PORTARIA N° 916, DE 17 DE OUTUBRO DE 2019

O PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DE SERGIPE, Desembargador JOSÉ DOS ANJOS, no uso das atribuições que lhe são conferidas pelo artigo 28, inciso XXXIV, do Regimento Interno;

CONSIDERANDO a necessidade de garantir a disponibilidade, a confidencialidade e a integridade dos dados e dos sistemas de informação;

CONSIDERANDO a Política de Segurança da Informação da Justiça Eleitoral de Sergipe, estabelecida pela Resolução TRE-SE nº 10/2019;

CONSIDERANDO a necessidade de adequação dos sistemas de informação às boas práticas de gestão previstas na norma ABNT/ISO/IEC 27001:2013;

CONSIDERANDO a necessidade de definir as políticas de gestão de vulnerabilidades em sistemas de informação no TRE-SE;

CONSIDERANDO a necessidade de adequação à Lei Geral de Proteção de Dados (Lei 13.709/2018);

CONSIDERANDOqueasegurançadainformaçãoécondiçãoessencialparaaprestaçãodosserviços jurisdicionais e administrativos do Tribunal Regional Eleitoral de Sergipe,

RESOLVE:

Art. 1º Estabelecer as diretrizes para a gestão de vulnerabilidades nos ativos de informação no TRE-SE.

CAPÍTULO I

DAS DEFINIÇÕES

Art. 2º Para fins desta Portaria, considera-se:

I. ativo de informação: toda informação ou dado gerado, adquirido, utilizado ou custodiado pela Justiça Eleitoral, assim como qualquer equipamento, software ou recurso utilizado para seu processamento ou armazenamento;

II. ameaça: uma ocorrência potencialmente negativa;

III. vulnerabilidades: fragilidades de um ativo ou grupo de ativos que podem ser exploradas por uma ou mais ameaças;

IV. risco: potencial associado à exploração de vulnerabilidades de um ativo de informação por ameaças, com impacto negativo no negócio da organização.

CAPÍTULO II

DAS AÇÕES PREVENTIVAS

Art. 3º Devem ser implementadas ações preventivas, de acordo com as melhores práticas, para, no mínimo:

I. atualizar e manter atualizados os sistemas operacionais e aplicativos instalados em estações de trabalho e dispositivos móveis;

II. atualizar e manter atualizados os sistemas operacionais de servidores, sejam estes físicos ou virtuais;

III. atualizar e manter atualizados os servidores de aplicação (middleware);

IV. atualizar e manter atualizados os SGBDs (sistemas de gestão de bancos de dados);

V. atualizar e manter atualizada a infraestrutura de virtualização;

VI. atualizar e manter atualizados os sistemas e aplicações Web;

VII. atualizar e manter atualizados sistemas de IOT (Internet of Things ou “Internet das Coisas”) e de comunicação;

VIII. testar novos sistemas de informação antes de sua entrada em produção;

IX. manter atualizado o inventário de ativos de informação.

CAPÍTULO III

DAS DESCOBERTAS DE VULNERABILIDADES

Art. 4º Devem ser realizadas varreduras e testes periódicos em todos os ativos de informação conectados à rede do TRE-SE, buscando vulnerabilidades.

Art. 5º As atividades de varreduras e testes podem ser feitas de forma automatizada ou manual, de acordo com a disponibilidade e necessidade.

Art. 6º Tipos principais de varreduras:

I. Completa – é composta por testes para todas as vulnerabilidades conhecidas de aplicativos da Web, sistemas operacionais e redes, usando ferramentas manuais e automatizadas;

II. Rápida – é composta por testes das principais vulnerabilidades conhecidas, tipicamente realizada de forma automatizada.

CAPÍTULO IV

DA AVALIAÇÃO E PRIORIZAÇÃO

Art. 7º As vulnerabilidades encontradas nas varreduras e testes serão classificadas de acordo com o nível de criticidade, levando em conta o potencial de dano, a facilidade de exploração por ameaça, a importância do ativo para a atividade da Justiça Eleitoral e o nível de privacidade e sigilo das informações acessadas.

Art. 8º As vulnerabilidades serão classificadas, no mínimo, através dos seguintes níveis: Alto, Médio e Baixo.

Art. 9º As vulnerabilidades de maior criticidade deverão ser tratadas no menor tempo possível.

Art. 10 No caso de impossibilidade de tratamento de alguma vulnerabilidade classificada como crítica, o Secretário de Tecnologia da Informação e o Gestor de Segurança da Informação deverão ser imediatamente comunicados pela área técnica responsável pelo tratamento.

CAPÍTULO V

DA CORREÇÃO

Art. 11 A área responsável pelo ativo de informação cujas vulnerabilidades forem encontradas deve atuar para diminuir a exposição ao risco a um nível aceitável, de acordo com o nível de criticidade do ativo.

Art. 12 Os processos de correção de vulnerabilidades de criticidade alta ou média em ativos definidos como prioritários ao negócio devem ter suas atividades priorizadas em relação às demais atividades rotineiras das unidades técnicas.

CAPÍTULO VI

DA MEDIÇÃO

Art. 13 Deverão ser acompanhados, ao longo do tempo, o surgimento de novas vulnerabilidades, o tempo de tratamento das vulnerabilidades descobertas e o nível de exposição dos principais ativos de informação.

CAPÍTULO VII

DAS RESPONSABILIDADES

Art. 14 Cabe ao Gestor de Segurança da Informação:

I – acompanhar a evolução das vulnerabilidades do ambiente computacional;

II – acompanhar a evolução das ameaças de maior prevalência no tocante à segurança de ativos de informação;

III – realizar ou acompanhar a realização de testes e varreduras nos ativos de informação;

IV – comunicar-se com a ETIR (Equipe Técnica de Resposta a Incidentes de Redes Computacionais) e com as áreas da Secretaria de Tecnologia da Informação responsáveis pelos ativos, a fim de informar e obter informações acerca de vulnerabilidades existentes;

V – elaborar análises de risco de segurança dos ativos de informação, de acordo com as normas de gestão de risco vigentes;

VI – reportar-se ao Comitê de Segurança da Informação (CSI) sobre a evolução, os riscos e os achados dos testes e varreduras.

Art. 15 Cabe às unidades técnicas responsáveis pelos ativos de informação:

I – providenciar as atualizações de que trata o artigo 3º;

II – corrigir as vulnerabilidades encontradas, em observância à priorização definida pelo Gestor de Segurança da Informação;

III – implementar medidas para mitigar o risco referente às vulnerabilidades que não puderem ser corrigidas tempestivamente.

Art. 16 Cabe ao Secretário de Tecnologia da Informação:

I – acompanhar a evolução das vulnerabilidades do ambiente computacional;

II – acionar as áreas técnicas responsáveis pelos ativos de informação eventualmente vulneráveis para que providenciem o tratamento;

III – informar, quando necessário, às áreas de negócio, ao encarregado pela proteção de dados pessoais e à Diretoria-Geral sobre vulnerabilidades críticas descobertas e que não puderem ser tratadas em tempo adequado.

CAPÍTULO VIII

DAS DISPOSIÇÕES FINAIS

Art. 17 Os casos omissos ou excepcionais serão resolvidos pelo Comitê de Segurança da Informação (CSI).

Art. 18 Esta Portaria entra em vigor na data de sua publicação.

PUBLIQUE-SE E CUMPRA-SE.

JOSÉ DOS ANJOS

Presidente