INSTRUÇÃO NORMATIVA TRE-RS P N. 104/2023

DISPÕE SOBRE A INSTITUIÇÃO DA GESTÃO DE ATIVOS DE PROCESSAMENTO NO ÂMBITO DO TRIBUNAL REGIONAL ELEITORAL DO RIO GRANDE DO SUL.

O PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DO RIO GRANDE DO SUL, no uso de suas atribuições legais e regimentais,

CONSIDERANDO a necessidade de apoiar a gestão de ativos de processamento do Tribunal Regional Eleitoral do Rio Grande do Sul;

CONSIDERANDO a Resolução CNJ n. 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução TSE n. 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Resolução TRE-RS n. 370/2021, que adota, no âmbito do Tribunal Regional Eleitoral do Rio Grande do Sul, a Resolução TSE n. 23.644/2021;

CONSIDERANDO a Portaria DG/TSE n. 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO as boas práticas em segurança da informação previstas nas normas ABNT ISO/IEC 27001 e ABNT NBR ISO/IEC 27002;

CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls V.8.

CONSIDERANDO a necessidade de implementar controles para o tratamento de dados pessoais, de acordo com a Lei n. 13.709/2018 (LGPD)

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral do Rio Grande do Sul.

RESOLVE:

Art. 1º Instituir a Gestão de Ativos de Processamento como norma integrante da Política de Segurança de Informação da Justiça Eleitoral adotada pelo Tribunal Regional Eleitoral do Rio Grande do Sul.

CAPÍTULO I

DOS CONCEITOS E DEFINIÇÕES

Art. 2º Para efeitos desta norma consideram-se as seguintes definições:

I - ativo de processamento: patrimônio composto por todos os elementos de hardware, software e infraestrutura de comunicação necessários à execução das atividades precípuas da Justiça Eleitoral;

II - atividades críticas: atividades precípuas da Justiça Eleitoral cuja interrupção ocasiona severos transtornos, como, por exemplo, perda de prazos administrativos e judiciais, danos à imagem institucional, prejuízo ao Erário, entre outros.

CAPÍTULO II

DO INVENTÁRIO DOS ATIVOS DE PROCESSAMENTO

Art. 3º Todos os ativos de processamento que utilizem infraestrutura de Tecnologia da Informação (TI), enquanto permanecerem sob responsabilidade ou custódia do Tribunal Regional Eleitoral do Rio Grande do Sul, devem ser claramente identificados e inventariados.

Art. 4º O inventário a que se refere o art. 3º deve incluir todos os ativos de processamento que utilizem a infraestrutura tecnológica do Tribunal, conectados ou não à rede corporativa, e conter informações indispensáveis:

I – para a recuperação ou a substituição dos ativos, de forma eficiente e eficaz, em caso de desastre;

II – para o fornecimento de subsídios aos processos de gestão que tenham como insumos informações dos ativos.

Art. 5º O inventário deverá conter, no mínimo, o seguinte conjunto de informações sobre cada ativo:

I - identificação única;

II - tipo;

III - descrição;

IV - localização;

V - unidade responsável;

VI – gestor ou gestora;

VII – custodiante, quando aplicável;

VIII - informações complementares sobre softwares, como versão, fornecedor, data de instalação, licenças de uso, disponibilidade de suporte, cópia de segurança (backup);

IX - informações complementares sobre hardwares, como números de séries complementares e endereço físico do equipamento (MAC Address), quando aplicável;

X – informações complementares sobre o sistema, como tipo de sistema operacional e versão, quando aplicável;

Parágrafo único. Softwares legados, sem disponibilidade de suporte e sem atualizações de segurança pelo fornecedor, e softwares não homologados, porém, autorizados para uso pela Secretaria de Tecnologia da Informação (STI), necessários ao cumprimento da missão do Tribunal, devem ser identificados no inventário e marcados como tal, considerando a documentação de exceção e os controles de mitigação e aceitação do risco residual. 

Art. 6º Os ativos de processamento essenciais às atividades críticas da Justiça Eleitoral, além do conjunto de informações citado no artigo 5°, devem conter em seu detalhamento, sempre que possível:

I – informações sobre as interfaces de comunicação e as interdependências internas e externas do ativo, bem como dos impactos quando da sua indisponibilidade ou destruição, em caso de incidentes ou desastres;

II - os requisitos de segurança da informação categorizados, no mínimo, em 5 (cinco) categorias de controle:

a) tratamento da informação;

b) controles de acesso físico e lógico;

c) gestão de risco de segurança da informação;

d) tratamento e respostas a incidentes em redes computacionais;

e) gestão de continuidade dos negócios nos aspectos relacionados à segurança da informação. 

Art. 7º O inventário de ativos de processamento deve ser único e assegurar a compatibilidade e a exatidão de conteúdo com outros inventários em uso no Tribunal, a exemplo do controle patrimonial.

Parágrafo único. As urnas eletrônicas poderão ser controladas em inventário diferenciado, em função de suas especificidades de arquitetura e de utilização.

Art. 8º As informações registradas no inventário de ativos devem ser revisadas anualmente, e as anomalias encontradas devem ser tratadas pelo gestor ou pela gestora do ativo. 

CAPÍTULO III

DO GESTOR OU GESTORA DO ATIVO DE PROCESSAMENTO

Art. 9º Cada ativo de processamento em uso no Tribunal deve ter um gestor ou uma gestora formalmente instituída, responsável primário ou primária pela viabilidade e sobrevivência do ativo. 

Art. 10. Cabe ao gestor ou à gestora do ativo, no mínimo, as seguintes responsabilidades:

I – descrever o ativo;

II – definir os requisitos de segurança da informação do ativo, de acordo com as demais normas instituídas pelo Tribunal;

III - comunicar as exigências de segurança da informação do ativo à Assessoria de Segurança da Informação;

IV – acompanhar o cumprimento dos requisitos de segurança da informação, por meio de monitoramento contínuo, quando aplicável;

V - indicar os riscos de segurança da informação que podem afetar os ativos;

VI – buscar a aplicação das correções de vulnerabilidades técnicas ou a aplicação de controles que minimizem a probabilidade de exploração;

VII – garantir a adequada classificação dos ativos sob sua responsabilidade, segundo o grau de segurança das informações nele contidas;

VIII – garantir o tratamento adequado das informações nele contidas, conforme a classificação de segurança e as orientações descritas na norma de classificação da informação;

IX – gerenciar a habilitação de credenciais ou contas de acesso no ativo, conforme as restrições de acesso definidas pelo grau de segurança das informações nele contidas, conforme orientações descritas na norma de classificação da informação;

X – manter o inventário, com informações precisas e atuais, dos ativos sob sua responsabilidade.

Art. 11. Os gestores e gestoras dos ativos de processamento devem estabelecer critérios e práticas que assegurem a segregação de funções, sempre que aplicável. 

Art. 12. O gestor ou gestora do ativo de processamento poderá delegar as tarefas de rotina para um(a) custodiante, providência que não afastará, todavia, a responsabilidade do(a) primeiro(a).

CAPÍTULO IV

DA GESTÃO DO INVENTÁRIO DOS ATIVOS DE PROCESSAMENTO

Seção I

Controle de Redes

Art. 13. Para assegurar a gestão adequada dos ativos de processamento inventariados, devem ser implementados na rede corporativa os seguintes controles mínimos:

I – utilização de ferramenta de gerenciamento que permita inventariar hardwares e softwares a partir da descoberta de rede ou da instalação manual de agente no dispositivo inventariado;

II – garantia de que apenas dispositivos inventariados ou autorizados possam ser conectados à rede corporativa, mantendo em área de rede limitada aqueles pendentes de autorização. 

Seção II

Controle de Ativos de Processamento

Art. 14. O processo de Gerenciamento da Configuração e Ativos de TIC deve assegurar que o inventário dos ativos seja adequadamente gerenciado, atualizado e monitorado em cada fase do ciclo de vida do ativo, quais sejam:

I - aquisição;

II - implementação;

III - manutenção;

IV - descarte.

CAPÍTULO V

DISPOSIÇÕES FINAIS

Art. 15. Os casos omissos serão resolvidos pela Diretoria-Geral, ouvido o Comitê de Segurança da Informação e Proteção de Dados Pessoais (CSI).

Art. 16. O descumprimento desta portaria deve ser imediatamente registrado como incidente de segurança e comunicado ao CSI para apuração e consequente adoção das providências cabíveis.

Art. 17. Esta Instrução Normativa entra em vigor na data de sua publicação e sua implementação se fará no prazo de 12 (doze) meses a contar dessa data.

DESEMBARGADOR FRANCISCO JOSÉ MOESCH
PRESIDENTE

(Publicação: DJE, n. 76, p. 3, 03.05.2023)