Diário Oficial do Estado -
Judiciário - São Paulo, 02/06/2008
I -
Atos Administrativos e Decisões do Colendo Conselho
Superior da Magistratura
PROVIMENTO CSM Nº 1496/2008
DIMA 2
MENSAGEM DA PRESIDÊNCIA E DA COMISSÃO DE INFORMÁTICA
PORTARIA nº 7.560/2008
SEGURANÇA DA INFORMAÇÃO
PORTARIA nº 7.561/2008
PORTARIA nº 7.562/2008
COMUNICADO SPI Nº 28/2008
DIMA-1
PROCESSOS ENTRADOS E DEPENDENTES OU NÃO DE PREPARO
II - Atos Administrativos e Decisões da Egrégia Corregedoria Geral da
Justiça de São Paulo
DEGE 2.1
EMENTÁRIO CGJ – EXTRAJUDICIAL Nº 01/2008
EMENTÁRIO CGJ – EXTRAJUDICIAL Nº 02/2008
PROCESSO Nº 2005/759 – PARAGUAÇU PAULISTA
PROCESSO Nº 2008/34638 – SÃO BERNARDO DO CAMPO
PORTARIA Nº 32/2008
PROCESSO Nº 2008/38323 – CUNHA
PORTARIA Nº 33/2008
PROCESSO Nº 2007/11884 – ATIBAIA
PORTARIA Nº 34/2008
PROCESSO nº 2008/11773 – BROTAS
III - Comunicados da Egrégia Corregedoria Geral da Justiça de
São Paulo
Não há atos publicados
III - Comunicados da Egrégia Corregedoria Geral da Justiça de
São Paulo
Casamentos, Nascimentos e Óbitos
COMUNICADOS S/N°
IV - Atos Administrativos e Decisões da 1ª e 2ª Varas de
Registros Públicos de SP
Caderno 2
1ª VARA
2ª VARA
Caderno de Editais
Não há atos publicados
I -
Atos Administrativos e Decisões do Colendo Conselho
Superior da Magistratura
PROVIMENTO CSM Nº 1496/2008
Dispõe sobre a alienação por iniciativa particular a que se refere o art.
685-C do CPC, com a redação que lhe foi conferida pela Lei nº 11.382/06, na
forma preconizada pelo § 3º do referido dispositivo legal.
O CONSELHO SUPERIOR DA MAGISTRATURA, no uso de suas atribuições legais, nos
termos do art. 216, XXVI, ‘b’, 6 do Regimento Interno do Tribunal de Justiça
e considerando o que ficou decidido no Processo nº 2007/33.756;
CONSIDERANDO a necessidade de disciplinar a alienação por iniciativa
particular a que se refere o art. 685-C do Código de Processo Civil, na
forma do § 3º do referido dispositivo legal;
CONSIDERANDO a necessidade de simplificação e unificação do procedimento a
tanto pertinente, com vista a dar maior efetividade, celeridade e eficiência
ao processo executivo, particularmente quanto a esta nova modalidade de
expropriação patrimonial,
RESOLVE:
Artigo 1º - Na execução por quantia certa, não tendo havido manifestação de
interesse pela adjudicação, mediante requerimento expresso, proceder-se-á à
alienação por iniciativa particular, a ser realizada pelo próprio exeqüente
ou por intermédio de corretor ou leiloeiro credenciado no juízo da execução.
Artigo 2º - Serão considerados habilitados e cadastrados para intermediar a
alienação por iniciativa particular os corretores e leiloeiros que
promoverem seu credenciamento no juízo da execução, na forma disciplinada
pelo Provimento CG nº 797/2003, observado o tempo mínimo de exercício
profissional exigido pelo § 3º, parte final, do art. 685-C do Código de
Processo Civil.
Artigo 3º - No requerimento de expropriação por meio da alienação por
iniciativa particular, esclarecerá o exeqüente se ultimará pessoalmente o
procedimento, ou se o fará por intermédio de corretor ou leiloeiro
credenciado no juízo, na forma disciplinada no artigo anterior.
§ 1º – A comissão do corretor ou leiloeiro será fixada pelo juiz, em
montante não superior a 5% sobre o valor da transação, ressalvadas
circunstâncias especiais de cada caso concreto, e será suportada pelo
proponente adquirente, o que deverá ser objeto de advertência expressa na
divulgação da alienação.
§ 2º – Em caso de pagamento parcelado, a comissão devida será retida e paga
proporcionalmente, à medida que as parcelas forem sendo adimplidas.
Artigo 4º - Se o exeqüente optar pela alienação mediante a intermediação e
não indicar o profissional de sua preferência, o juiz o nomeará, fixando
desde logo o prazo no qual a alienação será efetivada, o preço mínimo (CPC,
art. 680), as condições de pagamento, as garantias para a hipótese de
pagamento parcelado, bem assim a comissão devida, observado o limite
estabelecido no § 1º do artigo 3º deste provimento.
§ 1º – A falta de interessados no prazo assinalado será comunicada ao juiz,
que determinará as providências cabíveis, inclusive eventual dilação do
prazo, procedendo-se, se necessário, à atualização da avaliação.
§ 2º – Caso haja interessados na aquisição por valor inferior ao da
avaliação, as propostas serão consignadas nos autos para decisão judicial do
incidente, ouvidas as partes.
Artigo 5º - A alienação por iniciativa particular será precedida de ampla
publicidade, preferencialmente por mídia eletrônica, desnecessária a
publicação de editais.
§ 1º – As despesas de publicidade correrão, de ordinário, por conta do
profissional credenciado, ressalvando-se a possibilidade de serem carreadas
ao executado, à vista de circunstâncias particulares de cada caso, a serem
apreciadas pelo juízo da execução.
Artigo 6º - A divulgação publicitária da alienação por iniciativa particular
terá por conteúdo necessário todas as informações sobre o procedimento e os
bens a serem alienados, notadamente o seguinte:
a.- número do processo judicial e a Comarca onde se processa a execução;
b.- data da realização da penhora;
c.- a existência, ou não, de ônus ou garantias reais; de penhoras anteriores
sobre o mesmo imóvel, em outros processos contra o mesmo devedor; de débitos
fiscais federais, estaduais ou municipais e de eventual recurso pendente;
d.- fotografias do bem, sempre que possível, com a informação suplementar,
em caso de imóvel, de estar desocupado ou ocupado pelo executado ou por
terceiro;
e.- valor da avaliação judicial;
f.- preço mínimo fixado para a alienação;
g.- as condições de pagamento e as garantias que haverão de ser prestadas,
no caso de proposta para pagamento parcelado;
h.- a descrição do procedimento, notadamente quanto ao dia, horário e local
em que serão colhidas as propostas;
i.- a informação de que a alienação será formalizada por termo nos autos da
execução;
j.- a informação de que a alienação poderá ser julgada ineficaz, se não
forem prestadas as garantias exigidas pelo juízo; se o proponente provar,
nos cinco dias seguintes à assinatura do termo de alienação, a existência de
ônus real ou gravame até então não mencionado; se a alienação se realizar
por preço que vier a ser considerado pelo juízo como vil; e nos casos de
ausência de prévia notificação da alienação ao senhorio direto, ao credor
com garantia real ou com penhora anteriormente averbada, que não seja de
qualquer modo parte na execução (CPC, art. 698);
k.- o nome do corretor ou do leiloeiro responsável pela intermediação, com
endereço e telefone;
l.- a comissão devida, arbitrada pelo juiz em percentual do valor da
alienação, a cargo do proponente;
m.- outras informações que se mostrarem relevantes para o aperfeiçoamento do
procedimento de alienação por iniciativa particular.
Artigo 7º - Não se harmonizando as propostas com as condições fixadas pelo
juízo para a efetivação da alienação por iniciativa particular, a questão
será submetida à apreciação judicial, ouvidas as partes.
Artigo 8º - O escrivão-diretor lavrará termo de alienação, que será
subscrito pelo juiz, pelo exeqüente, pelo adquirente e, se estiver presente,
pelo executado, expedindo-se carta de alienação do imóvel para o devido
registro imobiliário, ou, se o bem for móvel, mandado de entrega ao
adquirente.
§ 1º – Até a formalização do termo, caberá a remissão, na forma do art. 651
do Código de Processo Civil.
§ 2º – Para fins de registro imobiliário, a carta de alienação deverá
discriminar a localização do imóvel, sua descrição, mediante remissão ao
número da matrícula ou transcrição correspondente, e o nome do proprietário.
Deverá ser instruída, ainda, com cópia do termo de formalização
lavrado nos autos e prova de quitação do imposto de transmissão.
Artigo 9º – Sobrevindo oportuna regulamentação do art. 689-A do Código de
Processo Civil, na forma preconizada por seu parágrafo único, ambos com a
redação dada pela Lei nº 11.232/05, a alienação por iniciativa particular
poderá perfazer-se em ambiente virtual, observado o regramento específico de
tal procedimento, a ser previamente autorizado pelo juízo da execução.
Artigo 10 - Este provimento entrará em vigor na data de sua publicação,
revogadas as disposições em contrário.
REGISTRE-SE. PUBLIQUE-SE. CUMPRA-SE.
São Paulo, 15 de abril de 2008.
(aa)ROBERTO ANTONIO VALLIM
BELLOCCHI, Presidente do Tribunal de Justiça, JARBAS JOÃO COIMBRA MAZZONI,
Vice-Presidente do Tribunal de Justiça e RUY PEREIRA CAMILO, Corregedor
Geral da Justiça (D.O.E. de 02.06.2008)
DIMA 2
MENSAGEM DA PRESIDÊNCIA e da COMISSÃO DE INFORMÁTICA
Divulga atividades da Política de Segurança da Informação do Tribunal de
Justiça do Estado de São Paulo No cenário atual, em que as organizações e
instituições públicas e privadas dependem cada vez mais das informações e de
Tecnologia de Informação e Comunicação para a continuidade e excelência de
suas atividades, e considerando que o próprio Egrégio Tribunal de Justiça do
Estado de São Paulo se encontra em fase de grande modernização e expansão,
nesta área, fato que preocupa muito de perto a atual gestão, que se empenha
em investir em infra-estruturas vitais e sistemáticas, para completa
melhoria na prestação de serviços a magistrados e à população em geral, é de
suma importância que se direcionem e se busquem efetivas ações que visem
garantir a irrestrita, adequada e precisa segurança das informações reais,
tecnológicas e virtuais e que interessem à Corte.
Assim e buscando o melhor uso dos recursos de informação, e adotando uma
nova postura em relação à segurança da informação, por intermédio de
práticas usualmente conhecidas e adotadas plenamente pelo mercado nacional e
internacional, a Presidência baixará Portarias, visando regulamentar a
Política de Segurança da Informação do E. Tribunal de Justiça do Estado de
São Paulo.
Irá se tratar da divulgação e implantação gradual de um conjunto de
elementos e documentos, como diretrizes básicas, normas gerais e
específicas, que valorize e defina a correta e adequada utilização dos
recursos e das informações no âmbito do Tribunal e seus reflexos para o
mundo exterior, possibilitando uma ambientação de trabalho interna mais
estável e mais segura, objetivando, primordialmente, as necessidades e
segurança do E.Tribunal.
Com esta nova política que está a ser implantada, espera-se alcançar alto
padrão de segurança, levando em conta os inúmeros e incontáveis benefícios
que serão sentidos a pequeno, médio e longo prazo por todos. Para o real e
efetivo estabelecimento e estabilização do novo padrão, é imprescindível que
toda esta dinâmica da nova política, deva contar com apoio indistinto de
todos os magistrados e servidores do Estado e daqueles que se servem, direta
ou indiretamente, de nosso site.
O Tribunal já viabilizou na Intranet um canal de comunicação e contato
direto entre todos os magistrados com a Presidência e a Comissão de
Informática, para colher sugestões, opiniões e críticas.
Certos, a Presidência e a Comissão de Informática, que poderão contar com o
apoio irrestrito de todos, como antes referido, e certos de que a segurança
da informação técnica é questão de empenho, conscientização e
responsabilidade de todos, espera-se que estes novos momentos desta gestão
possam acompanhar a rápida evolução e dinâmica do mundo informático.
São Paulo, 28 de maio de 2008.
(a) Des. ROBERTO VALLIM BELLOCCHI, Presidente Comissão de Informática:
(a) Des. JOÃO ALFREDO DE OLIVEIRA SANTOS
(a) Des. GETÚLIO EVARISTO DOS SANTOS NETO
(a) Des. LUÍS SOARES DE MELLO NETO
(a) Des. GERALDO FRANCISCO
PINHEIRO FRANCO (D.O.E. de 02.06.2008)
PORTARIA nº 7.560/2008
Institui a Política de Segurança da Informação do Tribunal de Justiça do
Estado de São Paulo
O DESEMBARGADOR PRESIDENTE DO TRIBUNAL DE JUSTIÇA DO ESTADO DE SÃO PAULO, no
uso de suas atribuições legais,
CONSIDERANDO o esforço e o investimento empregado para a Modernização do
Tribunal de Justiça do Estado de São Paulo e de sua infra-estrutura de
tecnologia da Informação e de Comunicações;
CONSIDERANDO a importância, nesse contexto, de se registrar as diretrizes
básicas que nortearão a implementação de medidas para a Segurança da
Informação do Tribunal de Justiça do Estado de São Paulo;
CONSIDERANDO a necessidade de se estabelecer parâmetros e orientações
estratégicas de Segurança da Informação e, a partir da sua existência,
normas técnicas, de usuários, específicas, procedimentos operacionais,
instruções de trabalho e padrões de segurança, compondo, assim, uma Política
de Segurança da Informação para a Instituição;
CONSIDERANDO a necessidade de assegurar que os gestores possam realizar o
gerenciamento da estrutura de segurança da informação do Tribunal de Justiça
de São Paulo, definindo, analisando e priorizando as ações necessárias para
alcançar os objetivos estabelecidos para a segurança das informações;
CONSIDERANDO que a Política de Segurança da Informação deve ser aplicada a
todos os Ambientes, Sistemas, Pessoas e Processos do Tribunal de Justiça de
São Paulo;
CONSIDERANDO a necessidade das diretrizes gerais da organização estar em
consonância com a Lei n º. 11.419 de 19 de dezembro de 2006, que dispõe
sobre a informatização do processo judicial, e com as melhores práticas de
mercado, notadamente, a norma ABNT NBR ISO/IEC 27002:2005 “Código de
Práticas para Gestão da Segurança da Informação”;
RESOLVE :
ARTIGO 1º. – O Tribunal de Justiça do Estado de São Paulo institui sua
Política de Segurança da Informação, objetivando assegurar que as
informações e seus ativos, possuídos ou custodiados, serão estabelecidos,
protegidos e utilizados de forma a garantir sua confidencialidade,
integridade e disponibilidade, de acordo com a lei, a ética e a confiança da
comunidade.
Parágrafo Único - A Política de Segurança da Informação do Tribunal de
Justiça de São Paulo (TJSP) será estabelecida por intermédio de Diretrizes
Básicas de Segurança da Informação, Normas Gerais para Usuários, Normas
Gerais para Técnicos, Normas Específicas, Procedimentos Operacionais e
Instruções de Trabalho.
ARTIGO 2º. – As Diretrizes Básicas de Segurança da Informação do TJSP visam:
I. Propriedade da Informação – Garantir que toda informação gerada, em
trânsito e/ou custodiada pelo TJSP por meio de tecnologia, procedimentos,
pessoas e ambientes, é de sua propriedade, e seja utilizada por usuários
devidamente autorizados para fins profissionais, no estrito interesse da
Instituição.
II. Proteção de Recursos – Proteger os recursos de tecnologia da informação
e comunicação, as informações e sistemas contra a modificação, destruição,
acesso ou divulgação não autorizada pelo TJSP, garantindo sua
confidencialidade, integridade e disponibilidade, considerando níveis para a
classificação da informação.
III. Nível de Segurança – Garantir que na criação de novos serviços internos
e externos, a seleção de mecanismos de segurança e a aquisição de bens levem
em consideração o balanceamento de aspectos, como risco, tecnologia,
austeridade no gasto, qualidade, velocidade e impacto no negócio.
IV. Utilização de Informações e Recursos – Assegurar que informações e
recursos sejam disponibilizados para magistrados, servidores e terceiros
devidamente autorizados, e que sejam utilizados apenas para as finalidades
lícitas, éticas e administrativamente aprovadas e devidamente autorizadas
pelo TJSP, bem como que suas configurações não sejam alteradas sem aprovação
prévia, sendo os usuários adequadamente identificados.
V. Classificação da Informação – Garantir que todas as informações tenham
classificação de segurança, colocadas de maneira clara, permitindo que sejam
adequadamente protegidas quanto ao seu acesso e uso. A informação e/ou a
documentação consideradas de acesso restrito devem ter adequada guarda e
armazenamento, assim como as sem utilidade devem ser destruídas no momento
do seu descarte.
VI. Sigilo Profissional – Assegurar que informações e recursos estejam
sujeitos às regras referentes ao sigilo profissional, garantindo adequada
proteção, considerando as cláusulas contratuais (terceiros) e os termos de
responsabilidade e sigilo (servidores).
VII. Conscientização – Assegurar que magistrados, servidores e terceiros com
acesso às informações, ambientes e recursos do TJSP, sejam devidamente
conscientizados quanto à Segurança da Informação, face às suas
responsabilidades e atuação.
VIII. Monitoramento – Garantir o monitoramento do tráfego efetuado em
ambientes e recursos de Tecnologia de Informação, rastreando eventos
críticos e evidenciando possíveis ocorrências, dando ampla e geral
divulgação dessa atividade e da possibilidade de uso desse recurso em casos
de incidentes.
IX. Gestão de Ativos – Assegurar a análise periódica dos ativos da
informação, de forma que estejam devidamente inventariados, protegidos,
tenham um proprietário responsável e tenham mapeadas suas vulnerabilidades e
ameaças de segurança. Os ativos devem possuir cuidados adequados à
manutenção de sua existência junto a Instituição, independente da existência
de solução de continuidade.
X. Desenvolvimento, Manutenção e Produção de Sistemas – Assegurar que o
desenvolvimento, a manutenção de sistemas internos e/ou externos, os
sistemas e produtos adquiridos no mercado e customizados, bem como a
produção destes, sejam providos dos requisitos de segurança necessários para
garantir informações confiáveis, íntegras e oportunas.
XI. Documentação de Tecnologia da Informação e Comunicação – Assegurar que
os sistemas e procedimentos de Tecnologia da Informação e Comunicação (TIC)
do Tribunal de Justiça do Estado de São Paulo tenham documentação e regras
adequadas e suficientes para garantir seu entendimento e recuperação em
casos de contingências.
XII. Gerenciamentos das Operações e Comunicação – Garantir a operação segura
e corrente dos recursos do processamento da informação e dos negócios em
geral por intermédio da implementação de controles internos e de requisitos
de segurança considerando as variáveis pessoas, procedimentos, ambientes e
tecnologia.
XIII. Terceirização ou Prestação de Serviços – Manter nível de segurança da
informação adequado, quanto aos aspectos desta política, quando a
responsabilidade pelos procedimentos, sistemas e recursos, ou mesmo parte
deles, for terceirizada para outra entidade, provendo auditorias periódicas,
buscando a certificação do cumprimento dos requisitos de segurança da
informação e garantia de cláusula de responsabilidade e sigilo.
XIV. Segurança de Pessoas, Segurança Física e do Ambiente – Assegurar que
magistrados, servidores, terceiros e visitantes possuam segurança adequada
nos ambientes em que atuam no TJSP, bem como que o acesso físico às suas
instalações observe o controle e monitoramento de pessoas e equipamentos.
XV. Continuidade das Atividades – Garantir a continuidade das atividades do
TJSP reduzindo a um período aceitável, a interrupção causada por desastres
ou falhas de segurança, por intermédio da combinação de ações de
administração de crise, prevenção e recuperação.
XVI. Prevenção e Resposta a Incidentes – Assegurar que medidas preventivas
sejam tomadas com o objetivo de diminuir o risco de ocorrência de fraudes
e/ou incidentes de segurança da informação, devendo existir canal de
comunicação adequado para esse fim.
XVII. Organização da Segurança da Informação – Assegurar que o gerenciamento
da Segurança da Informação no TJSP seja feito pela alta direção da
Instituição, por intermédio de área específica com responsabilidades de
estabelecer, implementar, manter e coordenar a elaboração e revisão da
Política de Segurança da Informação, bem como na avaliação e análise de
assuntos a ela pertinentes, e de todos os assuntos referentes à segurança
das informações custodiadas pelo TJSP, nos ambientes físicos e tecnológicos,
nos procedimentos e pessoas.
XVIII. Conformidade – Garantir o atendimento das leis, regulamentos e normas
que regem as atividades do TJSP, de forma a obter absoluto cumprimento
destes instrumentos legais e normativos. Além disso, garantir que os
requisitos de segurança legais e/ou instituídos sejam cumpridos, assegurando
o nível de segurança desejado.
XVIX. Alegação de Desconhecimento – Esclarecer aos usuários de informações,
procedimentos, ambientes e recursos do TJSP, que não é dado o direito de
alegação de desconhecimento desta Política de Segurança da Informação, vez
que a mesma é amplamente divulgada no âmbito interno da organização, devendo
ser seguida em seu conteúdo e forma.
XX. Sanções – Garantir que a não observância dos preceitos deste documento
implicará na aplicação de sanções administrativas previstas nas normas
internas do TJSP, nas cláusulas de responsabilidade e sigilo, e outros
preceitos legais pertinentes à situação, pactuadas em contratos, declarações
ou termos de responsabilidade, sem prejuízo, se for o caso, da
responsabilização pecuniária que lhe for atribuída. Em se tratando de
magistrado e servidor o ressarcimento do prejuízo não eximirá da penalidade
disciplinar cabível.
Tratando-se de crime, serão os fatos levados ao conhecimento da autoridade
policial, para instauração do respectivo inquérito, sem prejuízo das medidas
de natureza cível.
ARTIGO 3º. – Competirá à Secretaria de Tecnologia da Informação e à Comissão
de Informática a manutenção, atualização e monitoramento periódico dessas
Diretrizes Básicas, bem como sua complementação por intermédio dos demais
instrumentos que compõe a Política de Segurança da Informação do TJSP,
conforme Parágrafo Único do Artigo 1 º. desta Portaria.
§ 1º – A revisão por completo das diretrizes deve ocorrer, obrigatoriamente,
em período não superior a 01 (um) ano, ou a qualquer momento, em virtude de
demanda competente ou de necessidade urgente, como por exemplo: incidentes
de segurança considerados significativos; nova tecnologia e/ou
vulnerabilidades encontradas; ou novas necessidades legais e/ou de mercado.
§ 2º – A aprovação das alterações nas Diretrizes, bem como das Normas Gerais
e Específicas, instrumentos que compõe a Política de Segurança da
Informação, competirá à Presidência, depois de referendado pela Comissão de
Informática.
ARTIGO 4º. – A Presidência do Tribunal de Justiça do Estado de São Paulo
poderá determinar que eventuais monitoramentos possam ser utilizados em
pesquisa para identificação de possíveis tentativas ou mesmo infrações
contra as Políticas de Segurança da Informação do TJSP.
ARTIGO 5º. – Faz parte integrante desta Portaria, o Glossário (Segurança da
Informação), elaborado em conjunto pela Secretaria de Tecnologia da
Informação e a Módulo Security Solutions.
ARTIGO 6º. – Este Portaria entrará em vigor na data de sua publicação,
ficando revogadas as disposições em contrário.
REGISTRE-SE. PUBLIQUE-SE. CUMPRA-SE.
São Paulo, 28 de maio de 2008.
(a) ROBERTO VALLIM BELLOCCHI
Presidente do Tribunal de
Justiça (D.O.E. de 02.06.2008)
Segurança da Informação - Glossário
Os termos e definições a seguir, elaborados em conjunto pela Secretaria de
Tecnologia de Informação (STI) e pela Módulo Security Solutions, são
aplicáveis à Política de Segurança da Informação do Tribunal de Justiça do
Estado de São Paulo :
Aceitação do Risco – Decisão de aceitar um risco.
Acesso – Interação entre um usuário e a informação que permite a informação
fluir de um para o outro; a capacidade de entrar em um prédio seguro
(definição de segurança física).
Acesso a Informação – Direito concedido a um usuário de visualizar,
modificar ou eliminar uma informação de propriedade do TJSP, armazenada em
equipamentos específicos de processamento da informação.
Acesso Remoto - Ligação a um sistema ou rede através de linhas de
comunicação, como as linhas telefônicas ou “wide area network” ou ainda
“virtual private network”, para acesso a aplicações e informações em redes
distantes.
Ameaça – Causa potencial de um incidente indesejado, que pode resultar em
dano para um sistema ou organização.
Análise de Sistema – Processo de captar as idéias das diversas partes
interessadas em um sistema, criando uma especificação de sistema lógica,
consistente e não ambígua.
Análise de Riscos – Uso sistemático de informações para identificar fontes e
estimar o risco. A análise de riscos fornece uma base para a avaliação de
riscos, o tratamento de riscos e a aceitação de riscos.
Antivírus – Software e/ou hardware que protege contra vírus, trojans, worms,
spywares e outras ameaças de ataques.
Auditoria – Exame analítico e pericial que segue o desenvolvimento das
operações de processamento das informações desde a sua entrada até a sua
saída, preocupando-se principalmente com a integridade, confidencialidade e
disponibilidade.
Autoridade Certificadora – Entidade responsável por emitir certificados
digitais. Estes certificados podem ser emitidos para diversos tipos de
entidades, tais como: pessoa, computador, departamento de uma instituição,
instituição etc.
Avaliação de Riscos – Processo de comparar o risco estimado com critérios de
risco pré-definidos para determinar a importância do risco.
Área de Acesso Restrito/Sensível – Área localizada em espaço interno da
Instituição, onde são realizados os processamentos de informações e/ou
utilizada para guardar equipamentos de informática que necessitem de um
controle de acesso e segurança mais rígido.
Ativo – Qualquer coisa que tenha valor para a Instituição. Todo e qualquer
bem tangível ou intangível pertencente, administrado ou sob responsabilidade
de um gestor, que tenha valor para a Instituição.
Ativos Físicos – Equipamentos computacionais, equipamentos de comunicação,
mídias removíveis e outros equipamentos.
Ativos da Informação – Bases de dados e arquivos, contratos e acordos,
documentação de sistemas, informações sobre pesquisa, manuais de usuários,
material de treinamento, procedimentos de suporte ou operação, planos de
continuidade de negócios, procedimentos de recuperação, trilhas de auditoria
e informações armazenadas.
Ativos de Software – Aplicativos, sistemas, ferramentas de desenvolvimento e
utilitários.
Ativo de Tecnologia – Bem da Instituição associado aos sistemas da
informação.
Autenticidade – Propriedade que assegura que uma determinada entidade, um
objeto (em análise) provém das fontes anunciadas e que não foi alvo de
mutações ao longo de um procedimento. (Exemplo: garantir que um determinado
usuário seja realmente quem ele diz ser).
Backup – Cópias de segurança de arquivos. Pode ser cópia de um programa,
disco ou arquivo de dados feitos para fins de arquivamento ou para
salvaguardar arquivos importantes na eventualidade de que a cópia ativa
(original) seja danificada ou destruída.
Backup Contingencial – É a cópia de softwares, sistemas e dados vitais à
continuidade dos negócios da Instituição. Deve ser guardada em local
externo. Destina-se a recuperação em situações de contingência.
Backup Histórico – É a cópia de informações que obedecem a uma exigência
legal e/ou diretrizes internas da Instituição.
Backup Operacional – É a cópia de dados, procedimentos e arquivos, que fazem
parte do cotidiano do ambiente computacional e que são importantes para
garantir a continuidade das operações do dia-a-dia. Destina-se à recuperação
imediata.
Banco de Dados - São conjuntos de dados com uma estrutura regular que
organizam informações.
Blackberry - É um dispositivo móvel (telefone celular) desenvolvido pela RIM
(Research in Motion), que possui funções de editor de textos, acesso à
internet, e-mail e tecnologia IPv6.
Bluetooth - É uma tecnologia de baixo custo para a comunicação sem fio entre
dispositivos eletrônicos a pequenas distâncias.
Browser – Veja Navegador.
Cache – Banco de dados e linguagem para rotinas de acesso e transformação
destes dados.
Chat Room – Forma de comunicar on-line escrevendo comentários e respondendo
a outras pessoas que estão fazendo o mesmo.
Chave de Acesso – Veja Login.
Cavalo de Tróia - Programa que além de executar funções para as quais foi
aparentemente projetado, também executa outras funções normalmente
maliciosas e sem o conhecimento do usuário.
Contas de acesso e senhas – Credenciais para acesso a sistemas, informações
etc.
Classificação da Informação - Procedimento de identificar e definir níveis e
critérios adequados de proteção das informações que garantam a sua
confidencialidade, integridade e disponibilidade de acordo com a importância
para a organização.
Codificação – Procedimento de escrita dos códigos-fonte do aplicativo.
Realizado a partir do projeto do sistema. Convém que tais códigos-fonte
sejam armazenados com segurança e que os desenvolvedores ou analistas
empreguem técnicas seguras de codificação.
Código-fonte – Arquivos em formato texto, contendo a descrição em uma
linguagem de alto nível de programação, das instruções, modelos de dados e
outros elementos do sistema a ser desenvolvido.
Código objeto – Trechos de código em linguagem de máquina, ainda não
necessariamente completos.
Código Malicioso - Termo genérico que se refere a todos os tipos de programa
que executam ações maliciosas em um computador.
Exemplos de códigos maliciosos são: os vírus, malware, worms, bots, cavalos
de tróia, rootkits etc.
Computação Portátil - Conceito que envolve o uso de microcomputadores
portáteis como: notebook, PDA’s, Palmtops e similares.
Confidencialidade – Propriedade de manter a informação a salvo de acesso e
divulgação não autorizados. Garantir que a informação seja acessível somente
para aqueles que tenham a devida autorização.
Conseqüência – Resultado de um evento. Pode haver mais de uma conseqüência
para um evento. As conseqüências podem ser positivas ou negativas.
Entretanto, as conseqüências são sempre negativas no que se refere aos
aspectos de segurança. As conseqüências podem ser expressas quantitativa ou
qualitativamente.
Construção do sistema – Etapa do desenvolvimento do sistema que compreende a
codificação, testes unitários, integração e testes integrados do mesmo.
Controle – Forma de gerenciar o risco, incluindo políticas, procedimentos,
diretrizes, práticas ou estruturas organizacionais, que podem ser de
natureza administrativa, técnica, de gestão ou legal. Controle é também
usado como um sinônimo para proteção ou contramedida.
Controle de acesso – Prevenção e controle do uso não autorizado de um
recurso. Tarefas executadas por hardware, software e controles
administrativos para monitorar a operação do sistema, garantindo a
integridade dos dados, identificando o usuário, registrando os acessos e as
mudanças no sistema e permitindo o acesso aos usuários.
Controle de risco – Ações que implementam as decisões da gestão de riscos.
Cópias de Segurança – Vide Backup.
Criptografia – Método de codificação de mensagens transmitidas ou
armazenadas através da utilização de cálculos matemáticos (algoritmo).
Cultura - Compreensão por parte de usuários, equipe de TI e mesmo de
terceiros sobre o seu papel na garantia da segurança das informações de uma
Instituição, nos procedimentos e interações realizados no seu dia-a-dia.
Custodiante da informação - Pessoa e/ou área responsável por supervisionar e
implementar as medidas apropriadas de segurança para proteger os ativos de
informação no nível de classificação definido pelo gestor da informação.
Desenvolvimento de Sistema – Procedimento que inclui a definição concreta em
projeto de uma idéia de sistema (Análise e Projeto), a codificação deste
projeto em uma linguagem de alto nível, a compilação e linkeditagem deste
código de alto nível em linguagem de máquina (Construção ou Codificação),
testes e homologação da solução (Testes) e a colocação da mesma em
funcionamento (Transição).
Disponibilidade – Propriedade de manter a informação disponível para os
usuários, quando estes dela necessitarem. Garantir que os usuários
autorizados tenham acesso às informações e ativos associados quando
necessário.
Dispositivos de Rede – São equipamentos e/ou meios físicos necessários para
a comunicação entre os componentes participantes de uma rede.
Especificação de Sistema – Documento que detalha, na forma de requisitos,
todos os aspectos de um sistema.
Evento – Ocorrência de um conjunto específico de circunstâncias. O evento
pode ser certo ou incerto. O evento pode ser uma única ocorrência ou uma
série de ocorrências. A probabilidade associada a um evento pode ser
estimada para um dado período de tempo.
Evento de Segurança da Informação – Ocorrência identificada de um sistema,
serviço ou rede, que indica uma possível violação da política de segurança
da informação ou falha de controles, ou uma situação previamente
desconhecida, que possa ser relevante para a segurança da informação.
Fábrica de Software – Conjunto de profissionais especializados que através
de metodologias, atualizam, desenvolvem e mantem aplicações e programas para
clientes
Firewall – Mecanismo de segurança que tem por objetivo impor restrições na
comunicação entre computadores e outros dispositivos via rede.
Firewall Pessoal – Software ou programa utilizado para proteger um
computador contra acessos não autorizados vindos da Internet.
É um tipo específico de Firewall.
Funcionário - Pessoa que trabalha para a Instituição e que pertence a uma
das categorias a seguir: (a) Magistrado e Servidor Público; (b) Pessoa
Jurídica - profissional que atua na Instituição e é remunerado mediante
emissão de nota fiscal; (c) Estagiário - vínculo pela universidade ou
instituição específica, cursando nível superior ou técnico.
Gerência de Configuração – Conjunto de procedimentos, geralmente
automatizados por um sistema, capaz de manter organizados todos os
códigos-fonte de um sistema em um repositório central. A gerência de
configuração garante a manutenção e identificação das versões do sistema e o
acesso restrito aos desenvolvedores de cada parte do sistema.
Gestão de Riscos – Atividades coordenadas para direcionar e controlar uma
Instituição no que se refere aos riscos. A gestão de riscos geralmente
inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de
riscos e a comunicação de riscos.
Gestor da Informação – Pessoa responsável por uma determinada informação ou
ativo de tecnologia e também pela manutenção de medidas apropriadas de
segurança relacionadas ao ativo. Responde também por decisões em nome da
Instituição no que diz respeito ao uso, a identificação, a classificação e a
proteção de um recurso específico da informação. Chamado ainda de
Proprietário da Informação.
Gestor de Segurança Patrimonial – Pessoa responsável pelo estudo, criação,
submissão, aprovação e atualização de normas, implementação e administração
dos recursos e ferramentas de segurança física na Instituição.
Homologação – Última etapa de testes do sistema, onde todos os requisitos
devem ser verificados e validados pelo cliente final.
Sistema homologado está pronto para a passagem para a produção.
HTML – Do Inglês “HyperText Markup Language”, linguagem utilizada na
elaboração/publicação de conteúdo na Internet.
HTTP – Do Inglês “HyperText Transfer Protocol”, protocolo utilizado para
transferir páginas Web entre um servidor e um cliente (por exemplo, o
navegador).
Incidente de Segurança da Informação – Um incidente de segurança é indicado
por um simples ou por uma série de eventos de segurança da informação
indesejados ou inesperados, que tenham uma grande probabilidade de
comprometer as operações do negócio e ameaçar a segurança da informação.
Identificação de Riscos – Procedimento para localizar, listar e caracterizar
elementos de risco. Informação - É um ativo que, como qualquer outro ativo
importante, é essencial para os negócios de uma Instituição e
conseqüentemente necessita ser adequadamente protegida. A informação está
exposta a um crescente numero e a uma grande variedade de ameaças e
vulnerabilidades.
Informação Classificada - Toda informação pertencente ou sob custódia do
TJSP que tenha um grau de sigilo definido pelo procedimento de classificação
da informação. Integridade - Propriedade de manter a informação acurada,
completa e atualizada. Garantir a precisão das informações e dos métodos de
processamento aos quais ela é submetida.
Inventário – É a atividade de catalogar os ativos de informação.
Inventário de Ativos – É a identificação, documentação e controle de todos
os ativos, e que indique sua importância para a Instituição. O inventario de
ativos deve incluir todas as informações necessárias que permitam recuperar
de um desastre, incluindo o tipo do ativo, formato, localização, informações
sobre cópias de segurança, informações sobre licenças e a importância do
ativo para o negócio.
Java – Linguagem de programação multi-plataforma, onde o mesmo código-objeto
pode ser executado em diversas plataformas de hardware e sistema
operacional, como Windows, Linux etc.
LDAP - Lightweight Directory Access Protocol, ou seja, Protocolo de Leve
Acesso a Diretórios. Como o nome sugere, é um protocolo leve para acessar
serviços de diretório.
Linguagem de máquina – Seqüência de códigos entendíveis pelo processador do
computador.
Linguagem de programação – São estruturas de sintaxe e gramática parecidas
com a linguagem humana ou, pelo menos, capazes de serem adequadamente
entendidas pela mente humana, e também de fácil tradução para a linguagem de
máquina, ou código objeto.
As linguagens mais utilizadas atualmente são: Java, Visual Basic, ASP, PHP,
Delphi (Pascal) etc.
Linkeditagem – Procedimento da união dos códigos objeto gerados por vários
arquivos de código-fonte, gerando o sistema completo. Nem todas as
linguagens utilizam este tipo de procedimento.
Local Area Network (LAN) – É uma rede utilizada na interconexão de
equipamentos processadores com a finalidade de troca de dados. Tais redes
são denominadas locais por cobrirem apenas uma área limitada.
Login – Identificação de usuário para entrada nos sistemas.
Logon – Procedimento de entrada de usuário nos sistemas.
Logoff - Procedimento de encerramento de uma sessão de usuário.
Malware – Do Inglês Malicious Software (software malicioso). Veja Código
malicioso.
Mecanismos - Ferramental técnico (hardware e software) utilizado para
implementação de controles de segurança como autenticação, restrições de
acesso e auditoria.
Metodologia de Desenvolvimento – Documento que descreve, de maneira formal,
como deve ser feito o desenvolvimento de um sistema na Instituição.
Geralmente adaptado de um modelo de metodologia como Análise Essencial,
Análise Estruturada, AOO (Análise Orientada a Objetos), RUP (Rational
Unified Process), MSF (Microsoft Solutions Framework), CMM, CMMI, dentre
outros. Mitigação – Limitação de quaisquer conseqüências negativas de um
determinado evento.
Mudança no ambiente computacional – É toda e qualquer modificação aplicada
em qualquer um dos componentes dos recursos computacionais, seja hardware,
sistema operacional, sistemas, banco de dados, rede, serviços de rede,
software de apoio e produto.
Não repúdio - Conceito de que a autoria de determinada ação/operação não
possa ser negada pelo seu executor.
Navegador – É um programa (software) que habilita seus usuários a
interagirem com sistemas e/ou conteúdos Web.
Notebook - É um computador portátil, leve, designado para poder ser
transportado e utilizado em diferentes lugares com facilidade.
OTA – do Inglês (Over the Air), consiste em uma tecnologia empregada nas
versões mais recentes do GSM, e permite, remotamente através da rede GSM,
alterar, atualizar ou remover dados do cartão SIM ou de memória do
dispositivo Smartphone, sem haver a necessidade de contato ou alteração
física no mesmo.
Passagem para Produção – É um conjunto de procedimentos destinados a colocar
em produção e à disposição do usuário, um sistema que foi desenvolvido. Além
da instalação do sistema, medidas de segurança, documentação, treinamento,
dentre outras, podem ser adequadas e necessárias.
Password – Senha – Veja Senha de Acesso.
Patch – Programas para correções de falhas no sistema.
PDA – É um computador de dimensões reduzidas, com grande capacidade
computacional, cumprindo as funções de agenda e sistema informático de
escritório elementar, com possibilidade de interconexão com um computador
pessoal e uma rede de dados sem fios.
Perímetro de Segurança – Toda área demarcada e protegida cujo acesso é
restrito e controlado.
Planejamento da Continuidade do Negócio – Preparação para enfrentar
situações de potencial interrupção das atividades de negócio.
Plano de Continuidade de Negócio – É um plano para proteger os processos
críticos de negócio de situações de emergência, operações de backup e
recuperação após desastre, mantido por uma atividade que faz parte de um
programa de segurança que garanta a disponibilidade dos recursos críticos e
facilite a continuidade de operações nessa situação.
Política - Intenções e diretrizes globais formalmente expressas pela
direção.
Política de Segurança da Informação (PSI) - É um conjunto de diretrizes,
normas, procedimentos e instruções geradas pela organização para
conhecimento e prática de seus funcionários, no sentido de proteger seus
ativos de informação em quaisquer âmbitos que estejam, tais como tecnologia,
procedimentos, pessoas e ambientes.
Probabilidade – Grau de possibilidade de que um evento ocorra.
Projeto de Sistema – Procedimento que, a partir de uma especificação de
sistema lógica e consistente, define como tais requisitos serão atendidos na
plataforma, ambiente e linguagens adotadas para o sistema. Geralmente
inicia-se pela definição dos casos de uso, seguido pela indicação em
diagrama de blocos, ou classes, com diagramas adicionais para auxiliar no
entendimento da solução ao problema. Varia muito conforme a metodologia de
desenvolvimento empregada.
Projeto Físico do Sistema – Parte final do projeto do sistema onde se define
os diagramas de classe, estruturas de dados, declaração de interfaces,
dentre outros. Varia muito conforme a metodologia de desenvolvimento
empregada.
Projeto Lógico de Sistema – Parte inicial do projeto do sistema onde se
define os casos de uso, eventos externos e forma geral do sistema. Varia
muito conforme a metodologia de desenvolvimento empregada.
Proprietário da Informação – Vide Gestor da Informação.
Protocolo de Comunicação – É a “linguagem” que os diversos dispositivos de
uma rede utilizam para se comunicar.
Recurso de Informação – Tudo que faz parte dos componentes de tecnologia da
informação da Instituição (ex.: hardware, software, documentação, dados).
Recursos de Segurança Física – Barreiras físicas e ações de segurança em
torno de uma área, conjunto de áreas, ambientes e/ ou instalações da
Instituição.
Redução de Riscos – Ações tomadas para reduzir a probabilidade, as
conseqüências negativas, ou ambas, associadas a um risco.
Registro de Eventos – Registro de atividades gerado por programas de
computador.
Requisitos – Frases adjetivas, preferencialmente afirmativas, que descrevem
um aspecto desejado ou necessário do sistema. São divididos em requisitos
funcionais e não-funcionais. Podem ser ordenados conforme o grau de
importância num sistema.
Requisitos de Segurança – São os requisitos funcionais que expressam as
necessidades de segurança do aplicativo. Devem estar associadas a ameaças,
aspectos da política de segurança da Instituição ou legislação aplicável ao
sistema.
Requisitos Funcionais – São aqueles que descrevem uma funcionalidade ou algo
que o sistema tem que fazer. Uma parte importante dos requisitos funcionais
são os requisitos de segurança.
Requisitos Não-funcionais – Descrevem características importantes do
sistema, porém não associadas a algo que o sistema tem que fazer, por
exemplo, o prazo de desenvolvimento do sistema, o nível de testes a que este
será submetido, dentre outros.
Retenção do Risco – Aceitação do ônus da perda ou do benefício do ganho
associado a um determinado risco.
Risco – Combinação da probabilidade de um evento e de suas conseqüências.
Geralmente o termo “risco” é utilizado apenas quando há pelo menos a
possibilidade de conseqüências negativas. Em alguns casos, o risco decorre
da possibilidade de desvio em relação ao evento ou resultado esperado.
Risco Residual – Risco remanescente após o tratamento do risco.
Segurança – Ausência de riscos inaceitáveis.
Segurança da Informação - Preservação da confidencialidade, da integridade e
da disponibilidade da informação; adicionalmente, outras propriedades, tais
como autenticidade, responsabilidade, não repúdio e confiabilidade, podem
também estar envolvidas.
Segurança Física - Conjunto de medidas destinadas à proteção e integridade
dos ativos físicos da Instituição.
Segurança Física Condominial – Políticas, procedimentos e meios de segurança
física implementados pelo condomínio nas áreas internas e externas do prédio
onde a Instituição está instalada (recursos compartilhados com outras
empresas).
Segurança Física Corporativa – Políticas, procedimentos e/ou recursos de
segurança física implementados pela Instituição para serem observados
exclusivamente nas suas instalações, mesmo que dentro de um prédio ou
instalação compartilhados com outras empresas.
Segurança Física Perimetral – Políticas, procedimentos e/ou recursos de
segurança física implementados nas áreas de perímetro externo, ao redor da
Instituição.
Senhas – Veja Senha de Acesso
Senha de Acesso - É um conjunto de caracteres secreto (password) de
conhecimento somente pelo usuário para autenticar seu acesso a um sistema em
especifico.
Serviços de Diretório – Sistemas desenvolvidos para gerenciar, armazenar e
organizar informações sobre os recursos e usuários de uma ou mais redes de
computadores.
Servidores – São computadores com alta capacidade de processamento e
armazenagem que tem por função disponibilizar serviços, arquivos ou
aplicações a uma rede.
Sistema de Gerência de Configuração – Sistemas automatizados destinados a
fazer a gerência de configuração dos códigos-fonte do sistema. Os mais
comuns são: Source Safe, Clear Case, PVCS, CVS, Change-man, dentre outros.
Sistema em Produção – Diz-se do sistema que já está operando no ambiente
final previsto para tal, acessado pelos usuários reais.
Sistema Operacional - É um programa ou um conjunto de programas cuja função
é servir de interface entre um computador e o usuário.
Smartphone – É um telefone móvel com funcionalidade computacional estendida
por meio de programas executados no seu Sistema Operacional, possibilitando
interconexão com um computador pessoal e/ou uma rede de dados sem fios.
SPAM – Termo usado para se referir aos e-mails não solicitados, que
geralmente são enviados para um grande número de grupos e/ou pessoas.
Spyware – Termo utilizado para se referir a uma grande categoria de software
que tem o objetivo de monitorar atividades de um sistema e enviar as
informações coletadas para terceiros. Podem ser utilizados de forma
legítima, mas, na maioria das vezes, são utilizados de forma dissimulada,
não autorizada e maliciosa.
SSL – Do Inglês “Secure Sockets Layer”. Protocolo que fornece
confidencialidade e integridade na comunicação entre um cliente (navegador)
e servidores, através do uso de criptografia.
Termo de Responsabilidade e Sigilo (TRS) – É um documento contendo uma
declaração formal em que o funcionário manifesta de livre e espontânea
vontade seu conhecimento e adesão à Política de Segurança da Informação da
Instituição, reconhecendo seus deveres, obrigações e responsabilidades
perante a Instituição, dentro deste assunto.
Teste de Invasão – Também chamado de teste de penetração. Teste de segurança
onde se utilizam ferramentas de ataque para a verificação da robustez do
sistema contra ataques externos ou internos.
Teste Funcional – Teste das funcionalidades do sistema. Verifica-se se o
sistema atende a todos os requisitos funcionais indicados na especificação
do sistema. Inclui o teste funcional de segurança, que testa os requisitos
de segurança.
Teste Funcional de Segurança – Parte do teste funcional que visa identificar
se os requisitos de segurança são atendidos.
Teste Integrado – Teste, ainda no ambiente de desenvolvimento, de todo o
sistema em funcionamento.
Teste Unitário – Teste de um componente ou função do sistema, ainda no
ambiente de desenvolvimento.
Tipos de Ativos – (a) Ativos Físicos, (b) Ativos da Informação, (c) Ativos
de Software, (d) Serviços (serviços de computação e comunicações, utilidades
em geral, por exemplo, aquecimento, iluminação, eletricidade e
refrigeração), (e) Pessoas e suas qualificações, habilidades e experiências,
e (f) Intangíveis, tais como reputação e a imagem da Instituição.
Transferência de Riscos – Compartilhamento com uma outra parte do ônus da
perda ou do beneficio do ganho associado a um risco.
Tratamento de Riscos – Procedimento de seleção e implementação de medidas
para modificar um risco.
Trojan horse – Cavalo de Tróia – Veja Cavalo de Tróia.
Usuário – Toda categoria de pessoa – magistrado, servidor público,
estagiário, prestador de serviço - quando devidamente autorizada, por meio
formal, a ter acesso à informação da Instituição.
Violação – Tentativa frustrada ou bem sucedida de acesso indevido.
Vírus – Programa capaz de infectar outros programas e arquivos de um
computador. Para realizar a infecção, o vírus embute uma cópia de si mesmo
em um programa ou arquivo, que quando executado também executa o vírus,
dando continuidade ao procedimento de infecção.
Virtual Private Network (VPN) - Termo utilizado para se referir à construção
e/ou utilização de uma rede privada utilizando redes públicas (por exemplo,
a Internet) como meio de conexão. Estes sistemas utilizam criptografia e
outros mecanismos de segurança para garantir que somente usuários
autorizados possam ter acesso a uma rede privada e que nenhum dado será
interceptado enquanto estiver passando pela rede pública.
Vulnerabilidade – Fragilidade de um ativo ou grupo de ativos que pode ser
explorada por uma ou mais ameaças.
Webmail – Permite o acesso ao correio eletrônico através de um navegador
internet (exemplo: Internet Explorer).
Wide Area Network (WAN) - É uma rede de computadores que abrange uma grande
área geográfica, com freqüência um país ou continente.
WWW – Do Inglês “World
Wide Web”, definição de todos os recursos e usuários na Internet que estão
usando o HTTP. (D.O.E. de 02.06.2008)
