Portaria Presidência nº 57, de 24 de março de 2025

O Presidente do TRIBUNAL REGIONAL ELEITORAL DO AMAPÁ, no uso de suas atribuições legais e regimentais,

CONSIDERANDO a Resolução nº 396/2021 do Conselho Nacional de Justiça (CNJ), que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução nº 23.644/2021 do Tribunal Superior Eleitoral (TSE), que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO as boas práticas de segurança da informação previstas nas normas da Associação Brasileira de Normas Técnicas (ABNT), da International Organization for Standardization (ISO) e da International Electrotechnical Commission (IEC), especialmente a ABNT NBR ISO/IEC 27001 e a ABNT NBR ISO/IEC 27002;

CONSIDERANDO a necessidade de implementar controles para o tratamento de dados pessoais, nos termos da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD);

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos no âmbito do Tribunal Regional Eleitoral do Amapá;

CONSIDERANDO o disposto na Resolução nº 23.387/2012 do Tribunal Superior Eleitoral (TSE), que dispõe sobre o uso da rede corporativa de comunicação de dados na Justiça Eleitoral;

CONSIDERANDO o disposto na Portaria nº 456/2021 do Tribunal Superior Eleitoral (TSE), que trata do uso aceitável de ativos de Tecnologia da Informação; e

CONSIDERANDO a Portaria Presidência nº 25/2023 do TRE-AP, que trata dos termos e definições relativos à Política de Segurança da Informação; 

 

RESOLVE:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º Ficam estabelecidas, por meio desta Portaria, as regras e os procedimentos para a gestão e o monitoramento dos registros de atividades (logs) no âmbito do Tribunal Regional Eleitoral do Amapá.

Art. 2º Esta Portaria integra a Política de Segurança da Informação da Justiça Eleitoral, instituída pela Resolução TSE nº 23.644/2021.

CAPÍTULO II

DO REGISTRO DE EVENTOS (LOGS)

Art. 3º Devem ser monitorados, com registro centralizado de logs em servidores específicos, no mínimo, os seguintes tipos de ativos em ambiente de produção:

I – servidores web;

II – servidores de arquivos;

III – servidores de bancos de dados;

IV – servidores de e-mails;

V – servidores de aplicação;

VI – firewalls de rede;

VII – firewalls de aplicação;

VIII – roteadores de acesso à internet e às redes da Justiça Eleitoral;

IX – switches e roteadores de núcleo de rede (core);

X – servidores controladores de domínio e demais serviços de autenticação;

XI – serviços de gerenciamento de backups (cópias de segurança);

XII – serviços de gerenciamento de infraestrutura de virtualização e conteinerização, incluindo os baseados em nuvem pública;

XIII – soluções de proteção contra softwares maliciosos;

XIV – soluções de controle de acesso físico e lógico;

XV – soluções gerais de cibersegurança;

XVI – serviços de DHCP;

XVII – serviços de DNS.

Art. 4º Os registros de eventos devem conter informações mínimas e relevantes, especialmente:

I – identificação da usuária ou usuário que acessou o recurso;

II – natureza do evento, como sucesso ou falha de autenticação, tentativa de troca de senha, entre outros;

III – carimbo de tempo (timestamp), composto por data, hora e fuso horário;

IV – endereço IP, identificador do ativo de processamento, coordenadas geográficas (quando disponíveis) e outras informações que permitam identificar a possível origem e destino do evento;

V – recursos acessados e respectivos tipos de acesso;

VI – alarmes gerados pelos sistemas de controle de acesso;

VII – informações sobre falhas nas aplicações ou nos recursos acessados.

Art. 5º Os ativos de processamento que não permitam os registros de eventos conforme indicado, ou que estejam em ambiente seguro de nuvem administrado por terceiros, devem ser mapeados e documentados quanto ao tipo e formato de registro de eventos que o sistema permite armazenar, a temporalidade do armazenamento, assim como o nível de segurança obtido.

Art. 6º Os registros de eventos devem ser armazenados na rede corporativa pelo período de 180 (cento e oitenta) dias e em cópias de segurança por um período de 12 (doze) meses, sem prejuízo de outros prazos previstos em referências legais e normativos específicos.

Art. 7º Os ativos de processamento em produção devem ser configurados de forma a gerar registros de eventos relevantes que afetem a segurança da informação, armazenando-os para utilização posterior, incluindo:

I – acesso remoto à rede corporativa;

II – autenticação, tanto as bem-sucedidas quanto as malsucedidas;

III – criação, alteração e remoção de usuárias e usuários, perfis e grupos com privilégios;

IV – uso de privilégios;

V – troca de senhas;

VI – modificações na política de senhas, como tamanho, tempo de expiração, bloqueio automático após número excedido de tentativas de autenticação, histórico, entre outros;

VII – acesso ou modificação de arquivos, serviços e sistemas de informação considerados críticos;

VIII – alterações na configuração de sistemas operacionais de servidores, serviços e sistemas de informação;

IX – inicialização, suspensão e reinicialização de serviços;

X – uso de aplicativos e utilitários do sistema operacional de servidores;

XI – ativação e desativação de sistemas de proteção, como antivírus e sistemas de detecção e prevenção de intrusões;

XII – acesso físico por senha, cartão inteligente ou biometria a áreas de segurança com ativos de processamento críticos, como data center e salas de telecomunicações;

XIII – acoplamento e desacoplamento de dispositivos de hardware, com especial atenção para mídias removíveis conectadas a servidores.

Art. 8º O monitoramento deve ser realizado, preferencialmente, com a utilização de ferramentas automatizadas que gerem alarmes imediatos de eventos críticos e permitam a correlação e análise dos registros de eventos gravados (SIEM/SOAR).

§ 1º O monitoramento deve ser realizado de forma a não alterar a rotina de trabalho do ambiente de produção.

§ 2º O nível de monitoramento poderá ser reduzido em razão da implementação de controles de acesso que minimizem os riscos aos ativos de processamento e reduzam a exposição das informações a acessos indevidos.

§ 3º As ferramentas automatizadas de monitoramento devem ser analisadas criticamente, em intervalos regulares, para ajustes de configuração que aprimorem a identificação de registros de eventos relevantes, bem como a redução de falsos negativos e falsos positivos.

§ 4º Os processos de monitoramento deverão ser revisados sempre que houver implantação ou manutenção de ativos de processamento, a fim de assegurar sua adequação às mudanças ocorridas.

§ 5º Os administradores devem monitorar os registros de forma a impedir o armazenamento indevido de dados pessoais.

Art. 9º As usuárias e usuários devem estar cientes de que os ativos de processamento estão suscetíveis a monitoramento e auditoria a qualquer momento, bem como, quando houver suspeita ou constatação de uma falha de segurança.

Art. 10. Todos os eventos contrários ao ordenamento jurídico em vigor e às normas constantes da Política de Segurança da Informação, inclusive os discriminados nos incisos deste artigo, devem ser registrados formalmente e analisados, adotando-se as ações apropriadas para sua correção:

I – divulgação não autorizada de dado ou informação sigilosa contida em sistema, arquivo ou base de dados da Administração Pública, nos termos do artigo 153, § 1º-A do Código Penal;

II – invasão de dispositivo informático, nos termos do artigo 154-A do Código Penal;

III – interrupção de serviço telemático ou de informação de utilidade pública, conforme previsto no § 1º, do artigo 266 do Código Penal;

IV – inserção ou facilitação de inserção de dados falsos, bem como alteração ou exclusão de dados corretos em sistemas informatizados ou bancos de dados da Administração Pública, nos termos do art. 313-A do Código Penal;

V – modificação ou alteração, por agente público, de sistema de informação ou programa de informática sem autorização, nos termos do artigo 313-B do Código Penal;

VI – distribuição, armazenamento ou qualquer conduta vinculada à pornografia infantil, conforme disposto na Lei nº 8.069/1990 (Estatuto da Criança e do Adolescente);

VII – interceptação telemática clandestina, nos termos da Lei nº 9.296/1996.

CAPÍTULO III

DA PROTEÇÃO DAS INFORMAÇÕES DOS REGISTROS DE EVENTOS

Art. 11. Os arquivos de registros de eventos devem ser protegidos para que não estejam sujeitos a falsificação ou ao acesso não autorizado às informações registradas.

Parágrafo único. A fim de assegurar a proteção de que trata a cabeçadeste artigo, os seguintes controles mínimos devem ser implementados:

I – guarda da cópia centralizada em segmento isolado da rede corporativa, com proteção por dispositivos de segurança suficientes à preservação de sua integridade;

II – espaço de armazenamento adequado, com mecanismos de alerta preventivo para esgotamento da capacidade;

III – localização física em área sujeita a controles de segurança;

IV – uso de protocolos seguros para acesso remoto;

V – capacidade de assinatura digital ou uso de resumo criptográfico (hash) para verificação da integridade;

VI – possibilidade de execução de auditorias legais e forenses;

VII – fornecimento de cópias das informações relevantes para fins de investigação, exceto nas hipóteses legais que exijam a apresentação da mídia original;

VIII – geração de logs de auditoria para todas as operações realizadas sobre os arquivos armazenados;

IX – manutenção de documentação atualizada relativa aos procedimentos de:

a) configuração, instalação e manutenção;

b) administração e operação;

c) cópia de segurança e restauração.

CAPÍTULO IV

DOS REGISTROS DE EVENTOS DE ADMINISTRADOR E OPERADOR

Art. 12. Os registros de eventos de administradores e operadores com privilégios para ações e comandos especiais na rede corporativa, como super usuários, administradores de rede, entre outros, devem ter mecanismos adicionais de gerenciamento e monitoramento, considerando, no mínimo, os seguintes aspectos:

I - os registros de eventos dos administradores e operadores da rede corporativa devem ser protegidos e analisados criticamente, em intervalos regulares;

II - os administradores e operadores da rede corporativa não devem fazer parte da equipe de monitoramento e análise crítica de suas próprias atividades, respeitando o princípio da segregação de funções;

III - os administradores e operadores da rede corporativa não devem ter permissão para apagar, alterar ou desativar os registros de eventos de suas próprias atividades.

Art. 13. Um sistema de detecção e prevenção de intrusões gerenciado fora do controle dos administradores e operadores da rede corporativa pode ser utilizado para monitorar as atividades nos registros de eventos.

CAPÍTULO V

DA SINCRONIZAÇÃO DOS RELÓGIOS

Art. 14. O horário dos ativos de processamento deve ser ajustado por meio de mecanismos de sincronização de tempo (servidores Network Time Protocol – NTP), de modo que as configurações de data, hora e fuso horário dos respectivos relógios internos estejam sincronizadas com a Hora Legal Brasileira (HLB), conforme o serviço oferecido e assegurado pelo Observatório Nacional – ON.

Art. 15. O ajuste correto dos relógios dos ativos de processamento da rede corporativa deve assegurar a exatidão dos registros de eventos, os quais podem ser requeridos para fins de investigação ou como evidência em processos legais ou disciplinares, devendo observar, no mínimo, a necessidade de utilizar fontes de tempo sincronizadas para todos os ativos monitorados, a partir das quais os ativos de processamento recuperem regularmente as informações de data, hora e fuso horário, garantindo a consistência cronológica dos registros de eventos (logs).

CAPÍTULO VI

DISPOSIÇÕES FINAIS

Art. 16. Os casos omissos serão resolvidos pelo Comitê de Governança de Segurança da Informação.

Art. 17. A STI elaborará, em até 24 (vinte e quatro) meses, os procedimentos operacionais para aplicação desta Portaria.

Art. 18. Qualquer descumprimento desta Portaria deve ser imediatamente comunicado e registrado como incidente de segurança da informação, para apuração pelo Comitê de Governança de Segurança da Informação, com consequente adoção das providências cabíveis.

Art. 19. Esta Portaria será revisada a cada 24 meses pelo(a) Gestor(a) de Segurança da Informação e encaminhada para nova apreciação do Comitê de Governança de Segurança da Informação.

Art. 20. Esta Portaria entra em vigor na data de sua publicação.

Desembargador CARMO ANTÔNIO DE SOUZA

PRESIDENTE