PORTARIA Nº 220, DE 31 DE JULHO DE 2023

O DIRETOR-GERAL DA SECRETARIA DO TRIBUNAL REGIONAL ELEITORAL DO ESTADO DE SÃO PAULO, no uso de suas atribuições legais e regulamentares, conforme delegação de competência estabelecida no artigo 2º, inciso I, da Portaria TRE-SP nº 1/2022;

CONSIDERANDO a necessidade de definir processos de Continuidade de Serviços Essenciais de Tecnologia da Informação e Comunicação no âmbito do Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO a necessidade de apoiar os processos de continuidade de serviços de TI, em caso de eventos de causas naturais, acidentais, tecnológicas ou humanas;

CONSIDERANDO a necessidade de apoiar a gestão do processo de tratamento e resposta a incidentes em redes computacionais no Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO a Resolução CNJ 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução TSE 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Portaria DG/TSE 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO a Resolução TRE-SP 580/2022, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral de São Paulo;

CONSIDERANDO as boas práticas em segurança da informação e privacidade previstas nas normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, complementadas pela norma ABNT NBR ISO/IEC 27701;

CONSIDERANDO as boas práticas na gestão da continuidade de negócios previstas nas normas ABNT NBR ISO/IEC 22301 e 22313;

CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls;

CONSIDERANDO a necessidade de implementar controles para o tratamento de dados pessoais, de acordo com a Lei 13.709/2018 (LGPD);

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral de São Paulo;

RESOLVE:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º  Fica instituída a Portaria para Continuidade de Serviços Essenciais de TI, em consonância com a Política de Segurança da Informação (PSI) do Tribunal Regional Eleitoral de São Paulo.

Art. 2º  Esta Portaria integra a Política de Segurança de Informação da Justiça Eleitoral de São Paulo, estabelecida pela Resolução TRE-SP 580/2022.

Art. 3º  Considere-se, no que couber, a Política de Gestão de Continuidade de Negócios do TRE /SP, instituída pela Resolução TRE-SP 553/2021, que institui o Sistema de Gestão de Continuidade de Negócios, da qual esta Portaria também será integrante.

Art. 4º  Será elaborado um plano operacional de continuidade de serviços de TI, considerando os processos e ativos críticos, no prazo máximo de 180 dias.

CAPÍTULO II

DAS DEFINIÇÕES

Art. 5º  Para efeitos desta Portaria consideram-se os termos e definições previstos na Portaria DG /TSE 444/2021, além das seguintes:

I - PCNSTI - Plano de continuidade de serviços de TI - Plano de nível operacional que contém os detalhes para manter ou recuperar as atividades da organização frente a incidentes que causem uma disrupção;

II - Objetivo de Tempo de Recuperação (OTR/RTO) - Período de tempo gasto pela organização para recuperar uma atividade ou processo crítico após sua interrupção;

III - O Objetivo do Ponto de Recuperação (OPR/RPO) - Posição (no tempo) na qual deverão estar disponíveis os dados das aplicações recuperadas após a ocorrência de uma disrupção;

IV - O Período Máximo de Interrupção Tolerável (PMIT/MTO) - Tempo necessário para que os impactos adversos se tornem inaceitáveis, que pode surgir como resultado de não fornecer um produto/serviço ou realizar uma atividade;

V - Análise de Impacto no Negócio (AIN/BIA) - Documento que registra a análise de uma disrupção na organização ao longo do tempo;

VI - Disrupção - Incidente, seja previsto ou imprevisto, que causa um desvio não planejado e negativo da expectativa de entrega de produtos e serviços de acordo com os objetivos da organização.

CAPÍTULO III

DO ESTABELECIMENTO DO CONTEXTO

Art. 6º  Para estabelecimento do contexto para criação do PCNSTI deverão ser analisados:

I - o documento de Análise de Impacto no Negócio (AIN/BIA), que será elaborado pelo Gestor de Continuidade de Negócios;

II - os sistemas e aplicativos descritos como essenciais ou críticos para o negócio, conforme definidos em Portaria específica;

III - os macroprocessos de trabalho e sua importância para a organização;

IV - a infraestrutura tecnológica em uso ou em implantação.

Art. 7º  O contexto estabelecido deve ser apresentado ao Comitê Gestor de Segurança da Informação e ao Comitê Gestor de Continuidade de Negócios para validação.

CAPÍTULO IV

DO PLANEJAMENTO

Art. 8º  A Análise de Impacto no Negócio (AIN/BIA) é documento oficial de avaliação e planejamento da continuidade de negócios. Nela deverão constar, no mínimo:

I - os objetivos institucionais;

II - os macroprocessos de trabalho afetados;

III - as pessoas impactadas;

IV - os ativos de informação impactados;

V - a avaliação dos riscos;

VI - a definição dos tempos de possíveis perdas e interrupções.

CAPÍTULO V

DAS PERDAS E INTERRUPÇÕES

Art. 9º  O Objetivo de Tempo de Recuperação (OTR/RTO) fica definido em:

I - Sistemas críticos: 24h;

II - Sistemas não-críticos: 72h;

III - Infraestrutura de rede, incluindo equipamentos de comunicação, infraestrutura de virtualização, servidores de DNS e DHCP, serviços de autenticação (Active Directory e Single-Sign-On): 12h;

IV - Sistemas de homologação e testes: Sem tempo definido.

Art. 10.  O Objetivo do Ponto de Recuperação (OPR/RPO) fica definido em:

I - Sistemas críticos: 12h;

II - Sistemas não-críticos: 72h;

III - Infraestrutura de rede, incluindo equipamentos de comunicação, infraestrutura de virtualização, servidores de DNS e DHCP, serviços de autenticação (Active Directory e Single-Sign-On): 6h.

Art. 11.  O Período Máximo de Interrupção Tolerável (PMIT/MTO) fica definido em:

I - Sistemas críticos: 72h;

II - Sistemas não-críticos: 168h;

III - Infraestrutura de rede, incluindo equipamentos de comunicação, infraestrutura de virtualização, servidores de DNS e DHCP, serviços de autenticação (Active Directory e Single-Sign-On): 48h;

IV - Sistemas de homologação e testes: Sem tempo definido.

Art. 12.  A Gestora ou o Gestor de Continuidade de Negócios elaborará plano para continuidade dos serviços de TI, em conjunto com as áreas técnicas, conforme níveis de serviço previstos no capítulo V e em consonância com a Política de Gestão de Continuidade de Negócios, estabelecida pela Resolução TRE-SP 553/2021.

Art. 13.  O plano de continuidade de serviços de TI será aprovado pela Comissão de Segurança da Informação e publicado somente na Intranet, com acesso restrito, evitando exposição desnecessária de informações relativas à segurança do ambiente computacional.

Art. 14.  A Gestora ou o Gestor de Continuidade de Negócios é responsável por elaborar e manter a documentação sobre o plano de continuidade de serviços de TI.

Art. 15.  O plano será testado semestralmente, unificado ou em partes, de acordo com a maturidade e com a disponibilidade das equipes técnicas.

Art. 16.  O resultado dos testes será documentado e posteriormente avaliado pela Comissão de Segurança da Informação, que poderá solicitar ajustes ou outras providências.

Art. 17.  O plano de continuidade de serviços de TI deverá ter cópias físicas impressas em locais de fácil acesso aos gestores das equipes técnicas responsáveis pela sua execução.

Art. 18.  A política de cópias de segurança (backup) deve suportar os níveis de serviço previstos no capítulo V.

CAPÍTULO VII

DISPOSIÇÕES FINAIS

Art. 19.  Os casos omissos e eventuais dúvidas quanto à aplicação desta Portaria serão dirimidos pela Comissão de Segurança da Informação ou pelo Comitê Gestor de Continuidade Negócios do Tribunal Regional Eleitoral de São Paulo.

Art. 20.  A STI elaborará, em até 120 dias, os procedimentos operacionais para aplicação desta Portaria que levem em conta as boas práticas de cibersegurança e os recursos tecnológicos disponíveis.

Art. 21.  Esta Portaria deverá ser revisada a cada 12 meses pela Gestora ou pelo Gestor de Segurança da Informação e encaminhada para nova apreciação da Comissão de Segurança da Informação (CSI).

Art. 22.  O descumprimento não fundamentado desta Portaria deve ser comunicado e registrado como incidente de segurança da informação pela Gestora ou pelo Gestor de Segurança da Informação e será objeto de apuração pela unidade competente do Tribunal com consequente aplicação das penalidades cabíveis a cada caso.

Art. 23.  Esta Portaria entra em vigor na data de sua publicação e sua implementação iniciará imediatamente e deverá estar totalmente implantada no prazo de 12 (doze) meses a contar desta data.

CLAUCIO CRISTIANO ABREU CORRÊA

DIRETOR-GERAL