PORTARIA Nº 368, DE 17 DE ABRIL DE 2023

O PRESIDENTE DO EGRÉGIO TRIBUNAL REGIONAL ELEITORAL DO AMAZONAS, no uso das competências que lhe são conferidas pelo art. 18, incisos XII, do Regimento Interno e com fundamento no art. 35, inciso I, da Lei n. 8.112, de 11.12.1990, com redação dada pela Lei n. 9.527, de 10.12.1997,

CONSIDERANDO a Res. CNJ nº 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);
CONSIDERANDO a Res. TSE nº 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;
CONSIDERANDO a portaria DG/TSE nº 444/2021, que instituiu a norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;
CONSIDERANDO a NC 07/IN01/DSIC/GSIPR, de 15 de julho de 2014, que estabeleceu diretrizes para implantação de controles de acesso relativos à segurança da informação e das comunicações na Administração Pública Federal;
CONSIDERANDO as boas práticas de segurança da informação e privacidade previstas nas normas ABNT ISO/IEC 27001 e ABNT ISO/IEC 27002;
CONSIDERANDO as boas práticas em gestão de riscos de segurança da informação previstas na normas ABNT ISO/IEC 27005;
CONSIDERANDO a necessidade de gerenciar os riscos que envolvam o tratamento de dados pessoais, de acordo com a lei 13.709/2018 (LGPD);
CONSIDERANDO, ainda, que a segurança da informação, a proteção e privacidade de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral Amazonas;

RESOLVE:

CAPÍTULO I
DISPOSIÇÕES PRELIMINARES

Art. 1º Fica instituída a Instrução Normativa para a Gestão de Riscos de Segurança da Informação no âmbito do Tribunal Regional Eleitoral Amazonas.

Art. 2º Esta norma integra a Política de Segurança da Informação da Justiça Eleitoral, estabelecida pela Resolução TSE n. 23.644/2021.

CAPÍTULO II
DAS DEFINIÇÕES

Art. 3º Para efeitos desta norma, consideram-se os termos e definições previstos na Portaria DG /TSE n. 444/2021, além das seguintes:

I. Contexto Externo - Conjunto de circunstâncias a que o risco de segurança da informação está associado, com perspectiva focada na sociedade.
II. Contexto Interno - Conjunto de circunstâncias a que o risco de segurança da informação está associado, com perspectiva focada apenas no ambiente interno da instituição.
III. Proprietário do Risco - Unidade Organizacional responsável pelo ativo ou processo de negócio a que o risco se refere.

Art. 4º Considere-se, no que couber, a Política de Gestão de Riscos do TRE-AM, de acordo com a Resolução 423/2019.

Art. 5º São considerados Gestores de Riscos, os responsáveis pelas Unidades Administrativas do TRE-AM, o Gestor de Segurança da Informação, o Encarregado pelo Tratamento de Dados Pessoais e o Gestor de Continuidade de Negócios.

Art. 6º Esta norma segue as diretrizes da norma ABNT ISO/IEC 27005:2019, na implementação e na operação do SGSI (Sistema de Gestão de Segurança da Informação).

Art. 7º Todos os novos sistemas de informação, sejam estes desenvolvidos internamente, obtidos de outras instituições ou adquiridos de fornecedor externo, deverão passar por análise de riscos de segurança da informação antes de sua implementação.

CAPÍTULO III
DA DEFINIÇÃO DO CONTEXTO DO RISCO

Art. 8º Para a definição dos contextos externos e internos, devem ser considerados os fatores humanos, tecnológicos, organizacionais e de imagem da Justiça Eleitoral, além da:

I. Identificação dos ativos de informação;
II. Identificação das ameaças;
III. Identificação das vulnerabilidades;
IV. Proteção de dados pessoais, em conformidade com a LGPD;
V. Identificação das partes interessadas.

CAPÍTULO IV
DO PROCESSO DE AVALIAÇÃO DO RISCO

Art. 9º O processo de avaliação do risco deve seguir os seguintes passos:

I. Identificação: Reconhecimento do contexto, dos ativos, das ameaças e das vulnerabilidades, dos controles existentes, no que tange a integridade, a disponibilidade e a confidencialidade da informação, independente da fonte ou causa do risco estar ou não sob o controle da organização.
II. Análise: A análise do risco deve levar em conta a criticidade dos ativos de informação, a extensão das vulnerabilidades conhecidas e dos incidentes anteriores registrados.
III. Avaliação: A avaliação do risco se dará pela comparação da tabela de impacto x probabilidade com o apetite ao risco estabelecido pela organização, definindo as medidas de tratamento aplicáveis.

Art. 10º Para a análise qualitativa do risco, considera-se o apetite ao risco o grau máximo de 12 (médio), em escala de 25 pontos.

Parágrafo Único - Caso a análise dos riscos seja quantitativa, caberá ao CGSI o aceite do risco no caso concreto.

CAPÍTULO V
DO TRATAMENTO DO RISCO

Art. 11º O tratamento do risco, elaborado após criteriosa avaliação, deverá atuar para modificar, reter, compartilhar ou evitar os riscos, por meio de controles e ações adequados.

CAPÍTULO VI
DO ACEITAÇÃO DO RISCO

Art. 12º A aceitação do risco residual, o qual esteja além do limite do apetite ao risco definido, deverá ser feito por autoridade, após análise e parecer do Comitê de Segurança da Informação e de Gerenciamento de Crises Cibernéticas.

CAPÍTULO VII
DO COMUNICAÇÃO E CONSULTA DO RISCO

Art. 13º Os riscos deverão ser comunicados e compartilhados entre as partes interessadas.

CAPÍTULO VIII
DO MONITORAMENTO E ANALISE CRÍTICA DO RISCO

Art. 14º O monitoramento e análise crítica dos riscos em segurança da informação deverão ser efetuados pelo Gestor de Segurança da Informação e pelo Comitê de Segurança da Informação e de Gerenciamento de Crises Cibernéticas, por meio de subsídios a serem encaminhados pelas áreas proprietárias do risco.

Art. 15º Os riscos elencados devem ser reavaliados com periodicidade mínima anual.

Art. 16º Os riscos de segurança da informação devem ser monitorados, preferencialmente, por meio de solução informatizada de GRC (governança, risco e conformidade), permitindo o acesso às partes interessadas e à alta administração.

Parágrafo Único. Na impossibilidade de adoção de sistema informatizado para monitoramento dos riscos, devem ser adotados controles manuais, cujo responsabilidade ficará a cargo do Gestor de Segurança da Informação.

CAPÍTULO IX
DISPOSIÇÕES FINAIS

Art. 17º O Núcleo Segurança Cibernética e o Gestor de Segurança da Informação apoiarão as demais Unidades Administrativas, quando da elaboração da análise de riscos de segurança da informação.

Art. 18º Os casos omissos serão resolvidos pelo Comitê de Segurança da Informação e de Gerenciamento de Crises Cibernéticas ou pelo Comitê Gestor de Proteção e Privacidade de Dados Pessoais, de acordo com o tipo do risco.

Art. 19º Qualquer descumprimento desta norma deve ser imediatamente comunicado e registrado pelo Gestor de Segurança da Informação, com consequente adoção das providências cabíveis.

Art. 20º Esta norma complementar deverá ser revisada a cada 12 meses pelo Gestor de Segurança da Informação e encaminhada para nova apreciação do Comitê de Segurança da Informação e de Gerenciamento de Crises Cibernéticas.

Art. 21º Esta Política deve ser publicada no portal de intranet do Tribunal pelo Comitê de Segurança da Informação.

Art. 22º Esta Portaria entra em vigor na data de sua publicação.

Desembargador JORGE MANOEL LOPES LINS
Presidente do TRE - AM