Portaria Presidência nº 281, de 30 de dezembro de 2021

O PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DO AMAPÁ, no uso de suas atribuições legais e regimentais,

CONSIDERANDO a necessidade de se garantir procedimentos adequados para a gestão da segurança cibernética no âmbito do Tribunal Regional do Amapá;

CONSIDERANDO os termos da Resolução do Conselho Nacional de Justiça (CNJ) n° 396/2021, que "Institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ)", e que apresenta diversos controles mínimos e medidas a serem adotadas pelos órgãos do Judiciário;

CONSIDERANDO os termos do Protocolo de Gerenciamento de Crises Cibernéticas do Poder Judiciário - Anexo II da Portaria CNJ n.º 162 de 10/6/2021 -, que aprovou os Protocolos e Manuais criados pela Resolução CNJ nº 396/2021;

 

RESOLVE:

 

Artigo 1º Instituir o Protocolo de Gerenciamento de Crises Cibernéticas no Tribunal Regional Eleitoral do Amapá (TRE-AP).

Parágrafo único. O Protocolo previsto no caput possui caráter subsidiário, orientador, suplementar e deve ser interpretado em conjunto com a Política de Segurança da Informação do TRE-AP, prevista em Resolução, e com o Processo de Gestão de Incidentes de Segurança da Informação do Tribunal Regional Eleitoral do Amapá, previsto na Portaria TRE-AP 226/2021.

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 2º Para os efeitos deste normativo, são estabelecidos os conceitos e definições:

I - ativo: qualquer coisa que represente valor para uma instituição, tal como a informação;

II - ativos de informação: meios de armazenamento, transmissão e processamento de informação, sistemas de informação e locais onde se encontram esses meios e as pessoas que a eles têm acesso;

III - atividades críticas: atividades que devem ser executadas para garantir a consecução dos produtos e serviços fundamentais do órgão, de maneira que permitam atingir os seus objetivos mais importantes e sensíveis ao tempo;

IV - crise: um evento ou uma série de eventos danosos que apresentam propriedades emergentes capazes de exceder as habilidades de uma organização em lidar com as demandas de tarefas que eles geram, e que apresentam implicações que afetam uma proporção considerável da organização, bem como de seus constituintes;

V - crise cibernética: decorre de incidentes em dispositivos, serviços e redes de computadores, que causam dano material ou de imagem, atraem a atenção do público e da mídia e fogem ao controle direto da organização;

VI - evento: qualquer ocorrência observável em um sistema ou em uma rede de uma organização;

VII - gerenciamento de crise: decisões e atividades coordenadas que ocorrem em uma organização durante uma crise corporativa, incluindo crises cibernéticas;

VIII - informação: dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;

IX - incidente grave: evento que tenha causado dano, colocado em risco ativo de informação crítico ou interrompido a execução de atividade crítica por um período inferior ao tempo objetivo de recuperação; e

X - incidente de segurança da informação: evento que viola ou representa ameaça iminente de violação de política de segurança, de política de uso aceitável ou de prática de segurança padrão.

CAPÍTULO II
DO COMITÊ DE CRISES CIBERNÉTICAS

Art. 3º O Comitê de Crises Cibernéticas (CCC/TRE-AP) deverá ser acionado pela Secretaria de Tecnologia da Informação ou diretamente pela Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais do Tribunal Regional Eleitoral do Amapá (ETIR/TRE-AP).

§ 1º A instituição, atuação e atribuições do CCC/TRE-AP serão previstas em Portaria própria.

§ 2º As ações previstas neste protocolo atribuídas ao CCC/TRE-AP também farão parte do rol de responsabilidades daquele comitê.

CAPÍTULO III
DA IDENTIFICAÇÃO DE CRISE CIBERNÉTICA

Art. 4º O gerenciamento de incidentes se refere às atividades que devem ser executadas na ocorrência de evento adverso de segurança da informação, para avaliar o problema e determinar a resposta inicial.

Parágrafo único. O gerenciamento referido no caput será realizado conforme Processo de Gestão de Incidentes de Segurança da Informação do Tribunal Regional Eleitoral do Amapá, previsto na Portaria TRE-AP nº 226/2021.

Art. 5º O gerenciamento de crise se inicia quando:

I - o incidente for caracterizado como grave causando dano material ou de imagem;

II - for evidente que um incidente cibernético não poderá ser mitigado rapidamente e que as ações de resposta poderão durar dias, semanas ou meses;

III - o incidente impactar a atividade finalística ou serviço crítico mantido pela organização, provocando a disrupção ou degradação de serviços essenciais; ou

IV - o incidente atrair grande atenção da mídia e da população em geral.

Parágrafo único. A Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais do Tribunal Regional Eleitoral do Amapá (ETIR/TRE-AP) deve ser acionada em casos de suspeita de ataque cibernético, por meio do email etir@tre-ap.jus.br, via sistema SEI ou via Central de Serviços da STI.

Art. 6º São considerados Incidentes Cibernéticos considerados de severidade alta e crítica, dentre outros:

I - degradação ou interrupção de serviços ou sistemas por ataque de negação de serviço (Denial-of-Service - DoS) (severidade alta);

II - comprometimento de credenciais com acesso a informações sensíveis (severidade alta);

III - importantes informações organizacionais tornam-se inacessíveis devido a processo de encriptação ou ataque por ransomware (severidade crítica);

IV - vazamento de informação e dados pessoais sensíveis (severidade crítica).

CAPÍTULO IV
da FASE DE PLANEJAMENTO (PRÉ-CRISE)

Art. 7º Ao lidar com uma crise cibernética, o TRE-AP deverá realizar prévia e adequada preparação, mediante instituição do Plano de Continuidade de Serviços Essenciais de TIC, que contemple, no mínimo, as seguintes atividades:

I - observar o Protocolo de Prevenção a Incidentes Cibernéticos do Poder Judiciário, conforme disciplinado pelo Anexo I da Portaria CNJ Nº 162 de 10/06/2021, que aprovou os Protocolos e Manuais criados pela Resolução CNJ nº 396/2021;

II - definir, ou reconhecer, quais são os serviços e sistemas/infraestrutura de apoio considerados essenciais ou que são fundamentais para a atividade finalística do órgão;

III - identificar os ativos de informação críticos, ou seja, aqueles que suportam as atividades primordiais, incluindo as pessoas, os processos, a infraestrutura e os recursos de tecnologia da informação;

IV - avaliar continuamente os riscos a que as atividades críticas estão expostas e que possam impactar diretamente na continuidade do negócio;

V - realizar, continuamente, a análise de vulnerabilidades dos ativos de TI essenciais ao negócio;

VI - categorizar os incidentes e estabelecer procedimentos de resposta específicos (playbooks) para cada tipo de incidente, de forma a apoiar equipes técnicas e de liderança em casos de incidentes cibernéticos graves;

VII - priorizar o monitoramento, acompanhamento e tratamento dos riscos de maior criticidade; e

VIII - realizar simulações e testes para validação dos planos e procedimentos.

§ 1º A Secretaria de Tecnologia da Informação e a Comitê de Gestão de Tecnologia da Informação e Comunicação proporão atualizações do ato que contempla a concretização do programa de gestão da continuidade de Serviços Essenciais de TIC.

§ 2º As atividades insertas no inciso VIII deste artigo deverão ser detalhadas e consolidadas em um plano de contingência que contemple diversos setores em razão de possíveis cenários de crise, a fim de se contrapor à escalada de uma eventual crise e com o objetivo de manutenção dos serviços prestados pela organização.

CAPÍTULO V
da fase de EXECUÇÃO (DURANTE A CRISE CIBERNÉTICA)

Art. 8. O Comitê de Crises Cibernéticas deve coordenar ações para garantir que a comunicação entre as áreas envolvidas em crise seja tratada como fator crítico para que a organização possa responder à crise cibernética de longa duração ou de grande impacto.

Art. 9. A Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais do TRE-AP assim que identificar um incidente considerado como crise cibernética, deverá comunicar imediatamente a Secretaria de Tecnologia da Informação e o Comitê de Crises Cibernéticas.

§ 1° O Comitê de Crises Cibernéticas deve reunir-se presencialmente ou virtualmente, através de tecnologia oficial de videoconferência adotada no Tribunal, para deliberar se o incidente reportado pelo ETIR/TRE-AP constitui crise cibernética.

§ 2° O Comitê de Crises Cibernéticas entrará em estado de convocação permanente, podendo reunir-se a qualquer horário para discutir, deliberar e agir no tratamento caso seja confirmada a crise cibernética,.

§ 3° O acesso às reuniões do Comitê de Crises Cibernéticas deve ser restrito aos membros deste Comitê e a atores eventualmente convidados a participar das reuniões.

§ 4° A Assessoria de Comunicação deve auxiliar o representante do Comitê de Crises Cibernéticas no acesso ágil a meios que permitam fazer declarações públicas à imprensa.

§ 5° O Comitê de Crises Cibernéticas deve contar com equipe dedicada à execução de atividades administrativas necessárias durante o período de crise.

Art. 10. Os planos de contingência existentes, caso aplicáveis, devem ser efetivados imediatamente, visando à continuidade dos serviços prestados pelo Tribunal.

Art. 11. Para eficácia do trabalho, deverá o Comitê de Crise:

I - entender claramente o incidente que gerou a crise, sua gravidade e os impactos negativos;

II - levantar todas as informações relevantes, verificando fatos e descartando boatos;

III - levantar soluções alternativas para a crise, avaliando sua viabilidade e consequências;

IV - avaliar a necessidade de suspender serviços e/ou sistemas informatizados;

V - centralizar a comunicação na figura de um porta-voz para evitar informações equivocadas ou imprecisas;

VI - realizar comunicação tempestiva e eficiente, de forma a evidenciar o trabalho diligente das equipes e a enfraquecer boatos ou investigações paralelas que alimentem notícias falsas;

VII - definir estratégias de comunicação com a imprensa e/ou redes sociais e estabelecer qual a mídia mais adequada para se utilizar em cada caso;

VIII - aplicar o Protocolo de Investigação para Ilícitos Cibernéticos do Poder Judiciário;

IX - solicitar a colaboração de especialistas ou de centros de resposta a incidentes de segurança;

X - apoiar equipes de resposta e de recuperação com gerentes de crise experientes;

XI - avaliar a necessidade de recursos adicionais extraordinários a fim de apoiar as equipes de resposta;

XII - orientar sobre as prioridades e estratégias da organização para recuperação rápida e eficaz;

XIII - definir os procedimentos de compartilhamento de informações relevantes para a proteção de outras organizações com base nas informações colhidas sobre o incidente; e

XIV - elaborar plano de retorno à normalidade.

Art. 12. As etapas e procedimentos de resposta são diferentes de acordo com o tipo de crise, sendo necessárias reuniões regulares para avaliar o progresso até que seja possível retornar à condição de normalidade.

CAPÍTULO VI
da FASE DE MELHORIA CONTÍNUA (PÓS-CRISE)

Art. 13. O Comitê de Crises Cibernéticas, apoiado pela ETIR/TRE-AP após o retorno das operações à normalidade, deverá emitir relatório contendo a análise criteriosa das ações tomadas, observando as que foram bem-sucedidas e as que ocorreram de forma inadequada.

Parágrafo único. O Relatório de Comunicação de Incidente de Segurança Cibernética deve conter a descrição e o detalhamento da crise, bem como o plano de ação tomado para evitar que incidentes similares ocorram novamente ou para que, em caso de ocorrência, se reduzam os danos causados.

Art. 14. Para a identificação do conhecimento adquirido e a elaboração de relatório final, deve ser objeto de avaliação:

I - a identificação e análise da causa-raiz do incidente;

II - a linha do tempo das ações realizadas;

III - a escala do impacto nos dados, sistemas e operações de negócios importantes durante a crise;

IV - os mecanismos e processos de detecção e proteção existentes e as necessidades de melhoria identificadas;

V - o escalonamento da crise;

VI - a investigação e preservação de evidências;

VII - a efetividade das ações de contenção;

VIII - a coordenação da crise, liderança das equipes e gerenciamento de informações; e

IX - a tomada de decisão e as estratégias de recuperação.

Art. 15. O conhecimento adquirido no enfrentamento das crises deve ser utilizado para a elaboração ou revisão dos procedimentos específicos de resposta (playbooks) e para a melhoria do processo de preparação para crises cibernéticas.

CAPÍTULO VII
DA COMUNICAÇÃO DO INCIDENTE DE SEGURANÇA

Art. 16. O Comitê de Crises Cibernéticas deverá comunicá-lo de imediato ao Tribunal Superior Eleitoral (TSE), ao Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Poder Judiciário (CPTRIC-PJ), órgão superior vinculado ao Conselho Nacional de Justiça (CNJ), ao Ministério Público e ao órgão de polícia judiciária com atribuição para o início da persecução penal quando tomar conhecimento de Incidente de Segurança em Redes Computacionais, penalmente relevante, que possa causar a deflagração de uma crise cibernética.

Art. 17. Esta Portaria entra em vigor na data da sua publicação.

Desembargador GILBERTO DE PAULA PINHEIRO

PRESIDENTE