PORTARIA Nº 149, DE 6 DE FEVEREIRO DE 2023

O PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DO CEARÁ no uso das atribuições que lhe confere o artigo 23, inciso LX, do Regimento Interno deste Tribunal,

CONSIDERANDO o que dispõe os artigos 7 e 9 da Res. TRE/CE n.º 920/2022, e 

CONSIDERANDO o disposto no Processo Administrativo Digital SEI n.º 2022.0.000003576-0,

CONSIDERANDO à Resolução TRE nº 793/2020, que dispõe sobre o Planejamento Estratégico da Justiça Eleitoral do Ceará,

CONSIDERANDO à Resolução TRE nº 618/2016,, que regulamenta a aplicação, no âmbito do Tribunal Regional Eleitoral do Ceará, da Lei nº 12.527, de 18 de novembro de 2011, que versa sobre o acesso à informação,

CONSIDERANDO a Res. CNJ 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Res. TSE 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral.

CONSIDERANDO a portaria DG/TSE 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral.

CONSIDERANDO as boas práticas em segurança da informação previstas nas normas ABNT ISO /IEC 27001 e ABNT NBR ISO/IEC 27002.

CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls V.8.

CONSIDERANDO a necessidade de implementar controles para o tratamento de dados pessoais, de acordo com a lei 13.709/2018 (LGPD);

CONSIDERANDO as diretivas da Lei nº 12.527, de 18 de novembro de 2011, que regula o acesso à informações;

CONSIDERANDO a Res. TRE-CE NN/2022, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral do Ceará.

CONSIDERANDO a Lei nº 12.527, de 18 de novembro de 2011, que regula o acesso a informações previsto no inciso XXXIII do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal;

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral do Ceará;

RESOLVE:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º Fica instituída a norma de gestão de ativos, em consonância com a Política de Segurança da Informação (PSI) do Tribunal Regional Eleitoral de Ceará;

Art. 2º Para os efeitos da Política de Segurança da Informação do Tribunal Regional Eleitoral de Ceará, aplicam-se os termos e definições conceituados na Resolução n. 920/2020, de 24 de outubro de 2022.

CAPÍTULO II

DO INVENTÁRIO DOS ATIVOS

Art. 3º Todos os ativos de informação e de processamento que utilizem infraestrutura de Tecnologia da Informação, enquanto permanecerem sob responsabilidade ou custódia do Tribunal Regional Eleitoral do Ceará, devem ser claramente identificados e inventariados, e relatório enviado à Assessoria de Segurança da Informação - ASEGI.

Art. 4º O inventário a que se refere o art. 3º deve incluir todos os ativos de informação e de processamento que utilizem a infraestrutura tecnológica do Tribunal Regional Eleitoral do Ceará, conectados ou não à rede corporativa, e conter informações indispensáveis:

I - A partir das necessidades de recuperação ou de substituição eficiente dos ativos em caso de desastre;

II - Com vistas a atender aos interesses da sociedade e do Estado;

III - Para fornecer subsídios aos processos de:

a) Segurança das Infraestruturas Críticas de Informação;

b) Gestão da Segurança da Informação;

c) Gestão de Riscos;

d) Gestão de Continuidade de Negócios;

e) Gerenciamento de Configuração;

f) Gerenciamento de Liberação;

g) Gerenciamento de Problemas;

h) Central de Serviços;

i) Gerenciamento de Mudanças;

j) Gerenciamento de Incidentes;

k) Gestão da Informação e do Conhecimento.

Art. 5º O detalhamento dos ativos deve contemplar, no mínimo, e, quando aplicável, o seguinte conjunto de informações:

I - Identificação única (matrícula, número patrimonial, nome, QR Code, RFID, número SEI, etc.);

II - Tipo de ativo;

III - Descrição do ativo;

IV - Localização;

V - Unidade responsável;

VI - Proprietária (o) do ativo de informação;

VII - Custodiante;

VIII - informações complementares sobre software, como versão, fornecedor, formato, data de instalação, licenças de uso, disponibilidade de suporte, cópia de segurança (backup) e aprovação de instalação na rede corporativa;

IX - informações complementares sobre hardware, como endereço de Internet Protocol (IP), endereço de hardware (MAC Address), nome da máquina.

Art. 6º Recomendávelque o detalhamento dos ativos contemple, também, sempre que possível:

I - O levantamento das interfaces e das interdependências internas e externas dos ativos de informação considerados críticos, bem como os impactos quando da indisponibilidade ou destruição de tais ativos de informação, seja no caso de incidentes ou de desastres, visando atender aos interesses da sociedade e do Estado;

II - Os requisitos de segurança da informação categorizados, no mínimo, em 5 (cinco) categorias de controle:

a) Tratamento da informação;

b) Controles de acesso físico e lógico;

c) Gestão de risco de segurança da informação;

d) Tratamento e respostas a incidentes em redes computacionais;

e) Gestão de continuidade dos negócios nos aspectos relacionados à segurança da informação.

Art. 7º O inventário de ativos de tecnologia da informação deve ser único e assegurar compatibilidade e exatidão de conteúdo com outros inventários em uso no Tribunal Regional Eleitoral do Ceará, a exemplo do controle patrimonial.

Parágrafo único. As urnas eletrônicas poderão ser controladas em inventário diferenciado, em função de suas especificidades de arquitetura e de utilização.

Art. 8º As informações registradas no inventário de ativos devem ser revisadas semestralmente, e as anomalias encontradas devem ser apresentadas à Comissão de Segurança da Informação (CSI), conforme definições do processo de gerência de configuração.

CAPÍTULO III

DA(O) PROPRIETÁRIA(O) DOS ATIVOS

Art. 9º Cada ativo de informação em uso no Tribunal Regional Eleitoral do Ceará deve ter um(a) proprietário(a) formalmente instituído(a) por sua posição ou cargo, responsável primário(a) pela viabilidade e sobrevivência do ativo.

Art. 10. A(o) proprietária(o) do ativo de informação deve assumir, no mínimo, as seguintes responsabilidades:

I - Descrição do ativo de informação;

II - Definição das exigências de segurança da informação do ativo;

III - Comunicação das exigências de segurança da informação do ativo a todo(a)s o(a)s custodiantes e usuárias(os);

IV - Garantia de cumprimento das exigências de segurança da informação, por meio de monitoramento contínuo;

V - Indicação dos riscos de segurança da informação que podem afetar os ativos;

VI - Garantia da adequada classificação dos ativos sob sua responsabilidade, segundo o grau de segurança das informações nele contidas;

VII - Garantia do tratamento adequado, conforme a classificação de segurança das informações nele contidas, de acordo com as orientações descritas na norma de classificação da informação;

VIII - Garantia da habilitação de credenciais ou contas de acesso, conforme as restrições ao acesso definidas pelo grau de segurança das informações nele contidas, de acordo com as orientações descritas na norma de classificação da informação;

IX - Atualização do inventário quando houver mudança de localização, responsabilidade ou custódia do ativo.

Art. 11. As (os) proprietárias (os) dos ativos de informação devem estabelecer critérios e práticas que assegurem a segregação de funções para que o controle de um processo ou sistema não fique restrito, na sua totalidade, a uma única pessoa, visando à redução do risco de mau uso acidental ou deliberado dos ativos.

Art. 12. A (o) proprietária (o) do ativo de informação poderá delegar as tarefas de rotina para um custodiante, providência que não afastará, todavia, a responsabilidade do primeiro.

CAPÍTULO IV

DA GESTÃO DO INVENTÁRIO DOS ATIVOS

SEÇÃO I

CONTROLE DE REDES

Art. 13. Requisitos mínimos de controle devem ser implementados na rede corporativa para assegurar a gestão adequada dos ativos de processamento (hardwares) inventariados, entre os
quais:

I - Utilização de ferramenta de varredura ativa ou passiva para manter automaticamente o inventário atualizado;

II - Utilização de ferramentas de gerenciamento de endereço IP para atualizar o inventário;

III - controle sobre quais ativos podem ser conectados à rede corporativa;

IV - Garantia de remoção da rede corporativa ou de colocação em quarentena de ativos não autorizados ou de atualização do inventário em tempo hábil.

Art. 14. Requisitos mínimos de controle devem ser implementados na rede corporativa para assegurar a gestão adequada dos ativos de processamento (softwares) inventariados:

I - Utilização, preferencialmente, de ferramenta de inventário para automatizar o registro de todos os softwares utilizados;

II - Manutenção de lista atualizada de todos os softwares autorizados em uso;

III - Garantia de homologação para uso apenas de software atualmente suportado pelo fornecedor, cabendo a marcação daquele não suportado no inventário como sem disponibilidade de suporte, além de documentação de exceção detalhando os controles de mitigação e a aceitação do risco residual, caso o uso de software sem suporte seja necessário ao cumprimento da missão do tribunal;

IV - Integração dos inventários de software e hardware para que todos os ativos associados sejam rastreados em um único local;

V - Garantia de remoção de software não autorizado ou de atualização do inventário em tempo hábil;

VI - Avaliação regular dos riscos de uso de software física ou logicamente segregado ou isolado da rede corporativa.

SEÇÃO II

CONTROLE DE ATIVOS DE PROCESSAMENTO

Art. 15. O processo de gerência de configuração deve assegurar que o inventário dos ativos seja adequadamente gerenciado, atualizado e monitorado em cada fase do ciclo de vida do ativo, quais sejam:

I - aquisição;

II - implementação;

III - manutenção;

IV - descarte.

CAPÍTULO V

DISPOSIÇÕES FINAIS

Art. 16. A Coordenadoria Gestão da Informação ou a área que detenha tal atribuição, terá acesso ao inventário de que trata o art. 14 para consulta e emissão de relatório, para fins de atualização do Plano de Classificação das Informações e dos Documentos e da Tabela de Temporalidade dos Documentos, bem como para classificação e avaliação dos ativos de informação do Tribunal.

Art. 17. A classificação dos ativos deverão obedecer à LAI (Lei de Acesso à Informação, nº 12.527 /2011) e a LGPD (Lei Geral de Proteção de Dados Pessoais, nº 13.709/2018).

Art. 18. Os casos omissos serão resolvidos pela Comissão de Segurança da Informação.

Art. 19. A revisão desta portaria ocorrerá a cada 3 (três) anos ou sempre que se fizer necessário ou conveniente para o Tribunal Regional Eleitoral do Ceará.

Art. 20. O descumprimento desta portaria deve ser imediatamente registrado como incidente de segurança e comunicado à Comissão de Segurança da Informação para apuração e consequente adoção das providências cabíveis.

Art. 21. Aos colaboradores, a não revelar QUAISQUER informações, que sejam, classificadas como confidenciais, sigilosas ou restritas, a que tiver acesso, para gerar benefício próprio exclusivo e/ou unilateral, presente ou futuro, ou para o uso de terceiros.

I - Em cuidar para que as informações confidenciais fiquem restritas ao conhecimento tão somente das pessoas que estejam diretamente envolvidos nas discussões, análises, reuniões e negócios, devendo cientificá-los da existência desta norma da segurança da informação.

Art. 22. Esta portaria entra em vigor na data de sua publicação e sua implementação se fará no prazo de 12 (doze) meses a contar dessa data.

CIENTIFIQUE-SE, PUBLIQUE-SE E CUMPRA-SE.

Fortaleza, 6 de fevereiro de 2023.

DESEMBARGADOR INACIO DE ALENCAR CORTEZ NETO

PRESIDENTE