
Tribunal Regional Eleitoral - CE
Diretoria-Geral
Assessoria de Acessibilidade, Sustentabilidade, Compliance, Integridade e Riscos
PORTARIA Nº 869, DE 8 DE AGOSTO DE 2023
O PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DO CEARÁ no uso das atribuições que lhe confere o artigo 23, inciso LX, do Regimento Interno deste Tribunal,
CONSIDERANDO o que dispõe os artigos 7 e 9 da Res. TRE/CE n.º 920/2022, e
CONSIDERANDO o disposto no Processo Administrativo Digital SEI n.º 2023.0.000014496-4,
CONSIDERANDO os termos da Resolução 370, de 28 de janeiro de 2021, do Conselho Nacional de Justiça, que estabeleceu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD), as diretrizes para sua governança, gestão e colaboração tecnológica; CONSIDERANDO a Res. CNJ nº 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);
CONSIDERANDO o anexo I da Portaria nº 162, de 10 de junho de 2021, do Conselho Nacional de Justiça, que constitui o Protocolo de Prevenção de Incidentes Cibernéticos do Poder Judiciário;
CONSIDERANDO os anexos IV, V e VI da Portaria nº 162, de 10 de junho de 2021, do Conselho Nacional de Justiça, que contêm os manuais referentes à Proteção de Infraestruturas Críticas de TIC, Prevenção e Mitigação de Ameaças Cibernéticas e Confiança Digital, e, ainda, Gestão de Identidades;
CONSIDERANDO a Res. TSE nº 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;
CONSIDERANDO a Portaria DG/TSE nº 444/2021, que instituiu a norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;
CONSIDERANDO as boas práticas de segurança da informação e privacidade previstas nas normas ABNT ISO/IEC 27001 e ABNT ISO/IEC 27002;
CONSIDERANDO a Norma ABNT NBR ISO/IEC 27001:2005, que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro da organização;
CONSIDERANDO o Decreto nº 9.637, de 26 de dezembro de 2018, que "Institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação";
CONSIDERANDO a Norma Complementar 05/IN01/DSIC/GSIPR, do Gabinete de Segurança Institucional da Presidência da República, de 14 de agosto de 2009, que disciplina a criação de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais (ETIR) nos órgãos e entidades da Administração Pública Federal;
CONSIDERANDO a Norma Complementar 08/IN01/DSIC/GSIPR, do Gabinete de Segurança Institucional da Presidência da República, de 24 de agosto de 2010, que estabelece as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal;
CONSIDERANDO o número crescente de incidentes cibernéticos no ambiente da rede mundial de computadores;
CONSIDERANDO as boas práticas de Governança de Tecnologia da Informação para garantir a disponibilidade e integridade dos serviços e ativos tecnológicos do Tribunal Regional Eleitoral do Ceará;
CONSIDERANDO, ainda, que a segurança da informação, a proteção e privacidade de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral do Ceará;
RESOLVE:
Art. 1º Fica instituído o Protocolo de Prevenção a Incidentes Cibernéticos, no âmbito do Tribunal Regional Eleitoral do Ceará.
Art. 2º Esta norma integra a Política de Segurança da Informação da Justiça Eleitoral, estabelecida pela Resolução TSE n. 23.644/2021.
Art. 3º Para efeitos desta norma, consideram-se os termos e definições previstos na Portaria DG/TSE nº 444/2021, além de:
I. Incidente cibernético ou Incidente de segurança: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores, tais como: divulgação não autorizada de dados ou de informação sigilosa contida em sistema, arquivo ou base de dados do TRE-CE; invasão de dispositivo informático; interrupção de serviço essencial ao desempenho das atividades; inserção ou facilitação de inserção de dados falsos, alteração ou exclusão de dados corretos nos sistemas informatizados ou bancos de dados do TRE-CE e/ou prática de ato definido como crime ou infração administrativa;
II. Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR): grupo de pessoas com a responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores.
CAPÍTULO I
DOS OBJETIVOS E RESPONSABILIDADES
Art. 4º Este protocolo tem os seguintes objetivos:
I. Disciplinar a criação e funcionamento da Equipe de Tratamento e Resposta a Incidentes na Rede de Computadores (ETIR) no âmbito do Tribunal Regional Eleitoral do Ceará;
II. Promover alinhamento às normas, regulamentações e às melhores práticas, relacionadas à Gestão de Incidentes de Segurança da Informação;
III. Promover ações que contribuam para a resiliência dos serviços de Tecnologia da Informação e Comunicação (TIC) aos ataques cibernéticos.
Art. 5º O Protocolo de Investigação para Ilícitos Cibernéticos e o Protocolo de Gerenciamento de Crises Cibernéticas são complementares e se harmonizam com este Protocolo de Prevenção a Incidentes Cibernéticos.
Art. 6º Para implementação desta norma, áreas envolvidas deverão observar os princípios críticos definidos no PPINC-PJ, que são:
I. Uso de base de conhecimento de defesa;
II. Priorização da segurança da informação;
III. Definição e estabelecimento de métricas;
IV. Diagnóstico contínuo;
V. Formação e capacitação;
VI. Busca de soluções automatizadas de segurança cibernética;
VII. Resiliência.
Art. 7º Cabe à Comissão de Segurança da Informação e ao Comitê de Crises Cibernéticas:
I. Deliberar sobre as principais diretrizes e temas relacionados à Gestão de Incidentes de Segurança da Informação;
II. Monitorar e avaliar periodicamente a estrutura de Gestão de Incidentes de Segurança da Informação e o sistema de controles internos, assim como propor melhorias consideradas necessárias;
III. Aprovar formalmente o processo de Gestão de Incidentes de Segurança da Informação e suas futuras revisões;
IV. Deliberar sobre ações de contenção ou prevenção de incidentes de segurança da informação.
Art. 8º Cabe à Presidência:
I. Analisar as deliberações da Comissão Segurança da Informação e ao Comitê de Crises Cibernéticas sobre Gestão de Incidentes de Segurança da Informação e decidir sobre possíveis providências;
II. Formalizar a aceitação da execução das ações propostas para conter ou prevenir incidentes de segurança da informação;
III. Comunicar ao órgão de polícia judiciária com atribuição para apurar os fatos, na ocorrência de incidentes penalmente relevantes;
IV. Acionar a Comissão de Segurança da Informação e ao Comitê de Crises Cibernéticas, nos termos do Protocolo de Gerenciamento de Crises Cibernéticas, quando necessário.
Art. 9º Cabe às unidades vinculadas à Secretaria de Tecnologia da Informação (STI):
I. Monitorar e comunicar à ETIR os Incidentes de segurança da informação dos ativos sob sua responsabilidade;
II. Assegurar a implementação das ações e dos controles definidos para prevenção e contenção de incidentes de segurança da informação dos ativos sob sua responsabilidade.
Art. 10º Cabe à Assessoria de Cibersegurança (CIBER):
I. Desenvolver, testar e implementar o processo de Gestão de Incidentes de Segurança Cibernética e garantir sua efetividade;
II. Coordenar a instituição, capacitação, implementação e manutenção da infraestrutura necessária à ETIR;
III. Gerenciar as atividades e distribuir tarefas para a ETIR;
IV. Garantir que os incidentes de segurança na Rede de Computadores do TRE-CE sejam devidamente tratados;
V. Adotar procedimentos de feedback para assegurar que os usuários que comuniquem incidentes de segurança da informação e comunicações na rede interna de computadores sejam informados dos procedimentos adotados;
VI. Disseminar cultura voltada para comunicação de incidentes de segurança cibernética;
VII. Subsidiar o Comitê de Segurança da Informação e de Gerenciamento de Crises com informações pertinentes à estrutura de gestão de incidentes de segurança cibernética. Parágrafo único. Cabe ao responsável pela Assessoria Técnica de Segurança Cibernética/STI o papel de Agente Responsável pela ETIR, além de ser a interface com o Centro de Tratamento e Resposta a Incidentes de Segurança em Redes de Computadores da Administração Pública Federal (CTIR GOV).
CAPÍTULO II
DAS FUNÇÕES DO PROTOCOLO DE PREVENÇÃO A INCIDENTES CIBERNÉTICOS
Art. 11 São funções básicas do Protocolo de Prevenção a Incidentes Cibernéticos, conforme função.
Seção I
Da Função "Identificar"
Art. 12 A função "Identificar" consiste na análise dos riscos a que os recursos de TIC estão expostos, incluindo a elaboração e a execução do plano de tratamento dos riscos.
§1º A função identificar é executada dentro do escopo do processo de Gestão de Riscos de Segurança da Informação de TI, instituído em ato próprio, e está limitada aos ativos incluídos no respectivo ciclo de análise de riscos no âmbito do TRE-CE.
§2º O mesmo tratamento previsto no parágrafo § 1º deste artigo deve ser dispensado a ativos considerados relevantes, mesmo que não estejam diretamente relacionados à sustentação dos serviços críticos, que poderiam ser ponto de entrada para a exploração de falhas.
§3º O rol de atividades de TIC consideradas essenciais, para fins deste normativo, é o mesmo constante no ciclo de análise de riscos vigente.
Seção II
Da Função "Proteger"
Art. 13 A função "Proteger" consiste no desenvolvimento e na implementação de salvaguardas que assegurem a proteção de dados, inclusive pessoais, ativos de informação e a prestação de serviços.
§1º A função "Proteger" deve ser implementada pelo conjunto mínimo de ações elencadas a seguir:
I. Aprimoramento contínuo do Sistema de Gestão de Segurança da Informação (SGSI) do TRE-CE;
II. Controle de acesso e de utilização de recursos de TIC;
III. Cópia de segurança e de restauração de sistemas, aplicativos, dados e de documentos;
IV. Plano de contingência dos serviços essenciais;
V. Cestão de capacidade e disponibilidade de TIC dos serviços essenciais;
VI. Processo de gerenciamento de mudanças para todos os ativos de TIC;
VII. Gestão de vulnerabilidades técnicas dos serviços essenciais;
VIII. Utilização de ferramenta de segurança para estações de trabalho, contendo, no mínimo, as funções de antivírus, automação de políticas de segurança de endpoint, proteção contra criptografia (ransomware), controle de aplicativos e de dispositivos removíveis;
IX. Controle de acesso a conteúdo na Internet (filtragem web);
X. Utilização de ferramentas de segurança de rede (firewall), para filtragem e bloqueio de tráfego de rede, prevenção de ameaças e implementação de redes privadas virtuais (VPN);
XI. Integridade da rede protegida por meio da segmentação e segregação de ambientes, de maneira a estabelecer barreiras de contenção de danos em caso de comprometimento (sub-redes distintas por serviços) e para garantia de recursos para serviços prioritários (missão crítica, em detrimento de ambientes de laboratório/desenvolvimento/homologação);
XII. Manter campanha e/ou treinamento sobre segurança da informação para magistrados e servidores;
XIII. Atualização tecnológica constante;
XIV. Implementação gradual dos controles de segurança da informação presentes na Norma NBR 27002;
XV. Implementação gradual dos controles mínimos recomendados no Manual de Referência para Proteção de Infraestruturas Críticas de TIC, editado pelo Conselho Nacional de Justiça, considerando a escala de aplicabilidade de cada controle em relação ao porte e maturidade do TRE-CE em segurança da informação;
XVI. Implementação gradual dos requisitos de resiliência cibernética recomendados no Manual de Prevenção e Mitigação de Ameaças Cibernéticas e Confiança Digital, editado pelo Conselho Nacional de Justiça, considerando a aplicabilidade dos requisitos em relação ao porte e maturidade do TRE-CE em segurança da informação.
§2º As salvaguardas elencadas no § 1º deste artigo devem ser implementadas para todos os ativos de TIC, no que couber, considerados essenciais ou não ao negócio, permitindo variar quanto ao nível de implementação, de acordo com a natureza e criticidade do ativo.
§3º As atualizações dos ativos de TIC (pacotes de segurança, firmware, entre outros) devem ser aplicadas, sempre que possível, tão logo liberadas, mas considerando:
I. Os riscos decorrentes da atualização;
II. Os riscos decorrentes da não aplicação (ou postergação);
III. A criticidade do ativo;
IV. A estabilidade dos serviços.
Seção III
Das Funções "Detectar", "Responder" e "Recuperar"
Art. 14 As atividades decorrentes das funções "Detectar", "Responder" e "Recuperar" devem estar cobertas pelo Processo de Gestão de Incidentes de Segurança Cibernética. Quando houver indícios de ilícitos criminais durante o gerenciamento dos incidentes de segurança, deverá, ainda, ser seguido o Protocolo de Investigação para Ilícitos Cibernéticos. Parágrafo único. Na ocorrência da hipótese prevista no caput deste artigo, o Comitê de Segurança da Informação e de Gerenciamento de Crises Cibernéticas e a Presidência do TRE-CE deverão ser comunicados.
Art. 15 Quando o incidente de segurança da informação decorrer de suspeita de descumprimento da Política de Segurança da Informação, será observado o sigilo durante todo o processo, ficando as evidências, informações e demais registros restritos aos envolvidos na investigação.
Art. 16 Este protocolo deverá ser revisado e atualizado pelo menos a cada 12 (doze) anos, mediante provocação da Secretaria de Tecnologia da Informação e Comunicação (STI).
Art. 17 Os casos omissos serão resolvidos pela Comissão de Segurança da Informação e do Comitê de Crises Cibernéticas.
Art. 18 Qualquer descumprimento desta norma deve ser imediatamente comunicado e registrado pelo Gestor de Segurança da Informação, com consequente adoção das providências cabíveis.
Art. 19 Esta norma complementar deverá ser revisada a cada 12 (doze) meses pela Comissão de Segurança da Informação, sempre que se fizer necessário ou conveniente à este Tribunal.
Art. 20 Esta Portaria entra em vigor na data de sua publicação.
CIENTIFIQUE-SE, PUBLIQUE-SE E CUMPRA-SE.
Fortaleza, 8 de agosto de 2023.
DESEMBARGADOR RAIMUNDO NONATO SILVA SANTOS
Presidente
Este texto não substitui o publicado no DJE/TRE-CE nº 193 de 9.8.2023, pp. 7-11.