Sistema de Gestão da Segurança da Informação

Considerando o conceito de ativo de informação todas as informações criadas, mantidas e armazenadas, além das ferramentas e componentes de atividade, hardware e software, sobre esses ativos do Tribunal Regional Eleitoral do Amazonas.

Considerando os princípios básicos da segurança da informação integridade, confidencialidade e acessibilidade de informações;

 

Institui a Política de Segurança da
Informação no âmbito do Tribunal Regional
Eleitoral do Amazonas

 

Art. 1º Fica regulamentada, a Política de Segurança da Informação – PSI – no âmbito do Tribunal Regional Eleitoral do Amazonas.

§ 1º A PSI aplica-se e é de responsabilidade de todos os usuários internos e externos que fazem uso dos ativos de informação e processamento no âmbito da Justiça Eleitoral. O conhecimento desta Política deve ser atestado por todos os usuários por meio do correio eletrônico institucional.

§ 2º A presente Política de Segurança da Informação tem por fundamento as seguintes referências legais e normativas:

I – Decreto nº 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos Órgãos e entidades da Administração Pública Federal;

II – Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008, que disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências;

III – Norma 02/IN01/DSIC/GSIPR, de 13 de outubro de 2008, que cria metodologia de gestão de segurança da informação e comunicações;

IV – Norma 03/IN01/DSIC/GSIPR, de 30 de junho de 2009, que cria diretrizes para elaboração de Política de Segurança da Informação e Comunicações nos órgãos e entidades da Administração Pública Federal;

V – Resolução nº 198, de 01 de julho de 2014, do Conselho Nacional de Justiça, que dispõe sobre o Planejamento e a gestão Estratégica no âmbito do Poder Judiciário e dá outras providências;

VI – Resolução nº 211, de 15 de dezembro de 2015, do Conselho Nacional de Justiça, institui a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD).

VII – Norma ABNT NBR ISO/IEC 27001:2013, que normatiza o Sistema de Gestão da Segurança da Informação;

VIII - Norma ABNT NBR ISO/IEC 27002:2013, que normatiza o Código de Prática para Controles da Segurança da Informação;

XI – Código Penal Brasileiro;

XII – Resolução TSE 23501-2016 – Política de Segurança da Informação do Tribunal Superior Eleitoral.

 

Art. 2º São objetivos da PSI:

I – instituir responsabilidades e competências visando à estruturação da segurança da informação e promover ações necessárias a sua implementação e a sua manutenção;

II – combater atos de destruição, modificação, apropriação ou divulgação indevida de informações, de modo a preservar os ativos de informação da instituição;

Art. 3º A operacionalização das diretrizes da Política de Segurança da Informação:

§ 1º As normas deverão indicar o público-alvo a que se destinam e serão classificadas, quando necessárias, como gerais, quando tiverem ampla aplicação ou impacto, ou específicas, quando tiverem aplicação ou impacto restrito.

Art. 4º Compõem a Política de Segurança da Informação neste Tribunal as normas constantes do Anexo I desta resolução.

§ 1º As normas que integram a Política de Segurança da Informação serão publicadas pela Secretaria de Tecnologia da Informação na intranet e no Portal deste Tribunal, em seção específica intitulada “Segurança da Informação”.

Art. 5º A atualização das normas de segurança da informação ocorrerá sempre que se fizer necessário ou conveniente para o Tribunal por meio de portaria do GABDG, sob proposta encaminhada pelo comitê de segurança da informação.

Art. 6º O Tribunal adotará as sanções legais e contratuais cabíveis contra qualquer usuário ou entidade que venha a praticar atos que violem a Política de Segurança da Informação regulamentada nos termos desta resolução.

 

Art. 7º As normas da PSI cuja implementação dependa de novos serviços e aquisições serão implementadas gradativamente, devidamente planejadas e orçadas administrativamente.

Art. 8º Casos omissos serão decididos pela Diretoria-Geral.

Art. 9. Esta resolução entra em vigor na data de sua publicação.

 

 

Manaus, 27 de Maio de 2019

 

ANEXO I – Regras Gerais

 

Pessoas e Papéis

  1. Os recursos de tecnologia da informação do Tribunal somente podem ser utilizados para execução de atividades pertinentes e de interesse da instituição.

  2. O desenvolvimento de sistemas, suporte em microinformática e outras atividades especificas de TI deverão ser realizados exclusivamente por servidores ou postos de trabalho contratados para este fim pela Secretaria de Tecnologia da Informação – STI –deste Egrégio.

  3. Os acessos aos recursos de tecnologia da informação somente serão permitidos mediante identificação, autenticação e a respectiva autorização aos usuários, perfazendo um acesso pessoal, único (usuário e senha) e intransferível.

    1. O acesso único é composto por usuário representado pelo título de eleitor do requerente e uma senha cadastrada e confirmada, utilizando-se da seguinte regra para utilização:

      1. A solicitação de cadastro de novos usuários deverá ser realizada via Central de serviços. Para o cadastramento/alteração são necessários:

        1. Solicitação encaminhada via chefia imediata do setor;

        2. Nome completo, título de eleitor, setores a que o novo usuário tiver acesso, de acordo com a autorização da chefia;

        3. Usuário pré-cadastrado nos sistemas SGRH e/ou terceirizados para efetiva atuação;

        4. Portaria ou autorização contratual para atuação do servidor e acesso aos ativos de informação do tribunal;

      2. No primeiro acesso será fornecido uma senha padrão composta por letras e números combinados a partir do nome e título de eleitor do usuário requerente, informada pessoalmente ou pela via de preferência do requerente, telefone ou endereço eletrônico pessoal internet;

      3. O usuário deverá trocar sua senha de acesso para uma diferente da padrão fornecida, obedecendo padrão estrutural onde deve constar pelo menos uma letra maiúscula, outras letras e números, mínimo 8 caracteres, máximo 12. Ferramenta de alteração disponível via intranet;

      4. todo o acesso aos ativos de informação estará passível de registro, monitoramento e responsabilização sobre as atividades realizadas nos acessos. Os usuários devem preservar o sigilo das informações utilizadas, dentro e fora das dependências do Tribunal;

      5. O usuário que efetuar o acesso único será o único responsável pelo sigilo de sua senha e pelas atividades realizadas. Será também de sua responsabilidade, acessos realizados por terceiros, sob conivência ou não, no uso de suas prerrogativas.

      6. O usuário também é responsável pelo uso de acessórios e componentes autorizados pela equipe técnica do TRE (pendrives, hds externos, etc) e pelas consequências de seu uso.

  4. O comitê de segurança da informação definirá os perfis de acesso e restrições de uso de cada ativo de informação, minimizando entre os usuários o risco de acesso exclusivo a determinado ativo e de mau uso;

  5. Usuários da rede lógica terão acesso ao sistema de correio eletrônico do TRE-AM de acordo com os seguintes critérios:

    1. Deve ser adotado como padrão para as contas dos usuários e para os endereços de correio eletrônico das caixas pessoais o formato nome.sobrenome@tre-am.jus.br, para garantia de identificação clara e imediata do usuário.

    2. A senha de acesso ao correio eletrônico é a mesma da rede lógica.

    3. O acesso ao correio eletrônico pode ser efetuado tanto na intranet quanto na internet.

  6. Usuários externos e visitantes poderão ter acesso aos ativos de informação do TRE desde que supervisionados e se utilizando de ferramental específico disponibilizado pela equipe técnica do tribunal;

  7. Os gestores das unidades deste tribunal são também responsáveis pela disseminação do conhecimento no uso dos recursos de tecnologia da informação e sistemas de informação, para garantir a continuidade das operações de seus processos e a segurança das informações.

  8. Os usuários devem ser constantemente formalmente comunicados sobre a política de segurança da informação, suas normas aplicáveis e suas alterações, para minimizar os riscos à segurança da informação.

  9. É vedado a qualquer usuário do Tribunal, utilização de qualquer código/script sem autorização e pré-análise de vulnerabilidades feita pela STI.

Recursos e Processos

 

  1. As estações de trabalho fornecidas devem possuir configurações de hardware e software homologadas pela STI. 

  2. É proibida a utilização de quaisquer equipamentos/acessórios conectados aos ativos de informação do tribunal e rede lógica sem autorização e análise técnica da Secretaria de Tecnologia da Informação – STI, inclusos aqui dispositivos de armazenamento como pendrives, HDs externos, CD-ROM, etc. 

  3. A disponibilização dos recursos de tecnologia da informação do Tribunal compete exclusivamente a STI. Compete também a restrição de recurso caso haja ameaça que possa comprometer a integridade dos ativos de informação do tribunal. 

  4. A manutenção e troca de ativos de informação é de exclusiva responsabilidade da STI.

  5. É proibida a utilização de ativos de informação sem devido licenciamento no âmbito da justiça eleitoral do Amazonas, respeitando a legislação vigente referente à proteção da propriedade intelectual (direitos autorais, softwares e patentes). 

  6. Para utilização de recursos de tecnologia da informação fora das dependências do tribunal são necessários:

    1. Solicitação oficial previamente autorizada pelo STI, de acordo com o item 1. deste regramento.

    2. Retirada dos equipamentos na STI sob cautela assinada por usuário responsável, dentro de um período determinado.

    3. Ciência que o TRE-AM não se responsabiliza por dados pessoais, cópias de segurança, mídias removíveis, arquivos e suporte nestes equipamentos durante o uso externo, com exceção de eventos realizados pelo próprio egrégio.

  7. O uso de impressoras segue o descrito no item 01 deste regramento;

  8. Cabe à STI disponibilizar espaço de armazenamento na rede lógica às unidades administrativas do tribunal para uso dentro das atribuições institucionais. É de responsabilidade da STI o armazenamento e cópia de segurança de acordo com o item 17 deste regramento.

  9. A STI somente será responsável por manter cópias de segurança (backup) das bases de dados, informações e serviços contidos nas pastas da rede lógica no ambiente computacional oficial de produção, obedecendo ao processo de cópia de dados e restauração em vigor;

  10. O certificado digital a ser utilizado no Tribunal deve ser do tipo A3 emitido por autoridade certificadora credenciada na Infraestrutura de Chaves Públicas Brasileira – ICP – Brasil.

  11. A utilização de dispositivos móveis no âmbito deste tribunal obedecerá ao item 01 deste regramento.

  12. O acesso à rede lógica desde tribunal via Rede Virtual Privada será permitido de acordo com a autorização institucional e os procedimentos de acesso, segurança e configuração definidos pela STI.

  13. O uso do correio eletrônico institucional está sujeito à monitoramento e o tráfego poderá ser restrito e/ou bloqueado após análise de vulnerabilidades realizada pela STI, respeitando análises de origem e destino, conteúdos das mensagens, tamanho e regras definidas conforme a criticidade das vulnerabilidades e também no TSE.

  14. Os conteúdos das mensagens eletrônicas são de inteira responsabilidade dos usuários e suas prerrogativas.

  15. A criação de grupos de endereços de e-mail e alias de contas devem obedecer inteiramente às autorizações e interesses institucionais. A manutenção desses recursos é de responsabilidade da STI.

  16. O acesso ao CPD – Sala cofre é de inteira responsabilidade e controle da STI, além de fiscalização de contratos de manutenção preventiva e corretiva e demais procedimentos pertinentes.

  17. É vedado aos administradores dos serviços de TIC da STI, controle único e exclusivo de qualquer ativo de informação do tribunal.

  18. Projetos relacionados aos ativos de informação desenvolvidos no âmbito do Tribunal e com seus recursos é de exclusiva propriedade deste, não podendo os usuários participantes alegar propriedade de qualquer natureza.

  19. Os processos de trabalho acerca do software antivírus (instalação, atualização) são de responsabilidade da STI. Os usuários não podem interromper as rotinas automáticas de atualização e busca de vírus nos ativos de informação.

  20. Verificada alguma discordância sobre o uso dos ativos de TI no que concerne a segurança da informação e integridade física/lógica do item, a STI deverá ser acionada por meio da Central de Serviço institucional.

  21. Os processos de trabalho acerca do parque computacional, infraestrutura de TIC e configuração do parque de servidores e ambiente de sala-cofre são de inteira responsabilidade da STI.

Comitê de Segurança da informação e Gerenciamento de Crise Cibernética - CSIGCC

Definição e Competências:

Comitê multidisciplinar composto por representantes de todas as áreas estratégicas do TRE-AM com as seguintes competências:

  • Propor melhorias à Política de Segurança da Informação da Justiça Eleitoral - PSI-JE;
  • Propor normas, procedimentos, planos e/ou processos, nos termos do art. 60 da Resolução TSE n. 23.501/2016, visando à operacionalização desta PSI-JE;
  • Promover a divulgação desta PSI-JE e normativos, bem como ações para disseminar a cultura em segurança da informação, no âmbito do Tribunal Regional Eleitoral do Amazonas;
  • Propor estratégias para a implantação desta PSI-JE;
  • Propor ações visando à fiscalização da aplicação das normas e da política de segurança da informação;
  • Propor recursos necessários à implementação das ações de segurança da informação e de Gerenciamento de Crises Cibernéticas;
  • Propor a realização de análise de riscos e mapeamento de vulnerabilidades nos ativos;
  • Propor a abertura de sindicância para investigar e avaliar os danos decorrentes de quebra de segurança da informação;
  • Propor normas, procedimentos, planos e/ou processos, necessários ao Gerenciamento de Crises Cibernéticas;
  • Propor a constituição de grupos de trabalho para tratar de temas sobre segurança da informação.

Norma de Instituição:

Portaria TRE-AM n° 147/2021

Membros do Comitê:

  • Secretário(a) de Tecnologia da Informação - STI (Gestor);
  • Secretário(a) de Gestão de Pessoas - SGP;
  • Secretário(a) de Administração, Orçamento e Finanças - SAO;
  • Secretário(a) Judiciário(a) - SJD;
  • Coordenador(a) de Supervisão e Orientação - CSORI;
  • Assessor(a) de Comunicação Social - ASCOM;
  • Assessor(a) de Planejamento Estratégico e Desenvolvimento Institucional- ASPLAN;
  • Coordenador(a) de Controle Interno e Auditoria - CCIA;
  • Agente Responsável da Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética (ETIR)

Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética - ETIR

Definição e Competências:

Equipe de servidores com a responsabilidade de receber, analisar e responder notificações e atividades relacionadas a incidentes de segurança em redes de computadores.

Norma de Instituição:

Portaria TRE-AM n° 146/2021

Membros da Equipe:

  • Coordenador(a) de Infraestrutura – COINF;
  • Chefe da Seção de Rede e Banco de Dados ­ SERBD;
  • Chefe da Seção de Produção – SEPD;
  • Coordenador(a) de Desenvolvimento de Sistemas­ CDES;
  • Assessor(a) de Comunicação Social ­ ASCOM;
  • Coordenador(a) de Registros e Editoração – CORE;
  • Chefe do Núcleo de Apoio de Segurança Judiciária ­ NASJ; e
  • Coordenador(a) de Controle Interno e Auditoria­ CCIA

Reuniões do CSIGCC

 – Decreto nº 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos Órgãos e entidades da Administração Pública Federal;

II – Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008, que disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências;

III – Norma 02/IN01/DSIC/GSIPR, de 13 de outubro de 2008 que cria metodologia de gestão de segurança da informação e comunicações;

IV – Norma 03/IN01/DSIC/GSIPR, de 30 de junho de 2009, que cria diretrizes para elaboração de Política de Segurança da Informação e Comunicações nos órgãos e entidades da Administração Pública Federal;

V – Resolução nº 198, de 01 de julho de 2014, do Conselho Nacional de Justiça, que dispõe sobre o Planejamento e a gestão Estratégica no âmbito do Poder Judiciário e dá outras providências;

VI – Resolução nº 211, de 15 de dezembro de 2015, do Conselho Nacional de Justiça, institui a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD).

VII – Norma ABNT NBR ISO/IEC 27001:2013, que normatiza o Sistema de Gestão da Segurança da Informação;

VIII - Norma ABNT NBR ISO/IEC 27002:2013, que normatiza o Código de Prática para Controles da Segurança da Informação;

XI – Código Penal Brasileiro;

XII – Resolução TSE 23501-2016 – Política de Segurança da Informação do Tribunal Superior Eleitoral.