Resolução CNJ 396 de 07 de Junho de 2021
Institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ)
O PRESIDENTE DO CONSELHO NACIONAL DE JUSTIÇA (CNJ), no uso de suas atribuições legais e regimentais, CONSIDERANDO que compete ao CNJ a atribuição de coordenar o planejamento e a gestão estratégica de Tecnologia da Informação e Comunicação (TIC) do Poder Judiciário; CONSIDERANDO que é imprescindível garantir a segurança cibernética do ecossistema digital do Poder Judiciário brasileiro; CONSIDERANDO os termos da Resolução CNJ nº 370/2021, que institui a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD) e estabelece as diretrizes para sua governança, gestão e infraestrutura; CONSIDERANDO a importância de se estabelecer objetivos, princípios e diretrizes de Segurança da Informação alinhados às recomendações constantes da norma NBR ISO/IEC 27001:2013, que trata da segurança da informação; CONSIDERANDO o que dispõe a Lei nº 13.709/2018, com a redação dada pela Lei nº 13.853/2019, sobre a proteção de dados pessoais, que altera a Lei - nº 12.965/2014 (Marco Civil da Internet); CONSIDERANDO o disposto na Resolução CNJ nº 291/2019, que instituiu o Sistema Nacional de Segurança do Poder Judiciário; CONSIDERANDO o disposto na Portaria CNJ nº 242/2020, que institui o Comitê de Segurança Cibernética do Poder Judiciário; CONSIDERANDO o disposto na Portaria CNJ nº 249/2020, que designa os integrantes do Comitê de Segurança Cibernética do Poder Judiciário (CSCPJ); CONSIDERANDO que, para contemplar aspectos fundamentais para o desenvolvimento da Política sobre a área da Segurança Cibernética, será necessário abordar aspectos da Segurança da Informação, área sistêmica e mais abrangente, CONSIDERANDO a deliberação do Plenário do CNJ no Ato Normativo nº 0003201-92.2021.2.00.0000, na 87ª Sessão Virtual, realizada em 28 de maio de 2021; RESOLVE:
Publicado por Conselho Nacional de Justiça
Capítulo I
DISPOSIÇÕES GERAIS
o Instituir a Estratégia Nacional de Segurança da Informação e Cibernética do Poder Judiciário (ENSEC-PJ), no âmbito dos órgãos do Poder Judiciário, à exceção do Supremo Tribunal Federal (STF).
temas relacionados à segurança da informação, de forma ampla, que sejam essenciais para segurança cibernética;
segurança física e proteção de dados pessoais e institucionais, nos aspectos relacionados à cibersegurança;
ações destinadas a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade de dados e de informações;
ações destinadas a assegurar o funcionamento dos processos de trabalho, a continuidade operacional e a continuidade das atividades fim e administrativas dos órgãos do Poder Judiciário;
ações de planejamento, de sistematização e de normatização sobre temas atinentes à segurança cibernética;
ações de comunicação, de conscientização, de formação de cultura e de direcionamento institucional com vistas à segurança cibernética; e
ações de formação acadêmica, formação técnica, qualificação e reciclagem de profissionais de tecnologia da informação e comunicação que atuam na área de segurança cibernética.
Capítulo II
OBJETIVOS DA ESTRATÉGIA NACIONAL DE SEGURANÇA CIBERNÉTICA DO PODER JUDICIÁRIO (ENSEC-PJ)
A ENSEC-PJ tem o objetivo de aprimorar o nível de maturidade em segurança cibernética nos órgãos do Poder Judiciário, abrangendo os aspectos fundamentais da segurança da informação para o aperfeiçoamento necessário à consecução desse propósito.
Para a concretização dos objetivos da segurança cibernética instituídos na Política de Segurança Cibernética do Poder Judiciário (PSEC-PJ), estrutura-se a presente Estratégia Nacional de Segurança Cibernética com visão, objetivos e ações capazes de conduzir os órgãos do Poder Judiciário a um ambiente desenvolvido, resistente e seguro.
Capítulo III
DA VISÃO, DOS OBJETIVOS E DAS AÇÕES
A visão da ENSEC-PJ consiste em alcançar a excelência em segurança cibernética no Poder Judiciário.
Os objetivos da ENSEC-PJ são a base para tornar o espaço cibernético mais confiável, resistente, inclusivo e seguro e visam direcionar as ações dos órgãos do Poder Judiciário na área de segurança cibernética.
estabelecer governança de segurança cibernética e fortalecer a gestão e coordenação integrada de ações de segurança cibernética nos órgãos do Poder Judiciário; e
permitir a manutenção e a continuidade dos serviços, ou o seu restabelecimento em menor tempo possível.
As ações da ENSEC-PJ foram estabelecidas com a finalidade de possibilitar o alcance dos objetivos e basearam-se no estágio de maturidade geral dos órgãos do Poder Judiciário.
Os órgãos do Poder Judiciário, com exceção do STF, devem colocar em prática as ações para o pleno alcance dos objetivos da ENSEC-PJ.
O engajamento da alta administração de cada tribunal é essencial para a consecução das finalidades e das medidas de proteção ao serviço, sobretudo quando implicarem a necessidade de rápida suspensão do acesso ao público, para evitar o alastramento de ataque cibernético e conter os danos.
Para fortalecer as ações de governança cibernética, deve-se estabelecer um Sistema de Gestão em Segurança da Informação baseado em riscos, de acordo com recomendação do CNJ.
estabelecer todas as ações que possibilitem maior eficiência, ou seja, capacidade de responder de forma satisfatória a incidentes de segurança, permitindo a contínua prestação dos serviços essenciais a cada órgão;
elaborar e aplicar processo de resposta e tratamento a incidentes de segurança cibernética que contenha, entre outros, procedimento de continuidade do serviço prestado e seu rápido restabelecimento, além de comunicação interna e externa;
utilizar tecnologia que possibilite a análise consolidada dos registros de auditorias coletados em diversas fontes de ativos de informação e de ações de usuários, permitindo automatizar ações de segurança e oferecer inteligência à análise de eventos de segurança;
utilizar tecnologia que permita a inteligência em ameaças cibernéticas em redes de informação; especialmente em fóruns, inclusive da iniciativa privada e comunidades virtuais da internet;
providenciar a realização de cópias de segurança atualizadas e segregadas de forma automática em local protegido, em formato que permita a investigação de incidentes;
elaborar requisitos específicos de segurança cibernética relativos aos ativos sob sua jurisdição, incluindo ambientes centralizados, endpoints, equipamentos intermediários ou finais conectados em rede ou a algum sistema de comunicação, inclusive computadores portáteis e telefones celulares;
adotar práticas e requisitos de segurança cibernética no desenvolvimento de novos projetos, tais como dupla verificação do acesso externo;
realizar, ao menos semestralmente, avaliação e testes de conformidade em segurança cibernética de forma a aferir a eficácia dos controles estabelecidos; XI realizar prática em gestão de incidentes e efetivar o aprimoramento contínuo do processo; e
estabelecer troca de informações e boas práticas com outros membros do poder público em geral e do setor privado com objetivo colaborativo.
Capítulo IV
DO MODELO CENTRALIZADO DE GOVERNANÇA NACIONAL NA SEGURANÇA CIBERNÉTICA DO PODER JUDICIÁRIO
O modelo centralizado de governança nacional na segurança cibernética do Poder Judiciário tem os seguintes objetivos:
possibilitar a análise conjunta do nível de maturidade em segurança cibernética nos órgãos do Poder Judiciário;
estabelecer e desenvolver padrão de maturidade unificado de segurança cibernética, de forma que seja possível avaliar o nível de maturidade de cada órgão do Judiciário, por meio de indicadores estabelecidos;
possibilitar a convergência de esforços e iniciativas na apuração de incidentes e na promoção de ações de capacitação e educação em segurança cibernética.
O CNJ coordenará as ações para viabilizar a governança nacional em segurança cibernética do Poder Judiciário.
Capítulo V
DO COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO DO PODER JUDICIÁRIO
Fica instituído o Comitê Gestor de Segurança da Informação do Poder Judiciário (CGSI-PJ), com atribuição de assessorar o CNJ nas atividades relacionadas à segurança da informação.
O CGSI-PJ será coordenado por um representante do Conselho Nacional de Justiça designado pela Presidência.
O CGSI-PJ poderá convidar representantes de órgãos de segurança pública, do Ministério Público, das Forças Armadas e especialistas técnicos de outros órgãos públicos ou privados que pretendam subsidiar os respectivos trabalhos.
O CGSI-PJ se reunirá, em caráter ordinário, semestralmente, e, em caráter extraordinário, por convocação de seu coordenador.
estabelecer norma sobre a definição dos requisitos metodológicos para a implementação da gestão de risco dos ativos da informação no Poder Judiciário;
aprovar políticas, diretrizes, estratégias, normas e recomendações relacionadas à segurança da informação no Poder Judiciário;
elaborar e implementar programas sobre segurança da informação destinados à conscientização e à capacitação dos servidores do Poder Judiciário;
estabelecer critérios que permitam monitorar e avaliar a execução da PSEC-PJ e de seus instrumentos, bem como o nível de maturidade em segurança da informação em cada órgão do Poder Judiciário;
estabelecer norma de criação e funcionamento do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Poder Judiciário (CPTRIC-PJ), que funcionará como canal oficial de ações preventivas e corretivas, em caso de ameaças ou de ataques cibernéticos; e
promover troca de informações e experiências com os comitês gestores de segurança da informação dos outros Poderes e com a sociedade.
Capítulo VI
DA REDE NACIONAL DE COOPERAÇÃO DO PODER JUDICIÁRIO NA ÁREA DE SEGURANÇA CIBERNÉTICA
A Rede de Cooperação do Judiciário na área de segurança cibernética tem os seguintes objetivos:
promover ambiente participativo, colaborativo e seguro entre os órgãos do Poder Judiciário, por meio do acompanhamento contínuo e proativo das ameaças e dos ataques cibernéticos;
fortalecer o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (CPTRIC-PJ) do CNJ;
ampliar parceria com outros órgãos do Poder Executivo, do Poder Legislativo, do Ministério Público, da polícia judiciária, do setor privado e do meio acadêmico, com vistas a elevar, de modo geral, o nível de segurança cibernética.
Para fins de cumprimento dos objetivos estabelecidos, todos os órgãos do Judiciário que detectarem incidentes de segurança cibernética deverão reportá-los ao CPTRIC-PJ.
Compete à alta administração dos órgãos do Poder Judiciário, com exceção do STF, realizar a governança da segurança da informação e especialmente:
elaborar a Política de Segurança da Informação e normas internas correlatas ao tema, observadas as normas de segurança da informação editadas pelo CNJ;
promover ações de capacitação e profissionalização dos recursos humanos em temas relacionados à segurança da informação;
aplicar as ações corretivas e disciplinares cabíveis nos casos de violação da segurança da informação.
Cada órgão do Poder Judiciário, com exceção do STF, deverá constituir Comitê de Governança de Segurança da Informação (CGSI), ao qual caberá:
assessorar a alta administração do órgão do Poder Judiciário em todas as questões relacionadas à segurança da informação;
propor alterações na política de segurança da informação e deliberar sobre assuntos a ela relacionados, incluindo atividades de priorização de ações e gestão de riscos de segurança;
constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação; e
consolidar e analisar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação.
o O CGSI será coordenado pela autoridade responsável pela segurança da informação no respectivo órgão do Poder Judiciário, nomeado por seu presidente.
Os órgãos do Poder Judiciário, com exceção do STF, editarão atos para definir a forma de funcionamento dos respectivos CGSIs, observado o disposto nesta Resolução e na legislação de regência.
Cada órgão do Poder Judiciário, com exceção do STF, deverá constituir estrutura de segurança da informação, subordinada diretamente à alta administração do órgão e desvinculada da área de TIC.
O titular da estrutura prevista no caput deste artigo será o gestor de segurança da informação do órgão.
planejar a execução de programas, de projetos e de processos relativos à segurança da informação com as demais unidades do órgão;
observar as normas e os procedimentos específicos aplicáveis em consonância com os princípios e as diretrizes desta Resolução e da legislação de regência. .
Capítulo VII
DA POLÍTICA DE SEGURANÇA CIBERNÉTICA DO PODER JUDICIÁRIO
A PSEC-PJ tem a finalidade de prover os princípios, objetivos e instrumentos capazes de assegurar a Segurança Cibernética no Poder Judiciário.
respeito e promoção dos direitos humanos e das garantias fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção de privacidade e o acesso à informação;
integração, cooperação e intercâmbio científico e tecnológico relacionado à segurança cibernética entre os órgãos da Administração Pública Federal e do meio acadêmico;
articulação entre as ações de segurança cibernética e de proteção de dados e ativos de informação; e
garantia ao sigilo das informações imprescindíveis à segurança da sociedade e do Estado e inviolabilidade da vida privada, da honra e da imagem das pessoas.
contribuir para a segurança do indivíduo, da sociedade e do Estado, por meio de ações de segurança cibernética, observados os direitos e as garantias fundamentais;
fomentar as atividades de pesquisa científica, de desenvolvimento tecnológico e de inovação relacionadas à segurança cibernética;
fomentar a formação e a qualificação dos recursos humanos necessários à área de segurança cibernética;
à proteção dos dados pessoais e dos dados pessoais sensíveis, em conformidade com legislação específica;
ao estabelecimento de processo transparente de comunicação e respostas a incidentes entre o poder público e a sociedade.
Os protocolos previstos neste artigo deverão ser revisados sempre que necessário, por ato do Presidente do CNJ.
Além dos protocolos previstos nesta Resolução, serão aprovados por ato do Presidente do CNJ os Manuais de Referência para o gerenciamento, controle e padrões necessários ao aperfeiçoamento da segurança cibernética.
Todos os órgãos do Poder Judiciário, à exceção do STF, deverão adotar e seguir, além dos Manuais de Referência para o gerenciamento, controle e padrões necessários ao aperfeiçoamento da segurança cibernética, o PPINC-PJ, que deverá contemplar um conjunto de diretrizes para a prevenção a incidentes cibernéticos em seu mais alto nível; o PGCC-PJ, objetivando contribuir para a resiliência corporativa por meio de resposta, tão célere e eficiente quanto possível, a incidentes em que os ativos de informação do Poder Judiciário tenham a sua integridade, confidencialidade ou disponibilidade comprometidos em larga escala ou por longo período; e o PIINC-PJ, com a finalidade de estabelecer os procedimentos básicos para coleta e preservação de evidências, bem como para comunicar fatos penalmente relevantes aos órgãos de investigação e com atribuição para o início da persecução penal.
O PGCC-PJ complementa o PPINC-PJ e prevê as ações responsivas a serem colocadas em prática quando ficar evidente que um incidente de segurança cibernética não será mitigado rapidamente e poderá durar por tempo indeterminado.
Considerado o incidente como crise cibernética, o Comitê de Crise deverá ser acionado, nos termos do Protocolo de Gerenciamento de Incidentes e de Crises Cibernéticas.
Cada tribunal, com exceção do STF, deverá estabelecer em sua Política de Segurança da Informação ações para:
promover treinamento contínuo e certificação internacional dos profissionais diretamente envolvidos na área de segurança cibernética;
estabelecer requisitos mínimos de segurança cibernética nas contratações e nos acordos que envolvam a comunicação com outros órgãos;
utilizar os recursos de soluções de criptografia, ampliando o uso de assinatura eletrônica, conforme legislações específicas; e
Capítulo VIII
DA GESTÃO DE USUÁRIOS
Cada órgão do Poder Judiciário, com exceção do STF, deverá implementar a gestão de usuários de sistemas informatizados composta de:
A gestão de usuários será disciplinada por ato do Presidente do CNJ, que definirá o padrão a ser adotado para utilização de credenciais de login único e interface de interação dos sistemas, com o objetivo de uniformizar e garantir a experiência única de interação com os sistemas judiciais.
Capítulo IX
DA POLÍTICA DE CULTURA E EDUCAÇÃO EM SEGURANÇACIBERNÉTICA
Fica instituída, no âmbito dos órgãos do Poder Judiciário, à exceção do STF, a Política de Cultura e Educação em Segurança Cibernética no âmbito do Poder Judiciário (PCESC-PJ).
Capítulo X
DO ORÇAMENTO
Para execução das ações estratégicas, os órgãos do Poder Judiciário, objeto desta norma, deverão destinar os recursos orçamentários necessários.
Os recursos orçamentários deverão ser discriminados em rubrica específica para possibilitar que a Governança Nacional em Segurança Cibernética possa avaliar, de forma clara, os investimentos no setor.
Capítulo XI
DAS DISPOSIÇÕES FINAIS
Poderão ser instituídos planos de ações para detalhar a forma de aplicação da presente estratégia de segurança cibernética de acordo com a prioridade definida pelo CGSI-PJ.
Outros instrumentos complementares poderão ser elaborados e formalizados em normativos específicos do órgão desde que não contrariem as disposições estabelecidas nesta Resolução.
Ministro LUIZ FUX