PORTARIA Nº 453/2022

 

Dispõe sobre as regras e os procedimentos para Continuidade de Serviços Essenciais de TI do Tribunal Regional Eleitoral de Roraima.

 

O Diretor-Geral do Tribunal Regional Eleitoral de Roraima, no uso de suas atribuições legais e regimentais,

 

CONSIDERANDO a necessidade de definir processos continuidade de serviços de TI, em caso de eventos de causas naturais, acidentais, tecnológicas ou humanas;

CONSIDERANDO a Res. CNJ 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Res. TSE 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral.

CONSIDERANDO a Portaria DG/TSE 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral.

CONSIDERANDO as boas práticas em segurança da informação previstas nas normas ABNT ISO/IEC 27001 e ABNT NBR ISO/IEC 27002.

CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls V.8.

CONSIDERANDO a necessidade de implementar controles para o tratamento de dados pessoais, de acordo com a Lei nº 13.709, de 14 de agosto de 2018 (LGPD);

CONSIDERANDO as boas práticas na gestão da continuidade de negócios previstas nas normas ABNT ISO/IEC 22303 e 22313;

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral de Roraima;

 

RESOLVE:

 

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

 

Art. 1º Esta Portaria disciplina a Continuidade de Serviços Essenciais de TI.

Art. 2º Esta norma integra a Política de Segurança de Informação da Justiça Eleitoral, estabelecida pela Res. TSE 23.644/2021.

Art. 3º Considere-se, no que couber, a Política de Gestão de Continuidade de Negócios do TRE-RR, instituída pela Resolução 363 (0375304), da qual esta norma também será integrante.

Art. 4º Será elaborado um plano operacional de continuidade de serviços de TI, considerando os processos e ativos críticos, no prazo máximo de 180 dias.

 

CAPÍTULO II

DAS DEFINIÇÕES

 

Art. 5º Para efeitos desta norma consideram-se os termos e definições previstos na Portaria DG/TSE 444/2021, além das seguintes:

I - PCNSTIC - Plano de continuidade de serviços de TIC – plano de nível operacional que contém os detalhes para manter ou recuperar as atividades da organização frente a incidentes que causem uma disrupção;

II - Objetivo de Tempo de Recuperação (OTR/RTO) – período de tempo gasto pela organização para recuperar uma atividade ou processo crítico após sua interrupção;

III - O Objetivo de Ponto de Recuperação (OPR/RPO) – posição (no tempo) na qual deverão estar disponíveis os dados das aplicações recuperadas após a ocorrência de uma disrupção;

IV - O Período Máximo de Interrupção Tolerável (PMIT/MTO) – tempo necessário para que os impactos adversos tornem-se inaceitáveis, que pode surgir como resultado de não fornecer um produto/serviço ou realizar uma atividade;

V - Análise de Impacto no Negócio (AIN/BIA) – documento que registra a análise de uma disrupção na organização ao longo do tempo;

VI - Disrupção – incidente, seja previsto ou imprevisto, que causa um desvio não planejado e negativo da expectativa de entrega de produtos e serviços de acordo com os objetivos da organização.

 

CAPÍTULO III

DO ESTABELECIMENTO DO CONTEXTO

 

Art. 6º Para estabelecimento do contexto para criação do PCNSTI deverão ser analisados:

I - o documento de Análise de Impacto no Negócio (AIN/BIA), que será elaborado pelo Gestor de Continuidade de Negócios;

II - os sistemas e aplicativos descritos como essenciais ou críticos para o negócio, conforme definidos em portaria específica;

III - os macroprocessos de trabalho e sua importância para a organização;

IV - a infraestrutura tecnológica em uso ou em implantação.

Art. 7º O contexto estabelecido deve ser apresentado à Comissão de Segurança da Informação e à Comissão de Gestão de Riscos e da Continuidade de Negócios para validação.

 

CAPÍTULO IV

DO PLANEJAMENTO

 

Art. 8º A Análise de Impacto no Negócio (AIN/BIA) é documento oficial de avaliação e planejamento da continuidade de negócios, nela devendo constar, no mínimo:

I - os objetivos institucionais;

II - os macroprocessos de trabalho afetados;

III - as pessoas impactadas;

IV - os ativos de informação impactados;

V - a avaliação dos riscos;

VI - a definição dos tempos de possíveis perdas e interrupções.

CAPÍTULO V

DAS PERDAS E INTERRUPÇÕES

 

Art. 9º O Objetivo de Tempo de Recuperação (OTR/RTO) fica definido em:

I - sistemas críticos: 24h;

II - sistemas não-críticos: 72h;

III - infraestrutura de rede, incluindo equipamentos de comunicação, infraestrutura de virtualização, servidores de DNS e DHCP, serviços de autenticação (Active Directory e Single-Sign-On): 12h;

IV - sistemas de homologação e testes: Sem tempo definido.

Art. 10. O Objetivo de Ponto de Recuperação (OPR/RPO) fica definido em:

I - sistemas críticos: 12h;

II - sistemas não-críticos: 72h;

III - infraestrutura de rede, incluindo equipamentos de comunicação, infraestrutura de virtualização, servidores de DNS e DHCP, serviços de autenticação (Active Directory e Single-Sign-On): 6h.

Art. 11. O Período Máximo de Interrupção Tolerável (PMIT/MTO) fica definido em:

I - sistemas críticos: 72h;

II - sistemas não-críticos: 168h;

III - infraestrutura de rede, incluindo equipamentos de comunicação, infraestrutura de virtualização, servidores de DNS e DHCP, serviços de autenticação (Active Directory e Single-Sign-On): 48h;

IV - sistemas de homologação e testes: Sem tempo definido.

 

CAPÍTULO VI

DO PLANO DE CONTINUIDADE DE SERVIÇOS DE TIC

 

Art. 12. O Gestor de Continuidade de Negócios elaborará plano para continuidade dos serviços de TI, em conjunto com as áreas técnicas e em consonância com a Política de Gestão de Continuidade de Negócios, estabelecida pela Resolução 363 (0375304).

Art. 13. O plano de continuidade de serviços de TI será aprovado pela Comissão de Segurança da Informação e publicado somente na Intranet, com acesso restrito, evitando exposição desnecessária de informações relativas à segurança do ambiente computacional.

Art. 14. O Gestor de Continuidade de Negócios é o responsável por elaborar e manter a documentação sobre o plano de continuidade de serviços de TI.

Art. 15. O plano será testado semestralmente, na mesma data em ou em partes, de acordo com a maturidade e com a disponibilidade das equipes técnicas.

Art. 16. O resultado dos testes será documentado e posteriormente avaliado pela Comissão de Segurança da Informação, que poderá solicitar ajustes ou outras providências.

Art. 17. O plano de continuidade de serviços de TI deverá ter cópias físicas impressas em locais de fácil acesso aos gestores das equipes técnicas responsáveis pela sua execução.

Art. 18. A política de cópias de segurança (backup) deve suportar os níveis de serviço previstos no capítulo V.

 

CAPÍTULO VII

DISPOSIÇÕES FINAIS

 

Art. 19. Os casos omissos serão resolvidos pela Comissão de Segurança da Informação ou pela Comissão de Gestão de Riscos e da Continuidade de Negócios.

Art. 20. Qualquer descumprimento desta normativa deve ser imediatamente comunicado e registrado pelo Gestor de Segurança da Informação, com consequente adoção das providências cabíveis.

Art. 21. Esta norma complementar deve ser revisada a cada 12 meses pelo Gestor de Segurança da Informação e encaminhada para nova apreciação da Comissão de Segurança da Informação.

Art. 22. Esta Portaria entra em vigor na data de sua publicação e sua implementação inicia-se imediatamente.

 

Boa Vista, 24 de agosto de 2022.

 

Adriano Nogueira Batista

Diretor-Geral do TRE/RR

(documento assinado eletronicamente)