PORTARIA TRE-RS P N. 387, DE 15 DE DEZEMBRO DE 2016

Institui a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) no âmbito do Tribunal Regional Eleitoral do Rio Grande do Sul.

A Desembargadora Liselena Schifino Robles Ribeiro, Presidente do Tribunal Regional Eleitoral do Rio Grande do Sul, no uso de suas atribuições legais e regimentais,

Considerando a Política de Segurança da Informação do TRE-RS, instituída pela Resolução n. 254 , de 17 de setembro de 2014 ;

Considerando os Acórdãos 2.746/2010, 7.312/2010, 594/2011 e 866/2011, proferidos pelo Plenário do Tribunal de Contas da União, nos quais foi determinada a instituição de Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais;

Considerando as disposições insertas nas Normas Complementares n. 05/IN01/DSIC/GSIPR, de 04 de agosto de 2009 , e n. 08/IN01/DSIC/GSIPR, de 19 de agosto de 2010 , e na Instrução Normativa n. 01 do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República, que disciplinam a criação e a gestão de Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal;

Considerando ainda a importância da adoção de boas práticas relacionadas à proteção da informação, preconizadas pelas normas ISO NBR/IEC 27001:2013 e 27002:2013,

RESOLVE:

Art. 1º Instituir a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR), no âmbito do Tribunal Regional Eleitoral do Rio Grande do Sul.

DOS CONCEITOS E DEFINIÇÕES

Art. 2º Para os efeitos desta portaria e suas regulamentações, aplicam-se as seguintes definições:

I - Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR): grupo de pessoas com a responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores;

II - Agente Responsável: servidor público, ocupante de cargo efetivo do TRE-RS, incumbido de chefiar e gerenciar a ETIR;

III - Artefato malicioso: qualquer programa de computador, ou parte de um programa, construído com a intenção de provocar danos, obter informações não autorizadas ou interromper o funcionamento de sistemas ou redes de computadores;

IV - Comunidade ou público-alvo: conjunto de pessoas, setores, órgãos ou entidades atendidas pela ETIR;

V - Detecção de intrusão: serviço que consiste na análise do tráfego de redes e de histórico de dispositivos que detectam as tentativas de intrusões em redes de computadores, com vistas a identificar e iniciar os procedimentos de resposta a incidentes de segurança em redes computacionais, com base em eventos com características pré-definidas, que possam levar a uma possível intrusão;

VI - Incidente de segurança: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores;

VII - Serviço: conjunto de procedimentos, estruturados em processo definido, oferecidos à comunidade da ETIR;

VIII - Tratamento de artefatos maliciosos: serviço que consiste em receber informações ou cópia de artefato malicioso que foi utilizado no ataque, ou em qualquer atividade desautorizada ou maliciosa, o qual será analisado, a fim de que seja detectada sua natureza, mecanismo, versão e objetivo, visando ao desenvolvimento de estratégia de detecção, remoção e defesa;

IX - Tratamento de incidentes de segurança em redes computacionais: serviço que consiste em receber, filtrar, classificar e responder às solicitações e alertas, e realizar as análises dos incidentes de segurança, procurando extrair informações que permitam impedir a continuidade da ação maliciosa e também a identificação de tendências;

X - Tratamento de vulnerabilidades: serviço que consiste em receber informações sobre vulnerabilidades, quer sejam em hardware ou software, objetivando analisar sua natureza, mecanismo e suas consequências e desenvolver estratégias para detecção e correção.

DA ESTRUTURA ORGANIZACIONAL

Art. 3º A ETIR será vinculada administrativamente à Secretaria de Tecnologia da Informação deste Tribunal, sendo formada, preferencialmente, por servidores efetivos lotados na área de Infraestrutura de Rede de Computadores, os quais, além de suas funções regulares, desempenharão as atividades relacionadas ao tratamento e resposta a incidentes em redes computacionais.

Art. 4º Os integrantes da equipe serão indicados pelo Secretário de Tecnologia da Informação, e designados por meio de Portaria da Diretoria- Geral.

§ 1º A equipe será composta de igual número de membros titulares e substitutos.

§ 2º A designação do Agente Responsável deverá recair sobre um dos membro titulares.

Art. 5º A ETIR funcionará como um grupo de trabalho permanente, de atuação primordialmente reativa, sem prejuízo de sua responsabilidade quanto a ações preventivas.

Parágrafo único. As atividades reativas da ETIR terão preferência sobre aquelas designadas pelos chefes imediatos de seus respectivos integrantes.

Art. 6º Mensalmente, a ETIR deverá apresentar ao Comitê de Segurança da Informação relatórios estatísticos dos incidentes de segurança ocorridos no período, com os respectivos tratamentos adotados, visando à elaboração de estudos de melhoria dos mecanismos de segurança, ou ainda para fins de subsidiar as decisões estratégicas da Administração, relativamente à segurança da informação.

DA AUTONOMIA

Art. 7º A ETIR seguirá o modelo "Autonomia Completa", descrito nas normas do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República, o que lhe permitirá conduzir o público-alvo na realização de ações ou medidas necessárias para reforçar a resposta ou a postura da organização, na recuperação de incidentes de segurança.

Parágrafo único. Caso necessário, durante um incidente de segurança, a ETIR poderá tomar a decisão de executar as medidas de recuperação, sem aguardar pela aprovação de níveis superiores de gestão.

DO PÚBLICO-ALVO

Art. 8º A ETIR atenderá, por meio do serviço de Help Desk, a todos os usuários da rede de computadores e de sistemas do TRE-RS que comunicarem eventos identificados como incidentes de segurança.

Art. 9º A ETIR poderá interagir com unidades de mesma natureza vinculadas a órgãos da Administração Pública Federal, do Poder Legislativo, do Poder Judiciário e do Ministério Público, fornecendo informações acerca dos incidentes de segurança ocorridos na rede de computadores do TRE-RS, com o objetivo de alimentar suas bases de conhecimentos e fomentar a troca de tecnologias.

Parágrafo único. Nos casos previstos no caput deste artigo, a comunicação dos incidentes de segurança, bem como o tratamento aplicado, será efetuada através de documento formal.

DOS SERVIÇOS E PROCEDIMENTOS

Art. 10. Competirá à ETIR a implementação e o desempenho dos seguintes serviços:

I - tratamento de incidentes de segurança em redes computacionais;

II - tratamento de artefatos maliciosos;

III - tratamento de vulnerabilidades;

IV - monitoramento da segurança da rede de computadores;

V - análise dos processos e procedimentos utilizados;

VI - prospecção ou monitoração de novas tecnologias.

Art. 11. Para cada serviço elencado no artigo anterior deverão ser formalizados os procedimentos a serem observados pela ETIR, por intermédio de documento firmado pelo Agente Responsável, contendo:

I - a definição do serviço;

II - o objetivo do serviço;

III - a descrição das funções e procedimentos que compõem o serviço.

Parágrafo único. O documento de que trata este artigo deverá ser elaborado pela equipe e submetido ao Comitê de Segurança da Informação, no prazo máximo de 6 (seis) meses após sua nomeação, e atualizado sempre que necessário.

DAS RESPONSABILIDADES

Art. 12. Caberá ao Agente Responsável:

I - elaborar os procedimentos internos a serem observados pela ETIR, com apoio da própria equipe;

II - gerenciar as atividades desempenhadas pela ETIR;

III - distribuir, sempre que necessário, tarefas para a ETIR, inclusive as de caráter pró-ativo;

IV - sugerir ao Secretário de Tecnologia da Informação, quando necessária, a convocação de representantes de outras unidades da Secretaria, para atuar no tratamento e resposta de determinado incidente de segurança;

V - treinar integrantes da equipe para o desempenho de suas atividades;

VI - assegurar que os usuários sejam informados sobre os procedimentos adotados em relação aos incidentes de segurança da informação por eles comunicados;

VII - zelar pela capacitação dos membros da ETIR, fazendo constar do Plano Anual de Capacitação os eventos que entender relevantes ao bom desempenho dos trabalhos da equipe.

Art. 13. Caberá à ETIR:

I - manter registro dos incidentes de segurança em redes de computadores notificados ou detectados, com o objetivo de assegurar registro histórico das atividades;

II - recolher evidências imediatamente após a constatação de um incidente de segurança da informação na rede interna de computadores;

III - executar análise crítica sobre os registros de falha para assegurar que as mesmas foram satisfatoriamente resolvidas;

IV - investigar as causas dos incidentes de segurança da informação na rede interna de computadores;

V - implementar mecanismos para permitir a quantificação e monitoração dos tipos, volumes e custos de incidentes e falhas de funcionamento;

VI - indicar a necessidade de controles aperfeiçoados ou adicionais para limitar a frequência, os danos e o custo de futuras ocorrências.

Art. 14. Caberá ao Secretário de Tecnologia da Informação:

I - submeter ao Diretor-Geral as indicações do Agente Responsável, bem como dos servidores titulares e substitutos que integrarão a ETIR;

II - apoiar a ETIR na execução de seu trabalho, viabilizando a disponibilização dos recursos materiais, tecnológicos e humanos necessários à prestação dos serviços oferecidos aos usuários.

DAS DISPOSIÇÕES GERAIS

Art. 15. Os casos omissos e as dúvidas surgidas na aplicação desta Portaria serão dirimidos pelo Comitê de Segurança da Informação deste Tribunal.

Art. 16. Este normativo deverá ser revisado periodicamente, em intervalos máximos de 3 (três) anos.

Art. 17. Os integrantes da Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais, bem como o Agente Responsável, deverão ser nomeados no prazo de 30 (trinta) dias, a contar da publicação desta Portaria.

Art. 18. Esta Portaria entra em vigor na data de sua publicação.

DESA. LISELENA SCHIFINO ROBLES RIBEIRO,

Presidente.


(Publicação: DEJERS, n. 229, p. 14, 19.12.2016)