PORTARIA Nº 609, DE 29 DE JUNHO DE 2023

O PRESIDENTE DO EGRÉGIO TRIBUNAL REGIONAL ELEITORAL DO AMAZONAS, no uso das competências que lhe são conferidas pelo art. 18, incisos XII, do Regimento Interno e com fundamento no art. 35, inciso I, da Lei n. 8.112, de 11.12.1990, com redação dada pela Lei n. 9.527, de 10.12.1997,

CONSIDERANDO o art. 37, § 6º da Constituição Federal, que dispõe sobre a responsabilidade objetiva atribuída aos entes estatais;

CONSIDERANDO a Res. CNJ nº 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Res. TSE nº 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a portaria DG/TSE nº 444/2021, que instituiu a norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO as boas práticas de segurança da informação e privacidade previstas nas normas ABNT ISO/IEC 27001 e ABNT ISO/IEC 27002;

CONSIDERANDO a necessidade de definir processos continuidade de serviços de TI, em caso de eventos de causas naturais, acidentais, tecnológicas ou humanas;

CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls V.8;

CONSIDERANDO a necessidade de implementar controles para o tratamento de dados pessoais, de acordo com a lei 13.709/2018 (LGPD);

CONSIDERANDO, ainda, que a segurança da informação, a proteção e privacidade de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral Amazonas;

RESOLVE:

Art. 1º Fica instituída a Instrução Normativa para Continuidade de Serviços Essenciais de TI no âmbito do Tribunal Regional Eleitoral Amazonas.

Art. 2º Esta norma integra a Política de Segurança da Informação da Justiça Eleitoral, estabelecida pela Resolução TSE n. 23.644/2021.

Art. 3º Considere-se, no que couber, a Política de Gestão de Continuidade de Negócios do TRE- AM.

Art. 4º A STI elaborará, em até 180 (cento e oitenta) dias, o Plano Operacional de Continuidade de Serviços de TI, considerando os processos e ativos críticos.

CAPÍTULO I
DAS DEFINIÇÕES

Art. 5º Para efeitos desta norma, consideram-se os termos e definições previstos na Portaria DG /TSE n. 444/2021, além das seguintes:

I. PCNSTI - Plano de continuidade de serviços de TI - Plano de nível operacional que contém os detalhes para manter ou recuperar as atividades da organização frente a incidentes que causem uma disrupção.
II. Objetivo de Tempo de Recuperação (OTR/RTO) - Período de tempo gasto pela organização para recuperar uma atividade ou processo crítico após sua interrupção.
III. O Objetivo de Ponto de Recuperação (OPR/RPO) - Posição (no tempo) na qual deverão estar disponíveis os dados das aplicações recuperadas após a ocorrência de uma disrupção.
IV. O Período Máximo de Interrupção Tolerável (PMIT/MTO) - Tempo necessário para que os impactos adversos tornem-se inaceitáveis, que pode surgir como resultado de não fornecer um produto/serviço ou realizar uma atividade.
V. Análise de Impacto no Negócio (AIN/BIA) - Documento que registra a análise de uma disrupção na organização ao longo do tempo.
VI. Disrupção - Incidente, seja previsto ou imprevisto, que causa um desvio não planejado e negativo da expectativa de entrega de produtos e serviços de acordo com os objetivos da organização.

CAPÍTULO II
DO ESTABELECIMENTO DO CONTEXTO

Art. 6º Para estabelecimento do contexto para criação do PCNSTI deverão ser analisados:

I. O documento de Análise de Impacto no Negócio (AIN/BIA), que será elaborado pelo Gestor de Continuidade de Negócios.
II. Os sistemas e aplicativos descritos como essenciais ou críticos para o negócio, conforme definidos em portaria específica.
III. Os macroprocessos de trabalho e sua importância para a organização.
IV. A infraestrutura tecnológica em uso ou em implantação.

Art. 7º O contexto estabelecido deve ser apresentado ao Comitê Gestor de Segurança da Informação e ao Comitê Gestor de Continuidade de Negócios para validação.

CAPÍTULO III
DO PLANEJAMENTO

Art. 8º A Análise de Impacto no Negócio (AIN/BIA) é documento oficial de avaliação e planejamento da continuidade de negócios. Nela deverão constar, no mínimo:

I. Os objetivos institucionais.
II. Os macroprocessos de trabalho afetados.
III. As pessoas impactadas.
IV. Os ativos de informação impactados.
V. A avaliação dos riscos.
VI. A definição dos tempos de possíveis perdas e interrupções.

CAPÍTULO IV
DAS PERDAS E INTERRUPÇÕES

Art. 9º O Objetivo de Tempo de Recuperação (OTR/RTO) fica definido em:

I. Sistemas críticos: 48h.
II. Sistemas não-críticos: 96h.
III. Infraestrutura de rede, incluindo equipamentos de comunicação, infraestrutura de virtualização, servidores de DNS e DHCP, serviços de autenticação (Active Directory e Single-Sign-On): 24h.
IV. Sistemas de homologação e testes: Sem tempo definido.

Art. 10º O Objetivo de Ponto de Recuperação (OPR/RPO) fica definido em:

I. Sistemas críticos: 24h.
II. Sistemas não-críticos: 72h.
III. Infraestrutura de rede, incluindo equipamentos de comunicação, infraestrutura de virtualização, servidores de DNS e DHCP, serviços de autenticação (Active Directory e Single-Sign-On): 24h

Art. 11º O Período Máximo de Interrupção Tolerável (PMIT/MTO) fica definido em:

I. Sistemas críticos: 72h.
II. Sistemas não-críticos: 168h.
III. Infraestrutura de rede, incluindo equipamentos de comunicação, infraestrutura de virtualização, servidores de DNS e DHCP, serviços de autenticação (Active Directory e Single-Sign-On): 48h.
IV. Sistemas de homologação e testes: Sem tempo definido.

CAPÍTULO V
DO PLANO DE CONTINUIDADE DE SERVIÇOS DE TI

Art. 12º O Gestor de Continuidade de Negócios elaborará plano para continuidade dos serviços de TI, em conjunto com as áreas técnicas, conforme níveis de serviço previstos no capítulo IV e em consonância com a Política de Gestão de Continuidade de Negócios.

Art. 13º O plano de continuidade de serviços de TI será aprovado pelo Comitê Gestor de Segurança da Informação e publicado somente na Intranet, com acesso restrito, evitando exposição desnecessária de informações relativas à segurança do ambiente computacional.

Art. 14º O plano será testado semestralmente, na mesma data em ou em partes, de acordo com a maturidade e com a disponibilidade das equipes técnicas.

Art. 15º O resultado dos testes será documentado e posteriormente avaliado pelo Comitê Gestor de Segurança da Informação, que poderá solicitar ajustes ou outras providências.

Art. 16º O plano de continuidade de serviços de TI deverá ter cópias físicas impressas em locais de fácil acesso aos gestores das equipes técnicas responsáveis pela sua execução.

Art. 17º A política de cópias de segurança (backup) deve suportar os níveis de serviço previstos no capítulo IV.

CAPÍTULO VI
DISPOSIÇÕES FINAIS

Art. 18º Os casos omissos serão resolvidos pelo Comitê de Segurança da Informação e de Gerenciamento de Crises Cibernéticas.

Art. 19º Qualquer descumprimento desta norma deve ser imediatamente comunicado e registrado pelo Gestor de Segurança da Informação, com consequente adoção das providências cabíveis.

Art. 20º Esta norma complementar deverá ser revisada a cada 12 (doze) meses pelo Comitê de Segurança da Informação e de Gerenciamento de Crises Cibernéticas, sempre que se fizer necessário ou conveniente à este Tribunal.

Art. 21º Esta Política deve ser publicada no portal de intranet do Tribunal pelo Comitê de Segurança da Informação.

Art. 22º Esta Portaria entra em vigor na data de sua publicação.

Publique-se e cumpra-se.

Desembargador JORGE MANOEL LOPES LINS
Presidente do TRE - AM