PORTARIA Nº 228, DE 31 DE JULHO DE 2023

O DIRETOR-GERAL DA SECRETARIA DO TRIBUNAL REGIONAL ELEITORAL DO ESTADO DE SÃO PAULO, no uso de suas atribuições legais e regulamentares, conforme delegação de competência estabelecida no artigo 2º, inciso I, da Portaria TRE-SP nº 1/2022;

CONSIDERANDO a necessidade de definir processos de Segurança de TIC para o período eleitoral no âmbito do Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO a necessidade de apoiar os processos de continuidade de serviços de TI, em caso de eventos de causas naturais, acidentais, tecnológicas ou humanas;

CONSIDERANDO a necessidade de apoiar a gestão do processo de tratamento e resposta a incidentes em redes computacionais no Tribunal Regional Eleitoral de São Paulo;

CONSIDERANDO a Resolução CNJ 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução TSE 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Portaria DG/TSE 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO a Resolução TRE-SP 580/2022, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral de São Paulo;

CONSIDERANDO as boas práticas em segurança da informação e privacidade previstas nas normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, complementadas pela norma ABNT NBR ISO/IEC 27701;

CONSIDERANDO as boas práticas na gestão da continuidade de negócios previstas nas normas ABNT NBR ISO/IEC 22301 e 22313;

CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls;

CONSIDERANDO a necessidade de implementar controles para o tratamento de dados pessoais, de acordo com a Lei 13.709/2018 (LGPD);

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral de São Paulo;

RESOLVE:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º  Fica instituída a Portaria para Segurança de TIC para implementação durante o período eleitoral, em consonância com a Política de Segurança da Informação (PSI) do Tribunal Regional Eleitoral de São Paulo.

Parágrafo único.  Essa Portaria também se aplica às eleições suplementaResolução

Art. 2º  A Segurança de TIC para o período eleitoral visa aplicar medidas de segurança adicionais para elevar o nível de proteção da infraestrutura de TIC do TRE/SP, incluindo os dados e informações armazenados em servidores, microcomputadores, dispositivos móveis e bancos de dados.

Art. 3º  Esta Portaria integra a Política de Segurança de Informação da Justiça Eleitoral de São Paulo, estabelecida pela Resolução TRE-SP 580/2022.

CAPÍTULO II

DAS DEFINIÇÕES

Art. 4º  Para efeitos desta Portaria consideram-se os termos e definições previstos na Portaria DG/TSE 444/2021.

CAPÍTULO III

DO ACESSO À REDE

Art. 5º  As senhas de acesso à rede para contas de usuária, de usuário e aplicações deverão ser redefinidas em intervalo não superior a trinta dias, iniciados noventa dias antes do primeiro turno, mantendo-se esse procedimento até sessenta dias após o primeiro turno ou segundo turno, se houver.

Art. 6º  As contas com perfil de administração de sistemas e de domínio deverão ter suas senhas armazenadas em dispositivo do tipo cofre de senhas.

Art. 7º  O acesso remoto à rede será interrompido em período coincidente ao da suspensão do teletrabalho pela Administração do TRE-SP.

Parágrafo único.  Nos fins de semana em que ocorrerem eleições suplementares, o acesso remoto à rede será interrompido às 20 horas da sexta-feira e restabelecido às 8 horas da segunda-feira seguinte.

CAPÍTULO IV

DOS EQUIPAMENTOS DE FORNECEDORES/PRESTADORES DE SERVIÇO

Art. 8º  A fiscalização do contrato deverá solicitar a alteração das senhas dos equipamentos de fornecedores/prestadores de serviço que tenham acesso à rede a cada trinta dias, observando-se disposto no Art. 5º.

Art. 9º  A STI efetuará continuamente auditorias e varreduras a fim de detectar meios de acesso remoto que possam estar configurados nos equipamentos.

Art. 10.  Caso seja identificada qualquer forma de acesso remoto, a STI removerá as configurações e componentes, comunicando posteriormente a fiscalização do contrato.

Parágrafo único.  Após a identificação, o evento deverá ser comunicado e registrado como incidente de segurança da informação pela Gestora ou pelo Gestor de Segurança da Informação e será objeto de apuração pela Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) do Tribunal com consequente aplicação das penalidades cabíveis a cada caso.

Art. 11.  A STI realizará o bloqueio do tráfego gerado e/ou direcionado pelo equipamento, liberando apenas os endereços de rede, portas e serviços estritamente necessários.

Art. 12.  Em caso de incidente, o equipamento do fornecedor/prestador de serviço poderá ser desconectado da rede pela STI, sem prévio aviso à fiscalização do contrato, aplicando-se o disposto no Parágrafo único do Art. 10.

CAPÍTULO V

DA SALA DE IMPRENSA

Art. 13.  A rede de computadores utilizada na Sala de Imprensa deverá ser mantida permanentemente segregada das outras redes.

Art. 14.  A concessão do acesso será precedida da assinatura de termo de ciência da PSI.

Art. 15.  O acesso à internet, quando solicitado pela unidade demandante dos serviços para a Sala de Imprensa, deverá ser identificado e único, sendo vedado o seu compartilhamento.

Art. 16.  O acesso à internet deverá ser monitorado, rastreável e objeto de auditoria no prazo máximo de 30 dias após o encerramento do funcionamento da Sala de Imprensa.

Parágrafo único.  O relatório de auditoria deverá ser submetido à Gestora ou Gestor de Segurança da Informação para apreciação e, caso constatado violação da PSI, será objeto de apuração pela unidade competente do Tribunal com consequente aplicação das penalidades cabíveis a cada caso.

CAPÍTULO VI

DAS VULNERABILIDADES NOS ATIVOS

Art. 17.  Até cento e oitenta dias antes do primeiro turno, deverá ser gerada pela unidade dedicada à Segurança Cibernética lista dos ativos com vulnerabilidades críticas ou que possuam exploits públicos, que será apresentada à CSI, com o acompanhamento mensal das tratativas através de relatórios inseridos até o último dia útil do mês no processo SEI correspondente.

Art. 18.  As unidades gestoras dos ativos que apresentem vulnerabilidades críticas, ou que possuam exploits públicos, deverão criar e iniciar a execução do plano de ação para sanar os problemas em até 30 dias a contar do recebimento do relatório contendo a lista de vulnerabilidades críticas e ou que possuam exploits públicos.

Art. 19.  Deverá ser comunicada à CSI, com a devida justificativa, a lista de ativos que permanecerão com vulnerabilidades críticas ou que possuam exploits públicos, e deverá ser decidido sobre seu desligamento e/ou medidas de mitigação de riscos.

Parágrafo único.  A aceitação dos riscos decorrentes da não aplicação de correções, ou da implementação de medidas de mitigação, deverá obedecer ao disposto na Portaria de Gestão de Riscos relativa à Política de Segurança da Informação do Tribunal Regional Eleitoral de São Paulo.

CAPÍTULO VII

DO ACESSO À INTERNET E COMUNICAÇÃO EXTERNA

Art. 20.  O acesso à internet, a partir da rede corporativa, será interrompido na antevéspera do 1º e 2º turnos, às 20 horas e restabelecido no dia seguinte ao pleito, às 8 horas, desde que a totalização esteja encerrada.

Art. 21.  Deverá ser implementado, internamente ou por meio do TSE, no prazo especificado no art. 20, o bloqueio do envio e recebimento de mensagens de e-mails originadas fora da infraestrutura da Justiça Eleitoral.

CAPÍTULO VIII

DOS ATIVOS E SERVIÇOS NÃO ESSENCIAIS

Art. 22. Todos os ativos de processamento que não sejam vinculados aos serviços essenciais listados na Portaria 164/2022 deverão ser desligados às 20 horas da antevéspera dos dias de primeiro e segundo turnos e restabelecidos às 8 horas do dia seguinte aos pleitos.

Art. 23. Todos os computadores, impressoras e demais ativos conectados à rede, que não sejam essenciais à realização das eleições, deverão permanecer desligados pelo prazo do Art 22.

CAPÍTULO IX

DAS EQUIPES DE SEGURANÇA E TRATAMENTO DE INCIDENTES

Art. 24.  Durante o período eleitoral a unidade dedicada à Segurança Cibernética e a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) deverão manter plantão presencial aos finais de semana e feriados, com integrantes em quantidade suficiente para monitoramento do ambiente de TIC e tratamento de eventuais incidentes.

Art. 25.  Cabe à ETIR o tratamento de incidentes e acionamento do plano de comunicação existente.

Art. 26 Cabe à unidade responsável pelas ações preventivas e gestão da Segurança Cibernética as ações de descoberta de vulnerabilidades e acionamento das unidades responsáveis pelos ativos impactados e o acompanhamento de eventos relacionados à Segurança Cibernética que eventualmente ocorram nos demais Tribunais da Justiça Eleitoral.

Art. 27.  Os contratos de serviços de TIC e Segurança, que sejam essenciais ao desempenho das atividades do TRE-SP no período eleitoral, deverão prever redução em prazos de atendimento e resolução de problemas.

CAPÍTULO X

DISPOSIÇÕES FINAIS

Art. 28.  Deverá ser observado, no que couber, o disposto sobre acesso físico às dependências do Tribunal, constante em Portaria específica.

Art. 29.  No prazo máximo de 90 dias da data de publicação dessa Portaria deverá ser elaborado plano de ação por cada área envolvida na execução dessa Portaria, contendo as atividades a serem realizadas e o respectivo prazo de implementação.

§ 1º  Cada plano de ação deverá ser submetido para apreciação da Seção de Segurança Cibernética, a qual remeterá para aprovação do CSI.

§ 2º  Os planos de ação deverão ser revisados pelas áreas responsáveis no prazo máximo de 10 dias, após a revisão desta Portaria.

Art. 30.  Esta Portaria deverá ser revisada pela Gestora ou pelo Gestor de Segurança da Informação, com o apoio das áreas envolvidas, e encaminhada para nova apreciação da Comissão de Segurança da Informação (CSI) em até noventa dias antes do primeiro turno das eleições, ou sempre que a Gestora ou o Gestor de Segurança da Informação considerar necessário.

Art. 31.  O descumprimento desta Portaria deve ser comunicado e registrado como incidente de segurança da informação pela Gestora ou pelo Gestor de Segurança da Informação, e será objeto de apuração pela unidade competente do Tribunal, com consequente aplicação das penalidades cabíveis a cada caso.

Art. 32.  Esta Portaria entra em vigor na data de sua publicação e sua implementação iniciará imediatamente e deverá estar totalmente implantada no prazo de 180 dias a contar desta data.

CLAUCIO CRISTIANO ABREU CORRÊA

DIRETOR-GERAL