RESOLUÇÃO TRE-RS N. 254, DE 15 SETEMBRO DE 2014
REVOGADA PELA RESOLUÇÃO TRE-RS N. 292/2017
Estabelece a Política de Segurança da Informação do Tribunal Regional Eleitoral do Rio Grande do Sul.
O TRIBUNAL REGIONAL ELEITORAL DO RIO GRANDE DO SUL, no uso das atribuições que lhe são conferidas pela Constituição Federa,
alínea "b" do inciso I do artigo 96, da Constituição Brasileira
,
CONSIDERANDO o disposto na Resolução n. 22.780, de 24.04.2008, do Tribunal Superior Eleitoral, que estabelece diretrizes gerais para a Segurança da Informação no âmbito da Justiça Eleitoral;
CONSIDERANDO o disposto no
art. 13 da Resolução n. 90
, de 29.09.2009, do Conselho Nacional de Justiça, que determina a elaboração e aplicação de Política de Segurança da Informação por parte dos tribunais;
CONSIDERANDO a publicação de diretrizes para a gestão de Segurança da Informação no âmbito do Poder Judiciário, expedidas em junho de 2012 pelo Comitê Nacional de Gestão de Tecnologia da Informação e Comunicação, designado pela
Portaria n. 222
, de 03.12.2010, do Conselho Nacional de Justiça;
CONSIDERANDO o disposto na
Resolução n. 253
, de 15.09.2014, deste TRE, que dispõe sobre a Política de Segurança do TRE-RS;
CONSIDERANDO o grande volume de informações produzidas, recebidas e mantidas pelo TRE-RS, as quais devem permanecer íntegras, disponíveis e, quando for o caso, sob sigilo;
CONSIDERANDO que tais informações, ressalvados os direitos autorais, integram o patrimônio da Justiça Eleitoral do Rio Grande do Sul, o qual deve ser protegido e
CONSIDERANDO a vulnerabilidade dos diferentes meios de suporte, veiculação e armazenamento da informação a incidentes como desastres naturais, acessos não autorizados, dentre outros,
RESOLVE:
CAPÍTULO I - DO OBJETO E DO ÂMBITO DE APLICAÇÃO
Art. 1º Estabelecer a Política de Segurança da Informação do Tribunal Regional Eleitoral do Rio Grande do Sul.
Art. 2º A Política de Segurança da Informação do TRE-RS aplica-se a todos os usuários, ainda que eventuais, dos recursos materiais e tecnológicos da Justiça Eleitoral do Rio Grande do Sul, os quais são corresponsáveis pela Segurança da Informação, devendo conhecer e observar as normas desta Resolução.
CAPÍTULO II - DAS DEFINIÇÕES
Art. 3º Para fins desta Resolução, considera-se:
I - dado: qualquer registro identificado em sua forma bruta que, por si só, não conduz a uma compreensão de determinado fato ou situação;
II - informação: resultado do processamento, da manipulação e da organização de dados, que deve ser adequadamente protegido nas suas formas de manuseio, acesso, armazenamento, suporte e veiculação;
III - segurança da informação: processo que visa à proteção da informação contra vários tipos de ameaças, com o intuito de garantir a continuidade do negócio, minimizando os riscos associados;
IV - ativo: pessoas, informações ou recursos necessários a seu processamento, podendo ser de vários tipos, incluindo ativos de informação; ativos de software; ativos físicos; serviços
de computação, comunicações e utilidades gerais;
V - ativo de informação: toda informação gerada, adquirida, utilizada ou armazenada pela Justiça Eleitoral;
VI - gestor da informação (proprietário): servidor, indicado nominalmente ou em razão da função que ocupa, responsável pela definição de critérios de acesso, classificação e normas específicas do uso da informação;
VII - custodiante da informação: unidade responsável pelo armazenamento e pela preservação da informação;
VIII - confidencialidade: princípio que garante a informação esteja acessível somente à pessoa física, ao sistema, ao órgão ou à entidade autorizados e credenciados;
IX - integridade: princípio que garante a não violação das informações, com intuito de protegê-las contra alteração, gravação ou exclusão acidental ou proposital;
X - disponibilidade: princípio que garante acesso às informações, no momento requerido, às pessoas, aos processos ou aos sistemas autorizados;
XI - autenticidade: atributo que assegura a correspondência entre o autor de determinada informação e a pessoa, processo ou sistema a quem se atribui a autoria;
XII - criticidade: define a importância da informação para a continuidade do negócio da instituição;
XIII - continuidade do negócio: capacidade da instituição de manter a prestação de seus serviços, mesmo após a interrupção de qualquer atividade relevante;
XIV - usuário: qualquer pessoa que tenha acesso, de forma autorizada, a informações produzidas ou custodiadas pelo TRE-RS.
CAPÍTULO III - DAS NORMAS
Art. 4º As diretrizes básicas da Política de Segurança da Informação do TRE-RS devem atender aos seguintes princípios e normas:
I - NBR/ISO/IEC 27001:2006 da ABNT, que trata do Código de Prática para o Sistema de Gestão de Segurança da Informação - Requisitos;
II - NBR/ISO/IEC 27002:2005 da ABNT, que trata do Código de Práticas para o Sistema de Gestão de Segurança da Informação - Técnica de Segurança;
III - NBR/ISO/IEC 27005:2008 da ABNT, que trata das Técnicas de Segurança para Gestão de Riscos de Segurança da Informação;
IV - diretrizes para a gestão de Segurança da Informação no âmbito do Poder Judiciário, expedidas em junho de 2012 pelo Comitê Nacional de Gestão de Tecnologia da Informação e Comunicações, designado pela Portaria n. 222/2010, do Conselho Nacional de Justiça;
V - Resolução n. 22.780/2008, do Tribunal Superior Eleitoral, que estabelece a Política de Segurança da Informação da Justiça Eleitoral.
CAPÍTULO IV - DOS OBJETIVOS
Art. 5º São objetivos da Política de Segurança da Informação do TRE-RS:
I - preservar a integridade, a confidencialidade, a disponibilidade e a autenticidade dos seus ativos de informação;
II - assegurar o uso da informação no interesse da Justiça Eleitoral;
III - fomentar a conscientização e promover a capacitação e a educação em Segurança da Informação;
IV - promover a gestão da continuidade do negócio;
V - prevenir e combater atos acidentais ou intencionais de destruição, modificação, apropriação ou divulgação indevida de informações.
Art. 6º A implementação da Política de Segurança da Informação ocorrerá pela gradual adoção dos controles previstos na norma NBR/ISO/IEC 27002:2005 e suas atualizações, ressalvadas as necessárias adequações ao contexto do TRE-RS.
CAPÍTULO V - DO ACESSO À INFORMAÇÃO, SUA PRESTAÇÃO E CUSTÓDIA
Art. 7º As informações devem ser classificadas em função do seu grau de confidencialidade e de criticidade, observando-se também as normas e procedimentos complementares a que se refere o art. 4º.
Parágrafo único. Os sistemas e equipamentos utilizados para armazenamento de informações devem receber a mesma classificação dada às informações neles contidas.
Art. 8º Serão adotados dispositivos de proteção proporcionais ao grau de confidencialidade e de criticidade da informação, capazes de assegurar os princípios da Segurança da Informação.
Art. 9º Todo acesso à informação deve ser controlado de acordo com a sua classificação, levando-se em conta as necessidades do usuário no desempenho de suas atividades.
Art. 10. Fica vedada a utilização de informações de pessoas físicas e jurídicas, sob a guarda deste Tribunal, para finalidades diversas das relativas às atividades funcionais desempenhadas pelo usuário.
Art. 11. Os critérios para as operações de transferência, recolhimento, armazenamento, arquivamento, divulgação, reprodução, transporte, recuperação, descarte e eliminação da informação serão definidos de acordo com a sua classificação e temporalidade, sem prejuízo de outros cuidados que poderão ser especificados pelo gestor e pelas demais normas pertinentes.
Parágrafo único. Quando as informações compuserem um conjunto, deverão ser observados os cuidados de segurança adequados aos níveis mais altos de confidencialidade e criticidade das referidas informações.
Art. 12 . Os contratos, convênios e outros instrumentos congêneres, celebrados por este Tribunal, devem observar os princípios, os objetivos e as diretrizes da Política de Segurança da Informação do TRE-RS.
CAPÍTULO VI - DAS ATRIBUIÇÕES
Art. 13 . A gestão da Segurança da Informação é responsabilidade da instituição, sendo exercida de forma compartilhada por servidores, magistrados, unidades, comissões e demais usuários.
Art. 14. Compete ao Presidente do Tribunal, no âmbito da Política de Segurança da Informação:
I - instituir o Comitê de Segurança da Informação, de acordo com o previsto na Resolução TSE 22.780/2008 e nomear seus membros;
II - aprovar e publicar portarias com normas técnicas necessárias à execução da política;
III - acompanhar o desempenho desta Política, determinando as correções necessárias.
Art. 15. Compete à Corregedoria Regional Eleitoral, nas suas áreas de atuação, empreender medidas e expedir normas para adequar as práticas cartorárias à Política de Segurança da Informação ou propor à Corregedoria-Geral da Justiça Eleitoral, nos casos em que for competência daquele órgão.
Art. 16. Compete ao Diretor-Geral designar os gestores das informações e custodiantes para dados, sistemas ou serviços da Justiça Eleitoral do Rio Grande do Sul.
Art. 17. Caberá ao Comitê de Segurança da Informação, com o apoio dos gestores das unidades e gestores da informação designados:
I - coordenar a Segurança da Informação, zelando pela execução das atividades e implementação dos controles decorrentes desta Política;
II - realizar análises críticas periódicas desta Política de Segurança da Informação e sua implementação para:
a) elaborar relatório anual ações de Segurança da Informação, submetendo-o à apreciação do Presidente do Tribunal;
b) propor as atualizações necessárias na Política de Segurança da Informação;
c) propor normas técnicas que detalhem as diretrizes desta Política;
III - estruturar e manter o inventário de ativos da informação, garantindo a indicação de um gestor para cada ativo;
IV - estruturar e manter sistema de classificação da informação quanto aos princípios básicos da Segurança da Informação;
V - estabelecer, manter e revisar periodicamente um processo de Gestão de Riscos de Segurança da Informação, alinhado à Política de Gestão de Riscos do TRE-RS;
VI - promover a melhoria contínua da segurança na troca de informações internas ao TRE-RS e com quaisquer entidades externas;
VII - instituir, promover e manter ações de conscientização dos servidores quanto à Política de Segurança da Informação;
VIII - promover a gestão da continuidade do negócio para os processos críticos da Justiça Eleitoral do Rio Grande do Sul.
Parágrafo único. O Comitê de Segurança da Informação implementará diretamente, ou delegará a uma unidade ou servidor, controles necessários cuja responsabilidade não seja definida neste capítulo.
Art. 18. Compete ao Comitê de Tecnologia da Informação, no âmbito de suas atribuições, decidir sobre os investimentos necessários à garantia da segurança e capacidade das instalações de processamento de informações críticas ou sensíveis do TRE-RS.
Art. 19. Compete à Secretaria de Gestão de Pessoas, na sua área de atuação:
I - promover ações de capacitação e conscientização para que os usuários tomem conhecimento das suas atribuições e responsabilidades em relação à Segurança da Informação;
II - comunicar às demais unidades envolvidas as eventuais mudanças de lotação e/ou desligamento de pessoas, para a adequação ou remoção do acesso às informações da Justiça Eleitoral do Rio Grande do Sul.
Parágrafo único. Nos casos em que o cadastro de usuários seja gerido por unidade diversa da Secretaria de Gestão de Pessoas, compete ao gestor do respectivo cadastro as atribuições dispostas no inciso II.
Art. 20. Compete à Secretaria de Tecnologia da Informação, na sua área de atuação:
I - implementar mecanismos de criação, controle e monitoramento para identificação de usuários dos serviços informatizados que necessitem de controle de acesso, de forma que cada usuário possa ser identificado e responsabilizado por suas ações;
II - garantir que os níveis de acesso concedidos aos usuários, sistemas e equipamentos, conforme definições dos gestores da informação, estejam adequados aos propósitos do negócio e condizentes com as normas da Política de Segurança da Informação do TRE-RS;
III - manter atualizada a documentação dos procedimentos de operação;
IV - gerenciar as mudanças nos recursos de processamento de informações;
V - gerenciar a capacidade dos sistemas e infraestrutura de processamento de informações;
VI - proteger o software e a informação de códigos maliciosos e códigos móveis;
VII - gerenciar as cópias de segurança das informações de acordo com sua criticidade e conformidade legal;
VIII - gerenciar a segurança de redes e serviços de rede de acordo com os níveis de serviço acordados;
IX - monitorar os sistemas para detectar atividades não autorizadas de processamento da informação;
X - definir e manter processo, bem como designar equipe responsável pelo tratamento de incidentes de Segurança da Informação em redes computacionais;
Art. 21. Os gestores de unidades, zonas eleitorais e centrais de atendimento deverão:
I - assessorar no estabelecimento de regras e no empreendimento de ações referentes à organização, à coordenação, ao controle e à supervisão dos assuntos relacionados à Segurança da Informação;
II - assegurar o cumprimento das normas e dos procedimentos atinentes à Política de Segurança da Informação do TRE-RS;
III - propor a adoção de medidas preventivas ou corretivas relacionadas à Segurança da Informação.
Art. 22. Compete aos gestores da informação definir os critérios de acesso, classificação e, quando for o caso, normas específicas do uso da informação.
Art. 23. Compete aos gestores de contrato do TRE-RS assegurar que os empregados das empresas prestadoras de serviço contratadas conheçam suas atribuições e responsabilidades, para que pratiquem a Segurança da Informação em conformidade com esta Política.
Art. 24. Compete aos servidores responsáveis pela elaboração de contratos e convênios a inclusão de cláusulas exigindo a observância dos requisitos de Segurança da Informação, especialmente quanto ao termo de acordo de confidencialidade.
Art. 25. Compete aos usuários:
I - guardar sigilo das informações obtidas em decorrência do exercício de suas atividades;
II - comunicar à unidade competente quaisquer falhas ou indícios de falhas de segurança de que tenha conhecimento;
III - disponibilizar os dados e as informações necessários ao desempenho das atividades da Justiça Eleitoral;
IV - guardar sigilo de senhas e códigos fornecidos para utilização dos equipamentos e sistemas da Justiça Eleitoral, inclusive de seu certificado digital, adotando medidas para manutenção de sua confidencialidade;
V - preservar a integridade das informações relativas à Justiça Eleitoral, não divulgando externamente qualquer vulnerabilidade porventura diagnosticada.
CAPÍTULO VII - DAS PENALIDADES
Art. 26. A infração aos dispositivos da Política de Segurança da Informação do TRE-RS poderá acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais.
CAPÍTULO VIII - DISPOSIÇÕES FINAIS
Art. 27. Os casos omissos ou excepcionais serão resolvidos pelo Diretor-Geral do TRE-RS.
Art. 28. Esta Resolução entra em vigor na data de sua publicação.
Sala de Sessões do Tribunal Regional Eleitoral do Rio Grande do Sul, em Porto Alegre, aos 15 dias do mês de setembro do ano de dois mil e quatorze.
Des. Marco Aurélio Heinz,
Presidente.
Des. Luiz Felipe Brasil Santos,
Vice-Presidente, Corregedor Regional Eleitoral e Ouvidor.
Dr. Hamilton Langaro Dipp
Dr. Luis Felipe Paim Fernandes
Dr. Ingo Wolfgang Sarlet
Desa. Federal Maria de Fátima Freitas Labarrère
Dr. Leonardo Tricot Saldanha
Dr. Maurício Gotardo Gerum,
Procurador Regional Eleitoral Substituto.
(Publicação: DEJERS n. 166, p. 3, de 17.9.14)