PORTARIA Nº 915, DE 27 DE JUNHO DE 2023.

O DIRETOR-GERAL DA SECRETARIA DO TRIBUNAL REGIONAL ELEITORAL DO MARANHÃO, no uso das atribuições que lhe são conferidas pelo art. 49 do Regulamento Interno da Secretaria do Tribunal Regional Eleitoral do Maranhão,

 

CONSIDERANDO a Res. CNJ 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Res. TSE 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a portaria DG/TSE 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO as boas práticas em segurança da informação previstas nas normas ABNT ISO/IEC 27001 e ABNT NBR ISO/IEC 27002.

CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls V.8.

CONSIDERANDO a necessidade de implementar controles para o tratamento de dados pessoais, de acordo com a lei 13.709/2018 (LGPD);

CONSIDERANDO as boas práticas na gestão da continuidade de negócios previstas nas normas ABNT ISO/IEC 22303 e 22313;

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral do Maranhão;

CONSIDERANDO a Resolução 10.065/2023 que adota, no âmbito do TRE-MA as diretrizes da Política de Privacidade e Proteção de Dados Pessoais da Justiça Eleitoral estabelecidas na Resolução - TSE nº 23.650/2021;

 

RESOLVE:

 

Art. 1°. Implantar Política de segurança no Desenvolvimento e Aquisição de Sistemas e banco de dados, no âmbito do Tribunal Regional Eleitoral do Maranhão.

 

Art 2º. Esta política tem por objetivo manter de forma contínua a segurança das aplicações desenvolvidas e do banco de dados,  protegendo os ativos de informação do Tribunal Regional Eleitoral do Maranhão.

 

Art. 3º.  Para garantir segurança no processo de desenvolvimento deve-se, dentro das possibilidades, seguir as seguintes diretrizes:

I – Manter treinamento contínuo dos desenvolvedores;

II – Usar bibliotecas seguras;

III – Utilizar ferramentas automatizadas de análise de código para  identificar padrões seguros de configuração e boas práticas;

IV – Utilizar ferramentas de análise de vulnerabilidades para descobrir possíveis fragilidades.

 

Do Acesso aos sistemas

 

Art 4º. O acesso aos sistemas do Tribunal será concedido mediante solicitação do chefe do usuário, ou do gestor do sistema, através da abertura de chamado na Central de TI.

 

§ 1º  No chamado deverá constar o perfil de acesso pretendido.

§ 2º  Alguns perfis de acesso, definidos durante a fase de desenvolvimento, podem ser de autorização exclusiva do gestor do sistema.

§ 3º O processo de registro e cancelamento de usuário segue o processo definido pela Norma de Controle de Acesso vigente. 

§ 4º A autorização de acesso concedida , alterada ou excluída deve possuir histórico de registros de eventos (logs) que permitam a identificação de quem fez a operação, quando foi feita, a localização do computador, perfil de acesso e a ação realizada como inclusão, alteração ou exclusão. 

 

Da Classificação dos Sistemas quanto ao risco

 

Art 5º. Antes de iniciar o desenvolvimento ou a implantação de um novo sistema, este deve ser classificado quanto ao risco, de acordo com os parágrafos seguintes. 

 

§1º São consideradas aplicações de alto risco todas as aplicações expostas na internet.

§2º São consideradas aplicações de médio risco, todas as aplicações internas que lidam com dados sensíveis. 

§ 3º São consideradas aplicações de baixo risco as aplicações internas que lidam com dados não sensíveis.

 

Do Desenvolvimento de Sistemas

 

Art 6º. Os sistemas devem obedecer desde a sua concepção os requisitos de segurança elencados no Anexo I. 

 

Art 7º. Todo sistema deve utilizar criptografia para o tráfego de dados a fim de proteger dados pessoais em trânsito e armazenados. 

 

Art 8º. Todos os novos sistemas e os sistemas legados que acessem dados pessoais devem possuir registros de eventos (logs) que permitam a identificação de quem fez a operação, quando foi feita, a localização do computador e a ação realizada como inclusão, alteração, consulta e exclusão. 

 

Art 9º. O código de todo sistema classificado como alto e médio risco ficará à disposição das unidades responsáveis para quaisquer auditorias necessárias. 

 

Da Atualização do Ambiente de Produção

 

Art 10º . O processo de atualização do ambiente de produção deve seguir o processo de gerenciamento de mudanças.   

 

Do Tratamento de Dados Pessoais 

 

Art 11 . Os dados pessoais sob a guarda da STIC deverão ser protegidos contra acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento ilícito utilizando-se de uma ou mais das seguintes técnicas: 

I- Criptografia de dados sensíveis no banco de dados;

II - Múltiplas cópias de segurança;

III - Testes periódicos das cópias de segurança;

IV - Registro de eventos envolvendo dados pessoais;

V - Outros que a seção de desenvolvimento e inovação, a seção de segurança cibernética ou a seção de redes entenderem adequados.

 

Art 12. Os sistemas deverão seguir os padrões Privacy by-design, onde a segurança dos dados pessoais é observada desde a concepção do projeto e Privacy by-default que estabelece que a privacidade será a mais restritiva possível e que serão tratados apenas os dados pessoais mínimos para a funcionalidade desejada.

 

Art 13. Os sistemas serão dotados de mecanismos de anonimização de dados pessoais em visualizações de telas e relatórios para garantir a segurança e privacidade dos titulares de dados.

 

Disposições Finais 

 

Art. 14 O Anexo I desta norma será aprovado pelo Comissão de Segurança da Informação e publicado somente na Intranet, com acesso restrito aos membros da COSIN, evitando exposição desnecessária de informações relativas à segurança do ambiente computacional.

Parágrafo Único. O anexo I poderá ser atualizado pela Coordenação de Sistemas e Inovação sempre que for necessário.    

 

Art 15.  Todos os servidores, estagiários, requisitados, terceirizados ou com qualquer vínculo com o Tribunal Regional Eleitoral do Maranhão devem respeitar esta política.

Parágrafo Único. Em caso de utilização indevida de sistema, qualquer servidor, estagiário, requisitado, terceirizado ou com qualquer vínculo poderá ser responsabilizado por eventual vazamento de dados ou problema de segurança.    

 

Art 16. Esta norma é obrigatória para todos os sistemas desenvolvidos por este Tribunal. 

§ 1º A Coordenação de Sistemas e Inovação e a ETIR avaliarão a conformidade dos requisitos de segurança em aplicações.  

§ 2º Caso os requisitos não sejam atendidos, A COSIN comunicará o CSI para deliberação quanto ao uso ou não da aplicação. 

 

Art 17. Esta política entra em vigor na data de sua assinatura.

 

Art 18. Os sistemas legados próprios e de terceiros serão analisados no prazo de um ano da data de assinatura da portaria.  

 

 

MÁRIO LOBÃO CARVALHO

DIRETOR-GERAL