PORTARIA Nº 215, DE 31 DE JULHO DE 2023.

O DIRETOR-GERAL DA SECRETARIA DO TRIBUNAL REGIONAL ELEITORAL DO ESTADO DE SÃO PAULO, no uso das suas atribuições legais e regimentais, conforme delegação de competência estabelecida no artigo 2º, inciso I, da Portaria TRE-SP nº 1/2022;

CONSIDERANDO a necessidade de definir processos de Gestão de Ativos no âmbito do Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO a necessidade de apoiar os processos de continuidade de serviços de TI, em caso de eventos de causas naturais, acidentais, tecnológicas ou humanas;

CONSIDERANDO a necessidade de apoiar a gestão do processo de tratamento e resposta a incidentes em redes computacionais no Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO a Resolução CNJ nº 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução TSE nº 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Portaria DG/TSE nº 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO a Resolução TRE-SP nº 580/2022, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral de São Paulo;

CONSIDERANDO as boas práticas em segurança da informação e privacidade previstas nas normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, complementadas pela norma ABNT NBR ISO/IEC 27701;

CONSIDERANDO as boas práticas na gestão da continuidade de negócios previstas nas normas ABNT NBR ISO/IEC 22301 e 22313;

CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls;

CONSIDERANDO a necessidade de implementar controles para o tratamento de dados pessoais, de acordo com a Lei nº 13.709/2018 (LGPD);

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral de São Paulo;

RESOLVE:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º  Fica instituída a Gestão de Ativos, em consonância com a Política de Segurança da Informação (PSI) do Tribunal Regional Eleitoral de São Paulo.

Art. 2º  Para os efeitos da Política de Segurança da Informação do Tribunal Regional Eleitoral de São Paulo, aplicam-se os termos e definições conceituados na Portaria DG/TSE nº 444/2021.

CAPÍTULO II

DO INVENTÁRIO DOS ATIVOS

Art. 3º  Todos os ativos de informação e de processamento que utilizem infraestrutura de Tecnologia da Informação, enquanto permanecerem sob responsabilidade ou custódia do Tribunal Regional Eleitoral de São Paulo, devem ser claramente identificados e inventariados.

Art. 4º  O inventário a que se refere o art. 3º deve incluir todos os ativos de informação e de processamento que utilizem a infraestrutura tecnológica do Tribunal Regional Eleitoral de São Paulo, conectados ou não à rede corporativa, e conter informações indispensáveis:

I - a partir das necessidades de recuperação ou de substituição eficiente dos ativos em caso de desastre;

II - com vistas a atender aos interesses da sociedade e do Estado;

III - para fornecer subsídios aos processos de:

a) Segurança das Infraestruturas Críticas de Informação;

b) Gestão da Segurança da Informação;

c) Gestão de Riscos;

d) Gestão de Continuidade de Negócios;

e) Gerenciamento de Configuração;

f) Gerenciamento de Liberação;

g) Gerenciamento de Problemas;

h) Central de Serviços;

i) Gerenciamento de Mudanças;

j) Gerenciamento de Incidentes;

k) Gestão da Informação e do Conhecimento;

l) Gestão de vulnerabilidades.

Art. 5º  O detalhamento dos ativos deve contemplar, no mínimo, e, quando aplicável, o seguinte conjunto de informações:

I - identificação única;

II - tipo de ativo;

III - descrição do ativo;

IV - localização;

V - unidade responsável;

VI - proprietária (o) do ativo de informação;

VII - custodiante;

VIII - informações complementares sobre software, como versão, fornecedor, formato, data de instalação, licenças de uso, disponibilidade de suporte, cópia de segurança (backup) e aprovação de instalação na rede corporativa;

IX - informações complementares sobre hardware, como endereço de Internet Protocolo (IP), endereço de hardware (MAC Address), nome da máquina.

Art. 6º  Recomenda-se que o detalhamento dos ativos também contemple, sempre que possível:

I - o levantamento das interfaces e das interdependências internas e externas dos ativos de informação considerados críticos, bem como os impactos quando da indisponibilidade ou destruição de tais ativos de informação, seja no caso de incidentes ou de desastres, visando atender aos interesses da sociedade e do Estado;

II - os requisitos de segurança da informação categorizados, no mínimo, em 6 (seis) categorias de controle:

a) Tratamento da informação;

b) Controles de acesso físico e lógico;

c) Gestão de risco de segurança da informação;

d) Tratamento e respostas a incidentes em redes computacionais;

e) Gestão de continuidade dos negócios nos aspectos relacionados à segurança da informação;

f) Gerenciamento de vulnerabilidades.

Art. 7º  O inventário de ativos de TI deve ser único e assegurar compatibilidade e exatidão de conteúdo com outros inventários em uso no Tribunal Regional Eleitoral de São Paulo, a exemplo do controle patrimonial.

Parágrafo único.  As urnas eletrônicas poderão ser controladas em inventário diferenciado, em função de suas especificidades de arquitetura e de utilização.

Art. 8º  As informações registradas no inventário de ativos devem ser revisadas semestralmente, e as anomalias encontradas devem ser apresentadas à Comissão de Segurança da Informação (CSI), conforme definições do processo de gerência de configuração.

Parágrafo único.  Em ano eleitoral, o prazo para revisão das informações será trimestral.

CAPÍTULO III

DA AQUISIÇÃO DE ATIVOS DE TIC

Art. 9º  Deverão ser definidas configurações padronizadas para ativos de TIC, pela Secretaria de Tecnologia da Informação, a serem utilizadas nos processos de aquisição.

Art. 10.  Deverá ser realizada anualmente a revisão das configurações padronizadas.

Art. 11.  As demandas por ativos de TIC que exijam configurações não padronizadas deverão ser submetidas à avaliação prévia quanto à justificativa, aspectos técnicos e de segurança.

Parágrafo único.  A avaliação deverá ser feita por comissão designada pela STI.

CAPÍTULO IV

DA GESTORA E DO GESTOR DOS ATIVOS

Art. 12.  Cada ativo de informação em uso no Tribunal Regional Eleitoral de São Paulo deve ter um(a) proprietário(a) formalmente instituído(a) por sua posição ou cargo, responsável primário(a) pela viabilidade e sobrevivência do ativo.

Art. 13.  A(o) proprietária(o) do ativo de informação deve assumir, no mínimo, as seguintes responsabilidades:

I - descrição do ativo de informação;

II - definição das exigências de segurança da informação do ativo;

III - comunicação das exigências de segurança da informação do ativo a toda(o)s a(o)s custodiantes e usuárias(os);

IV - garantia de cumprimento das exigências de segurança da informação, por meio de monitoramento contínuo e correção de vulnerabilidades com base em relatórios e informações emitidos com frequência mínima mensal pela unidade responsável por ações preventivas de Segurança Cibernética, para cada ativo de TIC conectado à rede de comunicação de dados e serviços ou sistemas disponibilizados na intranet ou internet;

V - indicação dos riscos de segurança da informação que podem afetar os ativos;

VI - garantia da adequada classificação dos ativos sob sua responsabilidade, segundo o grau de segurança das informações neles contidas;

VII - garantia do tratamento adequado, conforme a classificação de segurança das informações nele contidas, de acordo com as orientações descritas na norma de classificação da informação;

VIII - garantia da habilitação de credenciais ou contas de acesso, conforme as restrições ao acesso definidas pelo grau de segurança das informações nele contidas, de acordo com as orientações descritas na norma de classificação da informação;

IX - atualização do inventário quando houver mudança de localização, responsabilidade ou custódia do ativo.

Art. 14.  As (os) proprietárias (os) dos ativos de informação devem estabelecer critérios e práticas que assegurem a segregação de funções para que o controle de um processo ou sistema não fique restrito, na sua totalidade, a uma única pessoa, visando à redução do risco de mau uso acidental ou deliberado dos ativos.

Art. 15.  A (o) proprietária (o) do ativo de informação poderá delegar as tarefas de rotina para um custodiante, providência que não afastará, todavia, a responsabilidade da (o) primeira (o).

CAPÍTULO V

DA GESTÃO DO INVENTÁRIO DOS ATIVOS

SEÇÃO I

DA SEGURANÇA FÍSICA DOS ATIVOS DE PROCESSAMENTO

Art. 16.  Os ativos de processamento que suportam os serviços essenciais de TIC devem ser abrigados em datacenter contido em sala segura.

Art. 17.  As instalações do datacenter devem atender às seguintes diretrizes

I - paredes fisicamente sólidas, sem brechas nem pontos por onde possa ocorrer uma invasão, portas externas adequadamente protegidas por mecanismos de controle contra acesso não autorizado, sem janelas ou, na impossibilidade, com janelas com proteção externa;

II - videomonitoramento de sua área interna e de seu perímetro;

III - controle de acesso físico às áreas e instalações, sob a responsabilidade da STI, utilizando-se dos mecanismos necessários para o controle e registro de data e hora de todas as entradas e saídas, sejam de servidoras e servidores, visitantes ou prestadores de serviço, permitindo-lhes o acesso, desde que previamente autorizados;

IV- mecanismos de autenticação de multifator, para as instalações de processamento, armazenamento e comutação de dados, restritas ao pessoal autorizado;

V - portas corta-fogo com sistema de alarme, monitoradas, que funcionem de acordo com os códigos locais, para minimizar os riscos de ameaças físicas potenciais;

VI - sistemas para detecção de intrusos em todas as portas externas e janelas acessíveis;

VII - instalações de processamento e armazenamento das informações que sejam projetadas para minimizar os riscos de ameaças físicas potenciais, tais como fogo, inundação, enchente, vibrações danosas, explosão, manifestações civis, ataques maliciosos, fumaça, furtos;

VIII - edifícios que sejam dotados de proteção contra raios e que, em todas as linhas de entrada de força e de comunicações, tenham filtros de proteção contra raios;

IX - alimentações alternativas de energia elétrica e telecomunicações, com rotas físicas diferentes;

X - iluminação e comunicação de emergência;

XI - sistema de controle de temperatura e umidade com recurso de emissão de alertas.

SEÇÃO II

CONTROLE DE REDES

Art. 18.  Requisitos mínimos de controle devem ser implementados na rede corporativa para assegurar a gestão adequada dos ativos de processamento (hardwares) inventariados, entre os quais:

I - utilização de ferramenta de varredura ativa ou passiva para manter automaticamente o inventário atualizado;

II - utilização de ferramentas de gerenciamento de endereço IP para atualizar o inventário;

III - controle sobre quais ativos podem ser conectados à rede corporativa;

IV - garantia de remoção da rede corporativa ou de colocação em quarentena de ativos não autorizados ou de atualização do inventário em tempo hábil.

V - garantia de aplicação de patches de segurança para correção de vulnerabilidades que possuam exploits públicos, tão logo o fabricante/desenvolvedor os disponibilize, observando os processos de mudança, liberação e gestão de riscos.

Art. 19.  Requisitos mínimos de controle devem ser implementados na rede corporativa para assegurar a gestão adequada dos ativos de processamento (softwares) inventariados:

I - utilização de ferramenta de inventário para automatizar o registro de todos os softwares utilizados;

II - manutenção de lista atualizada de todos os softwares autorizados em uso;

III - garantia de homologação para uso apenas de software atualmente suportado pelo fornecedor, cabendo a marcação daquele não suportado no inventário como sem disponibilidade de suporte, além de documentação de exceção detalhando os controles de mitigação e a aceitação do risco residual, caso o uso de software sem suporte seja necessário ao cumprimento da missão do tribunal;

IV - integração dos inventários de software e hardware para que todos os ativos associados sejam rastreados em um único local;

V - garantia de remoção de software não autorizado ou de atualização do inventário em tempo hábil;

VI - avaliação regular dos riscos de uso de software físico ou logicamente segregado ou isolado da rede corporativa.

VII - garantia de aplicação de patches de segurança para correção de vulnerabilidades que possuam exploits públicos, tão logo o fabricante/desenvolvedor os disponibilize, respeitando o processo de mudança e liberação.

SEÇÃO III

CONTROLE DE ATIVOS DE PROCESSAMENTO

Art. 20. O processo de gerência de configuração deve assegurar que o inventário dos ativos seja adequadamente gerenciado, atualizado e monitorado em cada fase do ciclo de vida do ativo, quais sejam:

I - aquisição;

II - implementação;

III - manutenção;

IV - descarte.

Art. 21.  Para evitar perdas, danos, furtos ou comprometimento de ativos e interrupção das operações da organização, o Tribunal deve observar as seguintes diretrizes:

I - adotar controles para minimizar o risco de ameaças físicas potenciais e ambientais, como furto incêndio, explosivos, fumaça, água, poeira, vibração, efeitos químicos, interferência com o suprimento de energia elétrica, interferência com as comunicações, radiação eletromagnética e vandalismo;

II - verificar se os suprimentos de energia elétrica, telecomunicações, água, gás, esgoto, calefação/ventilação e sistema de ar-condicionado estão em conformidade com as especificações do fabricante do equipamento e com os requisitos legais da localidade;

III - adotar controles para evitar a retirada de equipamentos do Tribunal sem prévia autorização da unidade competente, conforme regulamentação específica;

IV - utilizar, sempre que possível, racks que disponham de fechaduras com chave ou mecanismo semelhante, garantindo que apenas as equipes responsáveis pelos ativos instalados nos racks tenham acesso físico a eles.

SEÇÃO IV

DA MANUTENÇÃO EXTERNA DOS EQUIPAMENTOS

Art. 22.  A manutenção dos equipamentos de processamento de informações deve seguir as seguintes diretrizes:

I - ser realizada somente por pessoal de manutenção identificado e autorizado;

II - manter registro de todas as falhas, constatadas ou suspeitas, e de todas as operações de manutenção preventiva e corretiva realizadas;

III - eliminar as informações sensíveis do equipamento, quando possível, ou tratar de forma alternativa os riscos de sua exposição;

IV - inspecionar o equipamento, após a manutenção, para garantir que não foi alterado indevidamente e que está em perfeito funcionamento.

SEÇÃO V

DA REUTILIZAÇÃO OU DESCARTE SEGURO DOS EQUIPAMENTOS OU DOS EQUIPAMENTOS EM PROVA DE CONCEITO

Art. 23.  Todos os equipamentos que contenham mídias de armazenamento de dados devem ter as mídias formatadas com técnicas que garantam que dados não possam ser restaurados, antes da reutilização ou descarte, para assegurar que dados sensíveis e softwares licenciados tenham sido removidos ou sobrescritos com segurança.

Parágrafo único.  As mídias que contenham informações com acesso restrito de propriedade intelectual devem ser apagadas fisicamente. Da mesma forma, as informações devem ser destruídas, apagadas ou sobrescritas por meio de técnicas que tornem as informações originais irrecuperáveis.

CAPÍTULO VI

DISPOSIÇÕES FINAIS

Art. 24.  A Secretaria de Gestão da Informação ou a área que detenha tal atribuição, terá acesso ao inventário de que trata o art. 20 para consulta e emissão de relatório, para fins de atualização do Plano de Classificação das Informações e dos Documentos e da Tabela de Temporalidade dos Documentos, bem como para classificação e avaliação dos ativos de informação do Tribunal.

Art. 25.  Os casos omissos e eventuais dúvidas quanto à aplicação desta Portaria serão dirimidos pela Comissão de Segurança da Informação do Tribunal Regional Eleitoral de São Paulo.

Art. 26.  A STI elaborará, em até 120 dias, os procedimentos operacionais para aplicação desta Portaria que levem em conta as boas práticas de cibersegurança e os recursos tecnológicos disponíveis.

Art. 27.  Esta Portaria deverá ser revisada a cada 12 meses pela Gestora ou pelo Gestor de Segurança da Informação e encaminhada para nova apreciação da Comissão de Segurança da Informação (CSI).

Art. 28.  O descumprimento não fundamentado desta Portaria deve ser comunicado e registrado como incidente de segurança da informação pela Gestora ou pelo Gestor de Segurança da Informação e será objeto de apuração pela unidade competente do Tribunal com consequente aplicação das penalidades cabíveis a cada caso.

Art. 29.  Esta Portaria entra em vigor na data de sua publicação e sua implementação iniciará imediatamente e deverá estar totalmente implantada no prazo de 6(seis) meses a contar desta data.

CLAUCIO CRISTIANO ABREU CORRÊA

DIRETOR-GERAL