Tribunal Regional Eleitoral - SP
Secretaria de Gestão da Informação e Documental
Coordenadoria De Gestão Da Informação
Seção de Legislação
RESOLUÇÃO Nº 580, DE 23 DE MAIO DE 2022.
Dispõe sobre a Política de Segurança da Informação (PSI) no âmbito do Tribunal Regional Eleitoral do Estado de São Paulo.
O TRIBUNAL REGIONAL ELEITORAL DO ESTADO DE SÃO PAULO, no uso de suas atribuições e
CONSIDERANDO que os processos de trabalho das unidades da Justiça Eleitoral do Estado de São Paulo devem ser respaldados por uma política corporativa de Segurança da Informação alinhada à Política de Segurança da Informação da Justiça Eleitoral, estabelecida pela Resolução TSE nº 23.644/2021;
CONSIDERANDO que a Justiça Eleitoral do Estado de São Paulo produz, recebe e custodia informações no exercício de suas competências constitucionais, legais e regulamentares e que essas informações devem permanecer íntegras, disponíveis e, quando for o caso, com sigilo resguardado;
CONSIDERANDO que o volume de informações mencionado, ressalvados os direitos autorais, integra o patrimônio da Justiça Eleitoral do Estado de São Paulo;
CONSIDERANDO que as informações e os documentos na Justiça Eleitoral do Estado de São Paulo são armazenados e disponibilizados em diferentes suportes, físicos e eletrônicos, portanto, vulneráveis a incidentes, como desastres naturais, acessos não autorizados, mau uso, falhas de equipamentos, extravio e furto;
CONSIDERANDO a importância da adoção de boas práticas relacionadas à proteção da informação preconizadas pelas normas NBR ISO/IEC 27001:2013, NBR ISO/IEC 27002:2013, NBR ISO/IEC 27005:2019 e pelas Diretrizes para a Gestão de Segurança da Informação no âmbito do Poder Judiciário de 2012, às quais a Política de Segurança da Informação (PSI) da Justiça Eleitoral do Estado de São Paulo deverá estar alinhada;
CONSIDERANDO a edição do Acórdão - TCU nº 1.233/2012 - Plenário, que recomenda a promoção de ações para a melhoria da governança de tecnologia da informação em virtude do resultado de diagnóstico de maturidade e aderência de processos de Segurança da Informação;
CONSIDERANDO a Norma Complementar nº 03/IN0l/DSIC/GSIPR, de 30 de junho de 2009, que estabelece diretrizes para a elaboração de Política de Segurança da Informação nos órgãos e nas entidades da Administração Pública Federal;
CONSIDERANDO a Resolução nº 370/2021 do Conselho Nacional de Justiça, que estabelece a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTICJUD);
CONSIDERANDO a Resolução nº 325/2020 do Conselho Nacional de Justiça, que institui a Estratégia Nacional do Poder Judiciário para o sexênio 2021-2026;
CONSIDERANDO a Resolução nº 396/2021 do Conselho Nacional de Justiça, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);
CONSIDERANDO a Resolução TSE nº 23.379/2012, que dispõe sobre o Programa de Gestão Documental no âmbito da Justiça Eleitoral;
CONSIDERANDO a Portaria TSE nº 1.013/2018, que institui a Política de Preservação Digital da Justiça Eleitoral;
CONSIDERANDO a Lei nº 12.527/2011, que versa sobre o acesso à informação, especialmente quanto às normas de classificação, restrição e Segurança da Informação;
CONSIDERANDO a necessidade de implementar ações para garantir a adequada execução da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados), no que tange à Segurança da Informação;
CONSIDERANDO o Decreto nº 9.637/2018, que institui a Política Nacional de Segurança da Informação no âmbito da Administração Pública Federal;
CONSIDERANDO a necessidade de orientar a condução de ações voltadas à promoção da Segurança da Informação no âmbito da Justiça Eleitoral do Estado de São Paulo;
RESOLVE:
Art. 1º Instituir a Política de Segurança da Informação (PSI) do Tribunal Regional Eleitoral do Estado de São Paulo.
CAPÍTULO I
DOS CONCEITOS E DAS DEFINIÇÕES
Art. 2º Para os efeitos desta Resolução e de suas regulamentações, aplicar-se-á o glossário de termos de Segurança da Informação definido em Portaria a ser expedida pelo Tribunal Regional Eleitoral do Estado de São Paulo.
CAPÍTULO II
DOS PRINCÍPIOS
Art. 3º Esta Política de Segurança da Informação se alinha às estratégias da Justiça Eleitoral e possui como princípio norteador a garantia da disponibilidade, integridade, confidencialidade, autenticidade, irretratabilidade e auditabilidade das informações produzidas, recebidas, armazenadas, tratadas ou transmitidas pelo Tribunal Regional Eleitoral do Estado de São Paulo, no exercício de suas atividades e funções.
Art. 4º O uso adequado dos recursos de tecnologia da informação e comunicação visa garantir a continuidade da prestação jurisdicional e de serviços da Justiça Eleitoral do Estado de São Paulo.
§ 1º Os recursos de tecnologia da informação e comunicação, pertencentes ao Tribunal Regional Eleitoral do Estado de São Paulo e que estão disponíveis para as usuárias e os usuários, devem ser utilizados em atividades estritamente relacionadas às funções institucionais.
§ 2º A utilização dos recursos de tecnologia da informação e comunicação é passível de monitoramento e controle pelo Tribunal Regional Eleitoral do Estado de São Paulo.
Art. 5º As informações produzidas por usuárias e usuários, no exercício de suas atividades e funções, são patrimônio intelectual da Justiça Eleitoral do Estado de São Paulo, não cabendo a suas criadoras e seus criadores qualquer forma de direito autoral.
CAPÍTULO III
DO ESCOPO
Art. 6º São objetivos da Política de Segurança da Informação da Justiça Eleitoral de São Paulo:
I - instituir diretrizes estratégicas, responsabilidades e competências, visando à estruturação da Segurança da Informação;
II - direcionar as ações necessárias à implementação e à manutenção da Segurança da Informação;
III - definir as ações necessárias para evitar ou mitigar os efeitos de atos acidentais ou intencionais, internos ou externos, de destruição, modificação, apropriação ou divulgação indevida de informações, de modo a preservar os ativos de informação e a imagem da instituição;
IV - nortear os trabalhos de conscientização e de capacitação de pessoal em Segurança da Informação e em proteção de dados pessoais.
Art. 7º Esta Política de Segurança da Informação se aplica a todas as magistradas e magistrados, membras e membros do Ministério Público, servidoras e servidores efetivos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo, estagiárias e estagiários, prestadoras e prestadores de serviço, colaboradoras e colaboradores e usuárias e usuários externos, que fazem uso ou tenham acesso aos ativos de informação e de processamento no âmbito da Justiça Eleitoral do Estado de São Paulo.
Art. 8º As destinatárias e destinatários desta Política de Segurança da Informação, relacionados no caput do artigo 7º, são corresponsáveis pela Segurança da Informação, de acordo com os preceitos estabelecidos nesta Resolução, e têm como deveres:
I - ter pleno conhecimento desta Política de Segurança da Informação e zelar por seu cumprimento;
II - proteger as informações sigilosas e pessoais obtidas em decorrência do exercício de suas atividades;
III - preservar o sigilo da identificação de usuária e usuário e de senhas de acessos individuais a sistemas de informação, ou outros tipos de credenciais de acesso que lhes forem atribuídos;
IV - participar das campanhas de conscientização e dos treinamentos pertinentes aos temas de Segurança da Informação e proteção de dados pessoais, conforme planejamento do tribunal;
V - reportar qualquer falha ou incidente de Segurança da Informação de que tiver conhecimento, utilizando mecanismos próprios disponibilizados pelo tribunal;
VI - utilizar os ativos sob sua responsabilidade de forma segura, em observância ao disposto nesta Política de Segurança da Informação e em eventuais normativos a ela subordinados.
CAPÍTULO IV
DAS DIRETRIZES GERAIS
Art. 9º A estrutura normativa referente à Segurança da Informação será estabelecida e organizada conforme definido a seguir:
I - Nível Estratégico: Política de Segurança da Informação da Justiça Eleitoral do Estado de São Paulo, constituída por esta Resolução, a qual define as diretrizes fundamentais e os princípios basilares incorporados pela instituição à sua gestão, de acordo com a visão definida pelo Planejamento Estratégico do Tribunal Regional Eleitoral do Estado de São Paulo;
II - Nível Tático: Normas Complementares sobre Segurança da Informação, que contemplam obrigações a serem seguidas de acordo com as diretrizes estabelecidas nesta Política de Segurança da Informação, a serem editadas pelo Tribunal Regional Eleitoral do Estado de São Paulo, e devem abarcar, no mínimo, os seguintes temas:
a) Gestão de Ativos;
b) Controle de Acesso Físico e Lógico;
c) Gestão de Riscos de Segurança da Informação;
d) Uso Aceitável de Recursos de TIC;
e) Geração e Restauração de Cópias de Segurança (backup);
f) Plano de Continuidade de Serviços Essenciais e Sistemas Estratégicos de TIC;
g) Gestão de Incidentes de Segurança da Informação;
h) Gestão de Vulnerabilidades e Padrões de Configuração Segura;
i) Gestão e Monitoramento de Registros de Atividade (logs);
j) Desenvolvimento Seguro de Sistemas;
k) Uso de Recursos Criptográficos.
III - Nível Operacional: Procedimentos de Segurança da Informação que contemplam regras operacionais, roteiros técnicos, fluxos de processos, manuais com informações técnicas que instrumentalizam o disposto nas normas referenciadas no plano tático, de acordo com o disposto nas diretrizes e normas de segurança estabelecidas, permitindo sua utilização nas atividades do órgão.
§ 1º Conforme necessidade e conveniência do Tribunal Regional Eleitoral do Estado de São Paulo, poderão ser criados normativos sobre outros temas.
§ 2º Os normativos deverão considerar as disposições contidas na família de normas ISO 27000 e na Instrução Normativa nº 01 GSI/PR/2020 - Segurança da Informação, e Comunicações e suas Normas Complementares.
CAPÍTULO V
DA ESTRUTURA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Art. 10. Deverá ser constituída, no âmbito do Tribunal Regional Eleitoral do Estado de São Paulo, Comissão de Segurança da Informação, subordinada à Presidência do Tribunal, composta, no mínimo, por representantes da Presidência, da Corregedoria, da Diretoria-Geral, de cada Secretaria, de cada Assessoria, da Coordenadoria de Comunicação Social, da Unidade de Segurança e Inteligência e dos Cartórios Eleitorais.
§ 1º as representantes e os representantes indicados pelas unidades citadas no caput devem ser preferencialmente servidoras ou servidores da Justiça Eleitoral de São Paulo ou servidores públicos cedidos à Justiça Eleitoral.
§ 2º As integrantes e os integrantes da Comissão de Segurança da Informação deverão assinar Termo de Sigilo em que se comprometam a não divulgar as informações de que venham a ter ciência em razão de sua participação na citada comissão, para terceiros estranhos aos processos e procedimentos relativos à Segurança da Informação.
Art. 11. Compete à Comissão de Segurança da Informação:
I - propor melhorias a esta Política de Segurança da Informação;
II - propor normas, procedimentos, planos ou processos, nos termos do art. 9°, visando à operacionalização desta Política de Segurança da Informação;
III - promover a divulgação desta Política de Segurança da Informação, de outros normativos e de ações para disseminar a cultura em Segurança da Informação, no âmbito do Tribunal Regional Eleitoral do Estado de São Paulo;
IV - propor estratégias para a implantação desta Política de Segurança da Informação;
V - propor ações visando à fiscalização da aplicação das normas e da Política de Segurança da Informação;
VI - propor recursos necessários à implementação das ações de Segurança da Informação;
VII - propor a realização de análise de riscos e o mapeamento de vulnerabilidades nos ativos;
VIII - propor à autoridade competente a abertura de sindicância para investigar e avaliar os danos decorrentes de quebra de Segurança da Informação;
IX - propor o modelo de implementação da Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética (ETIR), de acordo com a norma vigente;
X - propor a constituição de grupos de trabalho para tratar de temas sobre Segurança da Informação;
XI - representar o Tribunal Regional Eleitoral do Estado de São Paulo nos contatos com entidades externas necessárias ao tratamento de incidentes de Segurança da Informação, à exceção dos casos atribuídos à Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética;
XII - responder pela Segurança da Informação.
Art. 12. Deverá ser nomeado uma Gestora ou um Gestor de Segurança da Informação, no âmbito do Tribunal Regional Eleitoral do Estado de São Paulo, com as seguintes responsabilidades:
I - propor normas relativas à Segurança da Informação à Comissão de Segurança da Informação;
II - propor iniciativas para aumentar o nível da Segurança da Informação à Comissão de Segurança da Informação, com base, inclusive, nos registros armazenados pela Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética;
III - propor o uso de novas tecnologias na área de Segurança da Informação;
IV - implantar, em conjunto com as demais áreas, normas, procedimentos, planos ou processos elaborados pela Comissão de Segurança da Informação;
V - acompanhar os processos de Gestão de Riscos em Segurança da Informação e de Gestão de Vulnerabilidades;
VI - definir e acompanhar indicadores de aderência à Política de Segurança da Informação;
VII - analisar criticamente o andamento dos processos de Segurança da Informação e apresentar suas considerações à Comissão de Segurança da Informação.
Parágrafo único. A Gestora ou o Gestor de Segurança da Informação deverá ser servidora ou servidor que detenha amplo conhecimento dos processos de negócio do Tribunal e do tema objeto desta Resolução.
Art. 13. Deverá ser instituída Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética - ETIR, conforme modelo proposto pela Comissão de Segurança da Informação e aprovado pela Diretoria Geral da Secretaria do Tribunal Regional Eleitoral do Estado de São Paulo, com a responsabilidade de receber, analisar, classificar, tratar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores, além de armazenar registros para formação de séries históricas, como subsídio estatístico, e para fins de auditoria.
§ 1º Caberá à Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética elaborar o Processo de Tratamento e Resposta a Incidentes em Redes Computacionais no âmbito do Tribunal Regional Eleitoral do Estado de São Paulo.
§ 2º Poderá a Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética comunicar a ocorrência de incidentes em redes de computadores aos Centros de Tratamento de Incidentes ligados a entidades de governo, ao Centro de Tratamento de Incidentes em Redes Computacionais do Poder Judiciário, tão logo esteja implantado, e ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil - CERT.br, sempre que a cooperação seja necessária para prover uma melhor resposta ao incidente.
§ 3º Caberá à Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética a comunicação com as equipes congêneres de outros Tribunais Eleitorais para o tratamento de incidentes de segurança comuns aos tribunais envolvidos.
§ 4º Caso a Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética não esteja constituída ou não esteja em operação, as atribuições definidas neste artigo caberão à Secretaria de Tecnologia da Informação.
CAPÍTULO VI
DO PROCESSO DE TRATAMENTO DA INFORMAÇÃO
Art. 14. O tratamento da informação deve abranger as políticas, os processos, as práticas e os instrumentos utilizados pela Justiça Eleitoral para lidar com a informação ao longo de cada fase do seu ciclo de vida, contemplando o conjunto de ações referentes às fases de produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação.
Art. 15. As informações produzidas ou custodiadas pela Justiça Eleitoral devem ser tratadas em função do seu grau de confidencialidade, criticidade e temporalidade, garantindo-se a sua integridade, autenticidade, disponibilidade e a cadeia de custódia dos documentos.
§ 1º Serão protegidas quanto à confidencialidade as informações classificadas e as que possuem sigilo em decorrência de previsão legal, nos termos da Lei de Acesso à Informação e de sua regulamentação pelo Tribunal Regional Eleitoral do Estado de São Paulo.
§ 2º Serão protegidas quanto à integridade, autenticidade e disponibilidade todas as informações, adotando-se medidas de proteção de acordo com a criticidade atribuída a cada informação.
§ 3º Os direitos de acesso aos sistemas de informação e às bases de dados da Justiça Eleitoral deverão ser concedidos às usuárias e aos usuários em estrita observância à efetiva necessidade de tal acesso para a execução de suas atividades e funções Tribunal Regional Eleitoral do Estado de São Paulo, observadas, no que couber, as disposições da Lei de Acesso à Informação.
§ 4º A regulamentação das informações classificadas deverá ser proposta pela Comissão de Segurança da Informação ou unidade a quem tal responsabilidade tenha sido atribuída, em conjunto com a unidade ou comissão responsável pela gestão da informação no Tribunal.
§ 5º As informações ostensivas de interesse público deverão ser disponibilizadas independentemente de solicitações, observadas a Política e Planos de Dados Abertos ou determinações semelhantes.
Art. 16. Toda informação classificada, em qualquer grau de sigilo, produzida, armazenada ou transmitida pelo Tribunal Regional Eleitoral do Estado de São Paulo, em parte ou totalmente, por qualquer meio eletrônico, deverá ser protegida com recurso criptográfico.
Parágrafo único. A falta de proteção criptográfica poderá ocorrer quando justificada e aprovada pela unidade gestora de riscos, ou pela Comissão de Segurança da Informação, ou quando prevista em normativo específico.
CAPÍTULO VII
DAS COMPETÊNCIAS DAS UNIDADES
Art. 17. Compete à Presidência:
I - apoiar a aplicação das ações estabelecidas nesta Política de Segurança da Informação;
II - nomear ou delegar à Diretoria Geral da Secretaria a nomeação:
a) da Gestora ou Gestor da Comissão de Segurança da Informação, nos termos do artigo 10;
b) da Gestora ou Gestor de Segurança da Informação e sua ou seu substituto, nos termos do art. 12, parágrafo único;
c) de integrantes da Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética, nos termos do artigo 13.
Art. 18. Compete à Diretoria-Geral da Secretaria:
I - aprovar normas, procedimentos, planos ou processos que lhe forem submetidos pela Comissão de Segurança da Informação;
II - submeter à Presidência as propostas que extrapolem sua alçada decisória;
III - apoiar a aplicação das ações estabelecidas nesta Política de Segurança da Informação;
IV - viabilizar financeiramente as ações de implantação desta Política de Segurança da Informação, inclusive a exequibilidade do Plano de Continuidade de Serviços Essenciais de TIC, abrangendo manutenção, treinamento e testes periódicos.
Art. 19. Compete à Secretaria de Tecnologia da Informação:
I - apoiar a implementação desta Política de Segurança da Informação;
II - prover os ativos de processamento necessários ao cumprimento desta Política de Segurança da Informação;
III - garantir que os níveis de acesso lógico concedidos aos usuários, de acordo com os direitos de acesso definidos pelos gestores dos sistemas de informação, estejam adequados aos propósitos do negócio e condizentes com as normas vigentes de Segurança da Informação;
IV - disponibilizar e gerenciar a infraestrutura necessária aos processos de trabalho da Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética;
V - executar as orientações e os procedimentos estabelecidos pela Comissão de Segurança da Informação.
Art. 20. As demais unidades organizacionais do Tribunal Regional Eleitoral do Estado de São Paulo deverão apoiar, observadas suas atribuições regimentais, as estruturas organizacionais responsáveis pela Gestão da Segurança da Informação, conforme definições constantes no Capítulo V.
CAPÍTULO VIII
DAS DISPOSIÇÕES TRANSITÓRIAS E FINAIS
Art. 21. A próxima revisão desta Política de Segurança da Informação deverá considerar, entre outros, os seguintes temas:
I - utilização de computação em nuvem;
II - aspectos de Segurança da Informação sobre o teletrabalho e o trabalho remoto;
III - adoção de novos sistemas ou soluções de TIC, considerando os aspectos relativos à Segurança da Informação.
Art. 22. Os casos omissos desta Política de Segurança da Informação serão resolvidos pela Comissão de Segurança da Informação do Tribunal Regional Eleitoral do Estado de São Paulo.
Art. 23. Esta Política de Segurança da Informação é obrigatória a todas as pessoas que tenham acesso aos recursos de TIC no âmbito do Tribunal Regional Eleitoral do Estado de São Paulo, independente do seu vínculo e duração deste.
Art. 24. Esta Política de Segurança da Informação e demais normas, procedimentos, planos ou processos deverão ser publicados na intranet do Tribunal Regional Eleitoral do Estado de São Paulo, caso não afetem a segurança das operações do Tribunal.
Parágrafo único. As diretrizes normativas de que trata o caput deste artigo também devem ser divulgadas a todos os citados no artigo 7º no momento da sua posse/admissão, além de a outras pessoas que se encontrem a serviço ou em visita às unidades do Tribunal Regional Eleitoral do Estado de São Paulo, autorizadas a utilizar temporariamente os recursos de tecnologia da informação e comunicação da instituição.
Art. 25. O descumprimento desta Política de Segurança da Informação será objeto de apuração pela unidade competente do Tribunal Regional Eleitoral do Estado de São Paulo, mediante sindicância ou processo administrativo disciplinar, e pode acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados às envolvidas e aos envolvidos o contraditório e a ampla defesa.
Art. 26. Os contratos, convênios, acordos de cooperação e outros instrumentos congêneres celebrados pelo Tribunal Regional Eleitoral do Estado de São Paulo deverão observar, no que couber, o constante desta Política de Segurança da Informação.
Art. 27. Deverá ser incluída no escopo do Plano Anual de Auditoria e Conformidade a análise do correto cumprimento desta Política de Segurança da Informação, de seus regulamentos e demais normativos de segurança vigentes, conforme planejamento estabelecido pela Unidade de Auditoria Interna, abrangendo uma ou mais normas, procedimentos, planos ou processos estabelecidos.
Art. 28. A Política de Segurança da Informação e a Política Geral de Privacidade e Proteção de Dados Pessoais da Justiça Eleitoral de São Paulo são complementares, devendo ser interpretadas em conjunto.
Art. 29. Esta Resolução entra em vigor na data de sua publicação, revogada a Resolução TRE-SP nº 422/2018, de 29 de janeiro de 2018.
São Paulo, aos 23 dias do mês de maio de 2022.
DESEMBARGADOR PAULO SÉRGIO BRANT DE CARVALHO GALIZIA
PRESIDENTE
DESEMBARGADOR SILMAR FERNANDES
VICE-PRESIDENTE E CORREGEDOR REGIONAL ELEITORAL
DESEMBARGADOR FEDERAL LUÍS PAULO COTRIM GUIMARÃES
JUIZ MAURICIO FIORITO
JUIZ AFONSO CELSO DA SILVA
JUIZ MARCELO VIEIRA DE CAMPOS
JUIZ MARCIO KAYATT
Este texto não substitui o publicado no DJE-TRE-SP nº 95, de 25.5.2022, p. 14-21.