INSTRUÇÃO NORMATIVA TRE-RS P N. 117/2024

DISPÕE SOBRE AS REGRAS E OS PROCEDIMENTOS PARA A GESTÃO DE PADRÕES DE CONFIGURAÇÃO SEGURA DO TRIBUNAL REGIONAL ELEITORAL DO RIO GRANDE DO SUL.

O EXCELENTÍSSIMO DESEMBARGADOR VOLTAIRE DE LIMA MORAES, PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DO RIO GRANDE DO SUL, no uso de suas atribuições legais,

CONSIDERANDO a necessidade de definir processos de continuidade de serviços de TI, em caso de eventos de causas naturais, acidentais, tecnológicas ou humanas;

CONSIDERANDO a Resolução CNJ n. 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução TSE n. 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Resolução TRE-RS 370/2021, que adota a Política de Segurança da Informação da Justiça Eleitoral, instituída pela Resolução TSE 23.644/2021;

CONSIDERANDO a Portaria DG/TSE n. 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO as boas práticas em segurança da informação previstas nas normas ABNT ISO/IEC 27001 e ABNT NBR ISO/IEC 27002;

CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls V.8.

RESOLVE:

Art. 1° Instituir a gestão de padrões de configuração segura como norma integrante da Política de Segurança de Informação da Justiça Eleitoral adotada pelo Tribunal Regional Eleitoral do Rio Grande do Sul.

CAPÍTULO I

DISPOSIÇÕES GERAIS

Art. 2° Esta norma visa a assegurar que os hardwares, softwares, serviços e sistemas funcionem corretamente com as configurações de segurança necessárias, e que elas não sejam alteradas por modificações não autorizadas ou incorretas.

Art. 3° Cabe à Secretaria de Tecnologia da Informação (STI) estabelecer e implementar processos e ferramentas para impor as configurações definidas, incluindo as configurações de segurança para hardware, software, serviço (incluindo serviços em nuvem), sistemas, bem como para sistemas operacionais.

CAPÍTULO II

DOS MODELOS-PADRÃO

Art. 4° Devem ser definidas, estabelecidas e mantidas imagens ou modelos-padrão seguros para sistemas e dispositivos com base nas configurações seguras aprovadas.

Art. 5° Os modelos-padrão para a configuração segura de hardware, software e serviços devem ser definidos:

I – utilizando as orientações disponíveis publicamente, como modelos predefinidos, guias de segurança e benchmarks de fornecedores e de organizações de segurança independentes;

II – considerando o nível de proteção necessário para determinar um nível suficiente de segurança;

III – apoiando a política de segurança da informação do TRE-RS, normas específicas e outros requisitos de segurança;

IV – considerando a viabilidade e aplicabilidade das configurações de segurança no contexto do Tribunal.

Art. 6º O estabelecimento dos modelos-padrão para a configuração segura de hardware, software e serviços, deve considerar:

I – minimização do número de identidades com direitos privilegiados ou de acesso ao nível do administrador;

II – desabilitação de identidades desnecessárias, não usadas ou inseguras;

III – desabilitação ou restrição de funções e serviços desnecessários;

IV – restrição de acesso a programas utilitários e configurações de host;

V – relógios sincronizados;

VI – alteração de informações de autenticação-padrão do fornecedor, como senhas-padrão imediatamente após a instalação e análise crítica de outros parâmetros importantes relacionados à segurança-padrão;

VII – habilitação de recurso de bloqueio automático de sessão de dispositivos após um período de inatividade predeterminado, sempre que possível;

VIII – imposição de bloqueio automático de dispositivos portáteis (com sistema operacional Android ou IOS), após não mais do que 7 (sete) tentativas de autenticação com falha;

IX – imposição de capacidade de limpeza remota de dispositivos portáteis (com sistema operacional Android ou IOS) de propriedade da Justiça Eleitoral, nos casos de perda, furto ou roubo.

Art. 7° Os modelos-padrão devem ser armazenados de forma a assegurar:

I – a integridade das imagens ou modelos-padrão, permitindo que apenas modificações autorizadas sejam realizadas;

II – a proteção contra acesso não autorizado.

Art. 8° Sistemas e dispositivos novos ou que venham a ser comprometidos, devem ser instalados ou restaurados a partir das imagens ou modelos-padrão.

Art. 9° Os modelos-padrão devem ser analisados periodicamente e atualizados quando necessário.

CAPÍTULO III

DA CONFIGURAÇÃO SEGURA DA INFRAESTRUTURA DE REDE

Art. 10. O estabelecimento do processo de configuração segura para a infraestrutura de rede deve considerar o uso de servidores DNS controlados ou homologados pelo TRE-RS nos ativos corporativos, exceto nos casos em que o uso de DNS externos confiáveis seja imprescindível para a operação.

CAPÍTULO IV

DO GERENCIAMENTO DAS CONFIGURAÇÕES

Art. 11. Deve ser mantido um registro das configurações de hardware, software e serviços estabelecidas e de todas as alterações de configuração, devendo conter, quando pertinente:

I – gestor do ativo;

II – data da última alteração de configuração;

III – versão do modelo de configuração;

IV – inter-relação com configurações de outros ativos.

Parágrafo único. Os registros devem ser armazenados com segurança e as alterações nas configurações devem seguir o processo de gestão de mudanças.

Art. 12. O registro das configurações seguras deve ser revisado e atualizado periodicamente ou quando ocorrerem mudanças significativas no ambiente que possam impactar esta medida de segurança.

Art. 13. Deverão ser implementadas, sempre que possível, ferramentas de gerência de configuração de sistemas que apliquem automaticamente as opções de configuração sobre os sistemas em intervalos regulares agendados.

Parágrafo único. O gerenciamento de configuração segura deverá ser realizado, preferencialmente, usando Infraestrutura como Código (IaC).

Art. 14. Desvios de configurações padrão e justificativas devem ser registrados para facilitar futuras revisões ou auditorias.

Art. 15. Quaisquer desvios de configurações seguras devem ser abordados, seja pela aplicação automática da configuração de destino definida ou pela análise manual do desvio, seguido de ações corretivas.

CAPÍTULO V

DISPOSIÇÕES FINAIS

Art. 16. O descumprimento desta norma deve ser registrado como incidente de segurança e comunicado ao CSI para apuração e consequente adoção das providências cabíveis.

Art. 17. Os casos omissos serão resolvidos pela Diretoria-Geral, subsidiada pelo Comitê de Segurança da Informação e Proteção de Dados Pessoais (CSI) deste Tribunal.

Art. 18. Esta Instrução Normativa entra em vigor na data de sua publicação e sua implementação se fará de acordo com plano a ser elaborado pela Secretaria de Tecnologia da Informação, no prazo de 120 dias.

DESEMBARGADOR VOLTAIRE DE LIMA MORAES
PRESIDENTE

   

(Publicação: DJE, n. 143, p. 7, 25.07.2024)