PORTARIA Nº 222, DE 31 DE JULHO DE 2023.

O DIRETOR-GERAL DA SECRETARIA DO TRIBUNAL REGIONAL ELEITORAL DO ESTADO DE SÃO PAULO, no uso de suas atribuições legais e regulamentares, conforme delegação de competência estabelecida no artigo 2º, inciso I, da Portaria TRE-SP nº 1/2022;

CONSIDERANDO a necessidade de definir processos de Configuração Segura de Ambientes no âmbito do Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO a necessidade de apoiar os processos de continuidade de serviços de TI, em caso de eventos de causas naturais, acidentais, tecnológicas ou humanas;

CONSIDERANDO a necessidade de apoiar a gestão do processo de tratamento e resposta a incidentes em redes computacionais no Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO a Resolução CNJ nº 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução CNJ nº 396/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Portaria DG/TSE nº 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO a Resolução TRE-SP nº 580/2022, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral de São Paulo;

CONSIDERANDO as boas práticas em segurança da informação e privacidade previstas nas normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, complementadas pela norma ABNT NBR ISO/IEC 27701;

CONSIDERANDO as boas práticas na gestão da continuidade de negócios previstas nas normas ABNT NBR ISO/IEC 22301 e 22313;

CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls;

CONSIDERANDO a necessidade de implementar controles para o tratamento de dados pessoais, de acordo com a Lei nº 13.709/2018 (LGPD);

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral de São Paulo;

RESOLVE:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º  Fica instituída a Portaria de configuração segura de ambientes, em consonância com a Política de Segurança da Informação (PSI) do Tribunal Regional Eleitoral de São Paulo.

Art. 2º  Para os efeitos desta norma deverá ser realizada a classificação de risco dos dados manipulados/armazenados no ativo corporativo contemplando pelo menos três níveis:

I - Risco alto;

II - Risco moderado;

III - Risco baixo.

CAPÍTULO II

DA CLASSIFICAÇÃO DOS TIPOS DE ATIVOS CORPORATIVOS

Art. 3º  Os controles mínimos estabelecidos nos incisos deste artigo visam estabelecer e manter a configuração segura de ativos corporativos (dispositivos de usuário final, incluindo portáteis e móveis; dispositivos de rede; dispositivos não computacionais; e servidores) e software (sistemas operacionais e aplicações) no ambiente da rede corporativa da justiça eleitoral de acordo com a seguinte classificação:

I - ATIVOS DE INFRAESTRUTURA REDE, quais sejam, os dispositivos de rede;

II - ATIVOS DE APLICAÇÕES, quais sejam, os sistemas operacionais e aplicações;

III - ATIVOS DE USUÁRIOS, quais sejam, os usuários finais;

IV - ATIVOS DE DISPOSITIVOS, quais sejam, os dispositivos de usuário final, incluindo portáteis, dispositivos não computacionais, móveis e servidores.

CAPÍTULO III

DA CONFIGURAÇÃO SEGURA PARA OS ATIVOS DE INFRAESTRUTURA DE REDE

Art. 4º  Deverá ser estabelecido e mantido um processo de configuração segura para os ativos de rede contemplando no mínimo:

I - revisão e atualização da documentação anualmente ou quando ocorrerem mudanças significativas no ambiente que possam impactar esta medida de segurança;

II - gerenciamento dos ativos e softwares corporativos com implementações de gestão de configuração em que seja contemplado, no mínimo:

a) uso de infraestrutura como código (IaC), qual seja, o gerenciamento e provisionamento da infraestrutura por meio de códigos, em vez de processos manuais;

b) acesso a interfaces administrativas por meio de protocolos de rede seguros, como Secure Shell (SSH) e Hypertext Transfer Protocol Secure (HTTPS);

c) não utilização de protocolos de gestão inseguros, como Telnet (Teletype Network) e HTTP, a menos que seja operacionalmente essencial;

d) aplicação de procedimentos de hardening nos ativos de rede e servidores contemplando no mínimo a limitação do acesso à interface de gerência através de interfaces e/ou endereços IP controlados.

CAPÍTULO IV

DA CONFIGURAÇÃO SEGURA PARA OS ATIVOS DE APLICAÇÕES

Art. 5º  Deverá ser estabelecido e mantido um processo de configuração segura para os softwares de sistemas operacionais e aplicações utilizados nos ativos corporativos que contemple:

I - revisão e atualização da documentação anualmente ou quando ocorrerem mudanças significativas no ambiente que possam impactar esta medida de segurança;

II - criação de processos automatizados que definam as configurações de segurança dos sistemas para atender aos requisitos mínimos de proteger os dados usados nos ativos corporativos;

III - utilização de configurações de baseline de segurança com base nos requisitos de segurança ou classificação dos dados no ativo corporativo contemplando:

a) instalação do software básico do sistema operacional e posterior aplicação dos patches de segurança apropriados;

b) instalação apenas dos pacotes, ferramentas e utilitários de software de aplicação estritamente necessários e posterior atualizações apropriadas ao software instalado;

c) execução de processos automatizados de configuração de segurança.

IV - execução de testes para aferição que possam medir a qualidade das implementações de segurança.

CAPÍTULO V

DA CONFIGURAÇÃO SEGURA PARA OS ATIVOS DE USUÁRIOS

Art. 6º  Deverá ser estabelecido e mantido um processo de configuração segura para os ativos de usuárias e de usuários da rede corporativa da Justiça Eleitoral que contemple:

I - configuração de bloqueio automático de sessão nos ativos corporativos após um período definido de inatividade:

a) para sistemas operacionais de uso geral, o período não deve exceder 5 minutos;

b) para dispositivos móveis de usuário final, o período não deve exceder 2 minutos.

II - desativação ou inutilização das contas padrão nos ativos e software corporativos quando possível.

CAPÍTULO VI

DA CONFIGURAÇÃO SEGURA PARA OS ATIVOS DE DISPOSITIVOS

Art. 7º  Deverá ser estabelecido e mantido um processo de configuração segura para os ativos de dispositivos das usuárias e dos usuários da rede corporativa da Justiça Eleitoral que contemple:

I - a implementação e gerenciamento de firewall nos servidores, onde houver suporte. Essas implementações podem incluir firewall virtual, firewall do sistema operacional ou um agente de firewall de terceiros;

II - a implementação e gerenciamento de firewall baseado em host ou uma ferramenta de filtragem de porta nos dispositivos de usuário final, com uma regra de negação padrão de bloqueio para todo o tráfego, exceto os serviços e portas que são explicitamente permitidos;

III - a desinstalação ou desativação de todos os serviços desnecessários nos ativos e software corporativos;

IV - configuração de servidores DNS confiáveis nos ativos corporativos, preferencialmente servidores DNS controlados pela Justiça Eleitoral e/ou servidores DNS confiáveis acessíveis externamente caso seja imprescindível para a operação;

V - a imposição de bloqueio automático do dispositivo seguindo um limite pré-determinado de tentativas de autenticação local com falha nos dispositivos portáteis de usuária ou de usuário final, quando compatível:

a) para laptops, não devem ser permitidas mais de 5 tentativas de autenticação com falha;

b) para tablets e smartphones, não mais do que 3 tentativas de autenticação com falha.

VI - a limpeza remota dos dados corporativos de dispositivos portáteis de usuário final de propriedade da Justiça Eleitoral para dispositivos perdidos ou roubados, ou quando do desligamento do usuário das funções exercidas na Justiça Eleitoral;

VII - a implementação da segmentação dos espaços de trabalho corporativos que sejam utilizados nos dispositivos móveis de usuário final, onde houver suporte, para garantir a separação das aplicações e dados corporativos das aplicações e dados pessoais.

CAPÍTULO VII

DISPOSIÇÕES FINAIS

Art. 8º  Os casos omissos e eventuais dúvidas quanto à aplicação desta Portaria serão dirimidos pela Comissão de Segurança da Informação do Tribunal Regional Eleitoral de São Paulo.

Art. 9º  A STI elaborará, em até 120 dias, os procedimentos operacionais para aplicação desta Portaria que levem em conta as boas práticas de cibersegurança e os recursos tecnológicos disponíveis.

Art. 10.  Esta Portaria deverá ser revisada a cada 12 meses pela Gestora ou pelo Gestor de Segurança da Informação e encaminhada para nova apreciação da Comissão de Segurança da Informação (CSI).

Art. 11.  O descumprimento não fundamentado desta Portaria deve ser comunicado e registrado como incidente de segurança da informação pela Gestora ou pelo Gestor de Segurança da Informação e será objeto de apuração pela unidade competente do Tribunal com consequente aplicação das penalidades cabíveis a cada caso.

Art. 12.  Esta Portaria entra em vigor na data de sua publicação e sua implementação iniciará imediatamente e deverá estar totalmente implantada no prazo de 12 (doze) meses a contar desta data.

CLAUCIO CRISTIANO ABREU CORRÊA

DIRETOR-GERAL