PORTARIA Nº 217, DE 30 DE JULHO DE 2023.

O DIRETOR-GERAL DA SECRETARIA DO TRIBUNAL REGIONAL ELEITORAL DO ESTADO DE SÃO PAULO, no uso de suas atribuições legais e regulamentares, conforme delegação de competência estabelecida no artigo 2º, inciso I, da Portaria TRE-SP nº 1/2022;

CONSIDERANDO a necessidade de definir processos de Gestão de Riscos no âmbito do Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO a necessidade de apoiar os processos de continuidade de serviços de TI, em caso de eventos de causas naturais, acidentais, tecnológicas ou humanas;

CONSIDERANDO a necessidade de apoiar a gestão do processo de tratamento e resposta a incidentes em redes computacionais no Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO a Resolução CNJ nº 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução TSE nº 23.644/2021, que institui a Política de Segurança da Informação PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Portaria DG/TSE nº 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO a Resolução TRE-SP nº 580/2022, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral de São Paulo;

CONSIDERANDO a Resolução TRE-SP nº 579/2022, que dispõe sobre a Gestão de Riscos Corporativos do Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO as boas práticas em segurança da informação e privacidade previstas nas normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, complementadas pela norma ABNT NBR ISO/IEC 27701;

CONSIDERANDO as boas práticas em gestão de riscos de segurança da informação previstas na norma ABNT NBR ISO/IEC 27005;

CONSIDERANDO as boas práticas na gestão da continuidade de negócios previstas nas normas ABNT NBR ISO/IEC 22301 e 22313;

CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls;

CONSIDERANDO a necessidade de implementar controles para o tratamento de dados pessoais, de acordo com a Lei nº 13.709/2018 (LGPD);

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral de São Paulo;

RESOLVE:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º  Fica instituída a Gestão de Riscos de Segurança da Informação, em consonância com a Política de Segurança da Informação (PSI) do Tribunal Regional Eleitoral de São Paulo.

Parágrafo único.  As demais Portarias da Política de Segurança da Informação do TRE-SP deverão ser consideradas na observação das regras e dos procedimentos contidos nesta Portaria.

Art. 2º  Esta Portaria integra a Política de Segurança de Informação da Justiça Eleitoral de São Paulo, estabelecida pela Resolução TRE-SP nº 580/2022.

CAPÍTULO II

DAS DEFINIÇÕES GERAIS

Art. 3º  Para efeitos desta Portaria consideram-se os termos e definições previstos na Portaria DG/TSE nº 444/2021, além das seguintes:

I - Contexto Externo - Conjunto de circunstâncias a que o risco de segurança da informação está associado, com perspectiva focada na sociedade.

II - Contexto Interno - Conjunto de circunstâncias a que o risco de segurança da informação está associado, com perspectiva focada apenas no ambiente interno da instituição.

III - Proprietário do Risco - Unidade Organizacional responsável pelo ativo ou processo de negócio a que o risco se refere.

Art. 4º  Considere-se, no que couber, a Política de Gestão de Riscos do TRE-SP, de acordo com a Resolução nº 579/2022.

Art. 5º  São considerados Gestoras ou Gestores de riscos as responsáveis e os responsáveis pelas unidades organizacionais do TRE-SP, a Gestora ou o Gestor de segurança da informação, a encarregada ou o encarregado de dados pessoais e a Gestora ou o Gestor de continuidade de negócios.

Art. 6º  Esta Portaria segue as diretrizes da norma ABNT NBR ISO/IEC 27005:2019, na implementação e na operação do SGSI (Sistema de Gestão de Segurança da Informação).

Art. 7º  Todos os novos sistemas de informação, sejam estes desenvolvidos internamente, obtidos de outras instituições ou adquiridos de fornecedor externo, deverão passar por análise de riscos de segurança da informação antes de sua implementação.

CAPÍTULO III

DA DEFINIÇÃO DO CONTEXTO DO RISCO

Art. 8º  Para a definição dos contextos externos e internos devem ser considerados os fatores humanos, tecnológicos, organizacionais e de imagem da Justiça Eleitoral, além da:

1. Identificação dos ativos de informação;

2. Identificação das ameaças;

3. Identificação das vulnerabilidades;

4. Proteção de dados pessoais, de acordo com a LGPD;

5. Identificação das partes interessadas.

CAPÍTULO IV

DO PROCESSO DE AVALIAÇÃO DO RISCO

Art. 9º  O processo de avaliação do risco deve seguir os seguintes passos:

I - Identificação: Reconhecimento do contexto, dos ativos, das ameaças e das vulnerabilidades, dos controles existentes, no que tange a integridade, a disponibilidade e a confidencialidade da informação, independente da fonte ou causa do risco estar ou não sob o controle da organização;

II - Análise: A análise do risco deve levar em conta a criticidade dos ativos de informação, a extensão das vulnerabilidades conhecidas e dos incidentes anteriores registrados;

III - Avaliação: A avaliação do risco se dará pela comparação da tabela de impacto x probabilidade com o apetite ao risco estabelecido pela organização, definindo as medidas de tratamento aplicáveis.

Art. 10.  Para a análise qualitativa do risco, considera-se o apetite ao risco o grau máximo de 12 (médio), em escala de 25 pontos.

Parágrafo único.  Caso a análise dos riscos seja quantitativa, caberá à Comissão de Segurança da Informação o aceite do risco no caso concreto.

CAPÍTULO V

DO TRATAMENTO DO RISCO

Art. 11.  O tratamento do risco, elaborado após criteriosa avaliação, deverá atuar para modificar, reter, compartilhar ou evitar os riscos, por meio de controles e ações adequados.

CAPÍTULO VI

DA ACEITAÇÃO DO RISCO

Art. 12.  A aceitação do risco residual, o qual esteja além do limite do apetite ao risco definido, deverá ser feito por autoridade, após análise e parecer da Comissão de Segurança da Informação.

CAPÍTULO VII

DA COMUNICAÇÃO E CONSULTA DO RISCO

Art. 13.  Os riscos deverão ser comunicados e compartilhados entre as partes interessadas.

CAPÍTULO VIII

DO MONITORAMENTO E ANÁLISE CRÍTICA DO RISCO

Art. 14.  O monitoramento e análise crítica dos riscos em segurança da informação deverão ser efetuados pela Gestora ou pelo Gestor de segurança da informação e pelo Comissão de Segurança da Informação, por meio de subsídios a serem encaminhados pelas áreas proprietárias do risco.

Art. 15.  Os riscos elencados devem ser reavaliados com periodicidade mínima anual.

Parágrafo único.  Em ano eleitoral, os riscos elencados deverão ser reavaliados, no máximo, com dois meses de antecedência da data do primeiro turno.

Art. 16.  Os riscos de segurança da informação devem ser monitorados, preferencialmente, por meio de solução, permitindo o acesso às partes interessadas e à alta administração.

Parágrafo único.  Na impossibilidade de adoção de sistema informatizado para monitoramento dos riscos, devem ser adotados controles manuais, cujo controle ficará a cargo da Gestora ou do Gestor de Segurança da Informação.

DISPOSIÇÕES FINAIS

Art. 17.  Deverá ser designado, pela Secretaria de Tecnologia da Informação, reunindo integrantes das unidades a ela subordinadas, Grupo Técnico de Análise de Riscos de Segurança da Informação.

Art. 18.  O Grupo Técnico de Análise de Riscos de Segurança da Informação e a Gestora ou o Gestor de Segurança da Informação apoiarão as demais unidades organizacionais quando da elaboração da análise de riscos de segurança da informação.

Art. 19.  Os casos omissos e eventuais dúvidas quanto à aplicação desta Portaria serão dirimidos pela Comissão de Segurança da Informação do Tribunal Regional Eleitoral de São Paulo.

Art. 20.  A STI elaborará, em até 120 dias, os procedimentos operacionais para aplicação desta Portaria que levem em conta as boas práticas de cibersegurança e os recursos tecnológicos disponíveis.

Art. 21.  Esta Portaria deverá ser revisada a cada 12 meses pela Gestora ou pelo Gestor de Segurança da Informação e encaminhada para nova apreciação da Comissão de Segurança da Informação (CSI).

Art. 22.  O descumprimento não fundamentado desta Portaria deve ser comunicado e registrado como incidente de segurança da informação pela Gestora ou pelo Gestor de Segurança da Informação e será objeto de apuração pela unidade competente do Tribunal com consequente aplicação das penalidades cabíveis a cada caso.

Art. 23.  Esta Portaria entra em vigor na data de sua publicação e sua implementação iniciará imediatamente e deverá estar totalmente implantada no prazo de 12 (doze) meses a contar desta data.

CLAUCIO CRISTIANO ABREU CORRÊA

DIRETOR-GERAL