PORTARIA TRE-RS P N. 1122, DE 20 DE JANEIRO DE 2022.

INSTITUI O SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO, NO ÂMBITO DO TRIBUNAL REGIONAL ELEITORAL DO RIO GRANDE DO SUL.

O Desembargador Arminio José Abreu Lima da Rosa, Presidente do Tribunal Regional Eleitoral do Rio Grande do Sul, no uso de suas atribuições legais e regimentais,

CONSIDERANDO a Resolução TSE n. 23.644, de 1º de julho de 2021, que instituiu a Política de Segurança da Justiça Eleitoral, adotada no âmbito do TRE-RS pela Resolução TRE-RS n, 370, de 24 de agosto de 2021;

CONSIDERANDO a Resolução CNJ n. 396, de 7 de junho de 2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a norma técnica ABNT NBR ISO/IEC 27001:2013, que normatiza o sistema de gestão da segurança da informação e define os requisitos para a avaliação e tratamento de riscos à segurança da informação, adequados às necessidades organizacionais;

CONSIDERANDO a norma técnica ABNT NBR ISO/IEC 27002:2013, que estabelece o código de prática para controles de segurança da informação para organizações, levando em consideração os ambientes de risco próprios à organização;

RESOLVE:

Art. 1° Instituir o Sistema de Gestão de Segurança da Informação, no âmbito do Tribunal Regional Eleitoral do Rio Grande do Sul, que será composto, pelo menos, pelos seguintes processos:

I - Gerenciamento de Acessos de Uso de Recursos de Tecnologia da Informação e Comunicação (TIC);

II - Gerenciamento de Incidentes de Segurança da Informação;

III - Gerenciamento de Riscos de Segurança da Informação;

IV - Elaboração e Revisão de Normas de Segurança da Informação;

V - Treinamento e Conscientização em Segurança da Informação.

Art. 2º Instituir o Processo de Gerenciamento de Acessos de Uso de Recursos de TIC, destinado a garantir que os usuários de tecnologia da informação tenham acesso aos recursos necessários e suficientes ao desempenho de suas funções no TRE-RS.

Parágrafo Único. O processo descrito no caput é composto pelas seguintes etapas:

I - Planejamento: refere-se às definições sobre o tipo de administração para cada serviço disponibilizado e a necessária atualização do Catálogo de Serviços de TIC;

II - Execução: onde as permissões são concedidas, conforme definido na etapa de planejamento;

III - Avaliação: onde as permissões previstas e concedidas são avaliadas e eventuais alterações são submetidas aos gestores designados.

Art. 3º Instituir o Processo de Gerenciamento de Incidentes de Segurança da Informação, destinado ao tratamento de qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores.

Parágrafo Único. O processo descrito no caput é composto pelas seguintes etapas:

I - Identificação: refere-se à identificação de eventos de segurança da informação e sua avaliação para classificá-los como incidentes de segurança da informação;

II - Tratamento: refere-se ao tratamento do incidente de segurança da informação com vistas à recuperação dos serviços ou dados afetados (investigação, contenção, erradicação e recuperação);

III - Preservação de evidências: consiste nas ações necessárias para coleta e preservação de evidências sobre incidentes de segurança da informação penalmente relevantes;

IV - Aprendizado: consiste nas ações executadas após o tratamento do incidente para avaliação das medidas tomadas e eventuais ajustes nos procedimentos incorporando as melhorias identificadas.

Art. 4º Instituir o Processo de Gerenciamento de Riscos de Segurança da Informação, que tem como objetivo identificar e tratar os riscos inerentes à segurança da informação que os ativos que sustentam os serviços de TIC possam apresentar. Parágrafo único. O processo descrito no caput é composto pelas seguintes etapas:

I - Definição do contexto: refere-se à proposição e decisão sobre o contexto de riscos de segurança da informação que será analisado durante o ciclo do processo;

II - Análise: etapa onde são identificados os ativos de TIC que devem ter os riscos mapeados e avaliados conforme metodologia definida na Política de Gestão de Riscos do TRE-RS e no Manual de Gestão de Riscos do TRE-RS, resultando na aprovação do Plano de Tratamento de Riscos;

III - Tratamento: onde o Plano de Tratamento de Riscos é executado e monitorado até sua conclusão e elaboração de relatório com os resultados alcançados;

IV - Avaliação: encerramento do processo com análise do relatório sobre a execução do Plano de Tratamento de Riscos e encerramento do ciclo.

Art. 5° Instituir o Processo de Elaboração e Revisão de Normas de Segurança da Informação, destinado ao regramento de rotinas e procedimentos a fim de garantir a fiel execução da Política de Segurança da Informação do TRE-RS.

Parágrafo Único. O processo descrito no caput é composto pelas seguintes etapas:

I - Análise: refere-se à identificação da necessidade de atualização dos normativos referentes à Segurança da Informação;

II - Proposição: onde são elaboradas as propostas das modificações das normas existentes ou a redação de novas normas;

III - Aprovação: consiste na análise e aprovação das normas propostas;

IV - Publicação: consiste nos procedimentos necessários para publicação da norma aprovada e o alinhamento dos procedimentos eventualmente impactados pelo novo regramento.

Art. 6º Instituir o Processo de Treinamento e Conscientização em Segurança da Informação, destinado a promover a disseminação de conhecimentos que permitam aos servidores, magistrados e demais colaboradores da Justiça Eleitoral contribuir ativamente no desenvolvimento da Segurança da Informação no TRE-RS.

Parágrafo Único. O processo descrito no caput é composto pelas seguintes etapas:

I - Elaboração: refere-se aos procedimentos para identificação das necessidades e elaboração dos materiais de treinamento ou de conscientização em segurança da informação, bem como as aprovações pertinentes;

II - Execução: onde são disponibilizados os materiais de conscientização ou executados os treinamentos aprovados;

III - Registro: consiste na coleta e registro dos resultados obtidos com as ações realizadas.

Art. 7º A Assessoria de Segurança da Informação disponibilizará os desenhos dos processos estabelecidos por esta Portaria, e suas descrições na Intranet do Tribunal.

Art. 8º Os processos de que trata esta Portaria serão revistos anualmente ou, quando necessário, em menor prazo.

Art. 9º Ficam revogadas a Portaria TRE-RS P n. 199, de 13 de agosto de 2019 e a Portaria TRE-RS P n. 608, de 10 de setembro de 2020.

Art. 10 Esta Portaria entra em vigor na data de sua publicação.

DESEMBARGADOR ARMINIO JOSÉ ABREU LIMA DA ROSA,

PRESIDENTE.