Portaria 290 (CNJ)/2020

PORTARIA N. 290, DE 17 DE DEZEMBRO DE 2020.

Institui o Protocolo de Gerenciamento de Crises Cibernéticas no âmbito do Poder Judiciário (PGCC/ PJ).

O PRESIDENTE DO CONSELHO NACIONAL DE JUSTIÇA (CNJ), nos termos da Resolução CNJ no 360/2020, e no uso de suas atribuições legais e regimentais,

CONSIDERANDO competir ao CNJ a atribuição de coordenar o planejamento e a gestão estratégica de Tecnologia da Informação e Comunicação (TIC) do Poder Judiciário;

CONSIDERANDO que é imprescindível garantir a segurança cibernética do ecossistema digital do Poder Judiciário Brasileiro;

CONSIDERANDO o número crescente de incidentes cibernéticos no ambiente da rede mundial de computadores e a necessidade de processos de trabalho orientados para a boa gestão da segurança da informação;

CONSIDERANDO os termos da Resolução CNJ no 211/2015, que instituiu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD), e estabeleceu as diretrizes para sua governança, gestão e infraestrutura;

CONSIDERANDO a importância de se estabelecer objetivos, princípios e diretrizes de Segurança da Informação alinhados às recomendações constantes da norma NBR ISO/IEC 27001:2013, que trata da segurança da informação;

CONSIDERANDO a importância de se estabelecer objetivos, princípios e diretrizes de Gestão de Riscos de Segurança da Informação alinhados às recomendações constantes da norma NBR ISO/IEC 27005:2019, que trata da gestão de riscos segurança da informação;

CONSIDERANDO a necessidade de se garantir o cumprimento da Lei Federal no 12.527/2011 (Lei de Acesso à Informação), bem como, no âmbito do Poder Judiciário, da Resolução CNJ no 215/2015, normas que disciplinam o direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral;

CONSIDERANDO o que dispõe a Lei Federal no 13.709/2018, com a redação dada pela Lei Federal no 13.853/2019, sobre a proteção de dados pessoais, que altera a Lei no 12.965/2014 (Marco Civil da Internet);

CONSIDERANDO o disposto na Resolução CNJ no 176/2013, que institui o Sistema Nacional de Segurança do Poder Judiciário;

CONSIDERANDO o disposto na Portaria CNJ no 242//2020, que instituiu o Comitê de Segurança Cibernética do Poder Judiciário;

CONSIDERANDO o disposto na Portaria no 249/2020, que designou os integrantes do Comitê de Segurança Cibernética do Poder Judiciário (CSCPJ);

CONSIDERANDO que os ataques cibernéticos têm se tornado cada vez mais avançados e com alto potencial de prejuízo, cujo alcance e complexidade não têm precedentes, que os impactos financeiros, operacionais e de reputação podem ser imediatos e significativos, e que é fundamental aprimorar a capacidade de Poder Judiciário de coordenar pessoas, desenvolver recursos e aperfeiçoar processos, visando a minimizar danos e a agilizar o restabelecimento da condição de normalidade em caso de ocorrência de ataques cibernéticos de grande impacto;

RESOLVE:

Art. 1º Determinar a todos os órgãos do Poder Judiciário brasileiro, à exceção do Supremo Tribunal Federal, a adoção do Protocolo de Gerenciamento de Crises Cibernéticas do Poder Judiciário (PGCC/PJ).

Parágrafo único.O Protocolo previsto no caput possui caráter subsidiário, orientativo, suplementar e não substitui o conjunto de políticas de segurança da informação, processos de tratamento a incidentes e respostas ou procedimentos vigentes nos órgãos do Poder Judiciário.

CAPÍTULO I - DO OBJETIVO

Art. 2º Estabelecer um protocolo para o gerenciamento adequado de crises com o objetivo de contribuir para a resiliência corporativa por meio de uma resposta, a mais rápida e eficiente possível, a incidentes em que os ativos de informação do Poder Judiciário tenham a sua integridade, confidencialidade ou disponibilidade comprometidos em larga escala ou por longo período.

CAPÍTULO II - DO ESCOPO

Art. 3º O Protocolo de Gerenciamento de Crises Cibernéticas do Poder Judiciário é   complementar ao Protocolo de Prevenção de Incidentes Cibernéticos e prevê as ações responsivas a serem colocadas em prática quando ficar evidente que um incidente de segurança cibernética não será mitigado rapidamente e poderá durar dias, semanas ou meses.

CAPÍTULO III - DAS DEFINIÇÕES

Art. 4º Para os efeitos deste normativo, são estabelecidos os seguintes conceitos e definições:

I - Alta Administração: unidades organizacionais com poderes deliberativos ou normativos no âmbito da organização;

II - Ativo: qualquer coisa que represente valor para uma instituição, tal como a informação;

III - Ativos de informação: meios de armazenamento, transmissão e processamento de informação, sistemas de informação e locais onde se encontram esses meios e as pessoas que a eles têm acesso;

IV - Atividades críticas: atividades que devem ser executadas de forma a garantir a consecução dos produtos e serviços fundamentais do órgão, de maneira que permitam atingir os seus objetivos mais importantes e sensíveis ao tempo;

V - Crise: um evento ou série de eventos danosos que apresentam propriedades emergentes capazes de exceder as habilidades de uma organização em lidar com as demandas de tarefas que eles geram, e que apresentam implicações que afetam uma proporção considerável da organização, bem como de seus constituintes; VI - Crise cibernética: crise que ocorre em decorrência de incidente em dispositivos, serviços e redes de computadores. É decorrente de incidentes que causam dano material ou de imagem, atraem a atenção do público e da mídia e fogem ao controle direto da organização;

VII - Continuidade de negócios: capacidade estratégica e tática do órgão de se planejar e de responder a incidentes e interrupções de negócios, minimizando seus impactos e recuperando perdas de ativos da informação das atividades críticas, de forma a manter suas operações em um nível aceitável, previamente definido;

VIII - Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

IX - ETIR:Equipe de Tratamento e Resposta a Incidentes de Segurança de Cibernética. Denominação tradicionalmente atribuída a grupos de resposta a incidentes de segurança da informação, embora os incidentes não mais se limitem a tecnologia;

X - Evento: qualquer ocorrência observável em um sistema ou rede de uma organização;

XI - Estratégia de continuidade de negócios: abordagem do órgão que garante a recuperação dos ativos de informação e a continuidade das atividades críticas ao se defrontar com um desastre, uma interrupção ou com outro incidente maior;

XII - Gestão de riscos de segurança da informação: conjunto de processos que permite identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de informação, e para equilibrá-los com os custos operacionais e financeiros envolvidos;

XIII - Gerenciamento de crise: decisões e atividades coordenadas que ocorrem em uma organização durante uma crise corporativa, incluindo crises cibernéticas;

XIV - Informação: dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;

XV - Incidente grave: evento que tenha causado algum dano, colocado em risco algum ativo de informação crítico ou interrompido a execução de alguma atividade crítica por um período inferior ao tempo objetivo de recuperação;

XVI - Incidente de Segurança da Informação: evento que viola ou representa uma ameaça iminente de violação de uma política de segurança, de uma política de uso aceitável ou de uma prática de segurança padrão;

XVII - Plano de gerenciamento de incidentes: plano de ação claramente definido e documentado, para ser usado quando ocorrer incidente que basicamente cubra as principais pessoas, recursos, serviços e outras ações que sejam necessárias para implementar o processo de gerenciamento de incidentes;

XVIII - Procedimento: conjunto de ações sequenciadas e ordenadas para o atingimento de um determinado fim; e

XIX - Resiliência: poder de recuperação ou capacidade de determinada organização resistir aos efeitos de um incidente.

CAPÍTULO IV - DA IDENTIFICAÇÃO DE CRISE CIBERNÉTICA

Art. 5º O gerenciamento de incidentes se refere às atividades que devem ser executadas na ocorrência de um evento adverso de segurança da informação, para avaliar o problema e determinar a resposta inicial.

Art. 6º O gerenciamento de crise se inicia quando: I - ficar caracterizado grave dano material ou de imagem;

II - restar evidente que as ações de resposta ao incidente cibernético provavelmente persistirão por longo período, podendo se estender por dias, semanas ou meses;

III - o incidente impactar a atividade finalística ou o serviço crítico mantido pela organização; ou

IV - atrair grande atenção da mídia e da população em geral.

CAPÍTULO V - DA FASE PREPARATÓRIA (PRÉ-CRISE)

Art. 7º Para melhor lidar com uma crise cibernética, é necessária prévia e adequada preparação, sendo fundamental que os órgãos do Poder Judiciário estabeleçam um Programa de Gestão da Continuidade de Negócios que contemple as seguintes atividades:

I - observar o Protocolo de Prevenção a Incidentes Cibernéticos do Poder Judiciário;

II - definir as atividades críticas que são fundamentais para a atividade finalística do órgão;

III - identificar os ativos de informação críticos, ou seja, aqueles que suportam as atividades primordiais, incluindo as pessoas, os processos, a infraestrutura e os recursos de tecnologia da informação;

IV - avaliar continuamente os riscos a que as atividades críticas estão expostas e que possam impactar diretamente na continuidade do negócio;

V -categorizar os incidentes e estabelecer procedimentos de resposta específicos (playbooks) para cada tipo de incidente, de forma a apoiar equipes técnicas e de liderança em casos de incidentes cibernéticos graves;

VI - priorizar o monitoramento, acompanhamento e tratamento dos riscos de maior criticidade. Tais atividades deverão ser detalhadas e consolidadas em um plano de contingência que contemple diversos setores em razão de possíveis cenários de crise, a fim de se contrapor à escalada de uma eventual crise e com o objetivo de manutenção dos serviços prestados pela organização; e

VII - realizar simulações e testes para validação dos planos e procedimentos.

Art. 8º Deve ser definida a sala de situação e criado um Comitê de Crises Cibernéticas formado por representante da Alta Administração e por representantes executivos, suportados pela Equipe de Resposta a Incidentes de Segurança Cibernética e por especialistas das áreas:

I - Jurídica;

II - Comunicação;

III - Tecnologia da Informação;

IV - Privacidade de Dados Pessoais;

V - Segurança da Informação;

VI - Unidades administrativas de apoio à contratação; e

VII - Segurança Institucional.

Art. 9º O Plano de Gestão de Incidentes Cibernéticos deve possuir, no mínimo, as categorias de incidentes a que os ativos críticos estão sujeitos, a indicação do procedimento de resposta específico a ser aplicado em caso de ocorrência do incidente e a severidade do incidente.

Parágrafo único. O ANEXO I contém um exemplo básico de estruturação de Plano de Gestão de Incidentes Cibernéticos.

CAPÍTULO VI - DURANTE A CRISE

Art. 10. A comunicação entre todas as áreas envolvidas em uma crise é fator crítico para uma organização responder a uma crise cibernética de longa duração ou de grande impacto.

Art. 11. Assim que a Equipe de Tratamento e Resposta a Incidentes Cibernéticos identificar que um incidente constitui uma crise cibernética, deverá ser reunido imediatamente o Comitê de Crise na sala de situação previamente definida.

Parágrafo único. Os planos de contingência existentes, caso aplicáveis, devem ser efetivados imediatamente, visando à continuidade dos serviços prestados.

Art. 12. A chefia do Comitê de Crise deve ficar a cargo de profissional com autoridade e autonomia para tomar decisões sobre conteúdo de comunicados e textos a serem divulgados, bem como, delegar atribuições, estabelecer metas e prazos de ações.

Art. 13. A sala de situação é o local a partir do qual são geridas as situações de crise, devendo dispor dos meios necessários (ex. Sistemas de áudio, vídeo, chamadas telefônicas) e estar próxima a um local onde se possa fazer declarações públicas à imprensa e com o acesso restrito ao Comitê de Crise e a outros atores eventualmente convidados a participar de reuniões.

Parágrafo único. A sala de situação deve ser um ambiente que permita ao Comitê deliberar com tranquilidade e que possua uma equipe dedicada à execução de atividades administrativas para o período da crise.

Art. 14. Para eficácia do trabalho do Comitê de Crise, é necessário:

I - entender claramente o incidente que gerou a crise, sua gravidade e os impactos negativos;

II - levantar todas as informações relevantes, verificando fatos e descartando boatos;

III -levantar soluções alternativas para a crise, apreciando sua viabilidade e suas consequências;

IV - avaliar a necessidade de suspender serviços e/ou sistemas informatizados;

V - centralizar a comunicação na figura de um porta-voz para evitar informações equivocadas ou imprecisas;

VI - realizar uma comunicação tempestiva e eficiente, de forma a evidenciar o trabalho diligente das equipes e a enfraquecer boatos ou investigações paralelas que alimentem notícias falsas;

VII - definir estratégias de comunicação com a imprensa e/ ou redes sociais e estabelecer qual a mídia mais adequada para se utilizar em cada caso;

VIII -aplicar o Protocolo de Investigação para Ilícitos Cibernéticos do Poder Judiciário;

IX - solicitar a colaboração de especialistas ou de centros de resposta a incidentes de segurança;

X - apoiar equipes de resposta e de recuperação com gerentes de crise experientes;

XI - avaliar a necessidade de recursos adicionais extraordinários para apoiar as equipes de resposta;

XII - fornecer aconselhamento sobre as prioridades e estratégias da organização para uma recuperação rápida e eficaz;

XIII - definir os procedimentos de compartilhamento de informações relevantes para a proteção de outras organizações com base nas informações colhidas sobre o incidente; e

XIV - elaborar plano de retorno à normalidade.

Art. 15. As etapas e procedimentos de resposta são diferentes a depender do tipo de crise e são necessárias reuniões regulares para avaliar o progresso até que seja possível retornar à condição de normalidade.

Art. 16. Todos os incidentes graves deverão ser comunicados ao órgão superior vinculado e ao Conselho Nacional de Justiça.

CAPÍTULO VII - FASE DE APREDIZADO E REVISÃO (PÓS-CRISE)

Art. 17. Quando as operações retornarem à normalidade, o Comitê de Crises Cibernéticas deverá realizar a análise criteriosa das ações tomadas, observando as que foram bem-sucedidas e as que ocorreram de forma inadequada.

Art. 18. Para a identificação das lições aprendidas e a elaboração de relatório final, deve ser objeto de avaliação:

I - a identificação e análise da causa-raiz do incidente;

II - a linha do tempo das ações realizadas;

III - a escala do impacto nos dados, sistemas e operações de negócios importantes durante a crise;

IV - os mecanismos e processos de detecção e proteção existentes e as necessidades de melhoria identificadas;

V - o escalonamento da crise;

VI -a investigação e preservação de evidências;

VII - a efetividade das ações de contenção;

VIII - a coordenação da crise, liderança das equipes e gerenciamento de informações, e

IX - a tomada de decisão e as estratégias de recuperação.

Art. 19. As lições aprendidas devem ser utilizadas para a elaboração ou revisão dos procedimentos específicos de resposta (playbooks) e a melhoria do processo de preparação para crises cibernéticas.

Art. 20. Deve ser elaborado relatório contendo a descrição e detalhamento da crise, bem como o plano de ação tomado para evitar que incidentes similares ocorram novamente ou para que, em caso de ocorrência, se reduzam os danos causados.

CAPÍTULO VIII - DISPOSIÇÕES FINAIS

Art. 21. Nos termos da Portaria CNJ no 242/2020, que instituiu o Comitê de Segurança Cibernética do Poder Judiciário, e da Resolução CNJ nº 360/2020, que instituiu o Protocolo de Gerenciamento de Crises Cibernéticas no âmbito do Poder Judiciário (PGCC/PJ), o protocolo definido neste ato normativo será objeto de reavaliação por ocasião da edição da Estratégia da Segurança Cibernética e da Informação do Poder Judiciário,bem como remanescerá passível de atualização a qualquer tempo.

Art. 22. Os órgãos do Poder Judiciário deverão elaborar e formalizar plano de ação, com vistas à construção de seus Protocolos de Gerenciamento de Crises Cibernéticas (PGCC/PJ), no prazo máximo de sessenta dias e comunicar a sua aprovação ao CNJ.

Art. 23. Esta Portaria entra em vigor na data de sua publicação, revogando-se as disposições em sentido contrário.

[ANEXO - ver o documento em pdf com inteiro teor]

Este texto não substitui a publicação oficial.