RESOLUÇÃO N 25, DE 14 DE JUNHO DE 2023.

O egrégio TRIBUNAL REGIONAL ELEITORAL DE RONDÔNIA, no desempenho das atribuições que lhe são conferidas pelo art. 13, inciso X, do Regimento Interno, aprovado por meio da Resolução TRE/RO n. 14, de 26 de outubro de 2021, e

CONSIDERANDO as orientações de controle de segurança da informação dispostas na norma ISO NBR/IEC 27001 e 27002, complementadas pela norma ABNT NBR ISO/IEC 27701;

CONSIDERANDO a NC 07/IN01/DSIC/GSIPR, de 15/07/2014, que estabelece diretrizes para implementação de controles de acesso relativos à segurança da informação e comunicações na Administração Pública Federal;

CONSIDERANDO as recomendações do Acórdão 1.603/2008-TCU, item 9.1.3, sobre a importância dos controles de acesso;

CONSIDERANDO a Resolução CNJ n. 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução do TSE n. 23.644/2021, que instituiu a Política de Segurança da Informação no âmbito da Justiça Eleitoral, RESOLVE:

Art. 1º Instituir a Norma de Controle de Acesso Físico e Lógico relativos à Segurança das Informações e Comunicações no âmbito do Tribunal Regional Eleitoral de Rondônia, em consonância com a Política de Segurança da Informação do Tribunal Superior Eleitoral, estabelecida pela Resolução TSE n. 23.644/2021.

CAPÍTULO I

DOS CONCEITOS E DEFINIÇÕES

Art. 2º Para os efeitos desta Resolução e de suas regulamentações, aplicam-se as seguintes definições:

I - Acesso físico: é ato de ingressar e transitar fisicamente nas edificações e instalações da instituição;

II - Acesso lógico: é o acesso aos sistemas e ativos de informação;

III - Acesso privilegiado: é o acesso aos sistemas e ativos de informação com amplos poderes;

IV - Ativos de informação: são os meios de armazenamento, de transmissão e de processamento, bem como os sistemas de informação, as instalações e as pessoas que a elas têm acesso;

V - Ativos de processamento: patrimônio composto por todos os elementos de hardware, software e infraestrutura de comunicação necessários à execução das atividades precípuas do TRE-RO;

VI - Autenticação de multifatores: utilização de dois ou mais fatores de autenticação para concessão de acesso a um sistema;

VII - Biometria: é a verificação da identidade de um indivíduo por meio de uma característica física ou comportamental única, através de métodos automatizados;

VIII - Bloqueio de acesso: processo que tem por finalidade suspender o acesso;

IX - Controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso;

X - Fatores de autenticação: mecanismo utilizado para a concessão de acesso, como por exemplo senhas, biometria;

XI - Gestora ou gestor de ativo de informação: proprietário ou custodiante de ativo de informação, responsável por definir perfis de acesso e por aprovar ou reprovar e revogar solicitações de autorização de acesso aos ativos sob sua responsabilidade;

XII - Necessidade de conhecer: condição pessoal, inerente ao efetivo exercício de cargo, função, emprego ou atividade, indispensável para o usuário ter acesso à informação, especialmente se for sigilosa, bem como o acesso aos ativos de informação;

XIII - Necessidade de uso: permissão para acessar os ativos da informação que o usuário necessita para desempenhar a sua tarefa;

XIV - Perfil de acesso: conjunto de permissões de acesso a ativo de informação específico, que pode ser atribuído a um usuário ou grupo de usuários com necessidade de conhecer em comum;

XV - Política de mesa limpa e tela limpa: práticas adotadas a assegurar que informações sensíveis, tanto em formato digital quanto físico, além de ativos de TI, como notebooks, celulares, tablets, e outros, não sejam deixados desprotegidos em espaços de trabalho pessoais ou públicos quando não estão em uso, ou quando alguém deixa sua área de trabalho, seja por um curto período de tempo ou ao final do expediente de trabalho;

XVI - Prestadora ou prestador de serviço: pessoa envolvida com desenvolvimento de atividades, de caráter temporário ou eventual, exclusivamente para o interesse do serviço, que poderá receber autorização de acesso;

XVII - Usuária ou usuário: pessoa que obteve autorização para acesso a ativos de informação.

CAPÍTULO II

DOS PRINCÍPIOS

Art. 3º Esta Norma tem como princípio norteador a garantia da integridade, confidencialidade e disponibilidade dos ativos de informação e de processamento.

Art. 4º O acesso, físico ou lógico, deverá ser concedido aos usuários deste Tribunal atendendo aos princípios norteadores presentes nesta Política e aos critérios da necessidade de conhecer e da necessidade de uso.

CAPÍTULO III

DO ESCOPO

Art. 5º O objetivo desta Norma de Controle de Acesso Físico e Lógico relativos à Segurança das Informações e Comunicações é:

I - Estabelecer diretrizes para implementação de controles de acesso físico e lógico;

II - Preservar os ativos de informação; e

III - Assegurar a confidencialidade, integridade e disponibilidade das informações sob a responsabilidade deste Tribunal.

Art. 6º Esta Norma se aplica a todos os magistrados, membros do Ministério Público Federal, servidores efetivos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo, estagiários, prestadores de serviço e colaboradores, que fazem uso dos ativos de informação e de processamento no âmbito da Justiça Eleitoral de Rondônia.

Parágrafo único. Todos os magistrados, membros do Ministério Público Federal, servidores efetivos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo, estagiários, prestadores de serviço e colaboradores são corresponsáveis pela segurança da informação e comunicação, devendo, para tanto, conhecer e seguir esta Norma.

CAPÍTULO IV

DO CONTROLE DO ACESSO FÍSICO

SEÇÃO I

Do perímetro de segurança

Art. 7º A Comissão de Segurança da Informação e Comunicação em conjunto com a Comissão Permanente de Segurança deverão definir o perímetro de segurança física para proteção tanto das instalações de processamento da informação (datacenter) como em áreas que contenham informações críticas ou sensíveis.

Art. 8º As instalações de processamento e armazenamento da informação, em especial o Data Center principal e o site backup, bem como as áreas que contenham informações críticas ou sensíveis, deverão atender às seguintes diretrizes:

I - Paredes fisicamente sólidas, sem brechas nem pontos onde poderia ocorrer uma invasão, portas externas adequadamente protegidas por mecanismos de controle contra acesso não autorizado e janelas com proteção externa;

II - Controle de acesso físico às áreas e instalações, sob a responsabilidade da STIC, utilizando-se dos mecanismos necessários para o controle e registro de data e hora de todas as entradas e saídas, sejam de servidores, visitantes ou prestadores de serviço, permitindo-lhes o acesso, desde que previamente autorizados;

III - Mecanismos de autenticação de multifatores, para as instalações de processamento e armazenamento de informações, e que seja restrito apenas ao pessoal autorizado;

IV - Portas corta-fogo com sistema de alarme e que sejam monitoradas, para estabelecer o nível de resistência exigido em normas regionais e nacionais aceitáveis, bem como funcionem de acordo com os códigos locais de prevenção de incêndios e de falhas;

V - Sistemas para detecção de intrusos em todas as portas externas e janelas acessíveis;

VI - As instalações de processamento e armazenamento das informações sejam projetadas contra desastres naturais, tais como fogo, inundação, terremoto, explosão, manifestações civis; ataques maliciosos e furtos;

VII - Os edifícios sejam dotados de proteção contra raios e todas as linhas de entrada de força e de comunicações tenham filtros de proteção contra raios;

VIII - Possua múltiplas alimentações de energia elétrica e telecomunicações, com rotas físicas diferentes, sempre que possível e economicamente viável;

IX - Instalação de iluminação e comunicação de emergência;

X - Sistema de controle de temperatura e umidade com recurso de emissão de alertas.

SEÇÃO II

Dos equipamentos de processamento e armazenamento

Art. 9º Para evitar perdas, danos, furtos, ou comprometimento de ativos e interrupção das operações da organização, o Tribunal deverá seguir as diretrizes:

I - Adotar controles para minimizar o risco de ameaças físicas potenciais e ambientais, como furto, incêndio, explosivos, fumaça, água, poeira, vibração, efeitos químicos, interferência com o suprimento de energia elétrica, interferência com as comunicações, radiação eletromagnética e vandalismo;

II - Proibir a ingestão de alimentos (comidas e bebidas) próximo às instalações de processamento e armazenamento da informação;

III - Verificar se os suprimentos de energia elétrica, telecomunicações, água, gás, esgoto, calefação/ventilação e ar-condicionado estejam em conformidade com as especificações do fabricante do equipamento e com os requisitos legais da localidade;

IV - Adotar controles para evitar a retirada de equipamentos dos ambientes que possuem racks com equipamentos de rede deste Tribunal sem prévia autorização, e o acesso deve ser feito apenas por servidores ou colaboradores responsáveis pelos ativos instalados nos racks.

SEÇÃO III

Da segurança do cabeamento

Art. 10. O cabeamento de energia elétrica e de telecomunicações que transporta dado ou dá suporte aos serviços de informações deverá ser protegido contra interceptação, interferência ou danos, conforme as seguintes diretrizes:

I - As linhas de energia elétrica e de telecomunicações que entram nas instalações de processamento da informação deverão ser subterrâneas ou fiquem abaixo do piso sempre que possível, ou recebam uma proteção alternativa adequada;

II - Os cabos de energia elétrica devem ser segregados dos cabos de comunicação, para evitar interferências.

SEÇÃO IV

Da manutenção externa dos equipamentos

Art. 11. A manutenção dos equipamentos de processamento de informações deverá seguir as seguintes diretrizes:

I - Realizar manutenção nos intervalos recomendados pelo fornecedor e de acordo com as suas especificações;

II - A manutenção e os consertos dos equipamentos sejam realizados somente por pessoal de manutenção autorizado;

III - Manter registro de todas as falhas, suspeitas ou reais, e de todas as operações de manutenção preventiva e corretiva realizadas;

IV - Eliminar as informações sensíveis do equipamento, quando possível, ou analisar os riscos de sua exposição;

V - Inspecionar o equipamento, após a manutenção, para garantir que não foi alterado indevidamente e que está funcionando perfeitamente.

SEÇÃO V

Da reutilização ou descarte seguro dos equipamentos

Art. 12. Todos os equipamentos que contenham mídias de armazenamento de dados devem ser examinados antes da reutilização, para assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou sobregravados com segurança

§1º Os equipamentos deverão ser inspecionados para verificar se a mídia está ou não armazenada, antes do descarte ou reutilização. Os equipamentos com mídias de armazenamento disponibilizados para doação, deverão passar pelo processo de sanitização de mídias.

§2º  As mídias que contenham informações confidenciais ou de direitos autorais devem ser destruídas fisicamente, ou passarem pelo processo de sanitização.

SEÇÃO VI

Da política de mesa limpa e tela limpa

Art. 13. Informação com restrição de acesso não deve ser deixada à vista sobre mesas de trabalho ou em quaisquer outros suportes que não disponham de mecanismos de controle e acesso e deve ser destruída antes de ser descartada, seja em papel ou em meio eletrônico. Informações sensíveis ou confidenciais, anotações, recados ou lembretes importantes devem ser guardados em gaveteiro ou armário com fechadura.

§ 1º Política de mesa limpa para papéis e mídias de armazenamento removíveis deve considerar a classificação da informação, requisitos contratuais e legais e o risco correspondente.

§ 2º computadores, notebooks, tablets ou smartphones devem ser bloqueados por senha (proteção de tela), token ou mecanismos de autenticação similar quando não estiverem sendo utilizados.

§ 3º A STIC implementará, sempre que possível, mecanismos de bloqueio automático de tela de dispositivos após alguns minutos de inatividade.

CAPÍTULO V

DO CONTROLE DE ACESSO LÓGICO

SEÇÃO I

Do gerenciamento de acesso lógico

Art. 14. Todo magistrado, servidora ou servidor efetivo e requisitado, ocupante de cargo em comissão sem vínculo efetivo e estagiário que ingressar no TRE-RO, deve assinar um termo de responsabilidade para ter direito ao acesso às informações e aos recursos de Tecnologia da Informação. Este termo deve ser mantido pelo setor de Gestão de Pessoas e juntado ao processo do respectivo servidor.

Parágrafo único. No caso de prestadora e prestador de serviço ou fornecedora ou fornecedor, que necessite acesso às informações ou recursos de Tecnologia da Informação, o fiscal do contrato ficará responsável por recolher a assinatura no termo de responsabilidade, a ser juntado no respectivo processo de contratação.

Art. 15. Todas as solicitações e/ou alterações de acessos, tais como inclusão, suspensão, alteração de perfil e exclusão de usuários aos ativos de informação, devem ser efetuadas formalmente por meio da central de chamados.

Parágrafo único. O controle de acesso lógico deve se basear na segregação de funções seguindo a premissa de que tudo é proibido a menos que expressamente permitido. As permissões devem considerar os princípios da “necessidade de conhecer” e “necessidade de uso”, visando sempre o bom andamento das atividades jurisdicionais.

Art. 16. A criação de uma nova conta de acesso aos sistemas de informação, dar-se-á, por meio de solicitação formal à Central de Serviços de TI, contendo pelo menos:

I - nome completo, título de eleitor, lotação e matrícula do usuário;

II - a vigência do contrato no caso de estagiária e estagiário ou prestadora e prestador de serviços.

III - endereço de correio eletrônico do órgão de origem, quando magistrado.

• 1º A solicitação de criação de conta deverá ser feita:

I - Pela Secretaria de Gestão de Pessoas, após o devido cadastro no sistema de gestão, quando se tratar de magistrados, servidora ou servidor efetivo e requisitado, ocupante de cargo em comissão sem vínculo efetivo, estagiária ou estagiário;

II - Pelo fiscal do contrato quando se tratar de terceirizados.

• 2º O processo de criação de conta de acesso aos sistemas de informação, com a definição das atividades, papéis, responsabilidades e demais atributos, quando instituído, poderá alterar o disposto neste artigo.

Art. 17. No ato da criação das contas de acesso citadas no artigo anterior, § 1º, inciso I, serão também criadas as respectivas contas de e-mail para uso exclusivamente institucional.

• 1º Visando melhor eficiência do serviço público, para os magistrados será criado um endereço de correio eletrônico que fará o desvio para suas caixas de correio do órgão de origem.
• 2º As contas de e-mail não devem ser utilizadas para fins particulares, inclusive cadastro em sítios de comércio eletrônico (e-commerce) e outros.
• 3º As regras de utilização do serviço de e-mail, bem como tamanho da caixa, arquivos anexos, dentre outros, seguirão critérios padronizados.

Art. 18. A conta de acesso aos sistemas ou serviços de informação e aos ativos de TI da rede corporativa e pessoal e intransferível, qualificando o usuário, inequivocamente, como responsável por quaisquer acessos e ações realizados com a sua credencial, bem como pelos possíveis danos decorrentes de uso indevido.

Art. 19. A Secretaria de Gestão de Pessoas deve informar tempestivamente à Central de Serviços de TI, as aposentadorias, vacâncias, férias, exonerações, afastamentos e redistribuições de magistrados e servidores, assim como o desligamento de magistrados e de estagiários, para que as providências de eliminação ou interrupção de acesso das respectivas contas de usuários sejam efetuadas.

• 1º O desligamento de servidores terceirizados, deverá ser comunicado pela gestora ou gestor do contrato;
• 2º No caso de servidores cedidos a outros órgãos os direitos de acesso devem ser apenas suspensos.

Art. 20. A permissão ou revogação de acesso à informação deve ser solicitada pela gestora ou pelo gestor de ativo de informação, mediante sistema específico ou registro de chamados na Central de Serviços de TI, fornecendo todos os dados necessários para a realização do cadastro ou mesmo alteração ou exclusão do acesso, se for o caso.

• 1º A administração deverá designar uma gestora ou gestor e um suplente para cada ativo de informação.
• 2º A STIC deverá prover relatórios anuais, ou sempre que solicitado, aos gestores de ativos de informação contendo lista dos usuários e respectiva permissão de acesso ao ativo.
• 3º Sempre que for possível automatizar a geração e envio dos relatórios do parágrafo anterior, estes poderão ser mensais, a critério da gestora ou gestor do ativo.
• 4º Estes relatórios poderão ser convertidos para lembretes, ou dispensados, sempre que o ativo possua módulo específico para manutenção e criação de contas habilitado para uso do gestor do ativo.

Art. 21. São responsabilidades da gestora ou gestor de ativo de informação definir quais sistemas e os perfis de acesso a ser atribuído a cada usuário e, solicitar o cancelamento do acesso quando este não for mais necessário.

• 1º Qualquer autorização de acesso deverá estar de acordo com a Política de Classificação da Informação do Tribunal.
• 2º Deve ser informado à Central de Serviços de TI o encerramento de atividades, contratos ou acordos para que os direitos de acesso às informações e aos recursos de Tecnologia da Informação sejam removidos.
• 3º Caso o Sistema de Informação possua módulo específico para criação e manutenção dos perfis de acesso, habilitado para uso da gestora ou gestor de ativo de informação, a responsabilidade pela criação e manutenção de contas será deste, devendo zelar pela base de usuários de forma que somente pessoas autorizadas tenham acesso ao sistema.
• 4º A gestora ou o gestor de ativo de informação deve revisar periodicamente os direitos de acesso concedidos, ajustando os perfis de acordo com a necessidade de conhecer do usuário.
• 5º As atribuições e competências da gestora ou do gestor de ativo da informação poderão ser tratadas em norma complementar.

Art. 22. O chamado registrado que originou a solicitação de acesso deverá ser respondido, após a conclusão do serviço, com a especificação da liberação do acesso ao ativo da informação, o usuário e a senha de acesso inicial, juntamente com as instruções para a alteração desta após o primeiro acesso.

Art. 23. Os novos sistemas desenvolvidos pela Secretaria de Tecnologia da Informação e Comunicação (STIC) devem:

I - possuir log com o registro de acesso dos usuários;

II - ser acessados integrados ao serviço de autenticação de usuários do TRE-RO;

III - impedir a transmissão de senhas em texto claro pela rede e armazená-las com criptografia;

IV - exibir as seguintes informações quando o procedimento de entrada (logon) ocorrer com sucesso:

1. a) data e hora do último logon com sucesso;
2. b) detalhes de qualquer tentativa de logon sem sucesso, desde o último procedimento realizado com sucesso.

Parágrafo único. Os sistemas legados serão adequados à estas regras quando passarem por manutenção, sempre que possível e tecnicamente viável.

Art. 24. Todos os acessos à informação devem ser registrados para fins de auditoria em servidor de logs dedicado.

Art. 25. O log de acesso de todos os serviços de TI deve ser armazenado por um período não inferior a 1 (um) ano e seus registros devem conter, no mínimo:

I - identificação do usuário;

II - data e horário de entrada (logon) e saída do sistema (logoff);

III - identificação da estação de trabalho que originou o acesso;

IV - registro das tentativas de acesso (aceitas e rejeitadas) aos sistemas;

V - quando for o caso, as informações acerca dos recursos computacionais, aplicativos, arquivos de dados e utilitários utilizados e que tipos de operações foram efetuadas.

Art. 26. As contas de usuário deverão:

I - ser bloqueadas ou desativadas caso não sejam utilizadas por um período maior que 45 dias ou ainda em caso de identificação de comprometimento da segurança da informação;

II - ter uma limitação máxima de tentativas de logon sem sucesso, sendo que na última tentativa mal sucedida o sistema deve implementar bloqueio temporário da conta por um tempo superior a 5 (cinco) minutos, antes de permitir novas tentativas;

III – permitir o acesso de usuários apenas nos horários predefinidos pelo CDTIC;

IV – deverão exigir autenticação multifatores quando o acesso for feito de forma remota à rede;

V – deverão ter seu controle centralizado por meio de um serviço de diretório ou provedor de Single Sign On (SSO).

Art. 27. As estações de trabalho devem ser configuradas, sempre que possível, para ter:

I - bloqueio automático de tela em casos de períodos de inatividade e, para restaurar a sessão, o usuário deverá ser obrigado a fornecer novamente suas credenciais de acesso;

II - restrição de sessões concorrentes, impedindo que um usuário, sem privilégios, possa acessar a rede a partir de mais de uma estação de forma simultânea.

Parágrafo único. As configurações dos incisos I e II, sem prejuízos de outras, poderão constar em norma complementar e, restrições das estações de trabalho poderão constar em norma complementar aprovada pelo CDTIC.

Art. 28. Não haverá criação de contas genéricas para usuários, excetuando-se os casos de necessidade justificada e acompanhada de parecer do Gestor de Segurança da Informação acerca da possibilidade de aceitação dos riscos associados.

• 1º As contas genéricas do caput devem ser comunicadas e autorizadas pelo CETIC.
• 2º Não devem existir contas duplicadas de acesso para os usuários, excetuando-se as contas com privilégio administrativo.

Art. 29. Os direitos de acesso privilegiados, como acesso de administradores dos recursos de TIC, devem ser identificados e registrados.

• 1º Não deverá existir conta com acesso privilegiado genérica e/ou compartilhada.
• 2º O perfil privilegiado deve ser concedido à conta de usuário específica para este fim, não sendo aplicável a conta de uso cotidiano.
• 3º A concessão de acesso privilegiado somente deve ser concedida a usuários da STIC que necessitem deste perfil no desempenho de suas tarefas na administração dos recursos de TIC, excetuando-se os casos de necessidade justificada e acompanhada de parecer do Gestor de Segurança da Informação acerca da possibilidade de aceitação dos riscos associados.

SEÇÃO II

Da política de senhas

Art. 30. Todos os sistemas ou serviços de informação devem ter seu acesso restrito e controlado através do uso de senhas, token ou mecanismo de autenticação similar.

Art. 31. A senha de acesso do usuário deverá ser secreta, de uso pessoal e intransferível, e atender no mínimo aos seguintes critérios:

I - Possuir pelo menos 12 caracteres;

II - Possuir caracteres alfanuméricos e especiais, sempre que possível;

III - Não usar frases ou palavras que possam ser facilmente adivinhadas por terceiros, baseadas nas informações relativas ao próprio usuário, tais como nome de parentes, de animais de estimação, endereço, CEP, datas de aniversário e números de telefone;

III - Não utilizar senhas formadas por sequência de caracteres triviais, tais como: 123456 ou abcde, ou senhas simples que contenham parte da identificação do usuário como por exemplo, usuário joao.silva e senha joao.silva ou joao1234;

IV - Não utilizar senhas de uso pessoal em ambiente corporativo ou vice-versa.

V - Não utilizar opção de “salvar senha” de navegadores para credenciais corporativas;

• 1º As contas de usuário com acesso privilegiado deverão seguir critérios mais elevados.
• 2º Estes critérios poderão ser tratados em norma complementar, somente sendo aceito critérios mais brandos em caso de inviabilidade técnica justificada.

Art. 32. É proibido o compartilhamento de identificação de usuário e senha, bem como a exposição em local visível para terceiros, como anotações em papéis, sob pena de responsabilização pelos acessos indevidos.

Art. 33. Sempre que houver indicação de possível comprometimento da senha, deverá ser comunicada a STIC para realização de procedimentos definidos pelo CETIC.

Art. 34. O sistema de gerenciamento de senha deverá:

I - Permitir que os usuários selecionem e modifiquem suas próprias senhas, incluindo um procedimento de confirmação para evitar erros;

II - Forçar as mudanças de senha a intervalos regulares de, no máximo 6 (seis) meses, conforme necessidade;

III – Impossibilitar a reutilização, no mínimo, das 3 (três) senhas anteriores;

IV - Armazenar e transmitir as senhas de forma protegida, com emprego de criptografia;

V - Não mostrar as senhas na tela quando forem digitadas;

VI - Modificar senhas temporárias no primeiro acesso ao sistema ou ativo de informação;

VII - Desabilitar as contas que não possam ser associadas a um usuário ou processo de negócio;

VIII - Monitorar tentativas de acesso a contas desativadas.

SEÇÃO III

Do controle de acesso ao código-fonte

Art. 35. O código-fonte e os itens associados (esquemas, especificações, planos de validação, etc.) dos sistemas de informação desenvolvidos pelo Tribunal somente serão acessíveis por usuários que tenham como atribuição funcional seu desenvolvimento, manutenção ou outra atividade para a qual o acesso seja, justificadamente, imprescindível.

Parágrafo único. O detalhamento deste tema deverá ser tratado pela área competente em normativo específico.

CAPÍTULO V

DISPOSIÇÕES FINAIS

Art. 36. Os casos omissos serão resolvidos pela Comissão de Segurança da Informação e Comunicação deste Tribunal.

Art. 37. A revisão desta Norma de Controle de Acesso Físico e Lógico relativos à Segurança das Informações e Comunicações ocorrerá sempre que se fizer necessária ou conveniente para este Tribunal, não excedendo o período máximo de 3 (três) anos.

Art. 38. Esta Norma deverá ser publicada no portal de intranet do Tribunal pela respectiva Comissão de Segurança da Informação e Comunicação.

Art. 39. O descumprimento desta Norma será objeto de apuração pela unidade competente do Tribunal e sujeito à aplicação das penalidades cabíveis a cada caso.

Art. 40. Revoga-se a Resolução n. 41/2017.

Art. 41. Esta Resolução entra em vigor na data de sua publicação.

Porto Velho, 14 de junho de 2023.

DESEMBARGADOR KIYOCHI MORI

Presidente e Relator