Inicio - SETI
- Governança-TIC
- 01. Estrutura do DTIC e Comitês
- 02. Estratégia de TIC
-
02. Plano Capacitação TIC
-
02. Plano Continuidade SE TIC
-
02. Plano Contratações TIC
- 02. Plano Diretor TIC
-
02. Plano Riscos TIC
-
02. Plano Transformação Digital
- 03. iGovTIC-JUD
- 03. Indicadores TIC
- 03. Pesquisa Satisfação TIC
-
04. Processos de TIC
- 05. Segurança de TIC
- 06. Portfólio de TIC
- Atendimento a Usuários
-
BI e Relatórios TIC
- Modelos e sobre TI
- Normativos TIC
-
Rede sem fio (Wi-Fi)
- Videoconferência
TRIBUNAL DE JUSTIÇA DO ESTADO DO PARANÁ
INSTRUÇÃO NORMATIVA Nº 123/2022 - P-GP
(Diário Eletrônico do Tribunal de Justiça do Paraná. Edição nº 3294. Curitiba, 28 de setembro de 2022).
SEI!TJPR Nº 0054728-46.2022.8.16.6000 SEI!DOC Nº 8187859
Dispõe sobre a Norma de Continuidade de Serviços Essenciais de Tecnologia da Informação e Comunicação do Tribunal de Justiça do Estado do Paraná.
O PRESIDENTE DO TRIBUNAL DE JUSTIÇA DO ESTADO DO PARANÁ, no uso das atribuições legais e regimentais, e como lhe confere o inciso IV, do art. 9º, do Decreto Judiciário nº 631/2016:
CONSIDERANDO as ações previstas no Planejamento Estratégico do Poder Judiciário do Estado do Paraná para cumprimento da sua missão institucional;
CONSIDERANDO a importância de estabelecer diretrizes, papéis e responsabilidades, práticas e processos de trabalho compatíveis com os modelos de referência reconhecidos mundialmente;
CONSIDERANDO o conjunto de normas ABNT NBR ISO/IEC 27.000, que versam sobre a criação, funcionamento, manutenção e melhoria do Sistema de Segurança da Informação (SGSI);
CONSIDERANDO o inciso IV do art. 6º da Resolução nº 396, de 07 de junho de 2021, do Conselho Nacional de Justiça que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ), e define como objetivo “permitir a manutenção e a continuidade dos serviços, ou o seu restabelecimento em menor tempo possível”, bem como o art. 11, do mesmo diploma, que estabelece ações para elevar o nível de segurança das infraestruturas críticas;
CONSIDERANDO a Resolução nº 370/2021, de 1 de janeiro de 2021, do Conselho Nacional de Justiça, a qual estabelece a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD), especificamente em seu art. 36 que dispõe que “Cada órgão deverá elaborar Plano de Gestão de Continuidade de Negócios ou de Serviços no qual estabeleça estratégias e planos de ação que garantam o funcionamento dos serviços essenciais quando na ocorrência de falhas”;
CONSIDERANDO que a Política de Segurança da Informação no âmbito do Tribunal de Justiça do Paraná é regulamentada no Decreto Judiciário nº 631, de 24 de junho de 2016, e determina que ao Departamento de Tecnologia da Informação e Comunicação compete elaborar, propor e submeter as normas para deliberação do Comitê de Segurança de Tecnologia da Informação, e aprovação do Presidente do Tribunal de Justiça;
CONSIDERANDO a Resolução nº 272-OE, de 14 de setembro de 2020, que dispõe sobre a Política de Gestão de Riscos e institui o Comitê de Gestão de Riscos do Poder Judiciário do Estado do Paraná;
CONSIDERANDO o disposto no expediente SEI! nº 0054728-46.2022.8.16.6000.
RESOLVE:
CAPÍTULO I
DISPOSIÇÃO PRELIMINAR
Art. 1º Esta Instrução Normativa estabelece a Norma de Continuidade de Serviços Essenciais de Tecnologia da Informação e Comunicação no âmbito do Tribunal de Justiça do Estado do Paraná.
CAPÍTULO II
DOS CONCEITOS E DEFINIÇÕES
Art. 2º Para efeito desta Norma, fica estabelecido o significado dos seguintes termos e expressões:
I - Ativo: Todo software, hardware, serviço ou dados mantidos ou gerenciados pelo Departamento de Tecnologia da Informação e Comunicação;
II - Análise de Impacto nos Negócios (Business Impact Analysis - BIA): tem o objetivo de levantar o grau de relevância entre os processos ou atividades que fazem parte do escopo da contingência em função da continuidade de serviços essenciais de TIC. A BIA identifica o que é vital e crítico para o funcionamento do negócio, além de identificar o tempo tolerável de interrupção, calcular os possíveis impactos e a infraestrutura mínima para uma contingência;
III - Ativos Críticos: ativo que sustenta a entrega dos produtos e consecução dos serviços essenciais do Tribunal;
IV - Criticidade: grau de importância para a continuidade das atividades e serviços do Poder Judiciário do Estado do Paraná;
V - Desastre: eventos ou condições que podem levar à interrupção dos serviços essenciais de TIC;
VI - Incidente: evento decorrente de uma ameaça, que explora uma vulnerabilidade e que pode impactar na continuidade de serviços essenciais de TIC;
VII - Plano de Continuidade de Serviços Essenciais de TIC - PCSE: plano que compõe as estratégias e procedimentos que visam garantir o funcionamento e a disponibilidade dos serviços essenciais de TIC;
VIII - Plano de Administração de Crise de Serviços Essenciais de TIC – PACSE: plano de gerenciamento da comunicação interna e externa da instituição em situações de crises, viabilizando a compressão linear das ações antes, durante e após a ocorrência de uma interrupção ou desastre;
IX - Procedimento de Recuperação de Serviços Essenciais de TIC - PRSE: planejamentos, devidamente documentados, que indicam as ações, as fases e os responsáveis pela atuação nas diversas competências técnicas e administrativas para recuperação do ambiente ao estado anterior ao incidente;
X - Partes interessadas: Assessorias, Coordenações e Divisões do Departamento de Tecnologia da Informação e Comunicação - DTIC e demais áreas envolvidas do TJPR;
XI - Gestor técnico: pessoa responsável pelo controle do ciclo de vida de um ativo;
XII - Comitê de Acionamento de Continuidade de TIC: pessoas responsáveis pelo acionamento dos Planos de Continuidade de Serviços;
XIII - Equipe de Tratamento e Resposta a Incidentes de TIC – ETIR/TIC: equipe multidisciplinar criada para atuar na resolução de incidentes que afetem a continuidade do serviço no contexto de TIC.
Art. 3º Todos os projetos e ações voltados à implantação, manutenção e evolução do Plano de Continuidade de Serviços Essenciais de TIC devem ser priorizados no Plano Diretor de TIC – PDTIC.
CAPÍTULO III
DOS OBJETIVOS
Art. 4º Constituem objetivos desta Norma:
I - definir diretrizes necessárias para manter a continuidade dos serviços essenciais de TIC do Tribunal de Justiça do Paraná;
II - dar continuidade ao gerenciamento de riscos de forma a atribuir papéis e responsabilidades para as ações de tratamento que visam minimizar a probabilidade e o impacto do risco de interrupção de serviços essenciais de TIC do Tribunal de Justiça do Paraná;
III - definir as diretrizes para a implementação de controles para a recuperação de ativos de TIC, por intermédio de ações de prevenção, resposta e recuperação, de forma ordenada, a assegurar a continuidade de serviços essenciais de TIC;
IV - fomentar a conscientização, a capacitação e a cultura em continuidade de serviços essenciais de TIC;
V - institucionalizar procedimentos para garantir a continuidade de serviços essenciais de TIC.
CAPÍTULO IV
DOS PRINCÍPIOS
Art. 5º Constituem princípios da Gestão de Continuidade de Serviços de Essenciais de TIC do TJPR:
I - implementar e manter uma estrutura documental definida para a capacidade contínua da Gestão de Continuidade de Serviços Essenciais de TIC;
II - garantir que as atividades destinadas à Gestão de Continuidade de Serviços Essenciais de TIC sejam implementadas e conduzidas de forma planejada e controlada;
III - alcançar a resiliência necessária à continuidade de serviços essenciais de TIC considerando a sua complexidade e a natureza.
CAPÍTULO V
DA ESTRUTURA DOCUMENTAL
Art. 6º A estrutura para a Gestão de Continuidade de Serviços Essenciais de TIC será organizada pelos seguintes Planos:
I - Plano de Continuidade de Serviços Essenciais de TIC – PCSE;
II - Plano de Administração de Crise de Serviços Essenciais de TIC – PACSE;
III - Procedimento de Recuperação de Serviços Essenciais de TIC – PRSE.
Parágrafo único. Os planos que compõem a Gestão de Continuidade de Serviços Essenciais de TIC devem ser revistos sempre que houver mudança significativa nos ativos críticos.
CAPÍTULO VI
DAS DIRETRIZES
Art. 7º A Gestão da Continuidade de Serviços Essenciais de TIC obedecerá às seguintes diretrizes:
I - adoção de planos proativos, de forma a viabilizar que os sistemas de informações e ativos que sustentam os serviços essenciais de TIC do TJPR sejam recuperados e tenham sua continuidade assegurada por meio da manutenção de estratégias e planos de recuperação;
II - realização de exercícios, simulações e testes anuais da Gestão de Continuidade de Serviços Essenciais de TIC com a devida documentação e a participação das partes interessadas;
III - realização periódica da manutenção dos Planos, promovendo as revisões necessárias, considerando os testes realizados;
IV - realização da Gestão de Continuidade de Serviços Essenciais de TIC com foco na melhoria contínua;
V - promoção da gestão dos ativos de TIC de forma alinhada com as necessidades da continuidade de serviços essenciais de TIC;
VI - realização do gerenciamento dos Riscos à Continuidade de Serviços Essenciais de TIC de maneira aderente ao Plano de Gestão de Riscos de TIC;
VII - deve ser realizada a Análise de Risco e Impacto dos Serviços Essenciais de TIC e atualizá-la sempre que houver necessidade;
VIII - a Gestão de Continuidade de Serviços Essenciais de TIC deve observar o resultado da Análise de Riscos e Impacto de Serviços Essenciais de TIC com o objetivo de nortear as estratégias de continuidade.
CAPÍTULO VII
DO PROCESSO DE GESTÃO DE CONTINUIDADE DE SERVIÇOS ESSENCIAIS DE TIC
Art. 8º O processo de Gestão de Continuidade de Serviços Essenciais TIC é composto pelas seguintes etapas:
I - Planejamento - compreende as estratégias que deverão ser tratadas na continuidade de serviços essenciais de TIC;
II - Execução - abrange a elaboração ou revisão dos planos, com a descrição dos cenários de falhas e os procedimentos técnicos para tratar os problemas, a realização de testes parciais ou integrais dos planos, bem como sua aprovação, documentação, armazenamento e divulgação;
III - Verificação - compreende a realização de testes periódicos dos Planos estabelecidos e a análise dos incidentes que geraram ativação do Plano de Continuidade de Serviços Essenciais de TIC, a fim de fornecer informações necessárias para etapa de melhoria;
IV - Melhoria - oportunidade de aperfeiçoamento para iniciar novo ciclo do processo e consequente atualização dos planos.
Art. 9º O Plano de Continuidade de Serviços Essenciais de TIC será acionado quando identificadas interrupções parciais ou totais que impactem significativamente nos serviços essenciais de TIC, contemplando:
I - Ocorrido o incidente, considerados os serviços ou ativos críticos de TIC afetados e a criticidade, o Comitê de acionamento de Continuidade de TIC, representado por um de seus membros, acionará o Plano de Continuidade de Serviços Essenciais de TIC para a manutenção da continuidade dos serviços de TIC, ainda que de forma contingencial e, se necessário, os demais planos;
II - A comunicação às partes interessadas observará as orientações contidas no Plano de Administração de Crise;
III - Os ativos críticos e serviços essenciais de TIC afetados pelo incidente serão monitorados pelo ETIR/TIC, a fim de subsidiar o fornecimento de informações ao Comitê de acionamento de Continuidade de TIC;
IV - A execução do Plano de Continuidade de Serviços Essenciais de TIC será encerrada quando da comunicação de retorno à normalidade dos serviços, sistemas ou ativos críticos afetados.
CAPÍTULO VIII
DAS RESPONSABILIDADES
Art. 10. Ao Comitê de Gestão de Tecnologia da Informação e Comunicação - CGESTIC, compete:
I - classificar os serviços essenciais de TIC com base nos objetivos estratégicos institucionais apresentados no Planejamento Estratégico Institucional - PEI;
II - revisar a elaboração, implementação, cenários e resultados de testes e atualização dos planos;
III - propor melhorias na implantação de novos instrumentos relativos à continuidade de serviços essenciais de TIC.
Art. 11. O Gestor técnico do Serviço Essencial de TIC possui as seguintes responsabilidades:
I - apoiar na elaboração e manutenção nos Planos de Continuidade e de Administração de Crise;
II - elaborar e manter os Procedimentos de Recuperação de Serviços Essenciais de TIC;
III - definir o tempo máximo para retorno operacional (RTO) do serviço essencial de TIC após a ocorrência de um desastre, quando não houver regulamentação específica.
Art. 12. A Equipe de Tratamento e Resposta a Incidentes do Departamento de Tecnologia da Informação e Comunicação - ETIR/TIC terá as seguintes responsabilidades:
I - contribuir para a elaboração do Plano de Continuidade, Plano de Administração de Crise e os Procedimentos de Recuperação de Serviços de Essenciais de TIC;
II - receber, analisar, tratar e responder às notificações relacionadas aos incidentes que acionaram o Plano de Continuidade de Serviços Essenciais de TIC;
III - elaborar relatórios de tratamento sobre os incidentes ocorridos.
Art. 13. A Divisão de Gestão de Segurança de TIC do Departamento de Tecnologia da Informação e Comunicação compete:
I - elaborar o Plano de Continuidade de Serviços Essenciais de TIC e o Plano de Administração de Crise;
II - elaborar e atualizar os modelos de documentos utilizados na Gestão de Continuidade de Serviços Essenciais de TIC;
III - gerir os documentos que compõem os planos de continuidade de TIC;
IV - apoiar na elaboração dos Procedimentos de Recuperação de Serviços de TIC;
V - assessorar o Comitê de acionamento de Continuidade de TIC na tomada de decisões a respeito de situações decorrentes de interrupções graves e desastres;
VI - manter os registros e histórico dos incidentes e dos acionamentos dos planos e os seus resultados;
VII - prover informações para o Comitê de Segurança de Tecnologia da Informação - CSEGTI a respeito dos resultados dos testes ou acionamento dos planos de continuidade de TIC.
Art. 14. Ao Comitê de Segurança de Tecnologia da Informação – CSEGTI compete:
I - deliberar sobre Plano de Continuidade de Serviços Essenciais de TIC e o Plano de Administração de Crise de TIC;
II - apreciar as informações e os relatórios de testes ou acionamentos dos Planos de Continuidade de TIC.
Art. 15. Ao Comitê de Governança de Tecnologia da Informação e Comunicação - CGOVTIC compete:
I - aprovar a classificação dos Serviços Essenciais de TIC, conforme princípios e diretrizes que orientem a forma de utilização da Tecnologia da Informação;
II - deliberar sobre Plano de Continuidade de Serviços Essenciais de TIC e o Plano de Administração de Crise de TIC por fazerem parte do macro processo de Segurança da Informação e Proteção de Dados.
Art. 16. Aos membros do Comitê de acionamento do Plano de Continuidade de TIC compete, conjunta ou isoladamente:
I - acionar o Plano de Continuidade de Serviços Essenciais de TIC e o Plano de Administração de Crise de TIC;
II - adotar quaisquer medidas urgentes, ainda que não contempladas nos Planos de Recuperação, a fim de garantir a continuidade dos serviços, com posterior análise e deliberação pelo Comitê de Segurança de Tecnologia da Informação.
Art. 17. Ao Diretor do Departamento de Tecnologia da Informação e Comunicação compete definir a composição e instituir o Comitê de acionamento do Plano de Continuidade de TIC.
CAPÍTULO IX
DAS DISPOSIÇÕES FINAIS
Art. 18. A Norma de Continuidade de Serviços Essenciais de TIC deve ser revisada e atualizada periodicamente, no máximo a cada 02 (dois) anos, caso não ocorram eventos ou fatos relevantes que exijam uma revisão antecipada, observada, ainda, a periodicidade prevista para a revisão da Política de Segurança da Informação.
Art. 19. Esta Instrução Normativa entra em vigor na data de sua publicação.
Curitiba, 26 de setembro de 2022.
Des. JOSÉ LAURINDO DE SOUZA NETTO
Presidente do Tribunal de Justiça