(Publicação: DJE, n. 191, p. 6, 06.09.2022)
INSTRUÇÃO NORMATIVA TRE-RS P N. 95/2022
Dispõe sobre a instituição do Programa de Conscientização em Segurança da Informação e Proteção de Dados Pessoais, no âmbito do Tribunal Regional Eleitoral do Rio Grande do Sul.
O PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DO RIO GRANDE DO SUL, no uso de suas atribuições legais e regimentais,
CONSIDERANDO a necessidade de apoiar a gestão da segurança da informação deste Tribunal, cuja eficácia depende em alto grau do conhecimento dos usuários sobre as medidas e procedimentos mais seguros no uso de recursos de tecnologia;
CONSIDERANDO a Resolução CNJ 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);
CONSIDERANDO a Resolução TSE 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;
CONSIDERANDO a Resolução TRE-RS 370/2021, que adota, no âmbito do Tribunal, a Resolução TSE 23.644/2021;
CONSIDERANDO as boas práticas em segurança da informação previstas na norma ABNT ISO/IEC 27002;
CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral do Rio Grande do Sul;
RESOLVE:
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1° Instituir o Programa de Conscientização em Segurança da Informação e Proteção de Dados Pessoais no âmbito do Tribunal Regional Eleitoral do Rio Grande do Sul.
Art. 2° O Programa deve ter ações dirigidas aos magistrados e magistradas, procuradores e procuradoras eleitorais, servidores e servidoras (efetivos e requisitados), ocupantes de cargo em comissão sem vínculo efetivo, estagiários e estagiárias, prestadores e prestadoras de serviço, colaboradores e colaboradoras, bem como a usuários e usuárias externos que utilizam os ativos de informação deste Tribunal, sendo todos corresponsáveis pela segurança da informação.
CAPÍTULO II
DO OBJETIVO E DIRETRIZES
Art. 3° O Programa de Conscientização em Segurança da Informação e Proteção de Dados Pessoais do TRE-RS tem como objetivo sensibilizar o público-alvo de suas responsabilidades com a segurança da informação e os meios pelos quais essas responsabilidades são realizadas.
Art. 4° São diretrizes do Programa:
I - estabelecer ações alinhadas com as políticas e procedimentos de segurança da informação aprovadas, levando em consideração as informações do Tribunal a serem protegidas e os controles implementados;
II - disponibilizar informações atualizadas sobre as melhores práticas de segurança e proteção de dados pessoais;
III - promover a realização de treinamentos e testes de segurança da informação;
IV - disponibilizar as atividades do programa de conscientização, a qualquer tempo, a fim de atender aos novos integrantes do Tribunal.
CAPÍTULO III
DAS PUBLICAÇÕES
Art. 5º Deverão ser disponibilizadas, periodicamente, no Portal de Segurança da Informação do TRE-RS, publicações próprias ou de terceiros, sobre segurança da informação e proteção de dados pessoais.
Parágrafo único. As publicações devem estar baseadas nas melhores práticas e, sempre que possível, relacionadas às atividades exercidas pelos destinatários do Programa.
CAPÍTULO IV
DOS TREINAMENTOS E CAPACITAÇÕES
Art. 6º Os treinamentos e as capacitações devem considerar os seguintes aspectos gerais:
I - comprometimento da Administração do Tribunal com a segurança da informação e a proteção de dados pessoais;
II - alinhamento com as políticas e procedimentos relevantes de segurança da informação adotados pelo Tribunal, levando em conta as informações a serem protegidas e os controles implementados;
III - reforço quanto à importância do conhecimento e da conformidade com as obrigações e regras de segurança da informação aplicáveis, conforme definido nas políticas, normas, leis, regulamentações, contratos e acordos;
IV - destaque da responsabilidade pessoal pelos próprios atos e omissões, e compromissos gerais para manter segura ou para proteger a informação e os dados pessoais sob tutela da Justiça Eleitoral;
V - apresentação dos procedimentos e controles básicos de segurança da informação e proteção de dados pessoais;
VI - manutenção de um repositório com os materiais de treinamento e educação em segurança da informação e proteção de dados pessoais.
Art. 7° Os treinamentos e capacitações devem ser disponibilizados periodicamente a todo o público-alvo constante do art. 2° da presente Instrução.
CAPÍTULO V
DOS PAPÉIS E RESPONSABILIDADES
Art. 8º Cabe à Assessoria de Segurança da Informação - ASI:
I - elaborar o plano anual de treinamentos e testes de segurança da informação, segmentado por público-alvo;
II - disponibilizar os treinamentos e testes previstos no plano;
III - manter canal de contato com os destinatários dos treinamentos e testes;
IV - manter o repositório com os materiais dos treinamentos e testes, quando cabível;
V - realizar simulações no intuito de avaliar o nível de maturidade dos integrantes do Tribunal em segurança da informação e proteção de dados pessoais.
Art. 9° Cabe à Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR:
I - apoiar a ASI na elaboração e aplicação do plano de treinamentos;
II - participar da elaboração dos treinamentos e simulações;
III - preparar a infraestrutura necessária à aplicação de simulações.
Art. 10. Caberá à Escola Judiciária Eleitoral Ministro Paulo Brossard de Souza Pinto:
I - prever no plano anual de capacitação ações de capacitação em segurança da informação e proteção de dados pessoais;
II - disponibilizar e gerenciar as capacitações previstas no plano anual.
Art. 11. Caberá ao Comitê de Segurança da Informação e Proteção de Dados Pessoais deliberar sobre:
I - o plano anual de treinamentos;
II - as simulações propostas pela ASI;
III - as capacitações propostas pela Escola Judiciária Eleitoral Ministro Paulo Brossard de Souza Pinto para inclusão no plano anual de capacitação.
CAPÍTULO VI
DAS DISPOSIÇÕES FINAIS
Art. 12. Os planos previstos nos arts. 8° e 10 deverão prever ações a partir de 2023.
Art. 13. Os casos omissos serão resolvidos pela Diretoria-Geral, ouvido o Comitê de Segurança da Informação e Proteção de Dados Pessoais.
Art. 14. Esta Instrução Normativa entrará em vigor na data de sua publicação.
DESEMBARGADOR FRANCISCO JOSÉ MOESCH,
PRESIDENTE.