Portaria Presidência nº 121, de 05 de junho de 2023

O PRESIDENTE do Tribunal Regional Eleitoral Amapá, no uso de suas atribuições legais e regimentais,

 

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos;

CONSIDERANDO, ainda, que o acesso à informação, assim como aos recursos de processamento das informações e aos processos de negócios, deve ser controlado com base nos requisitos de negócio e da segurança da informação;

CONSIDERANDO a do Resolução Conselho Nacional de Justiça, CNJ, n.º 396/2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução do Tribunal Superior Eleitoral, TSE, n.º 23.644/2021, que instituiu a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO as boas práticas de segurança da informação e privacidade previstas nas normas da Associação Brasileira de Normas Técnicas (ABNT), ABNT ISO/IEC 27001 e ABNT ISO/IEC 27002, complementadas pela norma ABNT NBR ISO/IEC 27701; e

CONSIDERANDO, ainda, a Portaria nº 25/2023 do Tribunal Regional Eleitoral do Amapá, TRE-AP, de Termos e Definições relativa à Política de Segurança da Informação,

 

 

RESOLVE:

 

Capítulo I

DISPOSIÇÕES PRELIMINARES

 

Artigo 1º Instituir a portaria de configuração segura de ambientes, em consonância com a Política de Segurança da Informação do Tribunal Regional Eleitoral Amapá (TRE-AP), estabelecida pela Resolução TRE-AP nº 570/2022.

Art. 2º Para os efeitos desta portaria deverá ser realizada a classificação de risco dos dados manipulados/armazenados no ativo corporativo contemplando pelo menos três níveis:

I - Risco alto;

II - Risco moderado;

III - Risco baixo.

 

Capítulo II

DA CLASSIFICAÇÃO DOS TIPOS DE ATIVOS CORPORATIVOS

 

Art. 3º Os controles mínimos estabelecidos nos incisos deste artigo visam estabelecer e manter a configuração segura de ativos de hardware (dispositivos de usuário final, incluindo portáteis e móveis; dispositivos de rede; dispositivos não computacionais/IoT; e servidores) e ativos de software (sistemas operacionais e aplicações) no ambiente da rede corporativa do TRE-AP de acordo com a seguinte classificação:

I - Ativos de infraestrutura rede, quais sejam os dispositivos de rede;

II - Ativos de software, quais sejam os sistemas operacionais e aplicações;

III - Ativos de usuários, quais sejam os usuários finais; e

IV - Ativos de dispositivos, quais sejam os dispositivos de usuário final, incluindo portáteis, dispositivos não computacionais/IoT e móveis e servidores.

 

Capítulo III

DA CONFIGURAÇÃO SEGURA PARA OS ATIVOS DE INFRAESTRUTURA DE REDE

 

Art. 4º Deverá ser estabelecido e mantido processo de configuração segura para os ativos de rede contemplando no mínimo:

I - Revisão e atualização anual da documentação ou quando ocorrerem mudanças significativas no ambiente que possam impactar esta medida de segurança;

II - Gerenciamento dos ativos e software corporativos com implementações de gestão de configuração que no mínimo seja contemplado:

a) Uso de infraestrutura como código (Infrastructure as code - IaC) qual seja o gerenciamento e provisionamento da infraestrutura por meio de códigos, em vez de processos manuais;

b) Acesso a interfaces administrativas por meio de protocolos de rede seguros, como Secure Shell (SSH) e Hypertext Transfer Protocol Secure (HTTPS);

c) Não utilização de protocolos de gestão inseguros, como Telnet (Teletype Network) e HTTP (Hypertext Transfer Protocol), a menos que seja operacionalmente essencial; e

d) Aplicação de procedimentos de hardening nos ativos de rede e servidores contemplando no mínimo a limitação do acesso à interface de gerência por endereços IP controlados.

 

Capítulo IV

DA CONFIGURAÇÃO SEGURA PARA OS ATIVOS DE APLICAÇÕES

 

Art. 5º Deverá ser estabelecido e mantido processo de configuração segura para os softwares de sistemas operacionais e aplicações utilizados nos ativos corporativos que contemple:

I - Revisão e atualização anual da documentação ou quando ocorrerem mudanças significativas no ambiente que possam impactar esta medida de segurança.

II - Criação de processos automatizados de configuração de segurança que definam as configurações dos sistemas para atender aos requisitos mínimos de proteger os dados usados nos ativos corporativos.

III - Utilização de configurações de baseline de segurança com base nos requisitos de segurança ou classificação dos dados no ativo corporativo contemplando:

a) Instalação do software básico do sistema operacional e posterior aplicação dos patches de segurança apropriados;

b) Instalação apenas dos pacotes, ferramentas e utilitários de software de aplicação apropriados e posterior atualizações apropriadas ao software instalado;

c) Execução de processos automatizados de configuração de segurança;

d) Execução de testes que possam aferir a qualidade das implementações de segurança.

 

Capítulo V

DA CONFIGURAÇÃO SEGURA PARA OS ATIVOS DE USUÁRIOS E DISPOSITIVOS

 

Art. 6º Deverá ser estabelecido e mantido processo de configuração segura para os ativos de usuários da rede corporativa do TRE-AP que contemple

I - Configuração de bloqueio automático de sessão nos ativos corporativos após um período definido de inatividade:

a) Para sistemas operacionais de uso geral, o período não deve exceder 10 minutos; e

b) Para dispositivos móveis de usuário final, o período não deve exceder 2 minutos.

II - Desativação ou inutilização das contas padrão nos ativos e softwares corporativos quando possível.

Art. 7º Deverá ser estabelecido e mantido um processo de configuração segura para os ativos de dispositivos da rede corporativa do Tribunal Regional Eleitoral do Amapá que contemple:

I - A implementação e gerenciamento de firewall nos servidores, onde houver suporte. Essas implementações podem incluir firewall virtual, firewall do sistema operacional ou um agente de firewall de terceiros.

II - A implementação e gerenciamento de firewall baseado em host ou uma ferramenta de filtragem de porta nos dispositivos de usuário final, com uma regra de negação padrão de bloqueio de todo o tráfego, exceto os serviços e portas que são explicitamente permitidos.

III - A desinstalação ou desativação de todos os serviços desnecessários nos ativos e software corporativos.

IV - Configuração de servidores Domain Name System (DNS) confiáveis nos ativos corporativos, preferencialmente servidores DNS controlados pelo Tribunal Regional Eleitoral do Amapá e/ou servidores DNS confiáveis acessíveis externamente caso seja imprescindível para a operação;

V - A imposição de bloqueio automático do dispositivo seguindo um limite de tentativas de autenticação local com falha nos dispositivos portáteis de usuário final, quando compatível.

a) Para laptops, não deve ser permita mais de 10 tentativas de autenticação com falha;

b) Para tablets e smartphones, não mais do que 7 tentativas de autenticação com falha.

VI - A limpeza remota dos dados corporativos de dispositivos portáteis de usuário final de propriedade do TRE-AP para dispositivos perdidos ou roubados, ou quando do desligamento do usuário das atividades exercidas na Tribunal Regional Eleitoral do Amapá.

VII - A implementação da segmentação dos espaços de trabalho corporativos que sejam utilizados nos dispositivos móveis de usuário final, onde houver suporte, para garantir a separação das aplicações e dados corporativos das aplicações e dados pessoais.

 

Capítulo VII

DISPOSIÇÕES FINAIS

 

Art. 8º Os casos omissos serão resolvidos pelo Comitê de Governança de Segurança da Informação (CGSI).

Art. 9º A revisão desta portaria ocorrerá anualmente ou sempre que se fizer necessário ou conveniente para o TRE-AP.

Art. 10. O descumprimento desta portaria deve ser imediatamente registrado como incidente de segurança e comunicado ao CGSI para apuração e consequente adoção das providências cabíveis.

Art. 11. Esta portaria entra em vigor na data de sua publicação e sua implementação se fará em até um ano a contar da publicação desta portaria.

Desembargador JOÃO GUILHERME LAGES MENDES.

PRESIDENTE.