INSTRUÇÃO NORMATIVA TRE-RS P N. 116/2024

DISPÕE SOBRE AS REGRAS E OS PROCEDIMENTOS PARA O USO DE RECURSOS CRIPTOGRÁFICOS NO AMBIENTE COMPUTACIONAL DO TRIBUNAL REGIONAL ELEITORAL DO RIO GRANDE DO SUL

O EXCELENTÍSSIMO DESEMBARGADOR VOLTAIRE DE LIMA MORAES, PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DO RIO GRANDE DO SUL, no uso de suas atribuições legais e regimentais,

CONSIDERANDO a necessidade de definir processos para o uso de recursos criptográficos no Tribunal Regional Eleitoral do Rio Grande do Sul;

CONSIDERANDO a Resolução CNJ n. 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução TSE n. 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Resolução TRE-RS n. 370/2021, que adota, no âmbito do Tribunal Regional Eleitoral do Rio Grande do Sul, a Resolução TSE n. 23.644/2021;

CONSIDERANDO a Portaria DG/TSE n. 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO as boas práticas em segurança da informação previstas nas normas ABNT ISO/IEC 27001 e ABNT NBR ISO/IEC 27002;

CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls V.8.;

CONSIDERANDO a necessidade de implementar controles para o tratamento de dados pessoais, de acordo com a Lei 13.709/2018 (LGPD);

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral do Rio Grande do Sul.

RESOLVE:

Art. 1º Instituir regras e procedimentos para o uso de recursos criptográficos como norma integrante da Política de Segurança de Informação da Justiça Eleitoral adotada pelo Tribunal Regional Eleitoral do Rio Grande do Sul.

CAPÍTULO I

DOS CONCEITOS E DEFINIÇÕES

Art. 2º Para efeitos desta norma consideram-se os termos e definições previstos na Portaria DG/TSE 444/2021, além das seguintes:

I - assinatura digital: tipo de assinatura eletrônica que usa operações matemáticas, com base em algoritmos criptográficos de criptografia assimétrica, para garantir segurança na autenticidade das documentações, sendo necessário possuir um certificado digital para assinar digitalmente um documento;

II - certificado digital: funciona como uma identidade virtual que permite a identificação segura e inequívoca do autor de uma mensagem ou transação feita em meios eletrônicos, como a web. Esse documento eletrônico é gerado e assinado por uma terceira parte confiável, ou seja, uma Autoridade Certificadora (AC) que, seguindo regras estabelecidas por um gestor, associa uma entidade (pessoa ou sistema informatizado) a um par de chaves criptográficas. Os certificados contêm os dados de seu titular conforme detalhado na Política de Segurança de cada Autoridade Certificadora;

III - informação restrita: toda a informação que deva ser mantida em sigilo por tempo determinado, com acesso restrito a um grupo credenciado de pessoas que tenham necessidade de conhecê-la, conforme determinado por Lei, norma de classificação da informação e procedimentos de tratamento da informação;

IV - recurso criptográfico: sistema, programa, processo, equipamento isolado ou em rede que utiliza algoritmo simétrico ou assimétrico para realizar cifração ou decifração.

CAPÍTULO II

DISPOSIÇÕES GERAIS

Art. 3° Esta norma visa assegurar o uso adequado e eficaz da criptografia na proteção dos dados em trânsito pelas redes de computadores, assim como dos dados em repouso, armazenados em servidores, microcomputadores, dispositivos móveis, mídias removíveis e bancos de dados.

Art. 4° O uso adequado de recursos criptográficos tem como objetivo proteger a confidencialidade, a integridade, a autenticidade e o não-repúdio das informações.

Art. 5° O tipo, a força e a qualidade dos algoritmos criptográficos apropriados tomarão como base, sempre que possível, o resultado do processo de gerenciamento de riscos de segurança da informação, o nível de proteção necessário e a classificação das informações.

Art. 6° Os controles criptográficos, seus parâmetros e sua aplicação na proteção de informações classificadas serão registrados no inventário de ativos de TIC - Tecnologia da Informação e Comunicação.

Art. 7° É vedada a implantação de controles criptográficos não homologados pelo TRE-RS ou utilizá-los de forma distinta aos procedimentos estabelecidos para tal finalidade.

Art. 8° Equipamentos, aplicações, sistemas ou banco de dados que lidem com informações restritas ou dados pessoais sensíveis e que não permitam a adoção de recursos criptográficos, deverão ter seu uso justificado pelo gestor do ativo, com a devida análise de riscos, e aprovado pelo Comitê de Segurança da Informação e Proteção de Dados Pessoais (CSI).

CAPÍTULO III

DA CRIPTOGRAFIA DOS DADOS EM TRÂNSITO

Art. 9° O trânsito de credenciais de acesso, como logins e senhas, de dados pessoais sensíveis e de informações restritas, deve ser protegido por protocolos de comunicação segura, tais como HTTPS, SSL, TLS, SSH e VPN.

Art. 10. É obrigatório o uso de protocolo seguro, como HTTPS, em todos os sistemas e portais web, independentemente de serem acessados pela rede interna ou pela internet.

Parágrafo único. Os sistemas legados acessados pela rede interna que não permitam tecnicamente o uso de protocolo seguro deverão ter seu uso justificado pelo gestor do ativo, com a devida análise de riscos, e aprovado pelo Comitê de Segurança da Informação e Proteção de Dados Pessoais (CSI).

CAPÍTULO IV

DA CRIPTOGRAFIA DOS DADOS EM REPOUSO

Art. 11. Para mitigar os riscos, em caso de vazamento de dados, perda ou furto de equipamentos, devem ser adotados, no mínimo, os seguintes controles criptográficos:

I – criptografia ou anonimização de dados pessoais sensíveis armazenados em servidores, aplicações e banco de dados;

II – criptografia de cópias de segurança (backup) que contenham dados pessoais sensíveis;

III – criptografia de discos ou partições de dispositivos móveis, como notebook, tablet, smartphone etc., e de mídias removíveis que contenham documentos ou informações restritas.

Parágrafo único. Os computadores, notebooks e dispositivos móveis, de propriedade da Justiça Eleitoral, utilizados em trabalho remoto, devem ter seus discos rígidos protegidos por criptografia.

CAPÍTULO V

DOS CERTIFICADOS DIGITAIS

Art. 12. A distribuição e o gerenciamento dos certificados digitais serão realizados pela Secretaria de Tecnologia da Informação (STI), conforme a necessidade e os requisitos de segurança das operações a serem realizadas.

Art. 13. Os certificados digitais poderão ser utilizados como segundo fator de autenticação (2FA) em computadores ou sistemas para autenticar usuários e outras entidades do sistema.

Art. 14. Os certificados digitais, de uso individual ou coletivo, deverão ser distribuídos aos usuários mediante Termo de Responsabilidade de Uso.

§ 1° Cabe ao usuário zelar pela segurança do certificado digital recebido, não compartilhando seu uso e sua senha com terceiros.

§ 2° A assinatura digital ou o login, realizado por meio de certificado digital, é irretratável, impossibilitando o responsável pelo certificado de alegar que não efetuou o evento ou a ação.

§ 3° A perda, o roubo ou o comprometimento de equipamentos e tokens que possuam certificados digitais válidos deverão ser informados imediatamente à STI para adoção das providências de revogação.

Art. 15. Dispositivos e sistemas de uso interno do Tribunal poderão utilizar certificados digitais autoassinados por autoridade certificadora (AC) raiz criada pelo TRE-RS, mantida por Infraestrutura de Chave Pública (ICP) própria.

Art. 16. Sistemas e servidores disponíveis para acesso pela internet deverão utilizar certificados digitais válidos fornecidos por AC nativamente reconhecida como confiável pelos principais navegadores e sistemas operacionais.

Art. 17. É vedado o uso de certificados digitais em dispositivos de rede para interceptar o tráfego com objetivo de filtrar conteúdo cifrado que possa ser considerado inadequado, impróprio ou malicioso.

CAPÍTULO VI

DAS RESPONSABILIDADES

Art. 18. Cabe à STI:

I – implementar e manter o nível adequado de recursos criptográficos nos sistemas, bancos de dados e dispositivos;

II – homologar os recursos criptográficos para uso no TRE-RS;

III – criar e manter procedimentos de certificação digital autoassinada pela AC raiz do TRE-RS, mantida por ICP própria;

IV – adquirir e gerenciar a distribuição de certificados digitais emitidos por AC nativamente reconhecida como confiável pelos principais navegadores e sistemas operacionais;

V - gerenciar o credenciamento de usuários de recursos criptográficos;

VI - criar, distribuir, recuperar e destruir chaves de uso em recursos criptográficos;

VII – comunicar ao CSI eventuais não-conformidades.

Art. 19. Aos proprietários e custodiantes de ativos de informação compete a aplicação adequada dos recursos criptográficos necessários para a proteção da informação sob sua custódia, em conformidade com as determinações desta norma;

CAPÍTULO VII

DISPOSIÇÕES FINAIS

Art. 20. O descumprimento desta norma deve ser imediatamente registrado como incidente de segurança e comunicado ao CSI para apuração e consequente adoção das providências cabíveis.

Art. 21. A STI elaborará, em até 120 dias, contados da publicação do normativo, os procedimentos operacionais para aplicação desta norma que levem em conta as boas práticas de cibersegurança e os recursos tecnológicos disponíveis, assim como um cronograma para as eventuais adequações dos ativos de processamento.

Art. 22. Os casos omissos serão resolvidos pela Diretoria-Geral, subsidiada pelo CSI deste Tribunal.

Art. 23. Esta Instrução Normativa entra em vigor na data de sua publicação.

DESEMBARGADOR VOLTAIRE DE LIMA MORAES
PRESIDENTE

   

(Publicação: DJE, n. 143, p. 4, 25.07.2024)