PORTARIA TRE-RS P N. 1021, DE 04 DE NOVEMBRO DE 2021.
INSTITUI A EQUIPE DE TRATAMENTO E RESPOSTA A INCIDENTES EM REDES COMPUTACIONAIS (ETIR) NO ÂMBITO DO TRIBUNAL REGIONAL ELEITORAL DO RIO GRANDE DO SUL.
O Desembargador ARMINIO JOSÉ ABREU LIMA DA ROSA, Presidente do Tribunal Regional Eleitoral do Rio Grande do Sul, no uso de suas atribuições legais,
Considerando a Política de Segurança da Informação do TRE-RS, instituída pela Resolução n. 370, de 24 de agosto de 2021;
Considerando os Acórdãos 2.746/2010, 7.312/2010, 594/2011 e 866/2011, proferidos pelo Plenário do Tribunal de Contas da União, nos quais foi determinada a instituição de Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais;
Considerando as disposições insertas nas Normas Complementares n. 05/IN01/DSIC/GSIPR, de 04 de agosto de 2009, e n. 08/IN01/DSIC/GSIPR, de 19 de agosto de 2010; na Instrução Normativa n. 01 do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República, que disciplinam a criação e a gestão de Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal;
Considerando as disposições insertas na Resolução CNJ nº 396 de 07 de junho de 2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ) e a Portaria CNJ nº 162 de 10 de junho de 2021, que aprova o Protocolo de Prevenção de Incidentes Cibernéticos no âmbito do Poder Judiciário (PPINC-PJ), o Protocolo de Gerenciamento de Crises Cibernéticas no âmbito do Poder Judiciário (PGCC-PJ) e o Protocolo de Investigação para Ilícitos Cibernéticos no âmbito do Poder Judiciário (PIILC-PJ) constantes na mesma Portaria;
Considerando a Portaria TRE-RS P N. 199, de 13 de agosto de 2019, que institui o sistema de gestão de segurança da informação no âmbito do TRE-RS; Considerando ainda a importância da adoção de boas práticas relacionadas à proteção da informação, preconizadas pelas normas ISO NBR/IEC 27001:2013 e 27002:2013,
RESOLVE:
Art. 1º Instituir a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR), no âmbito do Tribunal Regional Eleitoral do Rio Grande do Sul.
DOS CONCEITOS E DEFINIÇÕES
Art. 2º Para os efeitos desta Portaria e suas regulamentações, aplicam-se as seguintes definições:
I - ETIR: Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais: Denominação tradicionalmente atribuída a grupos de resposta a incidentes de segurança cibernética;
II - Agente responsável pela ETIR: servidor público de cargo efetivo do TRE-RS incumbido de chefiar e gerenciar a ETIR;
III - Artefato malicioso: qualquer programa de computador, ou parte de um programa, construído com a intenção de provocar danos, obter informações não autorizadas ou interromper o funcionamento de sistemas ou redes de computadores;
IV - Comunidade ou público-alvo: conjunto de pessoas, setores, órgãos ou entidades atendidas pela ETIR;
V - Incidente de segurança: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores;
VI - Crise cibernética: crise que ocorre em decorrência de incidentes em dispositivos, serviços e redes de computadores que, por causarem dano material ou de imagem, atraem a atenção do público e da mídia e fogem ao controle direto da organização;
VII - Serviço: conjunto de procedimentos, estruturados em processo definido, oferecido à comunidade da ETIR;
VIII - Tratamento de incidentes de segurança em redes computacionais: serviço que consiste em receber, filtrar, classificar e responder às solicitações e alertas, e realizar as análises dos incidentes de segurança, procurando extrair informações que permitam impedir a continuidade da ação maliciosa e a identificação de tendências;
IX - Procedimento de Resposta Específico ou Playbook: procedimento que contempla as ações prédefinidas a serem executadas durante o tratamento de um incidente de segurança, abrangendo as etapas de investigação, contenção, erradicação e recuperação;
X - Tratamento de artefatos maliciosos: serviço que prevê o recebimento de informações ou cópia do artefato malicioso que foi utilizado no ataque, ou de qualquer outra atividade desautorizada ou maliciosa. Recebido o artefato, este deve ser analisado, buscando-se sua natureza, mecanismo, versão e objetivo, para que seja desenvolvida, ou sugerida, estratégia de detecção, remoção e defesa contra esses artefatos;
XI - Emissão de alertas e advertências - serviço que consiste em divulgar alertas ou advertências imediatas como uma reação diante de um incidente de segurança em redes de computadores, com o objetivo de advertir a comunidade ou dar orientações sobre como esta deve agir diante do problema.
DA MISSÃO
Art. 3º A missão da ETIR é facilitar e coordenar as atividades de tratamento e resposta a incidentes em redes computacionais, de modo a contribuir para a garantia da disponibilidade, integridade e confidencialidade das informações do Tribunal, bem como colaborar para o intercâmbio científico-tecnológico relacionado à segurança de redes computacionais no âmbito da Justiça Eleitoral.
DO MODELO DE IMPLEMENTAÇÃO
Art. 4º A ETIR será vinculada administrativamente à Secretaria de Tecnologia da Informação deste Tribunal, sendo formada por servidores que desempenham as atividades relacionadas ao tratamento e resposta a incidentes em redes computacionais, sem prejuízo de suas atividades regulares.
Art. 5º A ETIR funcionará como um grupo de trabalho permanente de atuação proativa, atuando de maneira reativa quando necessário.
Parágrafo único. As atividades reativas da ETIR terão preferência sobre aquelas designadas pelos chefes imediatos de seus respectivos integrantes. Os integrantes da ETIR deverão dedicar em torno de cinco por cento de sua jornada mensal de trabalho às ações e atividades proativas da ETIR mediante planejamento prévio.
DA ESTRUTURA ORGANIZACIONAL
Art. 6º Os integrantes da equipe serão indicados pelo Secretário de Tecnologia da Informação e designados por meio de Portaria da Diretoria-Geral.
§ 1º A equipe será composta de igual número de membros titulares e substitutos.
§ 2º A designação do Agente Responsável deverá recair sobre um dos membros titulares.
DA AUTONOMIA
Art. 7º A ETIR seguirá o modelo de "Autonomia Compartilhada", descrito nas normas do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República.
§ 1º Os incidentes de segurança que tenham Procedimentos de Resposta Específicos (playbooks) definidos poderão ter suas ações de resposta implementadas sem a necessidade de deliberação e autorização pelo Comitê de Segurança da Informação e Proteção de Dados.
§ 2º Para os incidentes que não tenham playbooks definidos, a ETIR deverá submeter recomendações de medidas de resposta ao Comitê de Segurança da Informação e Proteção de Dados para deliberação e autorização das medidas que serão tomadas efetivamente, sendo que a ETIR também participa do processo deliberativo através de seu Agente Responsável.
§ 3º A ETIR poderá adotar ações emergenciais, sem consulta prévia, mesmo sem previsão em Planos de Resposta Específicos, quando o risco de comprometimento severo da integridade dos ativos da informação da Justiça Eleitoral for claramente agravado pela demora no acionamento das medidas de resposta ao incidente, comunicando imediatamente a Diretoria Geral do TRE-RS.
DO PÚBLICO-ALVO
Art. 8º Os usuários da rede de computadores e sistemas do TRE-RS utilizarão o Help Desk para comunicar a ETIR sobre os eventos identificados como incidentes de segurança.
Art. 9º A ETIR poderá interagir com unidades de mesma natureza vinculadas a órgãos da Administração Pública Federal, do Poder Legislativo, do Poder Judiciário e do Ministério Público, fornecendo informações acerca dos incidentes de segurança ocorridos na rede de computadores do TRE-RS, com o objetivo de alimentar suas bases de conhecimentos e fomentar a troca de tecnologias.
Parágrafo único. Nos casos previstos no caput deste artigo, a comunicação dos incidentes de segurança, bem como o tratamento aplicado, será efetuada através de documento formal.
DOS SERVIÇOS E PROCEDIMENTOS
Art. 10. Competirá à ETIR a implementação e o desempenho dos seguintes serviços:
I - Tratamento de incidentes de segurança em redes computacionais;
II - Tratamento de artefatos maliciosos;
III - Emissão de alertas e advertências.
Art. 11. Os serviços elencados no artigo anterior devem constar do Catálogo de Serviços de TIC, em área mantida pela ETIR, com pelo menos as seguintes informações:
I - A definição dos serviços;
II - O objetivo dos serviços;
III - A descrição das funções e procedimentos que compõem os serviços.
Art. 12. O processo de trabalho da ETIR deverá ser revisado e formalizado no prazo de 30 dias a partir da nomeação dos integrantes da ETIR.
DAS RESPONSABILIDADES
Art. 13. Caberá ao Agente Responsável:
I - Elaborar os procedimentos internos a serem observados pela ETIR, com apoio da própria equipe;
II - Gerenciar as atividades desempenhadas pela ETIR;
III - Distribuir, sempre que necessário, tarefas para a ETIR, inclusive as de caráter proativo;
IV - Sugerir ao Secretário de Tecnologia da Informação, quando necessária, a convocação de representantes de outras unidades da Secretaria, para atuar no tratamento e resposta de determinado incidente de segurança;
V - Treinar integrantes da equipe para o desempenho de suas atividades;
VI - Assegurar que os usuários sejam informados sobre os procedimentos adotados em relação aos incidentes de segurança da informação por eles comunicados;
VII - Zelar pela capacitação dos membros da ETIR, encaminhando propostas educacionais e os eventos que entender relevantes ao bom desempenho dos trabalhos da equipe à Escola Judiciária, para incorporação ao Plano Anual de Trabalho e Capacitação.
Art. 14. Caberá à ETIR:
I - Manter registro dos incidentes de segurança em redes de computadores notificados ou detectados, com o objetivo de assegurar registro histórico das atividades;
II - Recolher evidências imediatamente após a constatação de um incidente de segurança da informação na rede interna de computadores;
III - Executar análise crítica sobre as falhas registradas para assegurar que foram satisfatoriamente resolvidas;
IV - Investigar as causas dos incidentes de segurança da informação na rede interna de computadores;
V - Implementar mecanismos para permitir a quantificação e monitorização dos tipos, volumes e custos de incidentes e falhas de funcionamento;
VI - Indicar a necessidade de controles aperfeiçoados ou adicionais para limitar a frequência, os danos e o custo de futuras ocorrências;
VII - Observar os critérios estabelecidos para identificação de crises cibernéticas e os procedimentos para o acionamento do Comitê de Crises Cibernéticas;
VIII - Tratar os incidentes de segurança respeitando os critérios de autonomia estabelecidos no art. 7º;
IX - Seguir os procedimentos de coleta e preservação de evidências de incidentes penalmente relevantes;
X - Apresentar mensalmente ao Comitê de Segurança da Informação e Proteção de Dados relatórios estatísticos dos incidentes de segurança ocorridos no período, com os respectivos tratamentos adotados, visando à elaboração de estudos de melhoria dos mecanismos de segurança, ou ainda para fins de subsidiar as decisões estratégicas da Administração, relativamente à segurança da informação.
Art. 15. Caberá ao Secretário de Tecnologia da Informação:
I - Submeter ao Diretor-Geral as indicações do Agente Responsável, bem como dos servidores titulares e substitutos que integrarão a ETIR;
II - Apoiar a ETIR na execução de seu trabalho, viabilizando a disponibilização dos recursos materiais, tecnológicos e humanos necessários à prestação dos serviços oferecidos à comunidade.
Art. 16. Caberá ao Assessor de Segurança da Informação:
I - Convocar o Comitê de Segurança da Informação e Proteção de Dados para deliberar sobre medidas a serem adotadas na ocorrência de incidentes de segurança;
II - Comunicar às partes interessadas sobre a ocorrência de um incidente de segurança;
III - Comunicar à Diretoria-Geral, à Corregedoria e à Presidência do TRE-RS sobre os incidentes quando for identificada uma crise cibernética;
IV - Encaminhar à Presidência do TRE-RS a comunicação de incidente penalmente relevante comunicada pela ETIR.
DAS DISPOSIÇÕES GERAIS
Art. 17. Os casos omissos e as dúvidas surgidas na aplicação desta Portaria serão dirimidos pelo Comitê de Segurança da Informação e Proteção de Dados deste Tribunal.
Art. 18. Este normativo deverá ser revisado periodicamente, em intervalos máximos de 3 (três) anos.
Art. 19. Os integrantes da Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais, bem como o Agente Responsável, deverão ser nomeados no prazo de 30 (trinta) dias, a contar da publicação desta Portaria.
Art. 20. Esta Portaria entra em vigor na data de sua publicação.
DESEMBARGADOR ARMINIO JOSÉ ABREU LIMA DA ROSA,
PRESIDENTE.
(Publicação: DJE, n. 205, p. 04, 10.09.2021)