INSTRUÇÃO NORMATIVA TRE-RS P N. 88/2022

Dispõe sobre a instituição do Controle de Acesso Físico e Lógico aos ativos de informação no âmbito do Tribunal Regional Eleitoral do Rio Grande do Sul.

O Desembargador Arminio José Abreu Lima da Rosa, Presidente do Tribunal Regional Eleitoral do Rio Grande do Sul, no uso de suas atribuições legais e regimentais,

CONSIDERANDO a Resolução TSE nº 23.644, de 1° de julho de 2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral,

RESOLVE:

Art. 1º Fica instituído o controle de acesso físico e lógico aos ativos de informação, em consonância com a Política de Segurança da Informação adotada pelo Tribunal Regional Eleitoral do Rio Grande do Sul.

CAPÍTULO I

DOS CONCEITOS E DEFINIÇÕES

Art. 2º Para os efeitos desta Instrução Normativa, aplicam-se os seguintes termos e definições:

I - ameaça: causa potencial de um incidente indesejado que pode resultar em dano para um sistema ou organização;

II - acesso privilegiado: quando a credencial de acesso possui direitos amplos, o que inclui alterar, remover ou excluir arquivos e programas, contato com dados relevantes e/ou tenha acesso de administração a sistemas;

III - ativo de informação: patrimônio composto por todos os dados e informações gerados, adquiridos, utilizados ou armazenados pela Justiça Eleitoral;

IV - ativo: qualquer bem, tangível ou intangível, que tenha valor para a organização;

V - confidencialidade: propriedade da informação que garante que ela não será disponibilizada ou divulgada a indivíduos, entidades ou processos sem a devida autorização;

VI - credencial (ou conta de acesso): permissão, concedida por autoridade competente após o processo de credenciamento, que habilita determinada pessoa, sistema ou organização ao acesso de recursos, por meio de documento físico (como um crachá), ou por meio lógico (como a identificação de usuário e senha);

VII - disponibilidade: propriedade da informação que garante que ela será acessível e utilizável sempre que demandada;

VIII - incidente em segurança da informação: qualquer indício de fraude, sabotagem, desvio, falha ou evento indesejado ou inesperado que tenha probabilidade de comprometer as operações do negócio ou ameaçar a segurança da informação;

IX - informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente do suporte em que resida ou da forma pela qual seja veiculado;

X - integridade: propriedade que garante que a informação mantém todas as características originais estabelecidas pelo proprietário;

XI - risco: potencial associado à exploração de vulnerabilidades de um ativo de informação por ameaças, com impacto negativo no negócio da organização;

XII - segurança da informação: abrange aspectos físicos, tecnológicos e humanos da organização e orienta-se pelos princípios da autenticidade, da confidencialidade, da integridade, da disponibilidade e da irretratabilidade da informação, entre outras propriedades;

XIII - usuário: aquele que utiliza, de forma autorizada, recursos inerentes às atividades precípuas da Justiça Eleitoral;

XIV - vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

CAPÍTULO II

DOS PRINCÍPIOS

Art. 3º São princípios do controle de acesso físico e lógico aos ativos de informação:

I - garantir a confidencialidade, integridade e disponibilidade dos ativos de informação;

II - garantir que o acesso, físico ou lógico, seja concedido aos usuários deste Tribunal, atendendo ao perfil de acesso definido para cada ativo de informação.

CAPÍTULO III

DO ESCOPO

Art. 4º São objetivos do controle de acesso físico e lógico aos ativos de informação:

I - estabelecer diretrizes para implantação de controles de acesso físico e lógico; 

II - preservar os ativos de informação.

Art. 5º Esta Instrução Normativa aplica-se aos magistrados e magistradas, servidores e servidoras (efetivos e requisitados), ocupantes de cargo em comissão sem vínculo efetivo, estagiários e estagiárias, prestadores e prestadoras de serviço, colaboradores e colaboradoras, bem como a usuários e usuárias externos que utilizam os ativos de informação deste Tribunal, sendo todos corresponsáveis pela segurança da informação.

CAPÍTULO IV

DO CONTROLE DO ACESSO FÍSICO

Seção I

DO PERÍMETRO DE SEGURANÇA

Art. 6º O Comitê de Segurança da Informação e Proteção de Dados Pessoais (CSI) deve definir, em conjunto com a Assessoria de Segurança da Informação (ASI), o perímetro e os níveis de segurança física para proteção adequada das instalações de processamento e armazenamento da informação (Data Center), bem como das demais áreas que contenham ativos de informação considerados críticos ou sensíveis.

Art. 7º As instalações do Data Center devem possuir:

I - paredes fisicamente sólidas, sem brechas nem pontos por onde possa ocorrer uma invasão, portas externas adequadamente protegidas por mecanismos de controle contra acesso não autorizado, sem janelas ou, na impossibilidade, com janelas com proteção externa;

II- videomonitoramento da área interna e do perímetro;

III - portas com mecanismo de autenticação multifatores para liberação do acesso que estejam integrados ao sistema de controle de acesso do prédio;

IV - acesso por portas corta-fogo com sistema de alarme, monitoradas, que funcionem de acordo com os códigos locais, para minimizar os riscos de ameaças físicas potenciais;

V - configuração que minimize ou elimine os riscos de ameaças físicas potenciais, tais como fogo, inundação, terremoto, explosão, manifestações civis, contra-ataques maliciosos, fumaça ou furtos.

Art. 8º As diretrizes para proteção das demais áreas que contenham informações críticas ou sensíveis que não estejam armazenadas no Data Center devem ser estabelecidas pelo CSI, observadas, no que couber, as diretrizes desta Instrução Normativa.

Seção II

DO ACESSO AO DATA CENTER

Art. 9° O acesso ao Data Center se dará nas seguintes condições:

I - para pessoas previamente autorizadas: mediante o registro de entrada e de saída no dispositivo eletrônico instalado na porta de acesso;

II - para as demais pessoas: somente acompanhados, durante toda a permanência, por pessoas autorizadas, com o registro de entrada e de saída no dispositivo eletrônico instalado na porta de acesso.

§ 1° Compete à Seção de Rede e Banco de Dados (SERBA), encaminhar as autorizações e as revogações de acesso ao Data Center à Seção de Controle de Acesso e Segurança (SESEG) para cadastro no sistema de acesso do prédio.

§ 2° As autorizações de acesso ao Data Center poderão ter caráter permanente ou temporário, de acordo com a necessidade.

§ 3° As autorizações permanentes deverão ser revisadas mensalmente pela SERBA, com as eventuais revogações encaminhas à SESEG para atualização no controle de acesso do prédio.

§ 4° Em caso de falha do dispositivo eletrônico, o acesso deverá ser liberado às pessoas autorizadas, por meio da utilização da chave lacrada em poder da SESEG, com o correspondente registro de entrada e saída.

§ 5° Ocorrendo tentativa de acesso indevido, o serviço de segurança do Tribunal intervirá imediatamente para manter a integridade do local.

Seção III

DOS EQUIPAMENTOS DE PROCESSAMENTO E ARMAZENAMENTO

Art. 10. São diretrizes para evitar perdas, danos, furtos ou comprometimento de ativos e interrupção das operações da organização:

I - adotar controles para minimizar o risco de ameaças físicas potenciais e ambientais, como furto, incêndio, explosivos, fumaça, água, poeira, vibração, efeitos químicos, interferência com o suprimento de energia elétrica, interferência com as comunicações, radiação eletromagnética e vandalismo;

II - manter os suprimentos de energia elétrica, telecomunicações, água e sistema anti-incêndio, calefação/ventilação, drenagem e ar-condicionado conforme as especificações técnicas e com os requisitos legais da localidade;

III - adotar controles para evitar a retirada de equipamentos do Tribunal sem prévia autorização da unidade competente, conforme regulamentação específica;

IV - utilizar, sempre que possível, racks que disponham de fechaduras com chave ou mecanismo semelhante, garantindo que apenas a(s) equipe(s) responsáveis pelos ativos instalados nos racks tenham acesso físico a eles.

Seção IV DA SEGURANÇA DO CABEAMENTO

Art. 11. O cabeamento de energia elétrica e de telecomunicações que transporta dados ou que forneça suporte aos serviços de informações deve ser protegido contra interceptação, interferência ou danos, conforme as seguintes diretrizes:

I - As linhas de energia elétrica e de telecomunicações que entram nas instalações de processamento da informação devem ser subterrâneas ou ficar abaixo do piso, sempre que possível, e devem atender aos requisitos mínimos de proteção;

II - Os cabos de energia elétrica devem ser segregados dos cabos de comunicação, para evitar interferências.

DA MANUTENÇÃO EXTERNA DOS EQUIPAMENTOS

Art. 12. A manutenção dos equipamentos de processamento de informações deve seguir as seguintes diretrizes:

I - ser realizada somente por pessoal de manutenção autorizado;

II - manter registro de todas as falhas - suspeitas ou reais - e de todas as operações de manutenção preventiva e corretiva realizadas;

III - eliminar as informações sensíveis do equipamento, quando possível, ou tratar de forma alternativa os riscos de sua exposição;

IV - inspecionar o equipamento, após a manutenção, para garantir que não foi alterado indevidamente e que esteja em perfeito funcionamento.

Seção VI

DA REUTILIZAÇÃO OU DESCARTE SEGURO DOS EQUIPAMENTOS OU DOS EQUIPAMENTOS EM PROVA DE CONCEITO

Art. 13. Todos os equipamentos que contenham mídias de armazenamento de dados devem ser examinados antes da reutilização ou descarte, para assegurar que dados sensíveis e softwares licenciados tenham sido removidos ou sobregravados com segurança.

Parágrafo único. As mídias que contenham informações com acesso restrito de propriedade intelectual devem ser apagadas fisicamente, sendo que as informações devem ser destruídas, apagadas ou sobregravadas.

Seção VII 

DA POLÍTICA DE MESA LIMPA E TELA LIMPA

Art. 14. Informações com restrição de acesso não deve ser deixada à vista sobre mesas de trabalho ou em quaisquer outros suportes que não disponham de mecanismos de controle de acesso, devendo ser destruída antes de ser descartada, seja em papel ou em meio eletrônico.

Parágrafo único. A política de mesa limpa para papéis e mídias de armazenamento removíveis deve considerar a classificação da informação, requisitos contratuais e legais e o risco correspondente.

Art. 15. Computadores pessoais e terminais de computador não devem apresentar senhas na tela e não devem permanecer logados, caso o usuário esteja ausente.

Parágrafo único. A política de tela limpa para computadores e terminais deve ser aplicada por meio de bloqueio de tela por senha, token ou mecanismo de autenticação similar.

Capítulo V

DO CONTROLE DE ACESSO LÓGICO

Seção I

DO GERENCIAMENTO DE ACESSO

Art. 16. As operações de criação, habilitação e desabilitação de credenciais devem ser promovidas pela Secretaria de Tecnologia da Informação (STI).

§ 1º Quando se tratar de magistrados e magistradas, servidores e servidoras (efetivos e requisitados), ocupantes de cargo em comissão sem vínculo efetivo e estagiários e estagiárias, as solicitações de criação, habilitação e desabilitação serão realizadas pela Secretaria de Gestão de Pessoas (SGP).

§ 2º Quando se tratar de colaboradores e prestadores de serviços, as solicitações de criação, habilitação e desabilitação devem ser realizadas pelo gestor ou gestora do contrato.

§ 3º Quando se tratar de casos excepcionais, as solicitações devem ser autorizados pela DiretoriaGeral.

§ 4º Periodicamente, a área de Tecnologia da Informação efetuará bloqueio automático das credenciais de acesso dos usuários que não realizaram acesso por tempo a ser definido pelo Comitê de Segurança da Informação e Proteção de Dados Pessoais (CSI).

§ 5º É vedado aos usuários utilizarem suas credenciais fornecidas pelo Tribunal para uso diverso de suas atividades funcionais.

Art. 17. É de responsabilidade da coordenação dos Comitês e Comissões, dos gerentes de projetos ou chefia imediata da unidade de lotação do usuário solicitar a atribuição de direitos de acesso aos recursos computacionais do Tribunal, fornecendo os sistemas ou serviços de informação a serem acessados e o perfil de acesso que o usuário deverá possuir.

§ 1º O perfil de acesso do usuário aos sistemas ou serviços de informação deve ser restrito ao desempenho de suas atividades.

§ 2º O gestor ou gestora do ativo de informação será responsável pela autorização do direito de acesso.

§ 3º Deve ser estabelecido um perfil inicial padrão para novos usuários, o qual será aproveitado também para as hipóteses de mudança de lotação.

Art. 18. Os usuários devem possuir identificação única e exclusiva para permitir relacioná-la às credenciais criadas para o exercício de suas atividades e responsabilidades, e devem assinar o Termo de Responsabilidade de Uso de Credenciais Eletrônicas e Acesso a Dados, disponibilizado e mantido pela STI.

Art. 19. O gestor ou gestora do ativo deverá promover a revisão dos direitos de acesso dos usuários, anualmente.

Art. 20. Poderão ser criadas contas coletivas ou compartilhadas para oferecer suporte a vários usuários que necessitem utilizar a mesma credencial para acessar os ativos de informação.

Parágrafo único. As regras para criação das contas coletivas serão definidas pelo CSI e disponibilizadas no Catálogo de Serviços de TIC do Tribunal.

Seção II

DO ACESSO PRIVILEGIADO

Art. 21. O acesso privilegiado aos sistemas e ativos de informação somente será concedido aos usuários que tenham como atribuição funcional o dever de administrá-los.

§ 1º O acesso privilegiado aos ativos de processamento deve ser concedido ao usuário por meio de credenciais de acesso exclusivas para esse fim, distintas das credenciais de acesso já outorgadas para a realização de suas atividades normais.

§ 2º A relação de usuários que detêm acesso privilegiado deve ser revista pelo gestor ou gestora do ativo de informação em intervalo a ser definido pelo CSI.

§ 3º O gestor ou gestora do ativo de informação pode definir prazos de expiração para as credenciais de acesso privilegiado, após os quais deve ser reavaliado o atendimento aos critérios para a atribuição de acesso privilegiado para o detentor das credenciais expiradas.

§ 4º Caso o ativo de informação, em função de suas características técnicas, exija a manutenção de credenciais de acesso privilegiado de uso compartilhado, o gestor ou gestora do ativo deve definir procedimentos específicos para evitar seu uso não autorizado.

Seção III

DA POLÍTICA DE SENHAS

Art. 22. Os sistemas ou serviços de informação considerados passíveis de controle de acesso pelo gestor ou gestora de ativo devem ter seu acesso restrito e controlado por meio do uso de senha, token ou mecanismo de autenticação similar.

Parágrafo único. A STI, em conjunto com o gestor ou gestora do ativo de informação, deve implantar, no que for possível, a autenticação de multifatores para determinados tipos de acesso, em função de sua criticidade.

Art. 23. As senhas de acesso do usuário, tokens e outros fatores de autenticação devem ser de uso pessoal e intransferível, excetuando-se as senhas fornecidas para contas coletivas que poderão ser utilizadas por mais de um usuário. Parágrafo único. As senhas, adicionalmente, devem ser secretas e definidas conforme as seguintes recomendações:

I - os critérios de complexidade da senha devem respeitar as definições do CSI;

II - não utilização de frases ou palavras que possam ser facilmente adivinhadas por terceiros, baseadas em informações relativas ao próprio usuário, tais como nome de parentes, datas de aniversário e números de telefone;

III - não utilização de senhas formadas por sequência de caracteres triviais, tais como 123456 ou abcde, ou senhas simples que repitam a identificação do usuário, como, por exemplo, usuário joao. silva e senha joao.silva;

IV - não utilização das mesmas credenciais (nome de usuário e senha) para fins pessoais (serviços externos ao ambiente de TI do TRE-RS) e profissionais;

V - não exposição da senha em local visível para terceiros, como em anotações em papéis, sob pena de responsabilização pelos acessos indevidos.

Art. 24. Sempre que houver indicação de possível comprometimento da senha, o usuário deve realizar sua alteração, bem como comunicar a ocorrência ou a suspeita de comprometimento ao serviço de suporte ao usuário da STI.

Art. 25. O sistema de gerenciamento de senha deve:

I - permitir que os usuários selecionem e modifiquem suas próprias senhas, incluindo procedimento de confirmação para evitar erros;

II - forçar as mudanças de senha em intervalos regulares, conforme necessidade;

III - bloquear o reaproveitamento de senhas utilizadas anteriormente, em número a ser definido pelo CSI;

IV - armazenar e transmitir as senhas de forma protegida; V - não mostrar as senhas na tela quando forem digitadas;

VI - garantir a modificação das senhas temporárias no primeiro acesso ao sistema ou serviço de informação.

Seção IV

DOS PROCEDIMENTOS SEGUROS DE ENTRADA NO SISTEMA

Art. 26. O procedimento adequado de entrada no sistema (login) deve atender às seguintes recomendações:

I - não fornecer mensagens de ajuda, durante o procedimento de entrada, que possam auxiliar usuário não autorizado a realizar o login;

II - validar informações de entrada no sistema somente após todos os dados estarem completamente preenchidos;

III - no caso de erro, não indicar qual parte do dado de entrada está correta ou incorreta;

IV - bloquear o acesso do usuário ao sistema após atingido o número máximo de tentativas definido pelo CSI;

V - registrar tentativas de acesso ao sistema, sem sucesso e bem-sucedidas;

VI -não mostrar a senha que está sendo informada;

VII - não transmitir senhas em texto claro pela rede;

VIII - encerrar sessões inativas após período de inatividade definido pelo CSI, conforme a criticidade do sistema.

Seção V

DO CONTROLE DE ACESSO AO CÓDIGO-FONTE DE PROGRAMAS

Art. 27. O código-fonte e os itens associados (esquemas, especificações, planos de validação etc.) dos sistemas de informação desenvolvidos pelo Tribunal somente serão acessíveis aos usuários que tenham como atribuição funcional seu desenvolvimento, manutenção ou outra atividade para a qual o acesso seja imprescindível.

§ 1º As bibliotecas de código-fonte e de itens associados devem ser armazenadas em ferramentas apropriadas para esse fim.

§ 2º Os eventos de modificação nas bibliotecas de código-fonte e de itens associados devem ser registrados, de forma a permitir sua auditoria.

CAPÍTULO VI

DISPOSIÇÕES FINAIS

Art. 28. Os casos omissos serão resolvidos pela Diretoria-Geral.

Art. 29. A revisão desta Instrução Normativa ocorrerá a cada 3 (três) anos ou sempre que se fizer necessária ou conveniente para o TRE-RS.

Art. 30. O descumprimento desta normativa deve ser imediatamente registrado como incidente de segurança da informação, com abertura de chamado no serviço de suporte ao usuário da STI, para promover a apuração e consequente adoção das providências cabíveis.

Art. 31. Esta Instrução Normativa entrará em vigor na data de sua publicação e sua implementação se fará no prazo de 12 (doze) meses a contar dessa data.

Desembargador Arminio José Abreu Lima da Rosa,

Presidente.

(Publicação: DJE, n. 57, p. 2, 04.04.2022)