Brasão

Tribunal Regional Eleitoral - CE

Diretoria-Geral

Assessoria de Acessibilidade, Sustentabilidade, Compliance, Integridade e Riscos

PORTARIA Nº 869, DE 8 DE AGOSTO DE 2023

O PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DO CEARÁ no uso das atribuições que lhe confere o artigo 23, inciso LX, do Regimento Interno deste Tribunal,

CONSIDERANDO o que dispõe os artigos 7 e 9 da Res. TRE/CE n.º 920/2022, e 

CONSIDERANDO o disposto no Processo Administrativo Digital SEI n.º 2023.0.000014496-4,

CONSIDERANDO os termos da Resolução 370, de 28 de janeiro de 2021, do Conselho Nacional de Justiça, que estabeleceu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD), as diretrizes para sua governança, gestão e colaboração tecnológica; CONSIDERANDO a Res. CNJ nº 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO o anexo I da Portaria nº 162, de 10 de junho de 2021, do Conselho Nacional de Justiça, que constitui o Protocolo de Prevenção de Incidentes Cibernéticos do Poder Judiciário;

CONSIDERANDO os anexos IV, V e VI da Portaria nº 162, de 10 de junho de 2021, do Conselho Nacional de Justiça, que contêm os manuais referentes à Proteção de Infraestruturas Críticas de TIC, Prevenção e Mitigação de Ameaças Cibernéticas e Confiança Digital, e, ainda, Gestão de Identidades;

CONSIDERANDO a Res. TSE nº 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Portaria DG/TSE nº 444/2021, que instituiu a norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO as boas práticas de segurança da informação e privacidade previstas nas normas ABNT ISO/IEC 27001 e ABNT ISO/IEC 27002;

CONSIDERANDO a Norma ABNT NBR ISO/IEC 27001:2005, que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro da organização;

CONSIDERANDO o Decreto nº 9.637, de 26 de dezembro de 2018, que "Institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação";

CONSIDERANDO a Norma Complementar 05/IN01/DSIC/GSIPR, do Gabinete de Segurança Institucional da Presidência da República, de 14 de agosto de 2009, que disciplina a criação de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais (ETIR) nos órgãos e entidades da Administração Pública Federal;

CONSIDERANDO a Norma Complementar 08/IN01/DSIC/GSIPR, do Gabinete de Segurança Institucional da Presidência da República, de 24 de agosto de 2010, que estabelece as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal;

CONSIDERANDO o número crescente de incidentes cibernéticos no ambiente da rede mundial de computadores;

CONSIDERANDO as boas práticas de Governança de Tecnologia da Informação para garantir a disponibilidade e integridade dos serviços e ativos tecnológicos do Tribunal Regional Eleitoral do Ceará;

CONSIDERANDO, ainda, que a segurança da informação, a proteção e privacidade de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral do Ceará;

RESOLVE:

Art. 1º Fica instituído o Protocolo de Prevenção a Incidentes Cibernéticos, no âmbito do Tribunal Regional Eleitoral do Ceará.

Art. 2º Esta norma integra a Política de Segurança da Informação da Justiça Eleitoral, estabelecida pela Resolução TSE n. 23.644/2021.

Art. 3º Para efeitos desta norma, consideram-se os termos e definições previstos na Portaria DG/TSE nº 444/2021, além de:

I. Incidente cibernético ou Incidente de segurança: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores, tais como: divulgação não autorizada de dados ou de informação sigilosa contida em sistema, arquivo ou base de dados do TRE-CE; invasão de dispositivo informático; interrupção de serviço essencial ao desempenho das atividades; inserção ou facilitação de inserção de dados falsos, alteração ou exclusão de dados corretos nos sistemas informatizados ou bancos de dados do TRE-CE e/ou prática de ato definido como crime ou infração administrativa;

II. Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR): grupo de pessoas com a responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores.

CAPÍTULO I

DOS OBJETIVOS E RESPONSABILIDADES

Art. 4º Este protocolo tem os seguintes objetivos:

I. Disciplinar a criação e funcionamento da Equipe de Tratamento e Resposta a Incidentes na Rede de Computadores (ETIR) no âmbito do Tribunal Regional Eleitoral do Ceará;

II. Promover alinhamento às normas, regulamentações e às melhores práticas, relacionadas à Gestão de Incidentes de Segurança da Informação;

III. Promover ações que contribuam para a resiliência dos serviços de Tecnologia da Informação e Comunicação (TIC) aos ataques cibernéticos.

Art. 5º O Protocolo de Investigação para Ilícitos Cibernéticos e o Protocolo de Gerenciamento de Crises Cibernéticas são complementares e se harmonizam com este Protocolo de Prevenção a Incidentes Cibernéticos.

Art. 6º Para implementação desta norma, áreas envolvidas deverão observar os princípios críticos definidos no PPINC-PJ, que são:

I. Uso de base de conhecimento de defesa;

II. Priorização da segurança da informação;

III. Definição e estabelecimento de métricas;

IV. Diagnóstico contínuo;

V. Formação e capacitação;

VI. Busca de soluções automatizadas de segurança cibernética;

VII. Resiliência.

Art. 7º Cabe à Comissão de Segurança da Informação e ao Comitê de Crises Cibernéticas:

I. Deliberar sobre as principais diretrizes e temas relacionados à Gestão de Incidentes de Segurança da Informação;

II. Monitorar e avaliar periodicamente a estrutura de Gestão de Incidentes de Segurança da Informação e o sistema de controles internos, assim como propor melhorias consideradas necessárias;

III. Aprovar formalmente o processo de Gestão de Incidentes de Segurança da Informação e suas futuras revisões;

IV. Deliberar sobre ações de contenção ou prevenção de incidentes de segurança da informação.

Art. 8º Cabe à Presidência:

I. Analisar as deliberações da Comissão Segurança da Informação e ao Comitê de Crises Cibernéticas sobre Gestão de Incidentes de Segurança da Informação e decidir sobre possíveis providências;

II. Formalizar a aceitação da execução das ações propostas para conter ou prevenir incidentes de segurança da informação;

III. Comunicar ao órgão de polícia judiciária com atribuição para apurar os fatos, na ocorrência de incidentes penalmente relevantes;

IV. Acionar a Comissão de Segurança da Informação e ao Comitê de Crises Cibernéticas, nos termos do Protocolo de Gerenciamento de Crises Cibernéticas, quando necessário.

Art. 9º Cabe às unidades vinculadas à Secretaria de Tecnologia da Informação (STI):

I. Monitorar e comunicar à ETIR os Incidentes de segurança da informação dos ativos sob sua responsabilidade;

II. Assegurar a implementação das ações e dos controles definidos para prevenção e contenção de incidentes de segurança da informação dos ativos sob sua responsabilidade.

Art. 10º Cabe à Assessoria de Cibersegurança (CIBER):

I. Desenvolver, testar e implementar o processo de Gestão de Incidentes de Segurança Cibernética e garantir sua efetividade;

II. Coordenar a instituição, capacitação, implementação e manutenção da infraestrutura necessária à ETIR;

III. Gerenciar as atividades e distribuir tarefas para a ETIR;

IV. Garantir que os incidentes de segurança na Rede de Computadores do TRE-CE sejam devidamente tratados;

V. Adotar procedimentos de feedback para assegurar que os usuários que comuniquem incidentes de segurança da informação e comunicações na rede interna de computadores sejam informados dos procedimentos adotados;

VI. Disseminar cultura voltada para comunicação de incidentes de segurança cibernética;

VII. Subsidiar o Comitê de Segurança da Informação e de Gerenciamento de Crises com informações pertinentes à estrutura de gestão de incidentes de segurança cibernética. Parágrafo único. Cabe ao responsável pela Assessoria Técnica de Segurança Cibernética/STI o papel de Agente Responsável pela ETIR, além de ser a interface com o Centro de Tratamento e Resposta a Incidentes de Segurança em Redes de Computadores da Administração Pública Federal (CTIR GOV).

CAPÍTULO II

DAS FUNÇÕES DO PROTOCOLO DE PREVENÇÃO A INCIDENTES CIBERNÉTICOS

Art. 11 São funções básicas do Protocolo de Prevenção a Incidentes Cibernéticos, conforme função.

Seção I

Da Função "Identificar"

Art. 12 A função "Identificar" consiste na análise dos riscos a que os recursos de TIC estão expostos, incluindo a elaboração e a execução do plano de tratamento dos riscos.

§1º A função identificar é executada dentro do escopo do processo de Gestão de Riscos de Segurança da Informação de TI, instituído em ato próprio, e está limitada aos ativos incluídos no respectivo ciclo de análise de riscos no âmbito do TRE-CE.

§2º O mesmo tratamento previsto no parágrafo § 1º deste artigo deve ser dispensado a ativos considerados relevantes, mesmo que não estejam diretamente relacionados à sustentação dos serviços críticos, que poderiam ser ponto de entrada para a exploração de falhas.

§3º O rol de atividades de TIC consideradas essenciais, para fins deste normativo, é o mesmo constante no ciclo de análise de riscos vigente.

Seção II

Da Função "Proteger"

Art. 13 A função "Proteger" consiste no desenvolvimento e na implementação de salvaguardas que assegurem a proteção de dados, inclusive pessoais, ativos de informação e a prestação de serviços.

§1º A função "Proteger" deve ser implementada pelo conjunto mínimo de ações elencadas a seguir:

I. Aprimoramento contínuo do Sistema de Gestão de Segurança da Informação (SGSI) do TRE-CE;

II. Controle de acesso e de utilização de recursos de TIC;

III. Cópia de segurança e de restauração de sistemas, aplicativos, dados e de documentos;

IV. Plano de contingência dos serviços essenciais;

V. Cestão de capacidade e disponibilidade de TIC dos serviços essenciais;

VI. Processo de gerenciamento de mudanças para todos os ativos de TIC;

VII. Gestão de vulnerabilidades técnicas dos serviços essenciais;

VIII. Utilização de ferramenta de segurança para estações de trabalho, contendo, no mínimo, as funções de antivírus, automação de políticas de segurança de endpoint, proteção contra criptografia (ransomware), controle de aplicativos e de dispositivos removíveis;

IX. Controle de acesso a conteúdo na Internet (filtragem web);

X. Utilização de ferramentas de segurança de rede (firewall), para filtragem e bloqueio de tráfego de rede, prevenção de ameaças e implementação de redes privadas virtuais (VPN);

XI. Integridade da rede protegida por meio da segmentação e segregação de ambientes, de maneira a estabelecer barreiras de contenção de danos em caso de comprometimento (sub-redes distintas por serviços) e para garantia de recursos para serviços prioritários (missão crítica, em detrimento de ambientes de laboratório/desenvolvimento/homologação);

XII. Manter campanha e/ou treinamento sobre segurança da informação para magistrados e servidores;

XIII. Atualização tecnológica constante;

XIV. Implementação gradual dos controles de segurança da informação presentes na Norma NBR 27002;

XV. Implementação gradual dos controles mínimos recomendados no Manual de Referência para Proteção de Infraestruturas Críticas de TIC, editado pelo Conselho Nacional de Justiça, considerando a escala de aplicabilidade de cada controle em relação ao porte e maturidade do TRE-CE em segurança da informação;

XVI. Implementação gradual dos requisitos de resiliência cibernética recomendados no Manual de Prevenção e Mitigação de Ameaças Cibernéticas e Confiança Digital, editado pelo Conselho Nacional de Justiça, considerando a aplicabilidade dos requisitos em relação ao porte e maturidade do TRE-CE em segurança da informação.

§2º As salvaguardas elencadas no § 1º deste artigo devem ser implementadas para todos os ativos de TIC, no que couber, considerados essenciais ou não ao negócio, permitindo variar quanto ao nível de implementação, de acordo com a natureza e criticidade do ativo.

§3º As atualizações dos ativos de TIC (pacotes de segurança, firmware, entre outros) devem ser aplicadas, sempre que possível, tão logo liberadas, mas considerando:

I. Os riscos decorrentes da atualização;

II. Os riscos decorrentes da não aplicação (ou postergação);

III. A criticidade do ativo;

IV. A estabilidade dos serviços.

Seção III

Das Funções "Detectar", "Responder" e "Recuperar"

Art. 14 As atividades decorrentes das funções "Detectar", "Responder" e "Recuperar" devem estar cobertas pelo Processo de Gestão de Incidentes de Segurança Cibernética. Quando houver indícios de ilícitos criminais durante o gerenciamento dos incidentes de segurança, deverá, ainda, ser seguido o Protocolo de Investigação para Ilícitos Cibernéticos. Parágrafo único. Na ocorrência da hipótese prevista no caput deste artigo, o Comitê de Segurança da Informação e de Gerenciamento de Crises Cibernéticas e a Presidência do TRE-CE deverão ser comunicados.

Art. 15 Quando o incidente de segurança da informação decorrer de suspeita de descumprimento da Política de Segurança da Informação, será observado o sigilo durante todo o processo, ficando as evidências, informações e demais registros restritos aos envolvidos na investigação.

Art. 16 Este protocolo deverá ser revisado e atualizado pelo menos a cada 12 (doze) anos, mediante provocação da Secretaria de Tecnologia da Informação e Comunicação (STI).

Art. 17 Os casos omissos serão resolvidos pela Comissão de Segurança da Informação e do Comitê de Crises Cibernéticas.

Art. 18 Qualquer descumprimento desta norma deve ser imediatamente comunicado e registrado pelo Gestor de Segurança da Informação, com consequente adoção das providências cabíveis.

Art. 19 Esta norma complementar deverá ser revisada a cada 12 (doze) meses pela Comissão de Segurança da Informação, sempre que se fizer necessário ou conveniente à este Tribunal.

Art. 20 Esta Portaria entra em vigor na data de sua publicação.

CIENTIFIQUE-SE, PUBLIQUE-SE E CUMPRA-SE.

Fortaleza, 8 de agosto de 2023.

DESEMBARGADOR RAIMUNDO NONATO SILVA SANTOS

Presidente

Este texto não substitui o publicado no DJE/TRE-CE nº 193 de 9.8.2023, pp. 7-11.