Tribunal Regional Eleitoral - CE
Diretoria-Geral
Assessoria de Acessibilidade, Sustentabilidade, Compliance, Integridade e Riscos
RESOLUÇÃO Nº 671, DE 5 DE DEZEMBRO DE 2017
Institui a POSIC (Política de Segurança da Informação e Comunicações) no âmbito da Justiça Eleitoral do Ceará.
O TRIBUNAL REGIONAL ELEITORAL DO CEARÁ, no uso de suas atribuições conferida pelo Art. 16, IX, de seu regimento interno, por sua composição plena, e
CONSIDERANDO a Lei Nº 12.527, de 18 de Novembro de 2011, que versa sobre o acesso à informação previsto na Constituição Federal;
CONSIDERANDO a Resolução nº 211, de 15 de dezembro de 2015, do Conselho Nacional de Justiça, que, em seu art. 9º, determina que cada órgão deverá elaborar e aplicar política, gestão e processo de segurança da informação a serem desenvolvidos em todos os níveis da instituição, por meio de um Comitê Gestor de Segurança da Informação – CGSI, e em harmonia com as diretrizes nacionais preconizadas pelo Conselho Nacional de Justiça;
CONSIDERANDO a Resolução nº 23.501, de 19 de dezembro de 2016, do Tribunal Superior Eleitoral, que institui a PSI (Política de Segurança da Informação) no âmbito da Justiça Eleitoral;
CONSIDERANDO que o Tribunal produz e custodia informações no exercício de suas competências e que o sigilo dessas informações deve ser preservado;
CONSIDERANDO a necessidade de implementar neste Regional a POSIC (Política de Segurança da Informação e Comunicação), visando preservar a confidencialidade, integridade, disponibilidade, autenticidade, irretratabilidade e conformidade dos ativos de Informação da Justiça Eleitoral do Ceará, sob o condão dos princípios que regem a Administração Pública;
RESOLVE:
Capítulo I
DAS DISPOSIÇÕES GERAIS
Art. 1º Institui-se a Política de Segurança da Informação e Comunicação no âmbito da Justiça Eleitoral do Ceará, doravante denominada POSIC, na forma desta resolução.
Parágrafo único. As referências legais que embasam este normativo encontram-se relacionadas no anexo único.
Capítulo II
DO OBJETIVO E DO ESCOPO
Art. 2º A POSIC (Política de Segurança da Informação e Comunicações) é uma declaração formal acerca do compromisso com a proteção das informações de sua propriedade e/ou custodiada.
Parágrafo único. O propósito da POSIC é direcionar o TRE-CE (Tribunal Regional Eleitoral do Ceará) no que diz respeito à gestão de riscos e ao tratamento dos incidentes de SIC (Segurança da Informação e Comunicações), por meio da adoção de procedimentos e mecanismos, que visam a eliminação ou redução da ocorrência de modificações não autorizadas, bem como garantam a disponibilidade de recursos e sistemas críticos para a continuidade dos negócios do TRE-CE, em conformidade com a legislação vigente, normas pertinentes, requisitos regulamentares e contratuais, valores éticos e as melhores praticas de SIC.
Art. 3º Esta POSIC tem por objetivo instituir diretrizes estratégicas, responsabilidades e competências, de acordo com princípios fundamentais da segurança da informação conforme padrões internacionais, visando assegurar a confidencialidade, integridade, disponibilidade, autenticidade, irretratabilidade e conformidade dos dados, informações, documentos produzidos, armazenados ou transmitidos por quaisquer meios dos sistemas de informação do TRE-CE, contra ameaças e vulnerabilidades, de modo a preservar os seus ativos de informação, inclusive a imagem institucional.
Art. 4º Esta POSIC se aplica a todos os magistrados, servidores efetivos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo, estagiários, prestadores de serviço, colaboradores e usuários externos, outros órgãos públicos, ou entidades privadas contratadas ou com parcerias celebradas, acordos de cooperação de qualquer tipo, convênios e termos congêneres que fazem uso dos ativos de informação e de processamento no âmbito da Justiça Eleitoral.
Parágrafo único. Os destinatários desta POSIC, relacionados no caput, são corresponsáveis pela segurança da informação e comunicação, de acordo com os preceitos estabelecidos nesta resolução.
Capítulo III
DOS PRINCÍPIOS
Art. 5º As ações relacionadas com a SIC no TRE-CE são norteadas pelos seguintes princípios, assim definidos:
I - confidencialidade – garantia que a informação não seja disponível ou revelada à pessoa física, sistema, órgão ou entidade não autorizada;
II - integridade – garantia que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;
III - disponibilidade – garantia de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade autorizada;
IV - autenticidade – garantia de que a informação foi produzida, enviada, modificada ou destruída dentro dos preceitos legais e normativos, por pessoa física, ou por sistema, órgão ou entidade autorizada;
V - irretratabilidade (não-repúdio) – garantia de que a autoria da informação não pode ser negada em uma alteração anteriormente feita, por pessoa física, ou por sistema, órgão ou entidade autorizada;
VI - conformidade – garantia de que a informação produzida, enviada, modificada ou destruída obedece às normas, leis, estatutos, regulamentações ou obrigações contratuais, requisitos legais e quaisquer requisitos de segurança da informação.
Capítulo IV
DAS DEFINIÇÕES
Art. 6º Para efeito desta resolução, aplicam-se as seguintes definições:
I - ameaça: conjunto de fatores externos ou causa potencial de acidente indesejado, que pode resultar em dano para um sistema de informação ou para o TRE-CE;
II - ativo: qualquer componente humano ou tecnológico que tenha ou gere valor para a instituição;
III - ativo de Informação: são os meios de transmissão, armazenamento e processamento, os sistemas de informação, bem como os locais onde se encontram estes meios e as pessoas que a eles tem acesso;
IV - ETIR (Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais) – grupo de pessoas com a responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança em redes computacionais;
V - CSI (Comissão de Segurança da Informação): criada pela Portaria nº 280/17, com objetivo de coordenar e monitorar as ações atinentes à Segurança da Informação e Comunicação;
VI - GSIC (Gestor de Segurança da Informação e Comunicação): servidor do quadro efetivo do TRE/CE, responsável pelas ações na área de segurança da informação e comunicação, nos termos da Resolução TSE nº 23.501/2016;
VII - incidentes em segurança da informação: qualquer indício de fraude, sabotagem, desvio, falha ou evento indesejado ou inesperado que tenha probabilidade de comprometer as operações do negócio ou ameaçar a SIC (Segurança da Informação e Comunicação);
VIII - incidentes de segurança da informação em redes computacionais: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de informação ou redes de computadores;
IX - SIC (Segurança da Informação e Comunicação): ações que objetivam viabilizar e assegurar a confidencialidade, integridade, disponibilidade, autenticidade, irretratabilidade e conformidade das informações, abrangendo não somente os aspectos tecnológicos, mas também recursos humanos e processos;
X - usuário: aquele que utiliza, de forma autorizada, recursos inerentes às atividades precípuas da Justiça Eleitoral do Ceará;
XI - vulnerabilidade: qualquer fragilidade dos sistemas computacionais e redes de computadores que permita a exploração maliciosa e acessos indesejáveis ou não autorizados.
Capítulo V
DAS DIRETRIZES GERAIS
Art. 7º Deverão ser criadas, conforme o caso, normas, procedimentos, planos e/ou processos para os seguintes temas:
I - gestão de ativos;
II - controle de acesso;
III - gestão de riscos;
IV - gestão de continuidade do negócio;
V - tratamento de incidentes de redes;
VI - gestão de incidentes de segurança da informação;
VII - auditoria e conformidade;
VIII - serviços de internet e correio eletrônico corporativo;
IX - desenvolvimento de sistemas seguros;
X - processo de tratamento da informação.
Parágrafo único. Conforme necessidade e conveniência, poderão ser criados normativos sobre outras matérias.
Capítulo VI
DAS COMPETÊNCIAS
Art. 8º Compete a todas as unidades da Justiça Eleitoral do Ceará:
I - conhecer, apoiar e cumprir esta POSIC e suas normatizações;
II - promover cultura de segurança da informação e comunicações;
III - executar as normas e procedimentos estabelecidos pela CSI;
IV - gerenciar os ativos sob sua responsabilidade.
Art. 9º Compete à PRESI (Presidência) nomear ou delegar à Diretoria–Geral a nomeação do(a):
I - Comissão de Segurança da Informação;
II - Gestor de Segurança da Informação e Comunicação e seu substituto;
III - Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais.
Art. 10 Compete à CRE (Corregedoria Regional Eleitoral) empreender medidas e expandir normas para adequar as práticas cartorárias a esta POSIC.
Art. 11 Compete à DIGER (Diretoria-Geral):
I - prover recursos financeiros necessários a implantação desta POSIC, inclusive a exequibilidade do Plano de Continuidade de Negócio do Tribunal, abrangendo sua manutenção, treinamento e testes periódicos, quando no exercício da ordenação de despesas por delegação;
II - dar o devido encaminhamento administrativo às propostas da CSI de ações corretivas e disciplinares nos casos de violações de segurança.
Art. 12 Compete à STI (Secretaria de Tecnologia da Informação):
I - propor dotação orçamentária específica para ações de segurança da informação e comunicações;
II - garantir o alinhamento estratégico entre esta POSIC, suas normatizações, ações de segurança da informação e comunicação, e os planos PEJECE (Plano Estratégico Institucional) e PETIC (Plano de Tecnologia da Informação e Comunicação), regulamentados, respectivamente, pelas Resoluções TRE/CE nº 579, de 11 de dezembro de 2014, e nº 595, de 27 de julho de 2015;
III - fornecer suporte material e estrutural necessário à operacionalização da POSIC e suas normatizações;
IV - subsidiar a CSI com as informações técnicas necessárias aplicadas à segurança da informação e comunicação.
Art. 13 Compete à SAD (Secretaria de Administração):
I - implantar controles nos ambientes físicos visando prevenir ações e acesso não autorizado às instalações e ao patrimônio da Justiça Eleitoral;
II - implantar controles e proteção contra ameaças externas ou decorrentes do meio ambiente;
III - assegurar que os colaboradores das prestadoras de serviços contratadas conheçam suas atribuições e responsabilidades em relação à segurança da informação e comunicação.
Art. 14 Compete a SGP (Secretaria de Gestão de Pessoas):
I - apoiar a Comissão de Segurança da Informação e Comunicação na missão de assegurar que os magistrados, membros do Ministério Público, servidores efetivos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo e estagiários conheçam suas atribuições e responsabilidades em relação a segurança da informação e comunicação;
II - promover a capacitação dos servidores que integram a estrutura da gestão da segurança da informação, no que for pertinente.
Art. 15 Compete à (ASCOM) Assessoria de Comunicação em conjunto com a Comissão de Segurança da Informação e Comunicação:
I - promover campanhas de conscientização sobre a importância da Segurança da Informação e comunicações;
II - divulgar esta POSIC.
Art. 16 Compete à CSI (Comissão de Segurança da Informação), sem prejuízo de suas demais competências, estabelecidas pela Portaria nº 280/2017:
I - aprovar as normas e procedimentos, visando à regulamentação das diretrizes fixadas nesta POSIC (Política de Segurança da Informação e Comunicação) da Justiça Eleitoral do Ceará, em conformidade com a legislação vigente;
II - definir o plano de monitoramento e auditoria periódica da segurança da informação, nos termos desta POSIC;
III - promover a análise dos relatórios e recomendar ações apropriadas para os incidentes de segurança identificados;
IV - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação e comunicações.
Art. 17 Compete ao GSI (Gestor de Segurança da Informação), sem prejuízo do disposto na Política de Segurança da Informação da Justiça Eleitoral, instituída pelo TSE:
I - coordenar a aplicação desta POSIC e suas normatizações;
II - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;
III - coordenar as atividades da ETIR (Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais).
Capítulo VII
DA SANÇÕES E PENALIDADES
Art. 18 O descumprimento ou violação das regras previstas na POSIC (Política de Segurança de Informação), pelo usuário, resultará na aplicação das sanções previstas em regulamentações internas e legislação vigente.
Capítulo VIII
DA ATUALIZAÇÃO
Art. 19 Esta norma e os instrumentos normativos gerados a partir dela deverão ser revisados sempre que se fizerem necessários.
Capítulo IX
DAS DISPOSIÇÕES FINAIS
Art. 20 A POSIC instituída por esta resolução deverá ser publicada e amplamente promovida, garantindo seu amplo conhecimento para adequado usufruto dos benefícios e assunção das responsabilidades sobre os ativos de informação do Tribunal Regional Eleitoral do Ceará.
Art. 21 O processo de aquisição de bens e serviços relacionados a ativos de informação no TRE-CE deverão observar a conformidade desta POSIC.
Art. 22 Casos omissos desta POSIC serão resolvidos pela CSI (Comissão de Segurança da Informação).
Art. 23 Esta resolução entra em vigor na data da sua publicação, revogadas as normas anteriores relativas à matéria.
Sala das Sessões do Tribunal Regional Eleitoral do Ceará, em Fortaleza, aos 5 dias do mês de dezembro do ano de 2017.
Desa. Maria Nailde Pinheiro Nogueira
PRESIDENTE
Des. Haroldo Correia de Oliveira Máximo
VICE-PRESIDENTE
Dr. Cássio Felipe Goes Pacheco
JUIZ
Dr. Alcides Saldanha Lima
JUIZ
Dr. Roberto Viana Diniz de Freitas
JUIZ
Dr. Tiago Asfor Rocha Lima
JUIZ
Dr. Francisco Eduardo Torquato Scorsafava
JUIZ
Dr. Anastácio Nóbrega Tahim Júnior
PROCURADOR REGIONAL ELEITORAL
Este texto não substitui o publicado no DJE/TRE-CE nº 228 de 7.12.2017, pp. 11-14.