PORTARIA Nº 756, DE 31 DE JULHO DE 2023

O PRESIDENTE DO EGRÉGIO TRIBUNAL REGIONAL ELEITORAL DO AMAZONAS, no uso das competências que lhe são conferidas pelo art. 18, incisos XII, do Regimento Interno e com fundamento no art. 35, inciso I, da Lei n. 8.112, de 11.12.1990, com redação dada pela Lei n. 9.527, de 10.12.1997,

CONSIDERANDO os termos da Resolução 370, de 28 de janeiro de 2021, do Conselho Nacional de Justiça, que estabeleceu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD), as diretrizes para sua governança, gestão e colaboração tecnológica;

CONSIDERANDO a Res. CNJ nº 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO o anexo I da Portaria nº 162, de 10 de junho de 2021, do Conselho Nacional de Justiça, que constitui o Protocolo de Prevenção de Incidentes Cibernéticos do Poder Judiciário;

CONSIDERANDO os anexos IV, V e VI da Portaria nº 162, de 10 de junho de 2021, do Conselho Nacional de Justiça, que contêm os manuais referentes à Proteção de Infraestruturas Críticas de TIC, Prevenção e Mitigação de Ameaças Cibernéticas e Confiança Digital, e, ainda, Gestão de Identidades;

CONSIDERANDO a Res. TSE nº 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a portaria DG/TSE nº 444/2021, que instituiu a norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO as boas práticas de segurança da informação e privacidade previstas nas normas ABNT ISO/IEC 27001 e ABNT ISO/IEC 27002;

CONSIDERANDO a Norma ABNT NBR ISO/IEC 27001:2005, que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro da organização;

CONSIDERANDO a Norma Complementar 21/IN01/DSIC/GSIPR, do Gabinete de Segurança Institucional da Presidência da República, de 10 de outubro de 2014, que estabelece as Diretrizes para o Registro de Eventos, Coleta e Preservação de Evidências de Incidentes de Segurança em Redes nos órgãos e entidades da Administração Pública Federal, direta e indireta;

CONSIDERANDO o Decreto nº 9.637, de 26 de dezembro de 2018, que "Institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação";

CONSIDERANDO a Norma Complementar 05/IN01/DSIC/GSIPR, do Gabinete de Segurança Institucional da Presidência da República, de 14 de agosto de 2009, que disciplina a criação de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais (ETIR) nos órgãos e entidades da Administração Pública Federal;

CONSIDERANDO a Norma Complementar 08/IN01/DSIC/GSIPR, do Gabinete de Segurança Institucional da Presidência da República, de 24 de agosto de 2010, que estabelece as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal;

CONSIDERANDO o número crescente de incidentes cibernéticos no ambiente da rede mundial de computadores;

CONSIDERANDO as boas práticas de Governança de Tecnologia da Informação para garantir a disponibilidade e integridade dos serviços e ativos tecnológicos do Tribunal Regional Eleitoral do Amazonas;

CONSIDERANDO, ainda, que a segurança da informação, a proteção e privacidade de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral Amazonas;

RESOLVE:

Art. 1º Fica instituído o Protocolo de Prevenção a Incidentes Cibernéticos, no âmbito do Tribunal Regional Eleitoral Amazonas.

Art. 2º Esta norma integra a Política de Segurança da Informação da Justiça Eleitoral, estabelecida pela Resolução TSE n. 23.644/2021.

Art. 3º Para efeitos desta norma, consideram-se os termos e definições previstos na Portaria DG /TSE n. 444/2021, além de:

I. Incidente cibernético ou Incidente de segurança: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores, tais como: divulgação não autorizada de dados ou de informação sigilosa contida em sistema, arquivo ou base de dados do TRE-AM; invasão de dispositivo informático; interrupção de serviço essencial ao desempenho das atividades; inserção ou facilitação de inserção de dados falsos, alteração ou exclusão de dados corretos nos sistemas informatizados ou bancos de dados do TRE- AM e/ou prática de ato definido como crime ou infração administrativa;
II. Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR): grupo de pessoas com a responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores.

CAPÍTULO I
DOS OBJETIVOS E RESPONSABILIDADES

Art. 4º Este protocolo tem os seguintes objetivos:

I. Disciplinar a criação e funcionamento da Equipe de Tratamento e Resposta a Incidentes na Rede de Computadores (ETIR) no âmbito do Tribunal Regional Eleitoral do Amazonas;
II. Promover alinhamento às normas, regulamentações e às melhores práticas, relacionadas à Gestão de Incidentes de Segurança da Informação;
III. Promover ações que contribuam para a resiliência dos serviços de Tecnologia da Informação e Comunicação (TIC) aos ataques cibernéticos.

Art. 5º O Protocolo de Investigação para Ilícitos Cibernéticos e o Protocolo de Gerenciamento de Crises Cibernéticas são complementares e se harmonizam com este Protocolo de Prevenção a Incidentes Cibernéticos.

Art. 6º Para implementação desta norma, áreas envolvidas deverão observar os princípios críticos definidos no PPINC-PJ, que são:

I. Uso de base de conhecimento de defesa;
II. Priorização da segurança da informação;
III. Definição e estabelecimento de métricas;
IV. Diagnóstico contínuo;
V. Formação e capacitação;
VI. Busca de soluções automatizadas de segurança cibernética;
VII. Resiliência.

Art. 7º Cabe ao Comitê de Segurança da Informação e de Gerenciamento de Crises:

I. Deliberar sobre as principais diretrizes e temas relacionados à Gestão de Incidentes de Segurança da Informação;
II. Monitorar e avaliar periodicamente a estrutura de Gestão de Incidentes de Segurança da Informação e o sistema de controles internos, assim como propor melhorias consideradas necessárias;
III. Aprovar formalmente o processo de Gestão de Incidentes de Segurança da Informação e suas futuras revisões;
IV. Deliberar sobre ações de contenção ou prevenção de incidentes de segurança da informação.

Art. 8º Cabe à Presidência:

I. Analisar as deliberações do Comitê de Segurança da Informação e de Gerenciamento de Crises sobre Gestão de Incidentes de Segurança da Informação e decidir sobre possíveis providências;
II. Formalizar a aceitação da execução das ações propostas para conter ou prevenir incidentes de segurança da informação;
III. Comunicar ao órgão de polícia judiciária com atribuição para apurar os fatos, na ocorrência de incidentes penalmente relevantes;
IV. Acionar o Comitê de Segurança da Informação e de Gerenciamento de Crises, nos termos do Protocolo de Gerenciamento de Crises Cibernéticas, quando necessário.

Art. 9º Cabe às unidades vinculadas à Secretaria de Tecnologia da Informação (STI):

I. Monitorar e comunicar à ETIR os Incidentes de segurança da informação dos ativos sob sua responsabilidade;
II. Assegurar a implementação das ações e dos controles definidos para prevenção e contenção de incidentes de segurança da informação dos ativos sob sua responsabilidade.

Art. 10º Cabe ao Núcleo de Segurança da Informação (NSI):

I. Desenvolver, testar e implementar o processo de Gestão de Incidentes de Segurança Cibernética e garantir sua efetividade;
II. Coordenar a instituição, capacitação, implementação e manutenção da infraestrutura necessária à ETIR;
III. Gerenciar as atividades e distribuir tarefas para a ETIR;
IV. Garantir que os incidentes de segurança na Rede de Computadores do TRE-AM sejam devidamente tratados;
V. Adotar procedimentos de feedback para assegurar que os usuários que comuniquem incidentes de segurança da informação e comunicações na rede interna de computadores sejam informados dos procedimentos adotados;
VI. Disseminar cultura voltada para comunicação de incidentes de segurança cibernética;
VII. Subsidiar o Comitê de Segurança da Informação e de Gerenciamento de Crises com informações pertinentes à estrutura de gestão de incidentes de segurança cibernética. Parágrafo único. Cabe ao responsável pela Assessoria Técnica de Segurança Cibernética/STI o papel de Agente Responsável pela ETIR, além de ser a interface com o Centro de Tratamento e Resposta a Incidentes de Segurança em Redes de Computadores da Administração Pública Federal (CTIR GOV).

CAPÍTULO II
DAS FUNÇÕES DO PROTOCOLO DE PREVENÇÃO A INCIDENTES CIBERNÉTICOS

Art. 11º São funções básicas do Protocolo de Prevenção a Incidentes Cibernéticos, conforme função.

Seção I
Da Função "Identificar"

Art. 12º A função "Identificar" consiste na análise dos riscos a que os recursos de TIC estão expostos, incluindo a elaboração e a execução do plano de tratamento dos riscos.

§1º A função identificar é executada dentro do escopo do processo de Gestão de Riscos de Segurança da Informação de TI, instituído em ato próprio, e está limitada aos ativos incluídos no respectivo ciclo de análise de riscos no âmbito do TRE-AM.

§2º O mesmo tratamento previsto no parágrafo § 1º deste artigo deve ser dispensado a ativos considerados relevantes, mesmo que não estejam diretamente relacionados à sustentação dos serviços críticos, que poderiam ser ponto de entrada para a exploração de falhas.

§3º § 3º O rol de atividades de TIC consideradas essenciais, para fins deste normativo, é o mesmo constante no ciclo de análise de riscos vigente.

Seção II
Da Função "Proteger"

Art. 13º A função "Proteger" consiste no desenvolvimento e na implementação de salvaguardas que assegurem a proteção de dados, inclusive pessoais, ativos de informação e a prestação de serviços.

§1º A função "Proteger" deve ser implementada pelo conjunto mínimo de ações elencadas a seguir:

I. Aprimoramento contínuo do Sistema de Gestão de Segurança da Informação (SGSI) do TRE-AM;
II. Controle de acesso e de utilização de recursos de TIC;
III. Cópia de segurança e de restauração de sistemas, aplicativos, dados e de documentos;
IV. Plano de contingência dos serviços essenciais;
V. Cestão de capacidade e disponibilidade de TIC dos serviços essenciais;
VI. Processo de gerenciamento de mudanças para todos os ativos de TIC;
VII. Gestão de vulnerabilidades técnicas dos serviços essenciais;
VIII. Utilização de ferramenta de segurança para estações de trabalho, contendo, no mínimo, as funções de antivírus, automação de políticas de segurança de endpoint, proteção contra criptografia (ransomware), controle de aplicativos e de dispositivos removíveis;
IX. Controle de acesso a conteúdo na Internet (filtragem web);
X. Utilização de ferramentas de segurança de rede (firewall), para filtragem e bloqueio de tráfego de rede, prevenção de ameaças e implementação de redes privadas virtuais (VPN);
XI. Integridade da rede protegida por meio da segmentação e segregação de ambientes, de maneira a estabelecer barreiras de contenção de danos em caso de comprometimento (sub-redes distintas por serviços) e para garantia de recursos para serviços prioritários (missão crítica, em detrimento de ambientes de laboratório/desenvolvimento/homologação);
XII. Manter campanha e/ou treinamento sobre segurança da informação para magistrados e servidores;
XIII. Atualização tecnológica constante;
XIV. Implementação gradual dos controles de segurança da informação presentes na Norma NBR 27002;
XV. Implementação gradual dos controles mínimos recomendados no Manual de Referência para Proteção de Infraestruturas Críticas de TIC, editado pelo Conselho Nacional de Justiça, considerando a escala de aplicabilidade de cada controle em relação ao porte e maturidade do TRE-AM em segurança da informação;
XVI. Implementação gradual dos requisitos de resiliência cibernética recomendados no Manual de Prevenção e Mitigação de Ameaças Cibernéticas e Confiança Digital, editado pelo Conselho Nacional de Justiça, considerando a aplicabilidade dos requisitos em relação ao porte e maturidade do TRE-AM em segurança da informação.

§2º As salvaguardas elencadas no § 1º deste artigo devem ser implementadas para todos os ativos de TIC, no que couber, considerados essenciais ou não ao negócio, permitindo variar quanto ao nível de implementação, de acordo com a natureza e criticidade do ativo.

§3º As atualizações dos ativos de TIC (pacotes de segurança, firmware, entre outros) devem ser aplicadas, sempre que possível, tão logo liberadas, mas considerando:

I. Os riscos decorrentes da atualização;
II. Os riscos decorrentes da não aplicação (ou postergação);
III. A criticidade do ativo;
IV. A estabilidade dos serviços.

Seção III
Das Funções "Detectar", "Responder" e "Recuperar"

Art. 14º As atividades decorrentes das funções "Detectar", "Responder" e "Recuperar" devem estar cobertas pelo Processo de Gestão de Incidentes de Segurança Cibernética. Quando houver indícios de ilícitos criminais durante o gerenciamento dos incidentes de segurança, deverá, ainda, ser seguido o Protocolo de Investigação para Ilícitos Cibernéticos.

Parágrafo único. Na ocorrência da hipótese prevista no caput deste artigo, o Comitê de Segurança da Informação e de Gerenciamento de Crises Cibernéticas e a Presidência do TRE-SE deverão ser comunicados.

Art. 15º Quando o incidente de segurança da informação decorrer de suspeita de descumprimento da Política de Segurança da Informação, será observado o sigilo durante todo o processo, ficando as evidências, informações e demais registros restritos aos envolvidos na investigação.

Art. 16º Este protocolo deverá ser revisado e atualizado pelo menos a cada 12 (doze) anos, mediante provocação da Secretaria de Tecnologia da Informação e Comunicação (STI).

Art. 17º Os casos omissos serão resolvidos pelo Comitê de Segurança da Informação e de Gerenciamento de Crises Cibernéticas.

Art. 18º Qualquer descumprimento desta norma deve ser imediatamente comunicado e registrado pelo Gestor de Segurança da Informação, com consequente adoção das providências cabíveis.

Art. 19º Esta norma complementar deverá ser revisada a cada 12 (doze) meses pelo Comitê de Segurança da Informação e de Gerenciamento de Crises Cibernéticas, sempre que se fizer necessário ou conveniente à este Tribunal.

Art. 20º Esta Política deve ser publicada no portal de intranet do Tribunal pelo Comitê de Segurança da Informação.

Art. 21º Esta Portaria entra em vigor na data de sua publicação.

Desembargador JORGE MANOEL LOPES LINS
Presidente do TRE - AM