PORTARIA Nº 454/2022
Dispõe sobre as regras e os procedimentos para gestão de incidentes de segurança da informação do Tribunal Regional Eleitoral de Roraima.
O Diretor-Geral do Tribunal Regional Eleitoral de Roraima, no uso de suas atribuições legais e regimentais,
CONSIDERANDO a necessidade de apoiar a gestão de incidentes de segurança da informação do TRERR;
CONSIDERANDO a Res. CNJ 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);
CONSIDERANDO a Res. TSE 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;
CONSIDERANDO a Portaria DG/TSE 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;
CONSIDERANDO as boas práticas em segurança da informação previstas nas normas ABNT ISO/IEC 27001 e ABNT NBR ISO/IEC 27002;
CONSIDERANDO as boas práticas em gestão de incidentes de segurança da informação previstas nas normas ABNT ISO/IEC 27035(1,2 e 3);
CONSIDERANDO as boas práticas de resposta à incidentes previstas no guia NIST SP-800-61 rev.2;
CONSIDERANDO a necessidade de gerenciar os incidentes de segurança da informação que envolvam dados pessoais, de acordo com a Lei nº 13.709, de 14 de agosto de 2018 (LGPD);
CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral de Roraima;
RESOLVE:
DISPOSIÇÕES PRELIMINARES
Art. 1º Esta Portaria disciplina a Gestão de Incidentes de Segurança da Informação.
Art. 2º Esta norma integra a Política de Segurança de Informação da Justiça Eleitoral, estabelecida pela Res. TSE 23.644/2021.
DAS DEFINIÇÕES
Art. 3º Para efeitos desta norma consideram-se os termos e definições previstos na Portaria DG/TSE 444/2021, além dos seguintes:
I - ANPD – Agência Nacional de Proteção de Dados Pessoais;
II - CTIR GOV – Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo;
III - ETIR (Equipe Técnica de Respostas a Incidentes de Redes Computacionais) – Equipe de tecnologia da informação, de constituição multidisciplinar, coordenada por um Agente Responsável;
IV - evento de segurança da informação: Alguma mudança de estado em algum ativo ou serviço de TI, como troca de uma senha, log de acesso a um serviço web, bloqueio da execução de um aplicativo pelo antivírus etc.
V - incidente de segurança da informação: Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de informação ou das redes de computadores.
VI - incidente de segurança da informação com dados pessoais: Qualquer incidente de segurança à proteção de dados pessoais, sendo acesso não autorizado, acidental ou ilícito que resulte em destruição, perda, alteração, vazamento ou qualquer forma de tratamento de dados ilícita ou inadequada, que tem a capacidade de pôr em risco os direitos e as liberdades dos titulares dos dados pessoais.
VII - incidente grave – Incidente de segurança da informação de maior impacto para a organização, que prejudica de forma intensa a utilização dos serviços de TI ou expõe dados de forma indevida, devendo ser priorizado em relação aos demais incidentes.
VIII - Objetivo de Tempo de Recuperação (OTR/RTO) – Período de tempo gasto pela organização para recuperar uma atividade ou processo crítico após sua interrupção, que será definido em portaria específica.
IX - resposta a incidentes: Ação tomada para proteger e restaurar as condições operacionais dos sistemas de informação e as informações neles armazenadas, quando ocorre um ataque ou intrusão.
Art. 4º Esta norma visa descrever as principais estratégias no tratamento de incidentes computacionais, que envolvam ou não dados pessoais, permitindo a adequada preparação, detecção, contenção, erradicação, recuperação, avaliação e comunicação destes incidentes.
DAS RESPONSABILIDADES
Art. 5º A atuação operacional na resposta a incidentes é de responsabilidade da ETIR (Equipe Técnica de Respostas a Incidentes de Redes Computacionais), nomeada pela Portaria 298 (0696763).
Art. 6º A comunicação externa com a ANDP e com os titulares de dados, em caso de incidentes graves envolvendo dados pessoais é de responsabilidade do Encarregado de Dados pessoais.
Art. 7º A comunicação externa com a sociedade, em caso de incidentes graves, que inviabilizem as atividades precípuas do TRERR por prazo maior que o Objetivo de Tempo de Recuperação (OTR/RTO), é do Gestor de Crises, nomeado em portaria específica, ou por outra autoridade determinada pela presidência do TRERR.
Art. 8º Cabe a todos os usuários internos a comunicação imediata caso tenham a informação da ocorrência de quaisquer incidentes de segurança da informação, utilizando os canais próprios fornecidos pela STI.
Art. 9º Cabe à Comissão de Segurança da Informação (CSI) o monitoramento das atividades da ETIR e o estabelecimento de métricas de desempenho.
DA PREPARAÇÃO
Art. 10. A ETIR elaborará o seu processo de trabalho e planos de resposta à incidentes, contendo os passos do processo de resposta, de acordo com os principais tipos de incidentes e ameaças, os quais ficarão disponíveis para consulta dos seus componentes.
Art. 11. A STI manterá registro de logs de eventos, de acordo com norma específica, com intuito de subsidiar a detecção manual ou automatizada de incidentes.
Art. 12. A ETIR determinará os meios de comunicação oficiais e adicionais a serem acionados durante o processo de resposta à incidentes.
Art. 13. A ETIR fará o monitoramento de ameaças cibernéticas, incluindo o acompanhamento de boletins encaminhados pelo CTIR GOV.
DA DETECÇÃO E ANÁLISE
Art. 14. A detecção dos incidentes poderá ocorrer por meio de ferramentas automatizadas de monitoramento de eventos, pela análise manual de registros de eventos, por comunicação de usuários ou por monitoramento dos operadores técnicos.
Art. 15. Detectado o incidente ou a suspeita dele, a área técnica responsável pelo ativo de informação atingido ou a ETIR, farão o registro do incidente para análise.
Art. 16. Confirmada a ocorrência do incidente, a ETIR acionará o plano de respostas adequado.
Art. 17. As áreas técnicas envolvidas na resposta ao incidente devem, na medida do possível, atuar para preservar as evidências forenses para eventual análise posterior, como:
I - efetuar cópia completa do sistema comprometido;
II - efetuar cópias dos logs de acesso;
III - efetuar cópias de mensagens ou arquivos;
IV - outras ações previstas no plano de resposta a incidentes respectivo.
DA CONTENÇÃO, ERRADICAÇÃO E RECUPERAÇÃO
Art. 18. Após a fase de detecção e análise, A ETIR atuará para conter os danos causados pelo incidente, localizar a causa raiz e erradicar a ameaça.
Art. 19. A recuperação do ambiente deve ocorrer somente após a certeza de que a ameaça e vulnerabilidade que deram causa ao incidente (causa raiz) foram adequadamente tratados.
Art. 20. Em caso de incidente grave, a recuperação do ambiente deve ocorrer somente com aval do Gestor de Crises, ou por outra autoridade determinada pela presidência do TRERR.
DA AVALIAÇÃO PÓS-INCIDENTE
Art. 21. Concluídas as etapas de tratamento do incidente, a ETIR deverá documentar os procedimentos realizados e as lições aprendidas, por meio de relatório de incidente.
Art. 22. O armazenamento dos relatórios de incidentes deverá ocorrer em sistema de informação específico, tendo seu acesso restrito.
Art. 23. Caso a causa raiz não possa ser adequadamente determinada, a ETIR deverá registrar como problema para análise posterior.
DA COMUNICAÇÃO
Art. 24. O Agente Responsável pela ETIR encaminhará à CSI e ao Encarregado de Dados Pessoais relatório resumido de todos os incidentes categorizados como graves que envolvam dados pessoais, tão logo a gravidade do incidente seja definida.
Art. 25. A CSI apresentará à ETIR do TSE as informações relevantes acerca dos incidentes graves ocorridos.
Art. 26. Em caso de incidentes graves envolvendo dados pessoais, o Encarregado de Dados Pessoais informará à ANPD e aos titulares dos dados, de acordo com o plano de comunicação.
DAS DISPOSIÇÕES FINAIS
Art. 27. Os casos omissos serão resolvidos pela CSI ou pelo Comitê Gestor de Proteção de Dados Pessoais, de acordo com o tipo do incidente.
Art. 28. O descumprimento não fundamentado desta norma deve ser comunicado e registrado pelo Gestor de Segurança da Informação, com consequente adoção das providências cabíveis.
Art. 29. Esta norma complementar deve ser revisada a cada 12 meses pelo Gestor de Segurança da Informação e encaminhada para nova apreciação da CSI.
Art. 30. Esta Portaria entra em vigor na data de sua publicação e sua implementação inicia-se imediatamente.
Boa Vista, 24 de agosto de 2022.
Adriano Nogueira Batista
Diretor-Geral do TRE/RR
(documento assinado eletronicamente)