PORTARIA Nº 221, DE 31 DE JULHO DE 2023.

O DIRETOR-GERAL DA SECRETARIA DO TRIBUNAL REGIONAL ELEITORAL DO ESTADO DE SÃO PAULO, no uso de suas atribuições legais e regulamentares, conforme delegação de competência estabelecida no artigo 2º, inciso I, da Portaria TRE-SP nº 1/2022;

CONSIDERANDO a necessidade de definir processos de Gestão de Incidentes de Segurança da Informação no âmbito do Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO a necessidade de apoiar os processos de continuidade de serviços de TI, em caso de eventos de causas naturais, acidentais, tecnológicas ou humanas;

CONSIDERANDO a necessidade de apoiar a gestão do processo de tratamento e resposta a incidentes em redes computacionais no Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO a Resolução CNJ 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução TSE 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Portaria DG/TSE 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO a Resolução TRE-SP 580/2022, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral de São Paulo;

CONSIDERANDO as boas práticas em segurança da informação e privacidade previstas nas normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, complementadas pela norma ABNT NBR ISO/IEC 27701;

CONSIDERANDO as boas práticas na gestão da continuidade de negócios previstas nas normas ABNT NBR ISO/IEC 22301 e 22313;

CONSIDERANDO as boas práticas em gestão de incidentes de segurança da informação previstas nas normas ABNT NBR ISO/IEC 27035;

CONSIDERANDO as boas práticas de resposta à incidentes previstas no guia NIST SP-800-61;

CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls;

CONSIDERANDO a necessidade de implementar controles para o tratamento de dados pessoais, de acordo com a Lei 13.709/2018 (LGPD);

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral de São Paulo;

RESOLVE:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º  Fica instituída Portaria para gestão de incidentes de segurança da informação, em consonância com a Política de Segurança da Informação (PSI) do Tribunal Regional Eleitoral de São Paulo.

Art. 2º  Esta Portaria integra a Política de Segurança de Informação da Justiça Eleitoral de São Paulo, estabelecida pela Resolução TRE-SP 580/2022.

CAPÍTULO II

DAS DEFINIÇÕES

Art. 3º  Para efeitos desta norma consideram-se os termos e definições previstos na Portaria DG /TSE 444/2021, além dos seguintes:

I - ANPD - Agência Nacional de Proteção de Dados Pessoais.

II - CTIR GOV - Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo.

III - ETIR (Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais) - Equipe de tecnologia da informação, de constituição multidisciplinar, coordenada por um Agente Responsável.

IV - Evento de segurança da informação: Alguma mudança de estado em algum ativo ou serviço de TI, como troca de uma senha, log de acesso a um serviço web, bloqueio da execução de um aplicativo pelo antivírus etc.

V - Incidente de segurança da informação: Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de informação ou das redes de computadores.

VI - Incidente de segurança da informação com dados pessoais: Qualquer incidente de segurança à proteção de dados pessoais, sendo acesso não autorizado, acidental ou ilícito que resulte em destruição, perda, alteração, vazamento ou qualquer forma de tratamento de dados ilícita ou inadequada, que tem a capacidade de pôr em risco os direitos e as liberdades dos titulares dos dados pessoais.

VII - Incidente grave - Incidente de segurança da informação de maior impacto para a organização, que prejudica de forma intensa a utilização dos serviços de TI ou expõe dados de forma indevida, devendo ser priorizado em relação aos demais incidentes.

VIII - Objetivo de Tempo de Recuperação (OTR/RTO) - Período de tempo gasto pela organização para recuperar uma atividade ou processo crítico após sua interrupção, que será definido em Portaria específica.

IX - Resposta a incidentes: Ação tomada para proteger e restaurar as condições operacionais dos sistemas de informação e as informações neles armazenadas, quando ocorre um ataque ou intrusão.

Art. 4º  Esta norma visa descrever as principais estratégias no tratamento de incidentes computacionais, que envolvam ou não dados pessoais, permitindo a adequada preparação, detecção, contenção, erradicação, recuperação, avaliação e comunicação destes incidentes.

CAPÍTULO III

DAS RESPONSABILIDADES

Art. 5º  A atuação operacional na resposta a incidentes é de responsabilidade da ETIR (Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais), conforme Portaria TRE-SP nº 175/2016, alterada pela Portaria TRE-SP nº 2017/2022.

Parágrafo único.  A ETIR deverá ser composta por integrantes de todas as áreas operacionais da STI, com conhecimento do ambiente tecnológico e domínio dos processos necessários ao seu restabelecimento.

Art. 6º  A atuação da ETIR se restringe ao tratamento de incidentes no ambiente tecnológico administrado pelo TRE-SP, não lhe cabendo a execução de procedimentos ou diligências em dispositivos ou ambientes de terceiros, sejam pessoas físicas, empresas e órgãos públicos ou privados.

Parágrafo único.  À ETIR não cabe o papel de perícia forense quando da apuração de ilícitos cibernéticos ou ocorrência externa ao ambiente tecnológico do TRE-SP.

Art. 7º  A comunicação externa com a ANPD e com os titulares de dados, em caso de incidentes graves envolvendo dados pessoais é de responsabilidade da Encarregada ou do Encarregado de Dados pessoais.

Art. 8º  A comunicação externa com a sociedade, em caso de incidentes graves, que inviabilizem as atividades precípuas do TRE-SP por prazo maior que o Objetivo de Tempo de Recuperação (OTR /RTO), é da Gestora ou do Gestor de Crises, nomeado em Portaria específica, ou por outra autoridade determinada pela presidência do TRE-SP, com apoio da unidade responsável pela comunicação institucional e avaliação da Comissão de Segurança da Informação.

Art. 9º  Cabe a todas as usuárias e a todos os usuários internos a comunicação imediata à Seção de Suporte ao Usuário, caso tenham a informação da ocorrência de quaisquer incidentes de segurança da informação, utilizando o Portal Service Desk disponível na intranet ou por chamada telefônica.

Art. 10.  Cabe à Comissão Segurança da Informação (CSI) o monitoramento das atividades da ETIR e o estabelecimento de métricas de desempenho.

CAPÍTULO IV

DA PREPARAÇÃO

Art. 11.  A ETIR elaborará os seus processos de trabalho e planos de resposta à incidentes, contendo os passos do processo de resposta, de acordo com os principais tipos de incidentes e ameaças, os quais ficarão disponíveis para consulta restrita aos seus componentes.

Parágrafo único.  Os processos e planos de resposta deverão ser revisados sempre que houver mudança no ambiente tecnológico do TRE-SP.

Art. 12.  A STI manterá registro de logs de eventos, de acordo com norma específica, com intuito de subsidiar a detecção manual ou automatizada de incidentes.

Art. 13.  A Gestora ou o Gestor de Crises determinará os meios de comunicação oficiais e adicionais a serem acionados durante o processo de resposta a incidentes.

Art. 14.  A Seção de Segurança Cibernética fará o monitoramento de ameaças cibernéticas, incluindo o acompanhamento de boletins encaminhados pelo CTIR GOV.

CAPÍTULO V

DA DETECÇÃO E ANÁLISE

Art. 15.  A detecção dos incidentes poderá ocorrer por meio de ferramentas automatizadas de monitoramento de eventos, pela análise manual de registros de eventos, por comunicação de usuárias e usuários ou por monitoramento dos operadores técnicos.

Art. 16.  Detectado o incidente ou a suspeita dele, a área técnica responsável pelo ativo de informação atingido ou a ETIR, farão o registro do incidente para análise.

Art. 17.  Confirmada a ocorrência do incidente, a ETIR acionará a Gestora ou o Gestor de Segurança da Informação e empregará o plano de respostas adequado.

Art. 18.  A ETIR e as áreas técnicas envolvidas na resposta ao incidente devem, na medida do possível, atuar para preservar as evidências forenses para eventual análise posterior, como:

I - efetuar cópia completa do sistema comprometido;

II - efetuar cópias dos logs de acesso;

III - efetuar cópias de mensagens ou arquivos;

IV - outras ações previstas no plano de resposta a incidentes respectivo.

CAPÍTULO VI

DA CONTENÇÃO, ERRADICAÇÃO E RECUPERAÇÃO

Art. 19.  Após a fase de detecção e análise, A ETIR atuará para conter os danos causados pelo incidente, localizar a causa raiz e erradicar a ameaça.

Art. 20.  A recuperação do ambiente deve ocorrer somente após a certeza de que a ameaça e vulnerabilidade que deram causa ao incidente (causa raiz) foram adequadamente tratados.

Art. 21.  Em caso de incidente grave, a recuperação do ambiente deve ocorrer somente com aval da Gestora ou do Gestor de Crises, ou por outra autoridade determinada pela Presidência do TRE-SP.

CAPÍTULO VII

DA AVALIAÇÃO PÓS-INCIDENTE

Art. 22.  Concluídas as etapas de tratamento do incidente, a ETIR deverá documentar os procedimentos realizados e as lições aprendidas, por meio de relatório de incidente.

Art. 23.  O armazenamento dos relatórios de incidentes deverá ocorrer em sistema de informação específico, tendo seu acesso restrito.

Art. 24.  Caso a causa raiz não possa ser adequadamente determinada, a ETIR deverá registrar como problema para análise posterior.

Art. 25.  A Comissão de Segurança da Informação poderá autorizar o compartilhamento de informações técnicas sobre os incidentes de segurança com os demais integrantes da Justiça Eleitoral e outros órgãos da Administração Pública.

CAPÍTULO VIII

DA COMUNICAÇÃO

Art. 26.  O Agente Responsável pela ETIR encaminhará à Gestora ou o Gestor de Segurança da Informação e à Encarregada ou ao Encarregado de Dados Pessoais relatório resumido de todos os incidentes categorizados como graves que envolvam dados pessoais, tão logo a gravidade do incidente seja definida.

Art. 27.  A Gestora ou o Gestor de Segurança da Informação apresentará ao CSI e à ETIR do TSE as informações relevantes acerca dos incidentes graves ocorridos.

Art. 28.  Em caso de incidentes graves envolvendo dados pessoais, a Encarregada ou o Encarregado de Dados Pessoais informará à ANPD e aos titulares dos dados, de acordo com o plano de comunicação.

CAPÍTULO IX

DAS DISPOSIÇÕES FINAIS

Art. 29.  Os casos omissos e eventuais dúvidas quanto à aplicação desta Portaria serão dirimidos pela Comissão de Segurança da Informação ou pela Encarregada ou Encarregado de Dados Pessoais do Tribunal Regional Eleitoral de São Paulo, de acordo com o tipo do incidente.

Art. 30.  A STI elaborará, em até 120 dias, os procedimentos operacionais para aplicação desta Portaria que levem em conta as boas práticas de cibersegurança e os recursos tecnológicos disponíveis.

Art. 31.  Esta Portaria deverá ser revisada a cada 12 meses pela Gestora ou pelo Gestor de Segurança da Informação e encaminhada para nova apreciação da Comissão de Segurança da Informação (CSI).

Art. 32.  O descumprimento não fundamentado desta Portaria deve ser comunicado e registrado como incidente de segurança da informação pela Gestora ou pelo Gestor de Segurança da Informação e será objeto de apuração pela unidade competente do Tribunal com consequente aplicação das penalidades cabíveis a cada caso.

Art. 33.  Esta Portaria entra em vigor na data de sua publicação e sua implementação iniciará imediatamente e deverá estar totalmente implantada no prazo de 6 (seis) meses a contar desta data.

CLAUCIO CRISTIANO ABREU CORRÊA

DIRETOR-GERAL