativas Internas.
Parágrafo único: Quando da criação da Caixa Postal Corporativa Interna haverá um prazo de 10 dias para adequação das Caixas Postais Individuais, vinculadas à Caixa Postal Corporativa Interna, que estejam com capacidade acima do padrão sem justificativa.

DA CAIXA POSTAL CORPORATIVA EXTERNA

Art. 23. A Caixa Postal Corporativa Externa deve respeitar as regras definidas para a Caixa Postal Corporativa Interna, com exceção da forma de acesso.

Art. 24. O acesso da Caixa Postal Corporativa Externa se dará através de login de rede e senha associados à mesma.
§ 1: É de responsabilidade do proprietário a gerência da senha cadastrada.
§ 2: O login de rede e senha poderão ser compartilhados para acesso por diversos usuários, ficando o proprietário da Caixa Postal Corporativa Externa responsável pelo cuidado e distribuição destas informações.

DO GRUPO DE DISTRIBUIÇÃO

Art. 25. A criação do Grupo de Distribuição somente será efetuada quando não for possível a utilização de Caixa Postal Corporativa Interna.

Art. 26. A criação de Grupos de Distribuição deve seguir padrões criados pelo DTIC.
Parágrafo único: Os padrões devem ser documentados através de procedimentos de segurança, identificando a finalidade do mesmo, seu padrão de nome e endereço, identificação de proprietário e fluxo de pedidos de criação, alteração e exclusão, além das demais características que sejam necessárias.

Art. 27. Incumbe ao proprietário:
I - Manter permanentemente atualizado o rol de integrantes do Grupo de Distribuição;
II - Solicitar mudança de gestor indicando o novo responsável pelo grupo de distribuição, no caso do Grupo de Distribuição não estar associado a uma Unidade;
III - Solicitar exclusão do Grupo de Distribuição, quando este não for mais necessário.

Art. 28. O Grupo de distribuição será composto exclusivamente por usuários do serviço de correio eletrônico corporativo e poderá ser bloqueado para o recebimento de mensagem eletrônica enviada pelo público externo.

Art. 29. Os Grupos de distribuição poderão ser moderados quanto ao envio de mensagens.

DA UTILIZAÇÃO DOS RECURSOS DO SISTEMA DE CORREIO ELETRÔNICO

Art. 30. No âmbito deste Tribunal, o domínio de endereço eletrônico é “tjpr.jus.br”.

Art. 31. Cada endereço de e-mail só pode estar associado a um único recurso.
Parágrafo único: A remoção e/ou troca de algum endereço de e-mail cadastrado ao recurso somente será efetuada seguindo procedimento definido para esse fim.

Art. 32. O envio de mensagens se dará através do endereço principal da Caixa Postal, ou Grupo de Distribuição, e por usuários com permissão para isso.

Art. 33. O uso do correio eletrônico institucional restringe-se a mensagem cujo objeto seja, necessariamente, inerente à atividade funcional do usuário ou da unidade, sendo vedado o uso para fins particulares.

Art. 34. Havendo necessidades do envio de mensagens de e-mail relativas às atividades funcionais deve-se utilizar exclusivamente o correio eletrônico institucional.

Art. 35. Será fornecido suporte técnico somente para solução de correio eletrônico institucional.

Art. 36. O acesso ao correio eletrônico deverá ser realizado através dos protocolos Exchange (MAPI e ActiveSync), WebMail (HTTP) ou IMAP, será dado suporte somente aos protocolos Exchange e Webmail.

Art. 37. Para envio de mensagens poderá ser utilizado o protocolo SMTP desde que com conexão autenticada.

Art. 38. É vedada a tentativa de acesso a caixas postais às quais o usuário não tenha autorização de acesso.

Art. 39. É de responsabilidade do usuário zelar pela segurança do meio de acesso ao serviço de correio eletrônico.

Art. 40. Visando padrões de mercado o tamanho máximo da mensagem eletrônica, incluindo os anexos, não pode exceder 35 megabytes.
Parágrafo único: Para Grupos de Distribuição que contenham muitos membros, o limite de tamanho das mensagens poderá ser diminuído, a fim de reduzir a utilização de espaço gerado pela duplicação de mensagens.

Art. 41. O envio de mensagem eletrônica para grupo de distribuição que englobe elevado número de membros somente será permitido em caráter excepcional e por aquelas unidades administrativas autorizadas pelo SGIC.

Art. 42. É vedado aos usuários o envio de qualquer mensagem eletrônica contendo:
I - Informações privilegiadas, confidenciais e/ou de propriedade do TJPR sem autorização;
II - Materiais obscenos, ilegais ou antiéticos;
III - Materiais preconceituosos ou discriminatórios;
IV - Materiais caluniosos ou difamatórios;
V - Propaganda com objetivo comercial;
VI - Listagem com endereços eletrônicos institucionais;
VII - Malwares;
VIII - Material de natureza político-partidária, associativa e sindical, sem autorização da Presidência deste Tribunal;
IX - Material protegido por lei de propriedade intelectual sem a autorização do proprietário;
X - Entretenimentos e Mensagens de “correntes”;
XI - Assuntos ofensivos;
XII - Músicas, vídeos ou animações que não sejam de interesse específico do trabalho;
XIII - Spam, phishing e hoax;
XIV - Materiais criptografados fora das Normas de Segurança definidas para esta finalidade;
XV - Software, scripts, macros.

Art. 43. Os sistemas, e somente eles, devem utilizar uma solução isolada para envio de mensagens.
Parágrafo único: Nesta solução é permitido o envio de e-mails sem autenticação e com endereços não cadastrados no catálogo do Serviço de Correio Eletrônico.

DO MONITORAMENTO E AUDITORIA

Art. 44. O uso do correio eletrônico será monitorado por meio de ferramentas com o intuito de impedir o recebimento de conteúdo descrito no Art. 43, mensagens suspeitas e outros arquivos, que coloquem em risco a segurança da infraestrutura tecnológica do TJPR.
§ 1º. As seguintes ações poderão ser tomadas, entre outras:
I - Reescrita do cabeçalho das mensagens;
II - Remoção de anexos;
III - Quarentena;
IV - Bloqueios por monitoramento no conteúdo;
V - Bloqueios de conexão por má reputação ou ausência de requisitos segurança.

§ 2º. O monitoramento está restrito à ferramenta utilizada pelo TJPR.

Art. 45. Serão bloqueadas temporariamente as contas que forem utilizadas para envio de mensagens com suspeita de conteúdo malicioso ou que estejam prejudicando o serviço de correio eletrônico.

Art. 46. Poderão ser removidas das caixas postais, utilizando ferramentas automatizadas para esta finalidade, mensagens consideradas phishing ou contendo vírus e outros arquivos que coloquem em risco a segurança da infraestrutura tecnológica do TJPR.

Art. 47. As auditorias ordinárias ou extraordinárias serão coordenadas pelo DTIC e os relatórios consolidados serão encaminhados ao Comitê de Segurança da Informação.

Art. 48. Relatórios de auditorias ordinárias serão encaminhadas anualmente pelo DTIC aos respectivos proprietários dos recursos, contendo permissões de acesso e espaço utilizado pelo recurso.
Parágrafo único: Cabe ao proprietário conferir os dados do relatório e, em até 10 dias do recebimento, fazer os ajustes necessários.

Art. 49. As auditorias extraordinárias deverão ser precedidas de autorização do SGIC.
Parágrafo único: As solicitações devem seguir o procedimento criado para esta finalidade.

Art. 50. A eliminação dos arquivos de registro de mensagens eletrônicas (logs) e de caixas postais será adiada em caso de auditoria, bem como de notificação administrativa ou judicial.

DAS CÓPIAS DE SEGURANÇA
Art. 51. É de responsabilidade do DTIC garantir a informação armazenada nos servidores, não sendo responsabilidade do DTIC a realização de cópias de segurança de mensagens armazenadas nas estações de trabalho.

Art. 52. Não é permitido aos usuários realizarem duplicação de mensagens, dentro da própria solução de correio eletrônico, para fins de cópias de segurança.

CAPÍTULO V
DAS COMPETÊNCIAS E RESPONSABILIDADES

Art. 53. É competência do Proprietário das Caixa Postais e Grupos de Distribuição:
I - Autorizar e revogar o acesso de outros usuários;
II - Solicitar alteração e exclusão dos Grupos de Distribuição;
III - Gerir o espaço utilizado pelas mensagens dentro dos recursos de sua responsabilidade.

Art. 54. É de responsabilidade do usuário:
I - Utilizar o correio eletrônico institucional de acordo com os preceitos desta Norma;
II - Excluir, periodicamente, mensagens eletrônicas desnecessárias contidas nas caixas postais;
III - Informar ao DTIC o recebimento de mensagens suspeitas ou que contrariem o disposto nesta norma.

CAPÍTULO VI
DO PERÍODO DE TRANSIÇÃO PARA APLICAÇÃO DESTA NORMA DE SEGURANÇA

Art. 55. A transição para aplicação desta norma se dará em um período de três meses.
§ 1º. Nesse período todos os recursos disponibilizados pelo serviço de correio eletrônico que não estiverem de acordo com as diretrizes desta norma deverão ser revisados, alterados e seus proprietários avisados.
§ 2º. Os recursos que não tiverem de acordo com esta norma, no final desse período de transição, serão excluídos.

DOS DOCUMENTOS RELACIONADOS

Art. 56. Na elaboração desta norma foram utilizados os seguintes documentos:
I - PSTI-TJPR - Política de Segurança de Tecnologia da Informação;
II - NS-008.0 - Registro de eventos de TIC;

Art. 57. Para complementação desta norma devem ser definidos Procedimentos para:
I - Criação, alteração e exclusão de caixa postal;
II - Solicitação de caixa postal à usuários externos;
III - Alteração do endereço eletrônico (endereço principal e alias);
IV - Gerência de permissão de acesso as caixas postais;
V - Liberação de acesso sem autorização do proprietário;
VI - Mitigação e reação à incidentes:
a - Bloqueio e desbloqueio de caixa postal utilizada indevidamente;
b - Exclusão automatizada de mensagens maliciosas de caixas postais;
c - Solicitação de auditorias extraordinárias;
d - Retenção extraordinária de eventos de segurança.
VII - Retenção de eventos;
VIII - Padronização de uso de grupos de distribuição;
IX - Gerência de grupos de distribuição;
X - Gerência de permissões de envio à grupos de distribuições especiais;
XI - Emissão anual de relatórios de uso dos recursos;
XII - Envio de mensagens por sistemas;

DA PERIODICIDADE DE REVISÕES

Art. 58. O disposto na presente norma será atualizado sempre que houver alterações significantes na arquitetura e/ou tecnologia referente ao serviço de correio eletrônico, observada, ainda, a periodicidade prevista para a revisão da Política de Segurança da Informação.

Art. 59. As questões omissas serão dirimidas pelo Presidente do Tribunal de Justiça, ouvido o Supervisor Geral de Informática e Comunicação.

Art. 60. Esta Instrução Normativa entrará em vigor na data de sua publicação.


PUBLIQUE-SE. CUMPRA-SE.


Curitiba, 26 de junho de 2018.


DES. RENATO BRAGA BETTEGA
Presidente do Tribunal de Justiça do Estado do Paraná