PORTARIA Nº 2644/2022
| Local de Publicação | Tipo de Matéria | Número do ato | Data do Ato | Disponibilizada em | Situação |
|---|---|---|---|---|---|
| TRIBUNAL DE JUSTIÇA | PORTARIA | 2644 | 13/12/2022 | 13/12/2022 | VIGENTE |
Ementa
Dispõe sobre as diretrizes de uso e gestão do correio eletrônico no âmbito do Poder Judiciário do Estado do Ceará.
Anexos
Dispõe sobre as diretrizes de uso e gestão do correio eletrônico no âmbito do Poder Judiciário do Estado do Ceará.
A PRESIDENTE DO TRIBUNAL DE JUSTIÇA DO ESTADO DO CEARÁ (TJCE), no uso de suas atribuições legais e regimentais,
CONSIDERANDO os termos da Resolução do Conselho Nacional de Justiça (CNJ) nº 370/2021, que instituiu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD) e estabeleceu as diretrizes para sua governança, gestão e infraestrutura;
CONSIDERANDO os termos da Resolução do CNJ nº 396/2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);
CONSIDERANDO os termos da Resolução do Órgão Especial do TJCE nº 25/2016 (DJe 02/09/2016), que regulamenta a Política de Segurança da Informação no âmbito do Poder Judiciário do Estado do Ceará;
CONSIDERANDO os termos da Portaria do CNJ nº 162/2021, que aprovou protocolos e manuais criados pela Resolução do CNJ nº 396/2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ); e
CONSIDERANDO as boas práticas de Governança de Tecnologia da Informação que visam a garantir a disponibilidade e a integridade de sistemas, aplicativos, dados e documentos digitais do Poder Judiciário do Estado do Ceará;
RESOLVE:
Art. 1º Definir as diretrizes de uso e gestão relacionadas ao correio eletrônico no âmbito do Poder Judiciário do Estado do Ceará, na forma do Anexo Único desta Portaria.
Art. 2º A Secretaria de Tecnologia da Informação (SETIN) deverá informar ao Comitê de Governança de Segurança da Informação e de Crises Cibernéticas (CGSICC), em até 30 (trinta) dias após publicação deste normativo, o tempo necessário para adequar-se as normas nele descritas.
Art. 3º Os casos não previstos deverão ser apreciados pelo CGSICC.
Art. 4° Esta Portaria revoga o Anexo II (“Norma de Uso de Correio Eletrônico”) da Portaria do TJCE nº 1186/2018 (DJe 25/06/2018, republicada por incorreção no DJe 28/06/2018).
Art. 5º Esta Portaria entra em vigor na data da sua publicação.
REGISTRE-SE, PUBLIQUE-SE E CUMPRA-SE.
GABINETE DA PRESIDÊNCIA DO TRIBUNAL DE JUSTIÇA DO ESTADO DO CEARÁ, em Fortaleza, aos 13 de dezembro de 2022.
Desembargadora Maria Nailde Pinheiro Nogueira
Presidente do Tribunal de Justiça do Estado do Ceará
ANEXO ÚNICO DA PORTARIA Nº 2644/2022
NORMA DE CORREIO ELETRÔNICO (NCE) – DIRETRIZES DE USO E GESTÃO DO CORREIO ELETRÔNICO NO ÂMBITO DO PODER JUDICÁRIO DO ESTADO DO CEARÁ
TÍTULO I
DO OBJETO E DA ABRANGÊNCIA DA NCE
Art. 1º A presente Norma de Correio Eletrônico (NCE) tem como objetivo definir as diretrizes de uso e gestão relacionadas ao correio eletrônico no âmbito do Poder Judiciário do Estado do Ceará.
Art. 2º A NCE aplica-se a todos os(as) usuários(as) e aos(às) colaboradores(as) do Poder Judiciário do Estado do Ceará.
TÍTULO II
DOS CONCEITOS UTILIZADOS NA NCE
Art. 3º Para efeitos deste ato normativo consideram-se:
I – usuário(a): magistrados(as) e servidores(as) ocupantes de cargo efetivo ou em comissão, requisitados(as) ou cedidos(as), desde que previamente autorizados(as), empregados(as) de empresas prestadoras de serviços terceirizados, conveniados(as), consultores(as), estagiários(as), e outras pessoas que se encontrem a serviço da Justiça Estadual, utilizando em caráter temporário os recursos tecnológicos do Poder Judiciário do Estado do Ceará;
II – servidor de correio eletrônico: equipamento que provê o serviço de envio e recebimento de mensagens de correio eletrônico;
III – correio eletrônico: meio de comunicação baseado no envio e recepção de mensagens, através de uma rede mundial de computadores;
IV – IMAP (Internet Message Access Protocol): protocolo de acesso a mensagens eletrônicas;
V – POP (Post Office Protocol): protocolo usado por clientes de correio eletrônico para manipulação de arquivos de mensagens em servidores de correio eletrônico;
VI – SMTP (Simple Mail Transfer Protocol): protocolo de comunicação usado para troca de mensagens na Internet, via correio eletrônico;
VII – postmaster: e-mail responsável pela manutenção de serviços de correio eletrônico em um servidor de correio ou domínio;
VIII – conta abuse: e-mail utilizado para reclamações de uso indevido dos recursos de rede;
IX – conta security: e-mail para contato com a administração de segurança da informação;
X – SPAM: qualquer mensagem, independentemente de seu conteúdo, enviada para vários(as) destinatários(as), sem que os mesmos a tenham solicitado;
XI – código malicioso: termo genérico que se refere a todos os tipos de programa especificamente desenvolvidos para executar ações danosas em recursos de Tecnologia da Informação, tais como vírus, cavalo de Troia, spyware, worms, bots, backdoors, keyloggers, rootkits, entre outros; e
XII – retenção: período de tempo em que o conteúdo da mídia de backup deve ser preservado.
TÍTULO III
DAS DIRETRIZES DA NCE
Seção I
Do uso do serviço de correio eletrônico
Art. 4° O serviço de correio eletrônico corporativo é uma concessão do Poder Judiciário do Estado do Ceará, e, portanto, seu uso é permitido somente para as atividades profissionais de seus(suas) usuários.
Seção II
Do acesso do serviço de correio eletrônico
Art. 5° O acesso ao correio eletrônico corporativo dar-se-á pelo conjunto “identificação do(a) usuário(a) e senha”.
Parágrafo único. O e-mail disponibilizado ao(à) usuário(a) é uma concessão intransferível e de sua responsabilidade.
Art. 6° A quantidade de envio de mensagens por destinatários(as) a outros(as) destinatários(as) ou grupos será limitada, cabendo à Secretaria de Tecnologia da Informação (SETIN) estabelecer tal limite, bem como acordar com as áreas de negócio as eventuais exceções, de acordo com os interesses da Administração.
Art. 7° Limites de armazenamento das caixas de Correio Eletrônico serão estabelecidos pela área de Tecnologia da Informação, considerando as necessidades dos processos de negócio que o serviço de Correio Eletrônico suporta e as limitações técnicas aplicáveis.
Art. 8° Apenas clients de e-mail suportados serão executados no TJCE, utilizando, idealmente, apenas a versão mais recente disponibilizada pelo fabricante.
Art. 9° Serão desinstalados ou desabilitados plug-ins ou aplicações add-on não autorizados para clients de e-mail.
Art. 10. Serão implementadas políticas e verificações com base no padrão Domain-based Message Authentication, Reporting and Conformance (DMARC), iniciando pela implementação dos padrões Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM).
Art. 11. Serão bloqueados todos os anexos de e-mail no gateway de correio eletrônico para os tipos de arquivos que sejam desnecessários ao negócio do TJCE.
Seção III
Das caixas das unidades, comissões e outras finalidades
Art. 12. O(a) gestor(a) de unidade ou o(a) presidente de comissão ou de grupo de trabalho poderá requerer a criação de caixa postal para tal finalidade informando, no mínimo, justificativa, período de existência e quem deverá ter acesso;
Art. 13. O(a) responsável pela caixa poderá, a qualquer tempo, solicitar a inclusão e a exclusão de usuários(as) quanto a acessar a caixa;
Art. 14. A SETIN manterá relatório na Intranet com as informações dos grupos de e-mails: nome do grupo e responsável.
Art. 15. A SETIN deverá manter um relatório com, no mínimo, as seguintes informações das caixas das unidades, comissões e outras finalidades:
I – identificação da caixa;
II – matrícula e nome do(a) responsável;
III – justificativa para criação; e
IV – matrículas e nomes dos(as) usuários(as) que possuem acesso.
Seção IV
Do registro e da gestão dos grupos de e-mails
Art. 16. Grupos de e-mails poderão ser criados e extintos quando solicitados por gestores(as) e ocupantes de cargos comissionados, obedecendo aos seguintes critérios:
I – justificativa;
II – finalidade; e
III – período de tempo de existência do grupo.
Art. 17. As inclusões/exclusões de usuários(as) no grupo poderão ser solicitadas à SETIN a qualquer tempo pelo(a) responsável pelo grupo.
Art. 18. A SETIN manterá relatório com as informações dos grupos de e-mails: nome do grupo e responsável.
Seção V
Das cópias de segurança e armazenamento (backups)
Art. 19. As cópias de segurança (backups) deverão ser realizadas de forma diária, semanal, mensal e anual, e deverão cobrir todas as possibilidades que permitam a restauração de uma caixa de correio.
Art. 20. Os backups serão programados para execução automática em horários de menor ou nenhuma utilização dos sistemas e da rede, preferencialmente de segunda a sexta, entre 19:30h e 6:00h, e aos sábados e domingos, em horário a ser definido pelo(a) administrador(a) do backup.
Art. 21. Os backups serão monitorados pelo(a) administrador(a) de backup.
Art. 22. Nos backups que apresentarem falhas, o(a) administrador(a) de backup elaborará “relatório de acompanhamento de backup”, no qual deverá constar a data, os horários de início e término, os objetos e os clientes de backup, a causa da falha, a ação corretiva adotada e qual parte do backup ficou comprometida.
Art. 23. Os backups diários, semanais, mensais e anuais serão realizados de forma a poder recuperar integralmente todas as informações, sem a necessidade de outros backups, da seguinte forma:
I – a cópia diária ocorrerá ao final de cada dia, referindo-se ao dia em que se encerra;
II – a cópia semanal ocorrerá aos sábados, referindo-se à semana que se encerra;
III – a cópia mensal ocorrerá na primeira sexta-feira de cada mês, referindo-se ao mês anterior; e
IV – a cópia anual ocorrerá na primeira sexta-feira do mês de janeiro, referindo-se ao ano anterior.
§ 1º Em caso de falha em algum procedimento de backup ou impossibilidade da sua execução, o(a) administrador(a) de backup deverá adotar as providências no sentido de salvaguardar as informações através de outro mecanismo, como, por exemplo, cópia dos dados para outro servidor, execução do backup em horário de produção, etc, sempre priorizando a segurança dos dados.
§ 2º O tempo de retenção obedecerá ao seguinte:
I – backup diário: 7 (sete) últimos dias;
II – backup semanal: 4 (quatro) últimas semanas;
III – backup mensal: 12 (doze) últimos meses; e
IV – backup anual: 5 (cinco) anos em fita;
§ 3º Na existência de tempo de retenção estabelecido em ato normativo diverso a esta norma, deverá ele ser informado à SETIN e à Comissão Permanente de Avaliação de Documentos pelo(a) gestor(a) do correio eletrônico, por meio de processo administrativo.
§ 4º Expirado o prazo de retenção dos dados armazenados, a mídia poderá ser reutilizada ou destruída, observando sempre seu estado de utilização e seu número de leitura/gravação.
§ 5º A fita não deverá ultrapassar 30 (trinta) anos de armazenamento, devendo ser copiada para outra mídia, destruída e descartada em lugar destinado pra tal, obedecendo às leis ambientais.
Seção VI
Do expurgo dos dados
Art. 24. Para cópias de segurança, os dados serão expurgados após o tempo de retenção definido conforme o § 2º do art. 23. desta NCE.
Art. 25. Para as contas de usuários(as) exonerados(as) e sem vínculos ativos, após 6 (seis) meses da desabilitação da conta, e para as contas de usuários(as) há mais de 12 (doze) meses sem uso deverão ser adotadas a seguintes providências:
I – realização de backup da caixa, a ser mantido por 5 (cinco) anos em fita;
II – preservação do histórico de acesso/envio da caixa; e
III – exclusão da caixa do servidor de e-mail.
Art. 26. Mensagens entregues nas caixas dos(as) usuários(as) e não lidas dentro de um período de 12 (doze) meses deverão ser expurgadas automaticamente da respectiva caixa.
Art. 27. Para caixas departamentais sem uso há mais de 6 (seis) meses, deverá ser realizada uma consulta ao(à) responsável a fim de que seja informado se ainda há necessidade de sua manutenção.
§ 1º Não havendo mais necessidade da caixa, deverão ser adotadas as seguintes providências:
I – realização de backup da caixa, a ser mantido por 5 (cinco) anos em fita;
II – preservação do histórico de acesso/envio da caixa; e
III – exclusão da caixa do servidor de e-mail.
§ 2º O(a) responsável pela caixa poderá, a qualquer tempo, solicitar a exclusão da caixa do servidor de e-mail, hipótese na qual deverá ser realizado um backup contendo caixa, dados, informações, histórico de acesso/envio e movimentação, bem como as informações de acesso/envio e movimentação de todos(as) os(as) usuários(as) que tinham acesso à caixa e as informações de solicitação de exclusão.
§ 3º O backup mencionado no parágrafo anterior deverá ser mantido por 5 (cinco) anos em fita.
Art. 28. Não será permitido à SETIN redirecionar conteúdo, no todo ou em parte, de e-mail institucional para e-mail particular.
Art. 29. É vedado a leitura de e-mail por terceiros, salvo se autorizado pela Presidência do TJCE ou pelo(a) coordenador(a) do CGSICC.
Art. 30. Todas as caixas de correio eletrônico deverão ser protegidas contra ações de códigos maliciosos e SPAM.
Seção VII
Dos eventos, da auditoria e do monitoramento do correio eletrônico no servidor in loco ou na nuvem
Art. 31. A auditoria e o monitoramento do correio eletrônico no servidor in loco ou na nuvem devem ser configurados de forma a registrar todos os eventos relevantes de segurança da informação, tais como:
I – autenticação, tanto as bem-sucedidas quanto as malsucedidas;
II – acesso a recursos e dados privilegiados; e
III – acesso e alteração nos registros de auditoria.
Art. 32. Os registros dos eventos previstos no artigo anterior devem incluir as seguintes informações:
I – identificação inequívoca do(a) usuário(a) que acessou o recurso;
II – natureza do evento, como, por exemplo, sucesso ou falha de autenticação, caixa postal acessada, etc;
III – data, hora e fuso horário, que devem estar ajustados por meio de mecanismos de sincronização de tempo, de forma a garantir que as configurações do relógio interno estejam sincronizadas com a “Hora Legal Brasileira (HLB)”, de acordo com o serviço oferecido e assegurado pelo Observatório Nacional (ON);
IV – endereço IP (Internet Protocol), porta de origem da conexão, identificador do ativo de informação, coordenadas geográficas, se disponíveis, e outras informações que possam identificar a possível origem do evento; e
V – quando o tipo de serviço de e-mail adotado pelo TJCE não permitir os registros dos eventos acima listados, mapeamento e documentação quanto ao tipo e formato de registros de auditoria permitidos e armazenados..
Art. 33. As caixas postais, os grupos de e-mails e o servidor de correio eletrônico serão monitorados, registrando-se, minimamente, os seguintes eventos de segurança, sem prejuízo de outros considerados relevantes:
I – utilização de usuários(as), perfis e grupos privilegiados;
II – inicialização, suspensão e reinicialização de serviços;
III – acoplamento e desacoplamento de dispositivos de hardware, com especial atenção para mídias removíveis;
IV – modificações da lista de membros de grupos privilegiados;
V – modificações de política de senhas, como, por exemplo, tamanho, expiração, bloqueio automático após exceder determinado número de tentativas de autenticação, histórico, etc.;
VI – acesso ou modificação de arquivos ou sistemas considerados críticos; e
VII – eventos obtidos por meio de quaisquer mecanismos de segurança existentes.
Art. 35. Havendo indícios de que mensagens veiculadas pelo correio eletrônico possam ocasionar quebra de segurança ou violação de quaisquer das vedações constantes deste ou de outro ato normativo, a área de Tecnologia da Informação responsável pela administração do serviço adotará, imediatamente, medidas para a apuração dessas irregularidades.
Art. 36. A disponibilização do correio eletrônico poderá ser suspensa a qualquer momento por decisão, desde que devidamente justificada, da chefia imediata ou hierarquicamente superior, cabendo também à área de Tecnologia da Informação, quando motivado por eventos que ameacem a segurança dos ativos tecnológicos.
Art. 37. Os anexos das mensagens de correio eletrônico poderão ser bloqueados quando oferecerem riscos à segurança da informação.
TÍTULO IV
DOS DEVERES
Art. 38. São deveres dos(as) usuários(as) e dos(as) colaboradores(as):
I – abster-se de enviar mensagens não autorizadas que contenham informações sigilosas e/ou de propriedade do Poder Judiciário do Estado do Ceará;
II – abster-se de utilizar o e-mail institucional para assuntos pessoais;
III – adotar o hábito de leitura diária dos e-mails recebidos;
IV – enviar e-mails apenas para destinatários(as) que realmente necessitem da informação;
V – abster-se de enviar, armazenar e/ou manusear material:
a) que caracterize divulgação, incentivo ou prática de atos ilícitos e/ou proibidos, seja em virtude de lei ou por força desta NCE;
b) que caracterize atos lesivos aos direitos e/ou aos interesses do Poder Judiciário cearense ou aos de terceiros;
c) que caracterize exercício de atividade com fins comerciais;
d) que caracterize uso extensivo para assuntos pessoais ou privados; ou
e) que possa danificar, inutilizar, sobrecarregar ou deteriorar recursos tecnológicos, documentos ou arquivos de qualquer tipo, seja do(a) próprio(a) usuário(a) seja de terceiros;
VI – abster-se de usar contas particulares, através dos serviços Post Office Protocol (POP), Internet Message Access Protocol (IMAP) e Simple Mail Transfer Protocol (SMTP), de provedores não pertinentes ao domínio “tjce.jus.br”; e
VI – abster-se de enviar ou arquivar mensagens não relacionadas às atividades profissionais, especialmente aquelas que contenham:
a) assuntos que provoquem assédio, perturbação a outras pessoas ou que prejudiquem a imagem da organização;
b) temas difamatórios, discriminatórios, ilegais ou antiéticos; ou
c) fotos, imagens, sons, vídeos ou quaisquer outros conteúdos obscenos ou que não tenham relação com as atividades profissionais da organização.
VII – avaliar a abertura de mensagens de remetentes desconhecidos(as), externos(as) a este Poder, especialmente quando houver dúvidas quanto à natureza do seu conteúdo, tais como arquivos anexados não esperados ou hiperlinks para endereços externos não relacionados às atividades profissionais; e
VIII – abster-se de suprimir, modificar ou substituir a identidade do(a) remetente de uma mensagem do correio eletrônico.
Art. 39. É dever dos(as) gestores(as) de pessoas e/ou processos comunicar à SETIN todas as movimentações que implique em mudança de identificação de e-mail de usuário(a) ou unidade sob sua gestão, bem como, comunicar o desligamento/ exoneração de um(a) usuário(a) sob sua gestão.
Art. 40. São deveres dos(as) custodiantes da informação da Área de Tecnologia da Informação:
I – conceder, suspender e revogar os acessos ao serviço de correio eletrônico;
II – administrar as funcionalidades e a segurança do serviço de correio eletrônico;
III – verificar, periodicamente, a conta postmaster para detectar eventuais problemas que possam ocorrer no servidor e na entrega de e-mail dos(as) usuários(as);
IV – criação das contas “security” e “abuse” nos servidores de domínio;
V – implementar o papel de moderador nas listas com o objetivo de evitar SPAMS;
VI – configurar o servidor de correio eletrônico para enviar e-mail só após a autenticação do(a) usuário(a), utilizando configurações do tipo “smtp auth”, “smtp after pop”, etc.;
VII – implementar medidas para filtragem de códigos maliciosos no sistema de correio eletrônico;
VIII – implementar medidas para filtragem de SPAMS e e-mails indesejados (correntes, mensagens pornográficas, propaganda, etc.) no sistema de correio eletrônico;
IX – monitorar o funcionamento do servidor de correio eletrônico, em termos de número de conexões, número de mensagens enviadas e recebidas, número de mensagens bloqueadas, banda consumida na rede, etc.;
X – garantir que apenas clientes de e-mail suportados possam ser executados no TJCE, idealmente utilizando apenas a versão mais recente disponibilizada pelo fabricante;
XI – desinstalar ou desabilitar plug-ins ou aplicações add-on não autorizados para clientes de e-mail;
XII – utilizar, em todos os sistemas da organização, dentro do espaço físico da organização ou não, filtros de URL baseados em rede, de forma a limitar a possibilidade de sistemas (correio eletrônico) se conectarem a websites não aprovados pela organização;
XIII – realizar registros de log de todas as requisições a URLs a partir do correio eletrônico do TJCE, quer nas dependências corporativas, quer em dispositivos móveis, de forma a identificar potenciais atividades maliciosas e auxiliar operadores(as) de incidentes com a identificação de sistemas potencialmente comprometidos;
XIV – utilizar serviços de filtragem de DNS para auxiliar no bloqueio de acessos a domínios maliciosos;
XV – implementar políticas e verificações com base no padrão Domain-based Message Authentication, Reporting and Conformance (DMARC), iniciando pela implementação dos padrões Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM); e
XVI – bloquear todos os anexos de e-mail no gateway de correio eletrônico para os tipos de arquivos que sejam desnecessários ao negócio da organização;
XVII – monitorar diariamente o ambiente com o objetivo de garantir o funcionamento do serviço de correio eletrônico e cumprimento deste normativo;
XVIII – realizar auditoria periodicamente ou quando solicitado pela área de Segurança da Informação;
XIX – definir padrão de identidade que contemple os critérios para padronização de conta de e-mail.
Art. 41. São deveres dos(as) custodiantes da informação do Serviço de Segurança da Informação:
I – promover divulgação das regras constantes deste documento;
II – realizar/acompanhar auditorias quanto ao cumprimento deste normativo; e
III – reportar ao CGSICC as ameaças a este normativo.
Art. 42. São deveres dos(as) custodiantes da informação do CGSICC:
I- Adotar medidas quanto ao descumprimento deste NCE.
TÍTULO V
DA RESPONSABILIDADE PELO NÃO CUMPRIMENTO DOS DEVERES
Art. 43. O(A) usuário(a) é responsável, nas suas mais diversas formas de acesso, inclusive por meio de dispositivos móveis, pelo uso adequado dos serviços e dos recursos de correio eletrônico a ele(a) disponibilizados, em consonância com esta NCE.
Parágrafo único. Uma vez que o(a) usuário(a) é responsável por qualquer atividade a partir de sua conta, responderá ele(a) por qualquer ação judicial apresentada ao Poder Judiciário do Estado do Ceará que envolva a sua conta, incluindo seu uso por terceiros.
Art. 44. No caso de evidências de uso irregular dos recursos de correio eletrônico, o Serviço de Segurança da Informação solicitará o bloqueio da caixa de correio do(a) usuário(a) para averiguação.
§ 1º O(A) usuário(a) infrator(a) deverá ser notificado(a) acerca do bloqueio, e a ocorrência de transgressão deverá ser comunicada a seu(sua) gestor(a) imediato(a) e à diretoria correspondente, via processo administrativo.
§ 2º O acesso somente será restabelecido mediante apuração e solicitação da gestão imediata, a qual informará que tomou conhecimento da violação das normas de segurança.
§ 3º Em caso de reincidência do(a) usuário(a) no período de 12 (doze) meses, o fato deverá ser comunicado, por meio de processo administrativo, ao CGSICC, que tomará as medidas que julgar necessárias (solicitação de abertura de sindicância ou de processo administrativo disciplinar, comunicação ao Ministério Público, etc.).
Texto Original
Dispõe sobre as diretrizes de uso e gestão do correio eletrônico no âmbito do Poder Judiciário do Estado do Ceará.
A PRESIDENTE DO TRIBUNAL DE JUSTIÇA DO ESTADO DO CEARÁ (TJCE), no uso de suas atribuições legais e regimentais,
CONSIDERANDO os termos da Resolução do Conselho Nacional de Justiça (CNJ) nº 370/2021, que instituiu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD) e estabeleceu as diretrizes para sua governança, gestão e infraestrutura;
CONSIDERANDO os termos da Resolução do CNJ nº 396/2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);
CONSIDERANDO os termos da Resolução do Órgão Especial do TJCE nº 25/2016 (DJe 02/09/2016), que regulamenta a Política de Segurança da Informação no âmbito do Poder Judiciário do Estado do Ceará;
CONSIDERANDO os termos da Portaria do CNJ nº 162/2021, que aprovou protocolos e manuais criados pela Resolução do CNJ nº 396/2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ); e
CONSIDERANDO as boas práticas de Governança de Tecnologia da Informação que visam a garantir a disponibilidade e a integridade de sistemas, aplicativos, dados e documentos digitais do Poder Judiciário do Estado do Ceará;
RESOLVE:
Art. 1º Definir as diretrizes de uso e gestão relacionadas ao correio eletrônico no âmbito do Poder Judiciário do Estado do Ceará, na forma do Anexo Único desta Portaria.
Art. 2º A Secretaria de Tecnologia da Informação (SETIN) deverá informar ao Comitê de Governança de Segurança da Informação e de Crises Cibernéticas (CGSICC), em até 30 (trinta) dias após publicação deste normativo, o tempo necessário para adequar-se as normas nele descritas.
Art. 3º Os casos não previstos deverão ser apreciados pelo CGSICC.
Art. 4° Esta Portaria revoga o Anexo II (“Norma de Uso de Correio Eletrônico”) da Portaria do TJCE nº 1186/2018 (DJe 25/06/2018, republicada por incorreção no DJe 28/06/2018).
Art. 5º Esta Portaria entra em vigor na data da sua publicação.
REGISTRE-SE, PUBLIQUE-SE E CUMPRA-SE.
GABINETE DA PRESIDÊNCIA DO TRIBUNAL DE JUSTIÇA DO ESTADO DO CEARÁ, em Fortaleza, aos 13 de dezembro de 2022.
Desembargadora Maria Nailde Pinheiro Nogueira
Presidente do Tribunal de Justiça do Estado do Ceará
ANEXO ÚNICO DA PORTARIA Nº 2644/2022
NORMA DE CORREIO ELETRÔNICO (NCE) – DIRETRIZES DE USO E GESTÃO DO CORREIO ELETRÔNICO NO ÂMBITO DO PODER JUDICÁRIO DO ESTADO DO CEARÁ
TÍTULO I
DO OBJETO E DA ABRANGÊNCIA DA NCE
Art. 1º A presente Norma de Correio Eletrônico (NCE) tem como objetivo definir as diretrizes de uso e gestão relacionadas ao correio eletrônico no âmbito do Poder Judiciário do Estado do Ceará.
Art. 2º A NCE aplica-se a todos os(as) usuários(as) e aos(às) colaboradores(as) do Poder Judiciário do Estado do Ceará.
TÍTULO II
DOS CONCEITOS UTILIZADOS NA NCE
Art. 3º Para efeitos deste ato normativo consideram-se:
I - usuário(a): magistrados(as) e servidores(as) ocupantes de cargo efetivo ou em comissão, requisitados(as) ou cedidos(as), desde que previamente autorizados(as), empregados(as) de empresas prestadoras de serviços terceirizados, conveniados(as), consultores(as), estagiários(as), e outras pessoas que se encontrem a serviço da Justiça Estadual, utilizando em caráter temporário os recursos tecnológicos do Poder Judiciário do Estado do Ceará;
II - servidor de correio eletrônico: equipamento que provê o serviço de envio e recebimento de mensagens de correio eletrônico;
III - correio eletrônico: meio de comunicação baseado no envio e recepção de mensagens, através de uma rede mundial de computadores;
IV - IMAP (Internet Message Access Protocol): protocolo de acesso a mensagens eletrônicas;
V - POP (Post Office Protocol): protocolo usado por clientes de correio eletrônico para manipulação de arquivos de mensagens em servidores de correio eletrônico;
VI - SMTP (Simple Mail Transfer Protocol): protocolo de comunicação usado para troca de mensagens na Internet, via correio eletrônico;
VII - postmaster: e-mail responsável pela manutenção de serviços de correio eletrônico em um servidor de correio ou domínio;
VIII - conta abuse: e-mail utilizado para reclamações de uso indevido dos recursos de rede;
IX - conta security: e-mail para contato com a administração de segurança da informação;
X - SPAM: qualquer mensagem, independentemente de seu conteúdo, enviada para vários(as) destinatários(as), sem que os mesmos a tenham solicitado;
XI - código malicioso: termo genérico que se refere a todos os tipos de programa especificamente desenvolvidos para executar ações danosas em recursos de Tecnologia da Informação, tais como vírus, cavalo de Troia, spyware, worms, bots, backdoors, keyloggers, rootkits, entre outros; e
XII - retenção: período de tempo em que o conteúdo da mídia de backup deve ser preservado.
TÍTULO III
DAS DIRETRIZES DA NCE
Seção I
Do uso do serviço de correio eletrônico
Art. 4° O serviço de correio eletrônico corporativo é uma concessão do Poder Judiciário do Estado do Ceará, e, portanto, seu uso é permitido somente para as atividades profissionais de seus(suas) usuários.
Seção II
Do acesso do serviço de correio eletrônico
Art. 5° O acesso ao correio eletrônico corporativo dar-se-á pelo conjunto “identificação do(a) usuário(a) e senha”.
Parágrafo único. O e-mail disponibilizado ao(à) usuário(a) é uma concessão intransferível e de sua responsabilidade.
Art. 6° A quantidade de envio de mensagens por destinatários(as) a outros(as) destinatários(as) ou grupos será limitada, cabendo à Secretaria de Tecnologia da Informação (SETIN) estabelecer tal limite, bem como acordar com as áreas de negócio as eventuais exceções, de acordo com os interesses da Administração.
Art. 7° Limites de armazenamento das caixas de Correio Eletrônico serão estabelecidos pela área de Tecnologia da Informação, considerando as necessidades dos processos de negócio que o serviço de Correio Eletrônico suporta e as limitações técnicas aplicáveis.
Art. 8° Apenas clients de e-mail suportados serão executados no TJCE, utilizando, idealmente, apenas a versão mais recente disponibilizada pelo fabricante.
Art. 9° Serão desinstalados ou desabilitados plug-ins ou aplicações add-on não autorizados para clients de e-mail.
Art. 10. Serão implementadas políticas e verificações com base no padrão Domain-based Message Authentication, Reporting and Conformance (DMARC), iniciando pela implementação dos padrões Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM).
Art. 11. Serão bloqueados todos os anexos de e-mail no gateway de correio eletrônico para os tipos de arquivos que sejam desnecessários ao negócio do TJCE.
Seção III
Das caixas das unidades, comissões e outras finalidades
Art. 12. O(a) gestor(a) de unidade ou o(a) presidente de comissão ou de grupo de trabalho poderá requerer a criação de caixa postal para tal finalidade informando, no mínimo, justificativa, período de existência e quem deverá ter acesso;
Art. 13. O(a) responsável pela caixa poderá, a qualquer tempo, solicitar a inclusão e a exclusão de usuários(as) quanto a acessar a caixa;
Art. 14. A SETIN manterá relatório na Intranet com as informações dos grupos de e-mails: nome do grupo e responsável.
Art. 15. A SETIN deverá manter um relatório com, no mínimo, as seguintes informações das caixas das unidades, comissões e outras finalidades:
I - identificação da caixa;
II - matrícula e nome do(a) responsável;
III - justificativa para criação; e
IV - matrículas e nomes dos(as) usuários(as) que possuem acesso.
Seção IV
Do registro e da gestão dos grupos de e-mails
Art. 16. Grupos de e-mails poderão ser criados e extintos quando solicitados por gestores(as) e ocupantes de cargos comissionados, obedecendo aos seguintes critérios:
I - justificativa;
II – finalidade; e
III - período de tempo de existência do grupo.
Art. 17. As inclusões/exclusões de usuários(as) no grupo poderão ser solicitadas à SETIN a qualquer tempo pelo(a) responsável pelo grupo.
Art. 18. A SETIN manterá relatório com as informações dos grupos de e-mails: nome do grupo e responsável.
Seção V
Das cópias de segurança e armazenamento (backups)
Art. 19. As cópias de segurança (backups) deverão ser realizadas de forma diária, semanal, mensal e anual, e deverão cobrir todas as possibilidades que permitam a restauração de uma caixa de correio.
Art. 20. Os backups serão programados para execução automática em horários de menor ou nenhuma utilização dos sistemas e da rede, preferencialmente de segunda a sexta, entre 19:30h e 6:00h, e aos sábados e domingos, em horário a ser definido pelo(a) administrador(a) do backup.
Art. 21. Os backups serão monitorados pelo(a) administrador(a) de backup.
Art. 22. Nos backups que apresentarem falhas, o(a) administrador(a) de backup elaborará “relatório de acompanhamento de backup”, no qual deverá constar a data, os horários de início e término, os objetos e os clientes de backup, a causa da falha, a ação corretiva adotada e qual parte do backup ficou comprometida.
Art. 23. Os backups diários, semanais, mensais e anuais serão realizados de forma a poder recuperar integralmente todas as informações, sem a necessidade de outros backups, da seguinte forma:
I - a cópia diária ocorrerá ao final de cada dia, referindo-se ao dia em que se encerra;
II - a cópia semanal ocorrerá aos sábados, referindo-se à semana que se encerra;
III - a cópia mensal ocorrerá na primeira sexta-feira de cada mês, referindo-se ao mês anterior; e
IV - a cópia anual ocorrerá na primeira sexta-feira do mês de janeiro, referindo-se ao ano anterior.
§ 1º Em caso de falha em algum procedimento de backup ou impossibilidade da sua execução, o(a) administrador(a) de backup deverá adotar as providências no sentido de salvaguardar as informações através de outro mecanismo, como, por exemplo, cópia dos dados para outro servidor, execução do backup em horário de produção, etc, sempre priorizando a segurança dos dados.
§ 2º O tempo de retenção obedecerá ao seguinte:
I - backup diário: 7 (sete) últimos dias;
II - backup semanal: 4 (quatro) últimas semanas;
III - backup mensal: 12 (doze) últimos meses; e
IV - backup anual: 5 (cinco) anos em fita;
§ 3º Na existência de tempo de retenção estabelecido em ato normativo diverso a esta norma, deverá ele ser informado à SETIN e à Comissão Permanente de Avaliação de Documentos pelo(a) gestor(a) do correio eletrônico, por meio de processo administrativo.
§ 4º Expirado o prazo de retenção dos dados armazenados, a mídia poderá ser reutilizada ou destruída, observando sempre seu estado de utilização e seu número de leitura/gravação.
§ 5º A fita não deverá ultrapassar 30 (trinta) anos de armazenamento, devendo ser copiada para outra mídia, destruída e descartada em lugar destinado pra tal, obedecendo às leis ambientais.
Seção VI
Do expurgo dos dados
Art. 24. Para cópias de segurança, os dados serão expurgados após o tempo de retenção definido conforme o § 2º do art. 23. desta NCE.
Art. 25. Para as contas de usuários(as) exonerados(as) e sem vínculos ativos, após 6 (seis) meses da desabilitação da conta, e para as contas de usuários(as) há mais de 12 (doze) meses sem uso deverão ser adotadas a seguintes providências:
I - realização de backup da caixa, a ser mantido por 5 (cinco) anos em fita;
II - preservação do histórico de acesso/envio da caixa; e
III - exclusão da caixa do servidor de e-mail.
Art. 26. Mensagens entregues nas caixas dos(as) usuários(as) e não lidas dentro de um período de 12 (doze) meses deverão ser expurgadas automaticamente da respectiva caixa.
Art. 27. Para caixas departamentais sem uso há mais de 6 (seis) meses, deverá ser realizada uma consulta ao(à) responsável a fim de que seja informado se ainda há necessidade de sua manutenção.
§ 1º Não havendo mais necessidade da caixa, deverão ser adotadas as seguintes providências:
I - realização de backup da caixa, a ser mantido por 5 (cinco) anos em fita;
II - preservação do histórico de acesso/envio da caixa; e
III - exclusão da caixa do servidor de e-mail.
§ 2º O(a) responsável pela caixa poderá, a qualquer tempo, solicitar a exclusão da caixa do servidor de e-mail, hipótese na qual deverá ser realizado um backup contendo caixa, dados, informações, histórico de acesso/envio e movimentação, bem como as informações de acesso/envio e movimentação de todos(as) os(as) usuários(as) que tinham acesso à caixa e as informações de solicitação de exclusão.
§ 3º O backup mencionado no parágrafo anterior deverá ser mantido por 5 (cinco) anos em fita.
Art. 28. Não será permitido à SETIN redirecionar conteúdo, no todo ou em parte, de e-mail institucional para e-mail particular.
Art. 29. É vedado a leitura de e-mail por terceiros, salvo se autorizado pela Presidência do TJCE ou pelo(a) coordenador(a) do CGSICC.
Art. 30. Todas as caixas de correio eletrônico deverão ser protegidas contra ações de códigos maliciosos e SPAM.
Seção VII
Dos eventos, da auditoria e do monitoramento do correio eletrônico no servidor in loco ou na nuvem
Art. 31. A auditoria e o monitoramento do correio eletrônico no servidor in loco ou na nuvem devem ser configurados de forma a registrar todos os eventos relevantes de segurança da informação, tais como:
I - autenticação, tanto as bem-sucedidas quanto as malsucedidas;
II - acesso a recursos e dados privilegiados; e
III - acesso e alteração nos registros de auditoria.
Art. 32. Os registros dos eventos previstos no artigo anterior devem incluir as seguintes informações:
I - identificação inequívoca do(a) usuário(a) que acessou o recurso;
II - natureza do evento, como, por exemplo, sucesso ou falha de autenticação, caixa postal acessada, etc;
III - data, hora e fuso horário, que devem estar ajustados por meio de mecanismos de sincronização de tempo, de forma a garantir que as configurações do relógio interno estejam sincronizadas com a “Hora Legal Brasileira (HLB)”, de acordo com o serviço oferecido e assegurado pelo Observatório Nacional (ON);
IV - endereço IP (Internet Protocol), porta de origem da conexão, identificador do ativo de informação, coordenadas geográficas, se disponíveis, e outras informações que possam identificar a possível origem do evento; e
V - quando o tipo de serviço de e-mail adotado pelo TJCE não permitir os registros dos eventos acima listados, mapeamento e documentação quanto ao tipo e formato de registros de auditoria permitidos e armazenados..
Art. 33. As caixas postais, os grupos de e-mails e o servidor de correio eletrônico serão monitorados, registrando-se, minimamente, os seguintes eventos de segurança, sem prejuízo de outros considerados relevantes:
I - utilização de usuários(as), perfis e grupos privilegiados;
II - inicialização, suspensão e reinicialização de serviços;
III - acoplamento e desacoplamento de dispositivos de hardware, com especial atenção para mídias removíveis;
IV - modificações da lista de membros de grupos privilegiados;
V - modificações de política de senhas, como, por exemplo, tamanho, expiração, bloqueio automático após exceder determinado número de tentativas de autenticação, histórico, etc.;
VI - acesso ou modificação de arquivos ou sistemas considerados críticos; e
VII - eventos obtidos por meio de quaisquer mecanismos de segurança existentes.
Art. 35. Havendo indícios de que mensagens veiculadas pelo correio eletrônico possam ocasionar quebra de segurança ou violação de quaisquer das vedações constantes deste ou de outro ato normativo, a área de Tecnologia da Informação responsável pela administração do serviço adotará, imediatamente, medidas para a apuração dessas irregularidades.
Art. 36. A disponibilização do correio eletrônico poderá ser suspensa a qualquer momento por decisão, desde que devidamente justificada, da chefia imediata ou hierarquicamente superior, cabendo também à área de Tecnologia da Informação, quando motivado por eventos que ameacem a segurança dos ativos tecnológicos.
Art. 37. Os anexos das mensagens de correio eletrônico poderão ser bloqueados quando oferecerem riscos à segurança da informação.
TÍTULO IV
DOS DEVERES
Art. 38. São deveres dos(as) usuários(as) e dos(as) colaboradores(as):
I - abster-se de enviar mensagens não autorizadas que contenham informações sigilosas e/ou de propriedade do Poder Judiciário do Estado do Ceará;
II - abster-se de utilizar o e-mail institucional para assuntos pessoais;
III - adotar o hábito de leitura diária dos e-mails recebidos;
IV - enviar e-mails apenas para destinatários(as) que realmente necessitem da informação;
V - abster-se de enviar, armazenar e/ou manusear material:
a) que caracterize divulgação, incentivo ou prática de atos ilícitos e/ou proibidos, seja em virtude de lei ou por força desta NCE;
b) que caracterize atos lesivos aos direitos e/ou aos interesses do Poder Judiciário cearense ou aos de terceiros;
c) que caracterize exercício de atividade com fins comerciais;
d) que caracterize uso extensivo para assuntos pessoais ou privados; ou
e) que possa danificar, inutilizar, sobrecarregar ou deteriorar recursos tecnológicos, documentos ou arquivos de qualquer tipo, seja do(a) próprio(a) usuário(a) seja de terceiros;
VI - abster-se de usar contas particulares, através dos serviços Post Office Protocol (POP), Internet Message Access Protocol (IMAP) e Simple Mail Transfer Protocol (SMTP), de provedores não pertinentes ao domínio “tjce.jus.br”; e
VI - abster-se de enviar ou arquivar mensagens não relacionadas às atividades profissionais, especialmente aquelas que contenham:
a) assuntos que provoquem assédio, perturbação a outras pessoas ou que prejudiquem a imagem da organização;
b) temas difamatórios, discriminatórios, ilegais ou antiéticos; ou
c) fotos, imagens, sons, vídeos ou quaisquer outros conteúdos obscenos ou que não tenham relação com as atividades profissionais da organização.
VII - avaliar a abertura de mensagens de remetentes desconhecidos(as), externos(as) a este Poder, especialmente quando houver dúvidas quanto à natureza do seu conteúdo, tais como arquivos anexados não esperados ou hiperlinks para endereços externos não relacionados às atividades profissionais; e
VIII - abster-se de suprimir, modificar ou substituir a identidade do(a) remetente de uma mensagem do correio eletrônico.
Art. 39. É dever dos(as) gestores(as) de pessoas e/ou processos comunicar à SETIN todas as movimentações que implique em mudança de identificação de e-mail de usuário(a) ou unidade sob sua gestão, bem como, comunicar o desligamento/ exoneração de um(a) usuário(a) sob sua gestão.
Art. 40. São deveres dos(as) custodiantes da informação da Área de Tecnologia da Informação:
I - conceder, suspender e revogar os acessos ao serviço de correio eletrônico;
II - administrar as funcionalidades e a segurança do serviço de correio eletrônico;
III - verificar, periodicamente, a conta postmaster para detectar eventuais problemas que possam ocorrer no servidor e na entrega de e-mail dos(as) usuários(as);
IV - criação das contas “security” e “abuse” nos servidores de domínio;
V - implementar o papel de moderador nas listas com o objetivo de evitar SPAMS;
VI - configurar o servidor de correio eletrônico para enviar e-mail só após a autenticação do(a) usuário(a), utilizando configurações do tipo “smtp auth”, “smtp after pop”, etc.;
VII - implementar medidas para filtragem de códigos maliciosos no sistema de correio eletrônico;
VIII - implementar medidas para filtragem de SPAMS e e-mails indesejados (correntes, mensagens pornográficas, propaganda, etc.) no sistema de correio eletrônico;
IX - monitorar o funcionamento do servidor de correio eletrônico, em termos de número de conexões, número de mensagens enviadas e recebidas, número de mensagens bloqueadas, banda consumida na rede, etc.;
X - garantir que apenas clientes de e-mail suportados possam ser executados no TJCE, idealmente utilizando apenas a versão mais recente disponibilizada pelo fabricante;
XI - desinstalar ou desabilitar plug-ins ou aplicações add-on não autorizados para clientes de e-mail;
XII - utilizar, em todos os sistemas da organização, dentro do espaço físico da organização ou não, filtros de URL baseados em rede, de forma a limitar a possibilidade de sistemas (correio eletrônico) se conectarem a websites não aprovados pela organização;
XIII - realizar registros de log de todas as requisições a URLs a partir do correio eletrônico do TJCE, quer nas dependências corporativas, quer em dispositivos móveis, de forma a identificar potenciais atividades maliciosas e auxiliar operadores(as) de incidentes com a identificação de sistemas potencialmente comprometidos;
XIV - utilizar serviços de filtragem de DNS para auxiliar no bloqueio de acessos a domínios maliciosos;
XV - implementar políticas e verificações com base no padrão Domain-based Message Authentication, Reporting and Conformance (DMARC), iniciando pela implementação dos padrões Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM); e
XVI - bloquear todos os anexos de e-mail no gateway de correio eletrônico para os tipos de arquivos que sejam desnecessários ao negócio da organização;
XVII - monitorar diariamente o ambiente com o objetivo de garantir o funcionamento do serviço de correio eletrônico e cumprimento deste normativo;
XVIII - realizar auditoria periodicamente ou quando solicitado pela área de Segurança da Informação;
XIX - definir padrão de identidade que contemple os critérios para padronização de conta de e-mail.
Art. 41. São deveres dos(as) custodiantes da informação do Serviço de Segurança da Informação:
I - promover divulgação das regras constantes deste documento;
II - realizar/acompanhar auditorias quanto ao cumprimento deste normativo; e
III - reportar ao CGSICC as ameaças a este normativo.
Art. 42. São deveres dos(as) custodiantes da informação do CGSICC:
I- Adotar medidas quanto ao descumprimento deste NCE.
TÍTULO V
DA RESPONSABILIDADE PELO NÃO CUMPRIMENTO DOS DEVERES
Art. 43. O(A) usuário(a) é responsável, nas suas mais diversas formas de acesso, inclusive por meio de dispositivos móveis, pelo uso adequado dos serviços e dos recursos de correio eletrônico a ele(a) disponibilizados, em consonância com esta NCE.
Parágrafo único. Uma vez que o(a) usuário(a) é responsável por qualquer atividade a partir de sua conta, responderá ele(a) por qualquer ação judicial apresentada ao Poder Judiciário do Estado do Ceará que envolva a sua conta, incluindo seu uso por terceiros.
Art. 44. No caso de evidências de uso irregular dos recursos de correio eletrônico, o Serviço de Segurança da Informação solicitará o bloqueio da caixa de correio do(a) usuário(a) para averiguação.
§ 1º O(A) usuário(a) infrator(a) deverá ser notificado(a) acerca do bloqueio, e a ocorrência de transgressão deverá ser comunicada a seu(sua) gestor(a) imediato(a) e à diretoria correspondente, via processo administrativo.
§ 2º O acesso somente será restabelecido mediante apuração e solicitação da gestão imediata, a qual informará que tomou conhecimento da violação das normas de segurança.
§ 3º Em caso de reincidência do(a) usuário(a) no período de 12 (doze) meses, o fato deverá ser comunicado, por meio de processo administrativo, ao CGSICC, que tomará as medidas que julgar necessárias (solicitação de abertura de sindicância ou de processo administrativo disciplinar, comunicação ao Ministério Público, etc.).