INSTRUÇÃO NORMATIVA DG TRE-RJ Nº 02, DE 25 DE FEVEREIRO DE 2024.

A DIRETORA-GERAL DO TRIBUNAL REGIONAL ELEITORAL DO RIO DE JANEIRO, no uso das atribuições que lhe são conferidas pelo art. 19, I, da Resolução TSE n.º 23.644, de 1º de julho de 2021 (Política de Segurança da Informação da Justiça Eleitoral),

CONSIDERANDO a Resolução CNJ n.º 396, de 7 de junho de 20212021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução TSE n.º 23.644/2021, que instituiu a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO as boas práticas de segurança da informação previstas nas normas ABNT ISO /IEC 27001 e ABNT ISO/IEC 27002;

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral do Rio de Janeiro; e

CONSIDERANDO, ainda, o teor do processo SEI n.º 2023.0.000044493-3,

CAPÍTULO I

DISPOSIÇÕES GERAIS

Art. 1º As atividades relativas à administração dos ativos de informação e processamento no âmbito do Tribunal Regional Eleitoral do Rio de Janeiro obedecerão ao disposto na presente Norma de Gestão de Ativos de Informação e de Processamento.

Parágrafo único. Esta norma integra a Política de Segurança da Informação da Justiça Eleitoral, estabelecida pela Resolução TSE n.º 23.644/2021.

CAPÍTULO II

CONCEITOS E DEFINIÇÕES

Art. 2º Para efeitos desta Instrução Normativa, consideram-se os termos e definições previstos na Portaria DG/TSE n.º 444/2021, aplicando-se, de forma subsidiária, aqueles estabelecidos no Glossário de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República (Portaria PR/GSI n.º 93, de 26 de setembro de 2019).

CAPÍTULO III

DO INVENTÁRIO DE ATIVOS DE INFORMAÇÃO E DE PROCESSAMENTO

Art. 3º Todos os ativos de informação e de processamento em uso para quaisquer atividades do Tribunal Regional Eleitoral do Rio de Janeiro devem ser claramente identificados e inventariados.

Art. 4º O inventário a que se refere o art. 3º deve incluir todos os ativos de informação e ativos de processamento em uso pelo Tribunal, conectados ou não à rede corporativa, e conter informações indispensáveis:

I - para a recuperação ou a substituição dos ativos, de forma eficiente e eficaz, em caso de desastre;

II - para o fornecimento de subsídios aos processos de gestão que tenham como insumos informações dos ativos.

Art. 5º O inventário deverá conter, no mínimo, o seguinte conjunto de informações sobre cada ativo: 

I - identificação única;

II - tipo;

III - descrição;

IV - localização ou referência para localização no inventário de origem;

V - unidade gestora;

VI - unidade custodiante, quando aplicável;

VII - informações complementares específicas sobre o ativo, em função de seu tipo:

a) do tipo software: versão, fornecedor, data de instalação, licenças de uso, disponibilidade de suporte, cópias de segurança (backup), sistema operacional;

b) do tipo hardware: números de séries complementares, endereço físico do equipamento (MAC Address), endereço de rede e nome da máquina, quando aplicável, bem como se a conexão do ativo à rede foi ou não aprovada;

c) outros tipos de ativo: demais informações relevantes para gestão e segurança, a critério de seu gestor;

VIII - classificação, de acordo com a classificação das informações associadas.

Art. 6º Os ativos de informação e de processamento essenciais às atividades críticas da Justiça Eleitoral, além do conjunto de informações citado no artigo 5°, devem conter em seu detalhamento, sempre que possível:

I - informações sobre as interfaces de comunicação e as interdependências internas e externas do ativo bem como dos impactos quando da sua indisponibilidade ou destruição, em caso de incidentes ou desastres;

II - os requisitos de segurança da informação categorizados, no mínimo, em 6 (seis) categorias de controle:

a) tratamento da informação;

b) controles de acesso físico e lógico;

c) gestão de risco de segurança da informação;

d) tratamento e respostas a incidentes em redes computacionais;

e) gestão de continuidade dos negócios nos aspectos relacionados à segurança da informação;

f) gerenciamento de vulnerabilidade.

Art. 7º O inventário de Ativos de Informação e de Processamento deve ser único e assegurar a exatidão de conteúdo com outros inventários em uso no Tribunal, a exemplo do controle patrimonial.

Parágrafo único. No caso de grandes conjuntos de ativos idênticos (urnas eletrônicas, microcomputadores pessoais etc.), quando estes já sejam registrados e controlados em outros inventários e quando tenham as mesmas características de classificação e os mesmos requisitos de segurança elencados nos arts. 4º e 5º, poderão ser cadastrados uma única vez no inventário de Ativos de Processamento, com referência a todo o conjunto existente no inventário apartado.

Art. 8º O sistema de inventário de software deve ser integrado ao inventário de hardware, de forma que todos dispositivos e softwares associados possam ser rastreados em um único local.

Art. 9º As informações registradas no inventário de ativos devem ser revisadas semestralmente e as anomalias encontradas devem ser tratadas pelo gestor do ativo.

CAPÍTULO III

DO GESTOR DO ATIVO DE INFORMAÇÃO E DE PROCESSAMENTO

Art. 10. Cada ativo de informação e de processamento em uso no Tribunal deve ter um gestor formalmente instituído, responsável primário pela viabilidade e sobrevivência do ativo.

I - o gestor será a unidade do TRE-RJ, representada por seu titular ou substituto;

II - a Secretaria de Tecnologia da Informação fará a indicação da unidade gestora para a DiretoriaGeral, que ratificará ou indicará outra unidade em substituição.

Art. 11. Cabe ao gestor do ativo, as seguintes responsabilidades:

I - descrever e registrar o ativo no Inventário de Ativos de Informação e de processamento;

II - definir os requisitos de segurança da informação do ativo, de acordo com as demais normas instituídas pelo Tribunal;

III - comunicar eventuais exigências de segurança da informação do ativo à Assessoria de Segurança da Informação;

IV - acompanhar o cumprimento dos requisitos de segurança da informação, por meio de monitoramento contínuo, quando aplicável;

V - indicar os riscos de segurança da informação que podem afetar os ativos;

VI - buscar a aplicação das correções de vulnerabilidades técnicas ou a aplicação de controles que minimizem a probabilidade de exploração;

VII - garantir a adequada classificação dos ativos sob sua responsabilidade, segundo o grau de segurança das informações nele contidas;

VIII - garantir o tratamento adequado das informações nele contidas, conforme a classificação de segurança e as orientações descritas na norma de classificação da informação;

IX - gerenciar a habilitação de credenciais ou contas de acesso no ativo, conforme as restrições de acesso definidas pelo grau de segurança das informações nele contidas, conforme orientações descritas na norma de classificação da informação;

X - manter o inventário, com informações precisas e atuais, dos ativos sob sua responsabilidade.

Art. 12. Os gestores dos ativos de processamento devem estabelecer regras para controle de acesso, cujos critérios e práticas assegurem os princípios da necessidade de saber e de uso, segregação por função e demais princípios estabelecidos pelas normas de controle de acesso estabelecidas pelo TRE-RJ.

Art. 13. O gestor do ativo de informação e de processamento poderá delegar as tarefas de rotina ou de natureza técnica para um custodiante, providência que não afastará, todavia, a responsabilidade do primeiro.

CAPÍTULO IV

DA GESTÃO DO INVENTÁRIO DOS ATIVOS DE PROCESSAMENTO

Seção I

Controle de Redes

Art. 14. Para assegurar a gestão adequada dos Ativos de Processamento inventariados, devem ser implementados na rede corporativa os seguintes controles mínimos:

I - utilização de ferramenta de descoberta ativa para identificar ativos conectados à rede que permita inventariar hardware e software a partir da descoberta de rede ou da instalação manual de agente no dispositivo inventariado;

II - utilização do log do Dynamic Host Protocol (DHCP) em todos os servidores DHCP ou ferramentas de gestão de endereço Internet Protocol (IP) para atualizar o inventário de ativos corporativos, com frequência mínima semanal;

III - utilização de ferramenta de descoberta passiva para identificação de ativos conectados;

IV - garantia de que apenas dispositivos inventariados ou autorizados possam ser conectados à rede corporativa.

Seção II

Controle de Ativos de Processamento

Art. 15. O processo de Gerenciamento da Configuração de Ativos de TIC deve assegurar que o inventário dos ativos seja adequadamente gerenciado, atualizado e monitorado em cada fase do ciclo de vida do ativo, quais sejam:

I - aquisição;

II - implementação;

III - manutenção;

IV - descarte.

CAPÍTULO V

DISPOSIÇÕES FINAIS

Art. 16. A Seção de Administração de Banco de Dados (SEABAD) fica designada como unidade gestora do processo de gestão de ativos de informação e de processamento.

Art. 17. O descumprimento desta norma poderá ser objeto de apuração disciplinar pela unidade competente do Tribunal, com a consequente aplicação das penalidades cabíveis a cada caso.

Art. 18. A revisão desta Instrução Normativa ocorrerá a cada 3 (três) anos, ou antes, se necessário, pela Assessoria de Segurança da Informação, juntamente com a Secretaria de Tecnologia da Informação, e encaminhada para nova apreciação da Comissão de Segurança da Informação.

Art. 19. Os casos omissos serão resolvidos pela Diretoria-Geral, ouvida, se necessário, a Comissão de Segurança da Informação (COMSI).

Art. 20. Fica revogada a Instrução Normativa DG nº 07/2018 e a Portaria STI nº 01/2019.

Art. 21. Esta Instrução Normativa entra em vigor na data da publicação e sua implementação se fará no prazo de 12 (doze) meses a contar dessa data.

Rio de Janeiro, 27 de fevereiro de 2024.

ELINE IRIS RABELLO GARCIA DA SILVA
Diretora-Geral