Resolução TRE/PI nº 315/2015

Identificação

Resolução TRE/PI nº 315, de 21 de setembro de 2015

Situação

Revogada pela Resolução TRE/PI nº 356/2017

Origem

PROCESSO ADMINISTRATIVO Nº 170-40.2015.6.18.0000

Publicação

DJE nº 175, de 23/09/2015

Normas correlatas

Revogada pela Resolução TRE/PI nº 356/2017

Observação

Texto Original (Formato PDF)

Texto

RESOLUÇÃO N° 315, DE 21 DE SETEMBRO DE 2015

PROCESSO ADMINISTRATIVO Nº 170-40.2015.6.18.0000 - CLASSE 26. ORIGEM: TERESINA-PI. RESUMO: PROCESSO ADMINISTRATIVO - MINUTA DE RESOLUÇÃO- POLÍTICA DE SEGURANÇA DA INFORMAÇÃO - PEDIDO DE APROVAÇÃO

Requerente: Secretaria de Tecnologia da Informação do Tribunal Regional Eleitoral do Piauí, por seu Secretário

Relator: Desembargador Edvaldo Pereira de Moura

Estabelece a Política de Segurança da Informação do Tribunal Regional Eleitoral do Piauí.

O Tribunal Regional Eleitoral do Piauí – TRE-PI, no uso das atribuições que lhe são conferidas pelo inciso IX do art. 15 do Regimento Interno (Resolução n° 107, de 4 de julho de 2005); e

Considerando a importância da adoção de boas práticas relacionadas à proteção da informação, preconizadas pelas normas ISO NBR/IEC 27001:2013 e 27002:2013, às quais esta Política de Segurança da Informação está alinhada;

Considerando o disposto no art. 13 da Resolução n° 90, de 29 de setembro de 2009, do Conselho Nacional de Justiça - CNJ, que determina a elaboração e aplicação de Política de Segurança da Informação por parte dos Tribunais;

Considerando a publicação de diretrizes para a gestão de Segurança da Informação no âmbito do Poder Judiciário, expedidas em junho de 2012 pelo Comitê Nacional de Gestão de Tecnologia da Informação e Comunicação, designado pela Portaria nº 222, de 3 de dezembro de 2010, do Conselho Nacional de Justiça - CNJ;

Considerando o Decreto nº 3.505/2000, que institui a obrigatoriedade do estabelecimento de Políticas de Segurança da Informação nos órgãos da Administração Pública Federal;

Considerando a Norma Complementar - NC n° 03/IN01/DSIC/GSIPR, de 30 de junho de 2009, que estabelece diretrizes para elaboração de Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal;

Considerando a Resolução do Tribunal Superior Eleitoral - TSE n° 22.780, de 24 de abril de 2008, que adota as diretrizes da Política de Segurança da Informação da Justiça Eleitoral;

Considerando as diretrizes constantes do Código de Ética deste Tribunal (Resolução TRE-PI n° 258, de 22 de janeiro de 2013), relativas aos deveres dos servidores em relação ao trato da informação obtidas no exercício do cargo ou função;

Considerando que a informação gerada internamente, adquirida ou absorvida pelo Tribunal Regional Eleitoral do Piauí, é patrimônio da instituição e, portanto, necessita ser protegida;

Considerando que o Tribunal mantém grande volume de informações essenciais ao exercício de suas competências constitucionais, legais e regulamentares e que essas informações devem manter-se íntegras, disponíveis e, quando for o caso, com o sigilo resguardado;

Considerando que as informações são armazenadas em diferentes suportes e veiculadas por diversas formas, tais como meio impresso, eletrônico e magnético, sendo, portanto, vulneráveis a desastres naturais, acessos não autorizados, mau uso, falhas de equipamentos, extravio e furto;

Considerando que a adequada gestão da informação precisa nortear todos os processos de trabalho e unidades do Tribunal e deve ser impulsionada por política interna de segurança da informação.

RESOLVE:

CAPÍTULO I

DO OBJETO E DAS DEFINIÇÕES

Art. 1° Esta Resolução institui a Política de Segurança da Informação - PSI do TRE-PI.

Art. 2° Para os efeitos desta Resolução e de suas regulamentações, aplicam-se as seguintes definições:

I. atividades precípuas: conjunto de procedimentos e tarefas que utilizam recursos tecnológicos, humanos e materiais, inerentes à atividade-fim da Justiça Eleitoral;

II. atividades críticas: atividades precípuas da Justiça Eleitoral cuja interrupção ocasiona severos transtornos;

III. ativo: qualquer bem, tangível ou intangível, que tenha valor para a organização;

IV. ativo de informação: patrimônio composto por todos os dados e informações geradas, adquiridas, utilizadas ou armazenadas pela Justiça Eleitoral;

V. ativo de processamento: patrimônio composto por todos os elementos de hardware, software e infraestrutura de comunicação, necessários à execução das atividades precípuas da Justiça Eleitoral;

VI. confidencialidade: propriedade da informação que garante que ela não será disponibilizada ou divulgada a indivíduos, entidades ou processos sem a devida autorização;

VII. continuidade de negócios: capacidade estratégica e tática de um órgão ou entidade de se planejar e responder a incidentes e interrupções de negócios, minimizando seus impactos e recuperando perdas de ativos da informação das atividades críticas, de forma a manter suas operações em um nível aceitável, previamente definido;

VIII. disponibilidade: propriedade da informação que garante que ela será acessível e utilizável sempre que demandada;

IX. incidente: qualquer evento que ameace ou comprometa a segurança da informação;

X. informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente do suporte em que resida ou da forma pela qual seja veiculado;

XI. integridade: propriedade que garante que a informação mantém todas as características originais estabelecidas pelo proprietário;

XII. recurso: além da própria informação, é todo o meio direto ou indireto utilizado para o seu tratamento, tráfego e armazenamento;

XIII. risco: potencial associado à exploração de vulnerabilidades de um ativo de informação por ameaças, com impacto negativo no negócio da organização;

XIV. usuário: aquele que utiliza, de forma autorizada, recursos inerentes às atividades precípuas da Justiça Eleitoral;

XV. segurança da informação: conjunto de ações que objetivam preservar a confidencialidade, integridade e disponibilidade da informação, entre outras propriedades.

CAPÍTULO II

DOS PRINCÍPIOS

Art. 3° Esta PSI tem como princípios norteadores a garantia da integridade, confidencialidade e disponibilidade dos ativos de informação e de processamento.

CAPÍTULO III

DO ESCOPO

Art. 4° São objetivos da PSI deste Tribunal:

I. instituir diretrizes estratégicas, responsabilidades e competências visando à estruturação da segurança da informação;

II. promover ações necessárias à implementação e manutenção da segurança da informação;

III. combater atos acidentais ou intencionais de destruição, modificação, apropriação ou divulgação indevida de informações, de modo a preservar os ativos de informação e a imagem da instituição;

IV. promover a conscientização e a capacitação de recursos humanos em segurança da informação.

Art. 5° Esta PSI se aplica a todos os magistrados, membros do Ministério Público, servidores, estagiários, prestadores de serviço e colaboradores que fazem uso dos ativos de informação e de processamento no âmbito do TRE-PI.

Parágrafo único. Todos os magistrados, membros do Ministério Público, servidores, estagiários, prestadores de serviço e colaboradores são corresponsáveis pela segurança da informação, devendo, para tanto, conhecer e seguir esta PSI.

CAPÍTULO IV

DAS DIRETRIZES GERAIS

Art. 6° Deverão ser criadas normas, procedimentos, planos e/ou processos visando à regulamentação e operacionalização dos controles a seguir elencados:

I – gestão de ativos;

II – controle de acessos;

III – gestão de riscos;

IV – gestão da continuidade do negócio;

V – tratamento de incidentes de rede;

VI– auditoria e conformidade;

VII – serviços de internet e comunicação eletrônica;

VIII– desenvolvimento de sistemas seguros.

Parágrafo único. Conforme necessidade e conveniência deste Tribunal Eleitoral, poderão ser criados normativos sobre outros temas, que farão parte integrante da PSI.

SEÇÃO I

DA GESTÃO DE ATIVOS

Art. 7° Todos os ativos de informação e de processamento da Justiça Eleitoral deverão ser inventariados, classificados, atualizados periodicamente e mantidos em condição de uso.

Parágrafo único. Cada ativo de informação e de processamento deverá ter uma unidade responsável, com atribuições claramente definidas.

Art. 8° Toda e qualquer informação gerada, adquirida, utilizada ou armazenada pelo TRE-PI é considerada de sua propriedade e deve ser protegida, de acordo com esta PSI, com a legislação em vigor e com as normas e procedimentos relacionados.

Art. 9° É vedado o uso dos ativos do TRE-PI para constranger, assediar, ofender, caluniar, ameaçar ou causar prejuízos a qualquer pessoa física ou jurídica, bem como para veicular opiniões político-partidárias, propagar e divulgar boatos, trotes, pornografia, propaganda comercial ou religiosa.

SEÇÃO II

DO CONTROLE DE ACESSOS

Art. 10 O usuário receberá permissão de acesso físico e lógico apenas aos recursos necessários e indispensáveis ao desempenho de suas funções, definidas pela chefia imediata.

Art. 11 Todo usuário deverá possuir identificação pessoal e intransferível, qualificando-o, inequivocamente, como responsável por qualquer atividade desenvolvida sob essa identificação.

SEÇÃO III

DA GESTÃO DE RISCOS

Art. 12 Deverá ser estabelecido Processo de Gestão de Riscos dos ativos desse Tribunal Eleitoral, visando à identificação, à avaliação e posterior tratamento e monitoramento daqueles considerados críticos para a Segurança da Informação.

Parágrafo único. O Processo de Gestão de Riscos deverá ser revisado periodicamente.

SEÇÃO IV

DA GESTÃO DA CONTINUIDADE DE NEGÓCIOS

Art. 13 Deverá ser elaborado Plano de Continuidade de Negócios que estabeleça procedimentos e defina estrutura mínima de recursos, para que se desenvolva uma resiliência organizacional capaz de garantir o fluxo das informações críticas em momento de crise e salvaguardar o interesse das partes interessadas, a reputação e a imagem da instituição.

§ 1° O Plano de Continuidade de Negócios deve contemplar os requisitos e a continuidade da gestão de segurança da informação.

§ 2° O Plano de Continuidade de Negócios deverá ser testado e revisado periodicamente.

SEÇÃO V

DO TRATAMENTO DE INCIDENTES DE REDE

Art. 14 Deverá ser elaborado um Processo de Tratamento e Resposta a Incidentes em Redes de Computadores visando impedir, interromper ou minimizar o impacto de uma ação maliciosa ou acidental.

SEÇÃO VI

DA AUDITORIA E CONFORMIDADE

Art. 15 Deverá ser instituído um Plano de Auditoria e Conformidade, visando aferir o correto cumprimento desta PSI e garantir o atendimento das leis, regulamentos e normas de segurança vigentes.

Parágrafo único. O Plano de Auditoria e Conformidade deverá ser aplicado e revisado periodicamente.

SEÇÃO VII

DOS SERVIÇOS DE INTERNET E DE COMUNICAÇÃO ELETRÔNICA

Art. 16 Os serviços de acesso à internet e de comunicação eletrônica, disponibilizados aos usuários, são considerados de propriedade do Tribunal Eleitoral e passíveis de controle e monitoramento, com o uso regulamentado por normas internas.

SEÇÃO VIII

DESENVOLVIMENTO DE SISTEMAS SEGUROS

Art. 17 O Processo de Desenvolvimento de Software do Tribunal, ao ser estabelecido, deverá contemplar atividades específicas que garantam maior segurança para os sistemas utilizados, de forma a preservar o ambiente tecnológico e prevenir possíveis incidentes de segurança com os dados desses sistemas ou com a infraestrutura utilizada.

CAPÍTULO V

DA ESTRUTURA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO

Art. 18 Deverá ser constituída, no âmbito desse Tribunal Eleitoral, uma Comissão de Segurança da Informação subordinada à Presidência do Tribunal composta, no mínimo, por representantes da Presidência, da Corregedoria, da Diretoria-Geral e de cada Secretaria.

Art. 19 Compete à Comissão de Segurança da Informação:

I. promover a atualização periódica da PSI no âmbito do Tribunal;

II. elaborar normas, procedimentos, planos e/ou processos nos termos do art. 6º, visando à operacionalização desta PSI;

III. propor iniciativas para aumentar o nível da segurança da informação;

IV. promover a divulgação da PSI e normativos, bem como ações para disseminar a cultura em segurança da informação, no âmbito do Tribunal Eleitoral;

V. definir estratégias para a implantação desta PSI;

VI. providenciar recursos necessários à implementação das ações de segurança da informação;

VII. propor à Presidência a formação de grupos de trabalho para tratar de temas e soluções específicas sobre segurança da informação;

VIII. analisar criticamente os incidentes de segurança da informação e ações corretivas correlatas;

IX. auxiliar a Presidência do Tribunal na avaliação das proposições de suspensão de acesso dos usuários;

X. Apreciar o modelo de implementação da Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais – ETIR;

XI. propor a abertura de sindicância para investigar e avaliar os danos decorrentes de quebra de segurança da informação;

XII. responder pela segurança da informação no órgão.

Art. 20 Deverá ser nomeado um gestor de segurança da informação, no âmbito do Tribunal Eleitoral, com as seguintes responsabilidades:

I. disponibilizar e gerenciar a infraestrutura necessária aos processos de trabalho da ETIR;

II. acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;

III. propor, à Presidência, a suspensão de acesso do usuário a recursos do Tribunal, quando evidenciados riscos à segurança da informação;

IV. coordenar estudos de novas tecnologias na área de segurança da informação;

V. propor à Comissão de Segurança da Informação iniciativas para aumentar o nível da segurança da informação.

Parágrafo único. O gestor da segurança da informação deverá ser servidor que detenha amplo conhecimento dos processos de negócio do Tribunal e do tema em foco.

Art. 21 Deverá ser instituída Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR), conforme modelo aprovado pela Comissão de Segurança da Informação, com a responsabilidade de receber, analisar, classificar, tratar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores, além de armazenar registros para formação de séries históricas como subsídio estatístico e para fins de auditoria.

Parágrafo único. Caberá ainda à ETIR elaborar o Processo de Tratamento e Resposta a Incidentes em Redes de Computadores no âmbito do Tribunal Eleitoral.

CAPÍTULO VI

DAS COMPETÊNCIAS DAS UNIDADES

Art. 22 Compete à Presidência do Tribunal:

I apoiar a aplicação das ações estabelecidas nesta PSI;

I. viabilizar financeiramente as ações de implantação desta PSI;

II. nomear ou delegar à Direção Geral a nomeação:

a) da Comissão de Segurança da Informação;

b) do Gestor de Segurança da Informação e seu substituto;

c) dos integrantes da ETIR.

Art. 23 Compete à Diretoria Geral do Tribunal apoiar a aplicação das ações estabelecidas nesta Política de Segurança da Informação, incluindo a implementação, manutenção, treinamento e testes periódicos relativos ao Plano de Continuidade de Negócios.

Art. 24 Compete à Secretaria de Tecnologia da Informação:

I. prover o apoio necessário à implementação da PSI do Tribunal;

II. prover os ativos de processamento necessários ao cumprimento desta PSI;

III. garantir que os níveis de acesso lógico concedidos aos usuários estejam adequados aos propósitos do negócio e condizentes com as normas vigentes de segurança da informação;

IV. apoiar a realização de auditorias, conforme Plano de Auditoria e Conformidade;

V. Propor à Presidência a nomeação do Gestor de Segurança da Informação e dos integrantes da ETIR;

VI. executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação;

VII. disponibilizar e gerenciar a infraestrutura necessária aos processos de trabalho da ETIR;

VIII. gerenciar os ativos sob sua responsabilidade.

Art. 25 Compete à Secretaria de Administração, Orçamento e Finanças, na sua área de atuação:

I. implantar controles nos ambientes físicos visando prevenir danos, furtos, roubos, interferência e acesso não autorizado às instalações e ao patrimônio do Tribunal;

II. implantar controles e proteção contra ameaças externas ou decorrentes do meio ambiente como incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e desastres naturais ou causados pelo homem;

III. assegurar que os empregados das empresas prestadoras de serviço contratadas conheçam suas atribuições e responsabilidades em relação à segurança da informação;

IV. adotar as medidas necessárias por ocasião do desligamento de empregados das empresas prestadoras de serviço contratadas e comunicar às demais unidades do Tribunal, com vistas à pertinente remoção dos acessos às informações e à devolução dos ativos;

V. coordenar o processo de classificação da informação;

VI. executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação;

VII. adotar nos contratos, convênios e outros instrumentos congêneres, celebrados por este Tribunal, os princípios, os objetivos e as diretrizes dessa PSI;

VIII. gerenciar os ativos sob sua responsabilidade.

Art. 26 Compete à Secretaria de Gestão de Pessoas, na sua área de atuação:

I. apoiar a Comissão de Segurança da Informação na missão de assegurar que os magistrados, membros do Ministério Público, servidores efetivos, requisitados e sem vínculo, bem como os estagiários e colaboradores conheçam suas atribuições e responsabilidades em relação à segurança da informação;

II. adotar as medidas necessárias por ocasião do desligamento de pessoal e comunicar às demais unidades do Tribunal, com vistas à pertinente remoção dos acessos às informações e à devolução dos ativos;

III. promover a capacitação dos servidores que integram a estrutura de gestão da segurança da informação, dos gestores das unidades e dos usuários, no que for pertinente;

IV. executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação;

V. gerenciar os ativos sob sua responsabilidade.

Art. 27 Compete ao Serviço de Imprensa e Comunicação Social, em conjunto com a Comissão de Segurança da Informação.

I. promover campanhas de conscientização sobre a importância da Segurança da Informação;

II. divulgar esta PSI;

III. executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação;

IV. gerenciar os ativos sob sua responsabilidade.

Art. 28 Compete à Secretaria Judiciária, na sua área de atuação:

I. organizar a conservação e a guarda dos documentos, assim como o acesso a eles e às informações neles contidas, de acordo com o seu nível de confidencialidade;

II. adotar medidas que garantam a segurança dos documentos e processos que estão sob a sua guarda;

III. utilizar critérios padronizados de transferência e de recolhimento dos documentos e processos das unidades administrativas e judiciais para a unidade de gestão documental;

IV. atuar conjuntamente com a Comissão de Segurança da Informação e com a Secretaria de Tecnologia da Informação para assegurar a implementação dos critérios de segurança, do trâmite, da guarda, da classificação e da disponibilização das informações em meio digital;

V. executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação;

VI. gerenciar os ativos sob sua responsabilidade.

Art. 29 Compete à Corregedoria:

I. empreender medidas e expedir normas para adequar as práticas cartorárias a esta PSI;

II. executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação;

III. gerenciar os ativos sob sua responsabilidade.

Parágrafo único. A Corregedoria poderá solicitar à Comissão de Segurança da Informação e à Secretaria de Tecnologia da Informação auxílio quanto às ações assinaladas no caput.

Art. 30 Compete à unidade de Controle Interno:

I. elaborar Plano de Auditoria e Conformidade e revisá-lo periodicamente;

II. realizar auditorias conforme Plano de Auditoria e Conformidade;

III. executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação;

IV. gerenciar os ativos sob sua responsabilidade.

Art. 31 Compete ao Juízo Eleitoral:

I. apoiar a Comissão de Segurança da Informação na missão de assegurar que os promotores, servidores efetivos e requisitados, estagiários, prestadores de serviço e colaboradores conheçam suas atribuições e responsabilidades em relação à segurança da informação;

II. executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação;

III. gerenciar os ativos sob sua responsabilidade.

Art. 32 Compete aos Usuários:

I. responder por toda atividade executada com o uso de sua identificação;

II. ter pleno conhecimento desta PSI e segui-la;

III. reportar tempestivamente ao Gestor de Segurança da Informação do Tribunal quaisquer falhas ou indícios de falhas de segurança de que tenha conhecimento ou suspeita;

IV. guardar sigilo das informações restritas obtidas em decorrência do exercício de suas atividades;

V. guardar sigilo de senhas e códigos fornecidos para utilização dos equipamentos e sistemas da Justiça Eleitoral, zelando por sua confidencialidade;

VI. colaborar, em sua área de competência, na identificação e tratamento de incidentes em segurança da informação;

VII. executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação;

VIII. gerenciar os ativos sob sua responsabilidade.

CAPÍTULO VII

DISPOSIÇÕES FINAIS

Art. 33 Os casos omissos serão resolvidos pela Presidência do Tribunal, com o auxílio da Comissão de Segurança da Informação.

Art. 34 A PSI será revisada periodicamente a cada três anos ou em periodicidade inferior, quando se fizer necessário ou conveniente para o Tribunal.

Art. 35 O descumprimento desta PSI será objeto de apuração pela autoridade competente do Tribunal e consequente aplicação das penalidades cabíveis a cada caso.

Art. 36 Esta Resolução entrará em vigor na data de sua publicação.

Sala das Sessões do Tribunal Regional Eleitoral do Piauí, em Teresina (PI), 21 de setembro de 2015.

Des. EDVALDO PEREIRA DE MOURA

Presidente do TRE-PI

Des. JOAQUIM DIAS DE SANTANA FILHO

Vice-Presidente e Corregedor Regional Eleitoral

DR. GERALDO MAGELA E SILVA MENESES

Juiz Federal

Dr. AGRIMAR RODRIGUES DE ARAÚJO

Jurista

Dr. JOSÉ WILSON FERREIRA DE ARAÚJO JÚNIOR

Jurista

Dr. JOSÉ VIDAL DE FREITAS FILHO

Juiz de Direito

Dra. MARIA CÉLIA LIMA LÚCIO

Juíza de direito

Dr. KELSTON PINHEIRO LAGES

Procurador Regional Eleitoral

Este texto não substitui o publicado no DJe nº 175, de 23/09/2015