| TRIBUNAL DE JUSTIÇA |
INSTRUÇÃO NORMATIVA Nº 7, DE 26 DE JUNHO DE 2018
TEXTO COMPILADO - Atualizado até a Instrução Normativa nº 53, de 9 de junho de 2021
Estabelece normas para o acesso à Internet no âmbito do Poder Judiciário do Estado do Paraná.
O PRESIDENTE DO TRIBUNAL DE JUSTIÇA DO ESTADO DO PARANÁ, no uso de suas atribuições legais e regimentais, especialmente a estabelecida no artigo 14, inciso III, do Regimento Interno do Tribunal de Justiça do Estado do Paraná;
CONSIDERANDO as diretrizes traçadas por meio do Decreto Judiciário nº 631/2016, que dispõe sobre a Política de Segurança de Tecnologia da Informação - PSTI - do Poder Judiciário do Estado do Paraná;
CONSIDERANDO que a Internet é uma ferramenta fundamental para a função administrativa e a prestação jurisdicional, sendo necessário o alinhamento às normas, regulamentações e melhores práticas quanto ao seu uso, visando a proteção do ambiente tecnológico do TJPR bem como o correto direcionamento e dimensionamento de seus recursos;
CONSIDERANDO o teor do expediente eletrônico SEI nº 0029904-96.2017.8.16.6000;
RESOLVE:
CAPÍTULO I
DO OBJETIVO
Art. 1º A presente Instrução Normativa visa estabelecer diretrizes e padrões para o acesso à Internet no âmbito do Poder Judiciário do Estado do Paraná - PJPR.
CAPÍTULO II
DOS CONCEITOS E DEFINIÇÕES
Art. 2º Para efeito desta Instrução Normativa, fica estabelecido o significado dos seguintes termos e expressões:
I - aplicações peer-to-peer (ponto-à-ponto): Aplicações que tem como característica conectar e oferecer conexão, para troca de conteúdo, com outros usuários da mesma tecnologia, geralmente sem controle de conexão;
II - autenticação: Ato de identificação do usuário no sistema de segurança;
III - banda de Tráfego ou transferência: Quantidade de dados trocados ou em trânsito na rede;
IV - criptografia: Tecnologia utilizada para codificar as informações impossibilitando seu entendimento/leitura, cuja reversão ocorre somente com a utilização de uma senha previamente conhecida e/ou dispositivo criptográfico;
V - disponibilidade: Propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade;
VI - download/upload: Transferência de uma informação que se encontra em rede;
VII - gerenciamento remoto: Tecnologia que oferece a uma pessoa ou sistema controle à um dispositivo remoto;
VIII - gestor da unidade: Magistrado e/ou chefia imediata responsável pela unidade;
IX - grupo de controle: Agrupamento de usuários para o qual são aplicadas restrições e/ou liberações de acesso conforme alguma definição;
X - hacking: Ação ou conhecimento utilizado para obter soluções e efeitos que extrapolam os limites normais dos sistemas e serviços, muitas vezes desviando limites impostos para o uso dos mesmos;
XI - incidente de segurança: evento adverso, confirmado ou sob suspeita, relacionado à segurança das autoridades judiciais, da informação ou dos sistemas de computação ou das redes de computadores;
XII - integridade: Propriedade de salvaguarda da inviolabilidade do conteúdo da informação na origem, no trânsito e no destino;
XIII - mascaramento: Característica de uso de algum recurso para ocultar a real intenção da ação;
XIV - malware (código malicioso): Programa indesejado desenvolvido com a finalidade de executar ações danosas ou atividades maliciosas em um computador ou sistema;
XV - porta de comunicação: conexão virtual que pode ser usada na transmissão de dados, identificada por um número;
XVI - protocolo de rede: convenção que controla e possibilita uma conexão, comunicação, transferência de dados entre dois sistemas computacionais;
XVII - proxy: Serviço responsável por intermediar acesso à internet;
XVIII - proxy externo: Serviço responsável por intermediar o acesso à internet não administrado pelo TJPR, possibilitando mascarar o acesso realizado;
XIX - rede corporativa: Rede de conexão entre dispositivos de TIC administrada pelo TJPR;
XX - registros de acesso à internet: Conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP; (Incluído pela Instrução Normativa nº 53, de 9 de junho de 2021)
XXI - limite de banda ou de tráfego: Limitação de velocidade na troca de informações entre dispositivos em uma conexão de rede; (Renumerado pela Instrução Normativa nº 53, de 9 de junho de 2021)
XXII - Ssrviço privado de acesso à internet: Conexão com a internet fornecida por terceiros sem vínculo com o DTIC; (Renumerado pela Instrução Normativa nº 53, de 9 de junho de 2021)
XXIII - sistema de segurança: Ferramenta, sistema ou serviço utilizado para monitorar, bloquear ou controlar o uso de um recurso de TIC visando garantir a segurança; (Renumerado pela Instrução Normativa nº 53, de 9 de junho de 2021)
XXIV - site: Conjunto de páginas web organizadas a partir de um endereço básico e geralmente armazenadas hierarquicamente nesse endereço; (Renumerado pela Instrução Normativa nº 53, de 9 de junho de 2021)
XXV - situação de contingência: Estado ou condição de falha/problema que reduz a capacidade dos recursos de TIC que suportam a atividade da organização; (Renumerado pela Instrução Normativa nº 53, de 9 de junho de 2021)
XXVI - streaming de vídeo/áudio: Método de transmissão de informações que permite executar vídeo ou áudio durante o download do conteúdo; (Renumerado pela Instrução Normativa nº 53, de 9 de junho de 2021)
XXVII - unidade: Segmento organizacional destinado para o desempenho de uma atividade específica; (Renumerado pela Instrução Normativa nº 53, de 9 de junho de 2021)
XXVIII - usuário: Pessoa que usa o serviço ou recurso de TIC; (Renumerado pela Instrução Normativa nº 53, de 9 de junho de 2021)
XXIX - VPN (Virtual Private Network): Serviço ou sistema que permite conexão criptografada entre a rede corporativa e um computador fora desta; (Renumerado pela Instrução Normativa nº 53, de 9 de junho de 2021)
CAPÍTULO III
DA ABRANGÊNCIA
Art. 3º A presente Instrução Normativa deve ser cumprida por todos os usuários que utilizam acesso à internet provido pelo TJPR.
CAPÍTULO IV
DA UTILIZAÇÃO DA INTERNET
Art. 4º O acesso à internet, quando conectado à rede corporativa, deverá ser realizado exclusivamente através de sistemas de segurança providos e configurados pelo DTIC.
Parágrafo único: É proibida a realização de conexões à internet que venham a contornar os sistemas de segurança providos pelo DTIC.
Art. 5º Nas unidades administrativas e judiciais estatizadas o acesso à internet deverá ser realizado exclusivamente através da rede corporativa.
Parágrafo único: É proibido o uso de serviços privados de acesso à internet nestas unidades.
Art. 6º O acesso à internet é para uso nas atividades relacionadas ao trabalho, observado o disposto nesta norma.
Parágrafo único: Eventuais exceções serão disciplinadas em ato da Supervisão Geral de Informática e Comunicação.
Art. 7º A categorização do conteúdo acessado ou identificação de aplicações é realizada automaticamente através de ferramenta adquirida para essa finalidade.
Art. 8º O acesso à internet se realizará:
I - com autenticação, podendo ser personalizado;
II - sem autenticação, seguindo regras específicas.
Art. 9º A personalização do acesso à internet é realizada individualmente pelo gestor da unidade, através do Sistema de Atendimento a Usuários - SAU.
Art. 10. A gerência de acesso à internet é realizada por meio de grupos de controle disponibilizados pelo DTIC.
Parágrafo único: Compete ao DTIC criar/alterar/excluir grupos de controle de acesso, de acordo com a demanda, desuso ou alteração no modus operandi no controle de acesso.
Art. 11. Serão bloqueados, através de ferramenta de filtro de conteúdo:
I - acesso a conteúdo impróprio, adulto, jogos, hacking, malwares, ilegal e sites categorizados como suspeitos e maliciosos;
II - aplicações peer-to-peer (P2P);
III - conexão com VPN, proxy e gerenciamento remoto não homologados pelo DTIC;
IV - sites e/ou sistemas configurados fora das portas de comunicação padrão definidas nos protocolos de rede.
Art. 12. Excepcionalmente será permitida a liberação do conteúdo prevista no artigo anterior através da inclusão do usuário no grupo “Libera Conteúdo Ilegal”.
§ 1º A liberação será solicitada através do SAU, devidamente justificado o motivo do acesso ao conteúdo;
§ 2º O conteúdo bloqueado será liberado por 24 horas.
§ 3º Conteúdo considerado malicioso e prejudicial à segurança da rede corporativa não será liberado em nenhuma hipótese.
Art. 13. As liberações de acesso permanente a conteúdo bloqueado, quando necessário ao desempenho das atribuições funcionais, deverá atender ao disposto no § 1º do artigo anterior.
Parágrafo único: Poderão ser encaminhadas para apreciação do Comitê de Segurança da Informação as solicitações que o DTIC considerar necessárias.
Art. 14. Constitui acesso indevido à internet qualquer das seguintes ações:
I - acessar páginas de conteúdo considerado ofensivo, ilegal, impróprio ou incompatível com as atividades funcionais ou com a política de segurança da informação, tais como pornografia, pedofilia, racismo, jogos, páginas de distribuição de conteúdo ilegal e de compartilhamento de software.
II - acessar sites que representem ameaça de segurança ou que possam comprometer de alguma forma a integridade, confidencialidade ou disponibilidade dos recursos de TIC.
III - acessar ou fazer download de arquivos não relacionados ao trabalho, em especial músicas, imagens, vídeos, jogos e programas de qualquer tipo.
IV - uso de software e serviços de mascaramento.
CAPÍTULO V
DO DESEMPENHO DO ACESSO À INTERNET
Art. 15. Poderão ser adotadas medidas, a critério do DTIC, visando a manutenção da disponibilidade e desempenho do acesso aos sistemas, seja em situações normais de funcionamento, seja em situações de contingência, tais como:
I - bloqueios totais ou parciais de acessos a determinados sites e serviços;
II - priorização de acessos a determinados sites e serviços;
III - limitação de tráfego.
Parágrafo único: Quando implementadas em situação de contingência, as medidas serão comunicadas através da intranet.
Art. 16. O DTIC não garantirá desempenho ao acesso a sites de internet externos.
CAPÍTULO VI
DO MONITORAMENTO E AUDITORIA
Art. 17. O acesso à internet será controlado e inspecionado, de forma automática ou manual, através dos sistemas de segurança, configurados de acordo com esta Instrução Normativa.
Art. 18. Os registros de acessos à internet serão arquivados e utilizados, exclusivamente, para fins de auditoria de incidentes de segurança do acesso à internet.
Parágrafo único: Os registros não se prestam para fins de análise de produtividade no trabalho e controle de ponto.
§ 1º Somente serão fornecidos, independentemente do consentimento do titular, desde que disponíveis e devidamente fundamentado: (Incluído pela Instrução Normativa nº 53, de 9 de junho de 2021)
I - Em razão de cumprimento de obrigação legal; (Incluído pela Instrução Normativa nº 53, de 9 de junho de 2021)
II - Para a execução de políticas públicas previstas em regulamentos e ou instrumentos normativos; (Incluído pela Instrução Normativa nº 53, de 9 de junho de 2021)
III - Para instruir processo judicial, Inquérito Policial ou investigação do Ministério Público, processo administrativo ou sindicância de cunho disciplinar; (Incluído pela Instrução Normativa nº 53, de 9 de junho de 2021)
§ 2º Os registros não se prestam para fins de análise de produtividade no trabalho e controle de ponto. (Incluído pela Instrução Normativa nº 53, de 9 de junho de 2021)
Art. 19. Os arquivos de auditoria serão armazenados pelo período mínimo de 6 meses, até regulamentação em norma específica.
Art. 20. Os incidentes de segurança do acesso à internet devem ser relatados via Sistema Eletrônico de Informações - SEI, até regulamentação em norma específica, com as seguintes informações:
I - identificação do recurso de TIC.
II - identificação dos usuários envolvidos.
III - horário da identificação do incidente.
IV - intervalo de tempo da suspeita do incidente.
V - descrição do incidente de segurança contendo:
a - eventos que motivaram o relato;
b - pessoas envolvidas;
c - criticidade da informação;
d - eventos correlacionados que possam estar envolvidos no incidente;
e - demais informações pertinentes.
Art. 21. O DTIC poderá efetuar inspeção de conteúdo criptografado das conexões com sites considerados maliciosos, suspeitos ou não categorizados, a fim de proceder análise de conteúdo para garantir, de forma automatizada, a aplicação desta Instrução Normativa.
Art. 22. Poderá ser realizada a inspeção de conteúdo criptografado, com objetivo de obter informações de auditoria para incidentes de segurança, desde que autorizado pelo Supervisor Geral de Informática e Comunicação, observada a legislação vigente.
CAPÍTULO VII
DAS COMPETÊNCIAS E RESPONSABILIDADES
Art. 23. É responsabilidade do usuário:
I - relatar qualquer incidente de segurança, mesmo quando não envolvido;
II - fazer o bom uso do acesso à internet.
Art. 24. É competência do gestor da unidade:
I - gerir bloqueios e liberações de seus subordinados;
II - solicitar alterações de liberações ou bloqueios não contemplados pelos padrões de grupos de controle criados, conforme definido no Art. 13;
III - orientar os usuários sob sua responsabilidade a respeito do uso adequado do recurso de internet, conforme as regras estabelecidas nesta Instrução Normativa, bem como reportar ao DTIC ou Comitê de Segurança da Informação o seu descumprimento.
CAPÍTULO VII
DOS DOCUMENTOS RELACIONADOS
Art. 25. Na elaboração desta Instrução Normativa foram utilizados os seguintes documentos:
I - PSTI-TJPR - Política de Segurança de Tecnologia da Informação;
II - NS-008.0 - Registro de eventos de TIC.
Art. 26. Para a aplicação desta Instrução Normativa é necessário a utilização dos Procedimentos de Segurança abaixo relacionados:
I - gerência de bloqueio e liberação de acesso dos usuários;
II - solicitação de grupos de controle;
III - consulta aos padrões de bloqueios e liberações;
IV - solicitação de bloqueio e liberação permanente;
V - aplicação de medidas para garantir disponibilidade e desempenho;
VI - informação de incidente de segurança do acesso à Internet;
VII - armazenamento dos arquivos de auditoria de acesso à Internet.
CAPÍTULO IX
DA PERIODICIDADE DE REVISÕES
Art. 27. O disposto na presente Instrução Normativa será atualizado sempre que houver alterações significantes na arquitetura e/ou tecnologia referente, observada, ainda, a periodicidade prevista para a revisão da Política de Segurança da Informação.
Art. 28. Esta Instrução Normativa entrará em vigor a partir de sua publicação.
PUBLIQUE-SE. CUMPRA-SE.
Curitiba, 26 de junho de 2018.
DES. RENATO BRAGA BETTEGA
Presidente do Tribunal de Justiça do Estado do Paraná
*O conteúdo disponibilizado possui caráter informativo e não substitui aquele publicado no Diário da Justiça Eletrônico.