INSTRUÇÃO NORMATIVA TRE-RS P N. 115/2024
Dispõe sobre as regras e os procedimentos para a realização da gestão e monitoramento de registro de eventos no ambiente computacional do Tribunala Regional Eleitoral do Rio Grande do Sul.
O EXCELENTÍSSIMO PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DO RIO GRANDE DO SUL, no uso de suas atribuições legais e regimentais,
CONSIDERANDO a necessidade de apoiar a gestão do processo de tratamento e resposta a incidentes em redes computacionais no Tribunal Regional Eleitoral do Rio Grande do Sul;
CONSIDERANDO a necessidade de definir processos para o gerenciamento e o monitoramento de logs (registro de eventos) em sistemas computacionais;
CONSIDERANDO a Resolução CNJ n. 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);
CONSIDERANDO a Resolução TSE n. 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;
CONSIDERANDO a Resolução TRE-RS n. 370/2021, que adota, no âmbito do Tribunal Regional Eleitoral do Rio Grande do Sul, a Resolução TSE n. 23.644/2021;
CONSIDERANDO a Portaria DG/TSE n. 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;
CONSIDERANDO as boas práticas em segurança da informação previstas nas normas ABNT ISO/IEC 27001 e ABNT NBR ISO/IEC 27002;
CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls V.8;
CONSIDERANDO a necessidade de implementar controles para o tratamento de dados pessoais, de acordo com a Lei n. 13.709/2018 (LGPD);
CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral do Rio Grande do Sul.
RESOLVE:
Art. 1º Instituir a Gestão e Monitoramento de Registro de Eventos como norma integrante da Política de Segurança de Informação da Justiça Eleitoral adotada pelo Tribunal Regional Eleitoral do Rio Grande do Sul.
CAPÍTULO I
DOS CONCEITOS E DEFINIÇÕES
Art. 2º Para efeitos desta norma consideram-se os termos e definições previstos na Portaria DG/TSE 444/2021, além das seguintes:
I – Serviços de DHCP (Dynamic Host Configuration Protocol): servidores que fornecem endereços Internet Protocol (IP) e outras configurações de forma dinâmica para o ambiente de rede de computadores;
II – Serviços de DNS (Domain Name System): servidores que fazem localização e tradução de nomes de hosts e serviços de rede para números de endereços IP;
III – SIEM (Security Information Event Management): solução de software que faz a centralização de eventos de rede e de sistemas, com capacidade para busca e correlação entre esses eventos, possibilitando o monitoramento por parte das equipes de segurança e outros administradores de rede;
IV – SOAR (Security Orchestration, Automation and Response): possui as mesmas funções do SIEM, com capacidade adicional de abertura de chamados e automação da resposta ao incidente, como bloqueio de usuários e geração de regras de firewall.
CAPÍTULO II
DO REGISTRO DE EVENTOS
Art. 3º Devem ser monitorados, com registro de eventos em servidores específicos, no mínimo, os seguintes tipos de ativos em produção:
I – servidores web;
II – servidores de arquivos;
III – servidores de bancos de dados;
IV – servidores de e-mails;
V – servidores de aplicação;
VI – firewalls de rede;
VII- firewalls de aplicação;
VIII – roteadores de acesso à internet e às redes da Justiça Eleitoral;
IX – switches e roteadores de núcleo de rede;
X – servidores controladores de domínio e demais serviços de autenticação;
XI – serviços de gerenciamento de backups (cópias de segurança);
XII – serviços de gerenciamento de infraestrutura de virtualização e conteinerização;
XIII – soluções anti-malware;
XIV – soluções de controle de acesso físico e lógico;
XV – soluções gerais de cibersegurança;
XVI - serviços de DHCP;
XVII – serviços de DNS.
Art. 4º Os registros de eventos devem conter informações mínimas e relevantes, quando viáveis tecnicamente, especialmente:
I - identificação do usuário que acessou o recurso;
II - natureza do evento, como sucesso ou falha de autenticação, tentativa de troca de senha, entre outros;
III – carimbo de tempo, formado por data, hora e fuso horário;
IV - endereço IP, identificador do ativo de processamento, coordenadas geográficas, se disponíveis;
V - recursos acessados e seus respectivos tipos de acesso;
VI - alarmes provocados pelos sistemas de controle de acesso;
VII – informações de falhas nas aplicações ou recursos acessados.
Art. 5º Os ativos de processamento que não permitam os registros de eventos conforme indicado devem ser mapeados e documentados quanto ao tipo e formato de registro de eventos que o sistema permite armazenar, a temporalidade do armazenamento, assim como o nível de segurança obtido.
Art. 6º Os registros de eventos devem ser armazenados na rede corporativa pelo período de 180 (cento e oitenta) dias e em cópias de segurança pelo mesmo prazo, sem prejuízo de outros prazos previstos em referências legais e normativos específicos.
Art. 7º Os ativos de processamento em produção devem ser configurados de forma a gerar registros de eventos relevantes que afetem a segurança da informação, armazenando-os para utilização posterior, incluindo:
I - acesso remoto à rede corporativa;
II - autenticação, tanto as bem-sucedidas quanto as malsucedidas;
III - criação, alteração e remoção de usuários, perfis e grupos privilegiados;
IV - uso de privilégios administrativos;
V - troca de senhas;
VI - modificações de política de senhas, como tamanho, tempo de expiração, bloqueio automático após exceder determinado número de tentativas de autenticação, histórico, entre outras;
VII - acesso ou modificação de arquivos e sistemas de informação considerados críticos;
VIII - inicialização, suspensão e reinicialização de serviços;
IX - ativação e desativação dos sistemas de proteção, como sistemas de antivírus e sistemas de detecção e prevenção de intrusos;
X - acesso físico por senha, cartão inteligente ou biometria em área de segurança com ativos de processamento críticos como Data Center, salas de telecomunicações, dentre outros;
XI - acoplamento e desacoplamento de dispositivos de hardware, com especial atenção para mídias removíveis em servidores;
XII - alteração nos registros de eventos.
Art. 8º O monitoramento deve ser realizado, preferencialmente, com a utilização de ferramentas automatizadas que gerem alarmes imediatos de eventos críticos e permitam a correlação e a análise dos registros de eventos gravados.
§ 1º O monitoramento deve ser realizado de forma a manter inalterada a rotina de trabalho do ambiente de produção.
§ 2º O nível de monitoramento pode ser reduzido em função da implementação de controles de acesso que minimizem o risco aos ativos de processamento e reduzam a exposição da informação a acessos indevidos.
§ 3º As ferramentas automatizadas devem ser analisadas criticamente em intervalos regulares para ajuste de configuração, de forma a melhorar a identificação de registros de eventos relevantes, falsos negativos e falsos positivos.
§ 4º Os processos de monitoramento devem ser revisados na implantação ou manutenção dos ativos de processamento, a fim de manter sua adequação às mudanças ocorridas.
§ 5º Os gestores dos ativos de processamento devem monitorar os registros impedindo o armazenamento indevido de dados pessoais.
Art. 9° Os usuários devem estar cientes de que os ativos de processamento estão suscetíveis a monitoramento e auditoria a qualquer momento, bem como, quando houver suspeita ou constatação de uma falha de segurança.
Art. 10. Todos os eventos contrários ao ordenamento jurídico em vigor e às normas constantes da Política de Segurança da Informação devem ser registrados como incidente de segurança.
CAPÍTULO III
DA PROTEÇÃO DAS INFORMAÇÕES DOS REGISTROS DE EVENTOS
Art. 11. Os arquivos de registros de eventos devem ser protegidos para que não estejam sujeitos à falsificação ou ao acesso não autorizado às informações registradas.
Parágrafo único. A fim de assegurar a proteção de que trata o caput deste artigo, os seguintes controles mínimos devem ser implementados:
I - guarda da cópia de segurança em segmento isolado da rede corporativa, com proteção de dispositivos de segurança suficientes para a proteção da sua integridade;
II - espaço de armazenamento adequado e alertas preventivos de seu esgotamento;
III - localização física em área sujeita a controles de segurança;
IV - emprego de protocolos seguros para acesso remoto;
V - capacidade para verificar a integridade;
VI – possibilidade de execução de auditorias legais e forenses;
VII - fornecimento, para efeito de investigação, de cópia das informações relevantes, exceto nas hipóteses legais que exijam a apresentação da mídia original.
CAPÍTULO IV
DOS REGISTROS DE EVENTOS DE ADMINISTRADOR E OPERADOR
Art. 12. Os registros de eventos de administradores e operadores com privilégios para ações e comandos especiais na rede corporativa, como super usuários, administradores de rede, entre outros, devem ser protegidos e analisados criticamente, em intervalos regulares.
CAPÍTULO V
DA SINCRONIZAÇÃO DOS RELÓGIOS
Art. 13. O horário dos ativos de processamento deve ser ajustado por meio de mecanismos de sincronização de tempo (servidor NTP), de forma que as configurações de data, hora e fuso horário do relógio interno estejam sincronizados com a “Hora Legal Brasileira (HLB)”, de acordo com o serviço oferecido e assegurado pelo Observatório Nacional – ON.
Art. 14. O estabelecimento correto dos relógios nos ativos de processamento da rede corporativa deve assegurar a exatidão dos registros de eventos, que podem ser requeridos para investigações ou como evidências em casos legais ou disciplinares, devendo usar fontes de tempo sincronizadas para todos os ativos monitorados, a partir das quais os ativos de processamento recuperem regularmente as informações de data, hora e fuso horário, de forma que os registros de eventos (logs) sejam cronologicamente consistentes.
CAPÍTULO VI
DISPOSIÇÕES FINAIS
Art. 15. A Secretaria de Tecnologia da Informação (STI) elaborará, em até 120 dias, os procedimentos operacionais para aplicação desta norma, que levem em conta as boas práticas de cibersegurança e os recursos tecnológicos disponíveis, assim como um cronograma para as eventuais adequações dos ativos de processamento.
Art. 16. Qualquer descumprimento desta norma deve ser imediatamente comunicado e registrado como incidente de segurança da informação, para apuração pelo CSI, com consequente adoção das providências cabíveis.
Art. 17. Os casos omissos serão resolvidos pela Diretoria-Geral, ouvido o Comitê de Segurança da Informação e Proteção de Dados Pessoais (CSI).
Art. 18. Esta Instrução Normativa entra em vigor na data de sua publicação.
DESEMBARGADOR VOLTAIRE DE LIMA MORAES
PRESIDENTE
(Publicação: DJE, n. 141, p. 26, 23.07.2024)