PORTARIA Nº 223, DE 31 DE JULHO DE 2023

O DIRETOR-GERAL DA SECRETARIA DO TRIBUNAL REGIONAL ELEITORAL DO ESTADO DE SÃO PAULO, no uso de suas atribuições legais e regulamentares, conforme delegação de competência estabelecida no artigo 2º, inciso I, da Portaria TRE-SP nº 1/2022;

CONSIDERANDO a necessidade de definir processos de Gerenciamento de Vulnerabilidades no âmbito do Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO a necessidade de apoiar os processos de continuidade de serviços de TI, em caso de eventos de causas naturais, acidentais, tecnológicas ou humanas;

CONSIDERANDO a necessidade de apoiar a gestão do processo de tratamento e resposta a incidentes em redes computacionais no Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO a Resolução CNJ 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução TSE 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Portaria DG/TSE 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO a Resolução TRE-SP 580/2022, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral de São Paulo;

CONSIDERANDO as boas práticas em segurança da informação e privacidade previstas nas normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, complementadas pela norma ABNT NBR ISO/IEC 27701;

CONSIDERANDO as boas práticas na gestão da continuidade de negócios previstas nas normas ABNT NBR ISO/IEC 22301 e 22313;

CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls;

CONSIDERANDO a necessidade de implementar controles para o tratamento de dados pessoais, de acordo com a Lei 13.709/2018 (LGPD);

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral de São Paulo;

RESOLVE:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º  Fica instituída a Portaria de Gerenciamento de Vulnerabilidades, em consonância com a Política de Segurança da Informação (PSI) do Tribunal Regional Eleitoral de São Paulo.

CAPÍTULO II

DEFINIÇÕES

Art. 2º  Para efeitos desta Portaria consideram-se as seguintes definições:

I - Ameaça - causa potencial de um incidente indesejado que pode resultar em dano para um sistema ou organização;

II - Vulnerabilidade - fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças;

III - Risco - potencial associado à exploração de vulnerabilidades de um ativo de informação por ameaças, com impacto negativo no negócio da organização;

IV - Ativo de informação - todo dado ou informação gerado, adquirido, utilizado ou custodiado pela Justiça Eleitoral, assim como qualquer equipamento, software ou recurso utilizado para seu processamento ou armazenamento.

CAPÍTULO III

DOS OBJETIVOS

Art. 3º  A gestão de vulnerabilidades objetiva prevenir a exploração de fragilidades técnicas na rede corporativa, por meio da aplicação sistemática das seguintes ações de prevenção, identificação, classificação e tratamento:

I - adoção de ações técnicas preventivas conforme Portaria de Configuração Segura de Ativos de TI vigente;

II - obtenção de informações para identificar vulnerabilidades técnicas em tempo hábil;

III - avaliação de exposição às vulnerabilidades técnicas;

IV - adoção de medidas apropriadas e tempestivas para lidar com os riscos identificados.

CAPÍTULO IV

DO MONITORAMENTO DE BASES DE VULNERABILIDADES

Art. 4º  Os controles mínimos estabelecidos nos incisos deste artigo devem ser aplicados para monitorar regularmente sítios de fabricantes, fóruns especializados, grupos especiais e outras fontes de consulta para obter informações relacionadas a vulnerabilidades técnicas e medidas de correção:

I - definir a relação de fontes de consulta pelos seguintes critérios:

a) qualidade das informações - verificar se as informações fornecidas pela fonte são precisas e atualizadas (algumas apenas repassam notícias ou informações de outras fontes);

b) disponibilidade das informações - verificar a frequência de atualização das informações fornecidas pela fonte (a vulnerabilidade técnica pode ser explorada por um período mais longo se a fonte demorar muito para atualizar suas informações);

c) legitimidade da fonte - verificar se a fonte é representante autorizada do responsável pela informação (como fóruns específicos de fabricantes para comunicação com suas clientes e seus clientes ou fornecimento de patches) ou reconhecida como confiável pela comunidade de segurança da informação;

II - obter informações sobre vulnerabilidades técnicas e medidas de correção, incluindo:

a) notícias e alertas sobre ameaças, vulnerabilidades, ataques e patches, com especial atenção às vulnerabilidades de dia zero;

b) melhores práticas de segurança da informação adotadas pelo mercado: políticas, procedimentos, diretrizes e listas de verificação;

c) tendências do mercado de segurança da informação relacionadas ao setor: leis e regulamentos, requisitos de clientes e soluções de fornecedores;

d) dados sobre segurança da informação de consultorias especializadas, outras organizações, polícia, agências de segurança do governo ou congêneres;

e) notícias relacionadas a novas tecnologias e produtos.

CAPÍTULO V

DA DESCOBERTA DE VULNERABILIDADES TÉCNICAS

Art. 5º  Os controles mínimos estabelecidos nos incisos deste artigo devem ser aplicados para utilizar regularmente ferramentas automatizadas e rotinas para a identificação de vulnerabilidades técnicas na rede corporativa:

I - empregar, no mínimo, duas ferramentas atualizadas de varredura de vulnerabilidades para investigar automaticamente os ativos e identificar vulnerabilidades na rede corporativa e através de acessos externos, considerando pelo menos as seguintes características:

a) utilização da fonte Common Vulnerabilities and Exposures (CVE) como base para a verificação de vulnerabilidades nos ativos de processamento;

b) compatibilidade com Security Content Automation Protocol (SCAP) ou outro protocolo de automatização da verificação de configurações de segurança;

II - assegurar que somente varreduras de vulnerabilidades autorizadas possam ser executadas, local ou remotamente, e configuradas com direitos elevados nos ativos de processamento que estão sendo testados;

III - usar credencial (ou conta de acesso) dedicada para varreduras de vulnerabilidades, que não deve ser usada para outras atividades administrativas e deve estar vinculada aos equipamentos específicos em endereços de Internet Protocol (IP) específicos.

CAPÍTULO VI

DA AVALIAÇÃO DA EXPOSIÇÃO

Art. 6º  Os controles mínimos estabelecidos nos incisos deste artigo devem ser aplicados para analisar e avaliar os riscos de as vulnerabilidades técnicas afetarem o ambiente da rede corporativa:

I - consulta de inventário de ativos para identificar quais ativos de processamento serão afetados pela vulnerabilidade técnica, o valor dos ativos para a organização, os requisitos de segurança da informação e a classificação de segurança;

II - verificação de como a vulnerabilidade técnica pode afetar o ambiente da rede corporativa, considerando interfaces e interdependências internas e externas, requisitos de segurança da informação implementados e classificação de segurança dos ativos de processamento considerados críticos;

III - avaliação quanto à necessidade de criar ambiente de teste, realizar provas de conceito (Proofs of Concept ou PoCs), desativar serviços/funcionalidades ou aplicar patches de correção;

IV - documentação de procedimentos para correção da vulnerabilidade técnica, contemplando instalação, configuração, regras estabelecidas e procedimentos de restauração (caso a correção introduza comportamento instável na rede corporativa);

V - utilização de classificação de risco para priorizar a correção da vulnerabilidade técnica, conforme nível de criticidade, potencial de dano, existência e disponibilidade de exploits, facilidade de exploração da ameaça e nível de sigilo das informações acessadas pelo ativo;

VI - comunicação imediata à Comissão de Segurança da Informação sobre a impossibilidade ou inviabilidade técnica de tratamento de vulnerabilidade classificada como crítica;

VII - geração de registro do incidente.

CAPÍTULO VII

DO TRATAMENTO DE VULNERABILIDADES TÉCNICAS

Art. 7º  Os controles mínimos estabelecidos nos incisos deste artigo devem ser aplicados para corrigir as vulnerabilidades técnicas ou minimizar a probabilidade de exploração:

I - observância de normativos vigentes;

II - adoção de testes e homologação da correção da vulnerabilidade técnica, preferencialmente e quando possível, por testes de penetração com exploração da fragilidade, antes de ser instalada no ambiente de produção da rede corporativa;

III - atualização dos procedimentos para correção da vulnerabilidade técnica, contemplando instalação, configuração, regras estabelecidas e procedimentos de restauração, quando for o caso;

IV - geração de registros de eventos (logs) das ações realizadas para correção da vulnerabilidade técnica, identificados de forma distinta;

V - quando não existir a possibilidade de correção da vulnerabilidade, desde que devidamente justificado, deverá ser considerado o uso de outros controles, tais como:

a) desativação de serviços relacionados à vulnerabilidade;

b) aumento do monitoramento relacionado ao ativo para detectar ou prevenir ataques reais;

c) aumento da conscientização sobre a vulnerabilidade;

d) implementação de controles de segurança compensatórios.

Art. 8º  As mudanças no ambiente da rede corporativa motivadas pelas correções das vulnerabilidades técnicas devem ser implantadas de acordo com o processo de Gerência de Mudanças vigente.

CAPÍTULO VIII

DA AVALIAÇÃO DE RESULTADOS

Art. 9º  Os controles estabelecidos nos incisos deste artigo devem ser aplicados para analisar criticamente os resultados da gestão de vulnerabilidades:

I - comparação regular dos resultados dos tratamentos de vulnerabilidades técnicas consecutivas para verificar se foram corrigidas em tempo hábil;

II - acompanhamento regular, com periodicidade, no mínimo, mensal, do nível de exposição dos ativos críticos de processamento;

III - acompanhamento regular da evolução das vulnerabilidades técnicas no ambiente da rede corporativa;

IV - comunicação periódica mensal à Comissão de Segurança da Informação (CSI), através de relatórios estatísticos, a respeito dos resultados de detecção e tratamento das vulnerabilidades no ambiente computacional e eventuais necessidades de investimento;

V - proposição de melhorias nos processos da gestão de vulnerabilidades para a CSI.

CAPÍTULO IX

DAS RESPONSABILIDADES

Art. 10.  Para assegurar a rastreabilidade adequada das vulnerabilidades técnicas, as responsabilidades e competências no âmbito da segurança da informação devem observar os seguintes parâmetros:

I - à Seção de Segurança Cibernética caberá:

a) monitorar regularmente sítios de fabricantes, fóruns especializados, grupos especiais e outras fontes de consulta, incluindo a Dark Web, para obter informações relacionadas a vulnerabilidades técnicas e medidas de correção;

b) operar ferramentas automatizadas e métodos para a identificação de vulnerabilidades técnicas no ativo, assegurando a execução de verificações na periodicidade mínima definida para cada tipo de ativo no procedimento vigente de Gestão de Ativos;

c) analisar e avaliar os riscos das vulnerabilidades técnicas detectadas;

d) comunicar-se com a ETIR e com as áreas da Secretaria de Tecnologia da Informação responsáveis pelos ativos, a fim de informar e obter informações acerca de vulnerabilidades existentes;

e) acompanhar o tratamento das vulnerabilidades pelas unidades;

f) reportar à CSI a análise crítica dos resultados da gestão de vulnerabilidades e proposição de melhorias nos processos.

II - a unidade responsável pela administração do ativo deverá, através do processo de gestão de mudanças:

a) planejar e executar a correção das vulnerabilidades técnicas encontradas ou aplicar controles para minimizar a probabilidade de exploração enquanto não for possível a correção definitiva, considerando a Portaria de gestão de riscos;

b) documentar vulnerabilidades detectadas e as correções aplicadas, informando imediatamente a Seção de Segurança Cibernética quando da descoberta do problema;

c) documentar justificativa para correções não aplicadas e informar a Seção de Segurança Cibernética.

Art. 11.  Os relatórios e registros gerados no processo de gestão de vulnerabilidades de ativos de TI devem ser tratados e armazenados de forma segura e com acesso reservado às unidades envolvidas no processo.

CAPÍTULO X

DISPOSIÇÕES FINAIS

Art. 12.  Os casos omissos e eventuais dúvidas quanto à aplicação desta Portaria serão dirimidos pela Comissão de Segurança da Informação do Tribunal Regional Eleitoral de São Paulo.

Art. 13.  A STI elaborará, em até 120 dias, os procedimentos operacionais para aplicação desta Portaria que levem em conta as boas práticas de cibersegurança e os recursos tecnológicos disponíveis.

Art. 14.  Esta Portaria deverá ser revisada a cada 12 meses pela Gestora ou pelo Gestor de Segurança da Informação e encaminhada para nova apreciação da Comissão de Segurança da Informação (CSI).

Art. 15.  O descumprimento não fundamentado desta Portaria deve ser comunicado e registrado como incidente de segurança da informação pela Gestora ou pelo Gestor de Segurança da Informação e será objeto de apuração pela unidade competente do Tribunal com consequente aplicação das penalidades cabíveis a cada caso.

Art. 16.  Esta Portaria entra em vigor na data de sua publicação e sua implementação iniciará imediatamente e deverá estar totalmente implantada no prazo de 12 (doze) meses a contar desta data.

CLAUCIO CRISTIANO ABREU CORRÊA

DIRETOR-GERAL