INSTRUÇÃO NORMATIVA TRE-RS P N. 96/2022

Dispõe sobre as regras e os procedimentos para a gestão de riscos de segurança da informação do Tribunal Regional Eleitoral do Rio Grande do Sul.

O PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DO RIO GRANDE DO SUL, no uso de suas atribuições legais e regimentais,

CONSIDERANDO a necessidade de apoiar a gestão dos riscos de segurança da informação deste Tribunal, cuja avaliação periódica é condição para implementação e operação do Sistema de Gestão de Segurança da Informação (SGSI);

CONSIDERANDO a Resolução CNJ n. 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução TSE n. 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Resolução TRE-RS n. 370/2021, que adota, no âmbito deste Tribunal, a Resolução TSE n. 23.644/2021;

CONSIDERANDO a Resolução TRE-RS n. 396/2022, que atualiza a Política de Gestão de Riscos deste Tribunal;

CONSIDERANDO a Portaria DG/TSE n. 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO as boas práticas em segurança da informação previstas nas normas ABNT ISO/IEC 27001 e ABNT NBR ISO/IEC 27002;

CONSIDERANDO as boas práticas em gestão de riscos de segurança da informação previstas na norma ABNT ISO/IEC 27005;

CONSIDERANDO a necessidade de gerenciar os riscos que envolvem o tratamento de dados pessoais, de acordo com a Lei n. 13.709/2018 (LGPD);

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral do Rio Grande do Sul;

RESOLVE:

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

Art. 1º Instituir a Gestão de Riscos de Segurança da Informação como norma integrante da Política de Segurança de Informação da Justiça Eleitoral adotada pelo Tribunal Regional Eleitoral do Rio Grande do Sul.

Art. 2º A Gestão de Riscos de Segurança da Informação é orientada pela Política de Gestão de Riscos deste Tribunal, instituída pela Resolução TRE-RS n. 396/2022.

Art. 3° Entende-se por risco de segurança da informação todo evento que possa afetar a integridade, a confidencialidade, a disponibilidade ou a autenticidade da informação e dos dados pessoais custodiados pela Justiça Eleitoral do Rio Grande do Sul.

Art. 4º Deverão ser analisados os riscos de segurança da informação, antes da implementação, aquisição ou contratação:

I - dos sistemas de informação desenvolvidos internamente, obtidos de outras instituições ou adquiridos de fornecedor externo;
II - das demais soluções de tecnologia da informação;
III - dos ativos de tecnologia da informação;
IV - dos processos de trabalho executados no Tribunal.

Parágrafo Único. O Programa de Gestão de Riscos de Segurança da Informação, previsto no Capítulo II, deverá prever a análise dos riscos dos sistemas de informação, das soluções e ativos de TI, bem como dos processos de trabalho já implementados.

CAPÍTULO II

DO PROGRAMA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO

Art. 5° O Programa de Gestão de Riscos de Segurança da Informação tem como objetivo implementar a Gestão de Riscos de Segurança da Informação para auxiliar na tomada de decisão com vistas a prover segurança no cumprimento da missão e no alcance dos objetivos institucionais.

Art. 6° O Programa tem como princípio sua aplicação de forma contínua e integrada aos procedimentos adotados, assim como aos sistemas e serviços disponibilizados.

Art. 7° O Programa será dividido em ciclos para a gestão dos riscos de segurança da informação, com cronograma a ser elaborado pela Assessoria de Segurança da Informação (ASI) e aprovado pelo CSI.

§ 1° Para cada ciclo deverá ser definido um escopo específico a ser submetido ao processo de gestão de riscos de segurança da informação, conforme a metodologia definida no Manual de Gestão de Riscos do TRE-RS.

§ 2° Para a definição do escopo devem ser considerados os fatores humanos, tecnológicos, organizacionais e de imagem da Justiça Eleitoral, além da:
I - identificação dos ativos de informação;
II - identificação das ameaças;
III - identificação das vulnerabilidades;
IV - proteção de dados pessoais, de acordo com a LGPD;
V - identificação das partes interessadas.

Art. 8° Para cada ciclo de análise de riscos definido no cronograma do Programa, deverá ser nomeada uma equipe responsável pela execução dos trabalhos, composta por representantes das unidades envolvidas no escopo definido.

Parágrafo Único. Cada ciclo do Programa contemplará as etapas previstas no Processo de Gerenciamento de Riscos de Segurança vigente no Tribunal.

Art. 9° Caberá à Assessoria de Segurança da Informação coordenar a execução das análises, em cada ciclo previsto no cronograma do Programa.

§ 1° A aceitação do risco residual, o qual esteja além do limite do apetite ao risco definido, deverá ser feito pela Administração, após análise e parecer do CSI.

§ 2° Os riscos deverão ser comunicados e compartilhados entre as partes interessadas.

CAPÍTULO III

DO MONITORAMENTO DOS RISCOS DE SEGURANÇA DA INFORMAÇÃO

Art. 10. O monitoramento e análise crítica dos riscos de segurança da informação deverão ser efetuados pelos Gestores de Riscos definidos no parágrafo único, do art. 10 da Resolução TRE-RS n. 396/2022.

Parágrafo Único. Os riscos residuais de segurança da informação classificados como alto ou extremo deverão ser informados ao Gestor de Segurança da Informação, para acompanhamento.

Art. 11. Os riscos de segurança da informação devem ser monitorados, preferencialmente, por meio de solução informatizada, permitindo o acesso às partes interessadas.

Parágrafo Único. Na impossibilidade de adoção de sistema informatizado para monitoramento dos riscos devem ser adotados controles manuais, cuja consolidação ficará a cargo do Gestor de Segurança da Informação.

CAPÍTULO IV

DAS DISPOSIÇÕES FINAIS

Art. 12. A ASI apoiará as demais unidades organizacionais na gestão de riscos de segurança da informação.

Art. 13. Qualquer descumprimento desta norma deve ser imediatamente comunicado e registrado pelo Gestor de Segurança da Informação, com consequente adoção das providências cabíveis.

Art. 14. Os casos omissos serão resolvidos pela Diretoria-Geral, ouvido o Comitê de Segurança da Informação e Proteção de Dados Pessoais.

Art. 15. Esta Instrução Normativa entra em vigor na data de sua publicação.

DESEMBARGADOR FRANCISCO JOSÉ MOESCH,
PRESIDENTE.