Resolução 360 (CNJ)/2020
Outros
17/12/2020
DE CNJ, n. 397, p. 3-4. Data de disponibilização: 17/12/2020. Data de publicação: 1º dia útil seguinte ao da disponibilização no Diário da Justiça eletrônico (Lei 11419/2006).
Determina a adoção do Protocolo de Gerenciamento de Crises Cibernéticas no âmbito do Poder Judiciário (PGCC/PJ).
RESOLUÇÃO N. 360, DE 17 NOVEMBRO DE 2020
Determina a adoção do Protocolo de Gerenciamento de Crises Cibernéticas no âmbito do Poder Judiciário (PGCC/PJ).
O PRESIDENTE DO CONSELHO NACIONAL DE JUSTIÇA (CNJ), no uso de suas atribuições legais e regimentais,
CONSIDERANDO competir ao CNJ a atribuição de coordenar o planejamento e a gestão estratégica de Tecnologia da Informação e Comunicação (TIC) do Poder Judiciário;
CONSIDERANDO que é imprescindível garantir a segurança cibernética do ecossistema digital do Poder Judiciário brasileiro;
CONSIDERANDO o número crescente de incidentes cibernéticos no ambiente da rede mundial de computadores e a necessidade de processos de trabalho orientados para a boa gestão da segurança da informação;
CONSIDERANDO os termos da Resolução CNJ no 211/2015, que instituiu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD), e estabeleceu as diretrizes para sua governança, gestão e infraestrutura;
CONSIDERANDO a importância de se estabelecer objetivos, princípios e diretrizes de Segurança da Informação alinhados às recomendações constantes da norma NBR ISO/IEC 27001:2013, que trata da segurança da informação;
CONSIDERANDO a importância de se estabelecer objetivos, princípios e diretrizes de Gestão de Riscos de Segurança da Informação alinhados às recomendações constantes da norma NBR ISO/IEC 27005:2019, que trata da gestão de riscos segurança da informação;
CONSIDERANDO a necessidade de se garantir o cumprimento da Lei Federal no 12.527/2011 (Lei de Acesso à Informação), bem como, no âmbito do Poder Judiciário, da Resolução CNJ no 215/2015, normas que disciplinam o direito a receber dos órgãos públicos
informações de seu interesse particular, ou de interesse coletivo ou geral;
CONSIDERANDO o que dispõe a Lei Federal no 13.709/2018, com a redação dada pela Lei Federal no 13.853/2019, sobre a proteção de dados pessoais, que altera a Lei no 12.965/2014 (Marco Civil da Internet);
CONSIDERANDO o disposto na Resolução CNJ no 176/2013, que institui o Sistema Nacional de Segurança do Poder
Judiciário;
CONSIDERANDO o disposto na Portaria CNJ no 242/2020, que instituiu o Comitê de Segurança Cibernética do Poder Judiciário;
CONSIDERANDO o disposto na Portaria no 249/2020, que designou os integrantes do Comitê de Segurança Cibernética do Poder Judiciário (CSCPJ);
CONSIDERANDO que os ataques cibernéticos têm se tornado cada vez mais avançados e com alto potencial de prejuízo, cujo alcance e complexidade não têm precedentes, que os impactos financeiros, operacionais e de reputação podem ser imediatos e significativos, e que é fundamental aprimorar a capacidade de Poder Judiciário de coordenar pessoas, desenvolver recursos e aperfeiçoar processos, visando a minimizar danos e a agilizar o restabelecimento da condição de normalidade em caso de ocorrência de ataques cibernéticos de grande impacto;
CONSIDERANDO a decisão do Plenário do Conselho Nacional de Justiça, tomada no julgamento do Ato Normativo no0010159-31.2020.2.00.0000, na 323ª Sessão Ordinária realizada em 15 de dezembro de 2020;
RESOLVE:
Art. 1o Determinar a todos os órgãos do Poder Judiciário brasileiro, à exceção do Supremo Tribunal Federal, a adoção do Protocolo de Gerenciamento de Crises Cibernéticas do Poder Judiciário (PGCC/PJ), nos termos da Portaria CNJ no 290/2020, objetivando contribuir para a resiliência corporativa por meio de uma resposta, tão veloz e eficiente quanto possível, a incidentes em que os ativos de informação do Poder Judiciário tenham a sua integridade, confidencialidade ou disponibilidade comprometidos em larga escala ou por longo
período.
Art. 2o O Protocolo de Gerenciamento de Crises Cibernéticas do Poder Judiciário (PGCC/PJ) é complementar ao Protocolo de Prevenção de Incidentes Cibernéticos e prevê as ações responsivas a serem colocadas em prática quando ficar evidente que um incidente
de segurança cibernética não será mitigado rapidamente e poderá durar indefinidamente.
Art. 3o O Protocolo de Gerenciamento de Crises Cibernéticas do Poder Judiciário (PGCC/PJ) será objeto de reavaliação por ocasião da edição da Estratégia da Segurança Cibernética e da Informação do Poder Judiciário, também desenvolvida pelo Comitê de Segurança
Cibernética do Poder Judiciário, instituído pela Portaria CNJ no 242/2020, bem como remanescerá passível de atualização a qualquer tempo, por meio de Portaria da Presidência do CNJ, em razão do dinamismo inerente ao tema.
Art. 4o Os órgãos do Poder Judiciário deverão elaborar e formalizar plano de ação, com vistas à construção de seus Protocolos de Gerenciamento de Crises Cibernéticas (PGCC/PJ), no prazo máximo de sessenta dias a contar da publicação da Portaria CNJ no 290/2020,
comunicando-o imediatamente ao CNJ.
Art. 5o Esta Resolução entra em vigor na data de sua publicação, revogando-se as disposições em contrário.
Ministro LUIZ FUX
Este texto não substitui a publicação oficial.