Portaria nº 196 de 2024
(Texto compilado com as alterações promovidas pela Portaria nº 388 de 2024)*
Institui regras para a Gestão de Identidade e o Controle de Acesso Físico e Lógico ao ambiente cibernético do Tribunal Regional Eleitoral de Mato Grosso.
A PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DE MATO GROSSO, no uso das atribuições que lhe confere art. 19, XI, do Regimento Interno deste Tribunal,
CONSIDERANDO a necessidade de definir processos de gestão de identidade e controle de acesso físico e lógico aos ativos de informação;
CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos;
CONSIDERANDO que o acesso à informação, assim como aos recursos de processamento das informações e aos processos de negócios, deve ser controlado com base nos requisitos de negócio e da segurança da informação;
CONSIDERANDO a necessidade de adequação à Lei nº 13.709/2018 - Lei Geral de Proteção de Dados;
CONSIDERANDO a Resolução CNJ n º 396/2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);
CONSIDERANDO a Resolução TSE nº 23.644/2021, que instituiu a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;
CONSIDERANDO a Resolução TRE/MT nº 2748/2022, que institui a Política de Segurança da Informação (PSI) no âmbito do Tribunal Regional Eleitoral de Mato Grosso;
CONSIDERANDO a NC 07/IN01/DSIC/GSIPR, de 15 de julho de 2014, que estabeleceu diretrizes para implantação de controles de acesso relativos à segurança da informação e das comunicações na Administração Pública Federal;
CONSIDERANDO as boas práticas de segurança da informação e privacidade previstas nas normas ABNT ISO/IEC 27001 e ABNT ISO/IEC 27002, complementadas pela norma ABNT NBR ISO/IEC 27701;
CONSIDERANDO, ainda, as recomendações do Acórdão 1.603/2008-TCU, item 9.1.3, sobre a importância dos controles de acesso;
CONSIDERANDO o que consta no Processo SEI nº 08170.2022-5,
RESOLVE
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 1º Fica instituída a Norma de Gestão de Identidade e Controle de Acesso Físico e Lógico relativa à segurança da informação e comunicação, no âmbito do Tribunal Regional Eleitoral de Mato Grosso.
Art. 2º Esta norma integra a Política de Segurança da Informação do Tribunal Regional Eleitoral de Mato Grosso (PSI), estabelecida pela Resolução TRE nº 2748/2022.
CAPÍTULO II
DOS CONCEITOS E DEFINIÇÕES
Art. 3º Para efeitos desta norma, consideram-se os termos e definições previstos na Portaria DG /TSE nº 444/2021 ou outra que vier a substituí-la, aplicando-se, de forma subsidiária, aqueles estabelecidos no Glossário de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República.
CAPÍTULO III
DOS PRINCÍPIOS
Art. 4º O controle de acesso é regido pelos seguintes princípios:
I - necessidade de saber: os usuários deverão ter acesso somente às informações necessárias ao desempenho de suas tarefas;
II - necessidade de uso: os usuários deverão ter acesso apenas aos ativos (equipamentos de TI, sistemas, aplicações, procedimentos, salas) necessários ao desempenho de suas tarefas;
III - privilégio mínimo: deverão ser conferidos apenas os privilégios necessários para que o usuário realize a sua função na organização; e
IV - segregação de funções: consiste na separação das funções desempenhadas no controle de acesso, por exemplo, pedido de acesso, autorização de acesso e administração de acesso.
CAPÍTULO IV
DO ESCOPO E DO ÂMBITO DE APLICAÇÃO
Art. 5º São objetivos deste normativo:
I - estabelecer diretrizes para implantação de controles de acesso físico e lógico; e
II - assegurar a confidencialidade, integridade e disponibilidade dos ativos de informação e comunicação sob a responsabilidade deste Tribunal.
Art. 6º Esta norma se aplica a todos os magistrados, servidores efetivos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo, estagiários, prestadores de serviço, colaboradores e usuários externos, outros órgãos públicos ou entidades privadas contratadas ou com parcerias celebradas, acordos de cooperação de qualquer tipo, convênios e termos congêneres que fazem uso dos ativos de informação e de processamento no âmbito da Justiça Eleitoral.
§ 1º Os contratos celebrados pelo Tribunal deverão atender os requisitos desta política, bem como as normas referentes à proteção de dados pessoais.
§ 2º Os destinatários desta norma, relacionados no caput, são corresponsáveis pela segurança da informação e comunicação, de acordo com os preceitos estabelecidos neste normativo.
CAPÍTULO V
DO CONTROLE DE ACESSO FÍSICO
SEÇÃO I
DO PERÍMETRO DE SEGURANÇA
Art. 7º A Comissão de Segurança da Informação (CSI) deve definir o perímetro de segurança física para proteção das instalações de processamento e armazenamento da informação ( datacenter das demais áreas que contenham informações críticas ou sensíveis.
Art. 8º As instalações do datacenter devem atender às seguintes diretrizes:
I - paredes fisicamente sólidas, sem brechas nem pontos por onde possa ocorrer uma invasão, portas externas adequadamente protegidas por mecanismos de controle contra acesso não autorizado, sem janelas ou, na impossibilidade, com janelas com proteção externa;
II - videomonitoramento de sua área interna e de seu perímetro;
III - controle de acesso físico às áreas e instalações, sob a responsabilidade da STI, utilizando-se dos mecanismos necessários para o controle e registro de data e hora de todas as entradas e saídas, sejam de servidores, visitantes ou prestadores de serviços, permitindo-lhes o acesso, desde que previamente autorizados;
IV - mecanismos de autenticação físico ou multifatorial, para as instalações de processamento, armazenamento e comutação de dados, restritas ao pessoal autorizado;
V - portas corta-fogo com sistema de alarme, monitoradas, que funcionem de acordo com os códigos locais, para minimizar os riscos de ameaças físicas potenciais;
VI - sistemas para detecção de intrusos;
VII - instalações de processamento e armazenamento das informações que sejam projetadas para minimizar os riscos de ameaças físicas potenciais, tais como fogo, inundação, enchente, vibrações danosas, explosão, manifestações civis, fumaça, ataques maliciosos e furtos;
VIII - proteção contra raios;
IX - alimentações alternativas de energia elétrica e telecomunicações, com rotas físicas diferentes;
X - iluminação e comunicação de emergência;
XI - sistema de controle de temperatura e umidade com recurso de emissão de alertas.
Art. 9º As diretrizes para proteção das demais áreas que contenham informações críticas ou sensíveis que não estejam armazenadas no datacenter devem ser estabelecidas pela Comissão de Segurança da Informação, observadas as legislações vigentes.
SEÇÃO II
DOS EQUIPAMENTOS DE PROCESSAMENTO E ARMAZENAMENTO
Art. 10. Para evitar perdas, danos, furtos ou comprometimento de ativos e interrupção das operações do Tribunal, deverá ser observada as seguintes diretrizes:
I - adotar controles para minimizar o risco de ameaças físicas potenciais e ambientais, como furto, incêndio, explosivos, fumaça, água, poeira, vibração, efeitos químicos, interferência com o suprimento de energia elétrica, interferência com as comunicações, radiação eletromagnética e vandalismo;
II - verificar se os suprimentos de energia elétrica, telecomunicações, água, gás, esgoto, calefação /ventilação e sistema de ar-condicionado estão em conformidade com as especificações do
fabricante do equipamento e com os requisitos legais da localidade;
III - adotar controles para evitar a retirada de equipamentos do Tribunal, sem prévia autorização da unidade competente, conforme regulamentação específica; e
IV - utilizar, sempre que possível, que disponham de fechaduras com chave ou mecanismo racks semelhante, garantindo que apenas a(s) equipe(s) responsáveis pelos ativos instalados nos racks tenham acesso físico a eles.
SEÇÃO III
DA SEGURANÇA DO CABEAMENTO
Art. 11. O cabeamento de energia elétrica e de telecomunicações que transporta dados ou dá suporte aos serviços de informações deve ser protegido contra interceptação, interferência ou danos, conforme as seguintes diretrizes:
I - as linhas de energia elétrica e de telecomunicações que entram nas instalações de processamento da informação devem ser subterrâneas ou ficar abaixo do piso, sempre que possível, e devem atender aos requisitos mínimos de proteção; e
II - os cabos de energia elétrica devem ser segregados dos cabos de comunicação, para evitar interferências.
SEÇÃO IV
DA MANUTENÇÃO EXTERNA DOS EQUIPAMENTOS
Art. 12. A manutenção dos equipamentos de processamento de informações deve seguir as seguintes diretrizes:
I - ser realizada somente por pessoal de manutenção identificado e autorizado;
II - manter registro de todas as falhas, constatadas ou suspeitas, e de todas as operações de manutenção preventiva e corretiva realizadas;
III - eliminar as informações sensíveis do equipamento, quando possível, ou tratar de forma alternativa os riscos de sua exposição;
IV - inspecionar o equipamento, após a manutenção, para garantir que não foi alterado indevidamente e que está em perfeito funcionamento.
SEÇÃO V
DA REUTILIZAÇÃO OU DESCARTE SEGURO DOS EQUIPAMENTOS OU DOS EQUIPAMENTOS EM PROVA DE CONCEITO
Art. 13. Todos os equipamentos que contenham mídias de armazenamento de dados devem ser examinados antes da reutilização ou descarte, para assegurar que dados sensíveis e softwares licenciados tenham sido removidos ou sobregravados com segurança.
Parágrafo único. As mídias que contenham informações com acesso restrito de propriedade intelectual devem ser apagadas fisicamente e, da mesma forma, as informações devem ser destruídas, apagadas ou sobregravadas por meio de técnicas que tornem as informações originais irrecuperáveis.
CAPÍTULO VI
DO CONTROLE DE ACESSO LÓGICO
SEÇÃO I
DO GERENCIAMENTO DE ACESSO LÓGICO
Art. 14. O acesso aos sistemas de informação será assegurado, unicamente, ao usuário devidamente identificado pela STI e submetidos à análise da CSI.
§ 1º Os gestores dos ativos devem determinar regras apropriadas de controle de acesso, direitos de acesso e restrições para papéis específicos dos usuários terem acesso aos ativos, com nível de detalhe e rigor de controle que reflitam os riscos de segurança da informação associados, observada a consistência entre os direitos de acesso e as políticas de classificação da informação.
§ 2º As regras de controle de acesso deverão ser baseadas na premissa de que "tudo é proibido a menos que expressamente permitido", no lugar da regra "tudo é permitido, a menos que expressamente proibido".
Art. 15. A concessão e a revogação de acesso serão implementadas por meio de um processo formal, preferencialmente automatizado, com estabelecimento de responsáveis pela solicitação, administração, concessão, bloqueio e revogação.
§ 1º Compete aos proprietários de todos os tipos de ativos estabelecer regras de concessão, bloqueio e revogação de acesso aos ativos para os usuários, levando em conta as políticas, princípios e normas de controle de acesso aplicáveis.
§ 2º Os acessos deverão ser retirados imediatamente após a revogação dos direitos ou o encerramento das atividades, contratos ou acordos, ou ajustados após qualquer mudança de atribuições.
§ 3º As contas deverão ser desabilitadas, em vez de excluídas, para preservação de trilhas de auditoria.
Art. 16. A criação de nomes de usuário e de contas de e-mail seguirá critério padronizado pela STI e submetidos à aprovação do CETI.
Art. 17. O modelo de controle de acesso será, preferencialmente, fundamentado no controle de acesso baseado em papéis (RBAC).
Art. 18. Deverá ser estabelecido e mantido um inventário atualizado de todas as contas gerenciadas, contendo data de início e término, incluindo:
I - contas de usuário e de administrador; e
II - contas de serviço.
§ 1º O inventário das contas de usuário e de administrador deverá conter, no mínimo, o nome da pessoa, o nome de usuário e a sua unidade de lotação, enquanto o das contas de serviço indicará ao menos a unidade gestora, as datas de revisão e o propósito.
§ 2º As contas deverão ser revisadas trimestralmente, pela STI ou pelo responsável pelo ativo, para avaliar se as contas ativas permanecem autorizadas.
Art. 19. A Secretaria de Tecnologia da Informação deverá manter inventário dos sistemas de autenticação do Tribunal, abrangendo os internos e aqueles hospedados em provedores remotos.
SEÇÃO II
DO ACESSO ÀS REDES, SISTEMAS INTERNOS E SERVIÇOS DE REDE
Art. 20. A gestão de contas internas e o controle de acesso se darão de forma centralizada, por meio de serviço de diretório.
Art. 21. As operações de criação de usuários da rede local serão solicitadas por meio de instrumento específico, observada a segregação de funções em todo o fluxo do gerenciamento de acesso, pelos seguintes agentes:
I - Secretaria de Gestão de Pessoas, chefia imediata da unidade de lotação do usuário ou ainda coordenadoria, secretaria ou assessoria a qual a unidade pertence, no caso de magistrados, servidores efetivos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo e estagiários; e
II - Chefia imediata da unidade de lotação do usuário, no caso de colaboradores e prestadores de serviços.
Parágrafo único. Nos demais casos, será necessária a aprovação da Comissão de Segurança da Informação.
Art. 22. A chefia imediata da unidade de lotação do usuário deverá solicitar a atribuição de direitos de acesso aos recursos computacionais do Tribunal, por meio do sistema de service desk da Secretaria de Tecnologia da Informação, informando os sistemas ou serviços de informação e o perfil de acesso que o usuário deve possuir.
§ 1º O perfil de acesso do usuário aos sistemas ou serviços de informação deve ser mantido restrito ao desempenho de suas atividades institucionais.
§ 2º O gestor do ativo de informação será responsável pela autorização do direito de acesso, que poderá ser operacionalizado por equipe técnica designada;
§ 3º Na análise da solicitação de acesso, o gestor do ativo deverá considerar também a consistência entre a classificação da informação e os direitos de acesso, bem como as normas e legislação vigentes.
§ 4º Estas autorizações devem estar documentadas, para fins de auditoria e levantamento periódico, considerando as boas práticas de mercado, visando à detecção de usuários com acesso indevido.
§ 5º Deverá ser estabelecido um perfil padrão para usuários, ao qual todos retornarão em caso de mudança de lotação ou qualquer outro motivo que leve à suspensão de suas atividades, antes que sejam solicitados novos perfis de acesso pela nova chefia.
§ 6º A lotação de um usuário em uma unidade permite acesso à área específica de armazenamento de arquivos da unidade, bem como o recebimento de mensagens para o grupo de e-mail dela.
§ 7º Caso existam mensagens ou arquivos para os quais nem todos tenham acesso, deve-se criar grupo de distribuição de mensagens ou de permissão de acesso distinto do padrão da unidade.
§ 8º O procedimento de atribuição de acesso não deve permitir que a permissão seja efetivada antes que a autorização formal seja finalizada.
Art. 23. Os usuários devem possuir identificação única e exclusiva para permitir relacioná-la às suas ações e responsabilidades.
§ 1º O uso compartilhado de identificação de usuários somente será permitido por razões operacionais, mediante procedimento de atribuição de responsabilidades compartilhado pelas chefias imediatas e autorização da STI.
§ 2º A regra do parágrafo primeiro se aplica também a grupo ou conta de e-mail com possibilidade de resposta a partir do grupo/conta, caso em que as responsabilidades pela caixa de e-mail, pela conta e pelo grupo, além da responsabilidade por todas as mensagens enviadas e recebidas, serão da chefia da unidade.
Art. 24. Compete à chefia imediata informar aos gestores do ativo a movimentação e o desligamento de qualquer usuário lotado em sua unidade, dadas as implicações na manutenção de direitos de acesso aos ativos de informação.
§ 1º A remoção dos acessos citados no art. 22 desta Portaria deverá ser solicitada pela chefia imediata antes do último dia de permanência do usuário na unidade e, no caso de demissão de pessoal ou desligamento sumário, de imediato, por meio do sistema de service desk da Secretaria de Tecnologia da Informação, que deverá programar a atividade para o último horário do respectivo dia. (Parágrafo com redação dada pela Portaria nº 388 de 26/08/2024)
§ 2º Periodicamente, a Coordenadoria de Infraestrutura Computacional fará o bloqueio automático das credenciais de acesso dos usuários que não realizaram o acesso por mais de 45 (quarenta e cinco) dias, incluídos os servidores aposentados, cedidos e licenciados.
Art. 25. Os direitos de acesso dos usuários devem ser revistos em intervalos regulares, bem como após qualquer mudança de nível institucional que implique em realocação de pessoas, unidades ou papéis.
Art. 26. As atividades de gerenciamento de identidades, acesso e autenticação devem ser registradas e arquivadas pela Coordenadoria de Infraestrutura Computacional.
Parágrafo único. Deverão ser emitidos, frequentemente, relatórios críticos com finalidade de identificar inconsistências nestas atividades, atentando-se às recomendações anteriores bem como para as seguintes:
a) identificação de forma periódica de usuários redundantes;
b) identificação de solicitações de acesso sem segregação de funções.
Art. 27. Devem ser incluídas cláusulas, nos contratos de prestadores de serviço, elencando sanções, nos casos de acesso não autorizado, ou mesmo tentativa, efetuado por pessoa ou agente, mediante ações diretas ou indiretas dos seus colaboradores.
Art. 28. Compete ao Gestor de ativo realizar a revisão de direitos de acesso ao ativo sob sua responsabilidade, podendo a Secretaria de Tecnologia da Informação automatizar o processo de retirada de acessos e alteração de perfil para usuários, nos casos previstos nos arts. 24 e 25, conforme as regras estabelecidas formalmente.
SEÇÃO III
DO ACESSO PRIVILEGIADO
Art. 29. O acesso privilegiado aos sistemas e ativos de informação somente será concedido aos usuários que tenham como atribuição funcional o dever de administrá-los.
§ 1º O acesso privilegiado deve ser concedido ao usuário por meio de credenciais de acesso exclusivas para este fim, distintas das credenciais de acesso concedidas a tal usuário para a realização de suas atividades normais de negócio.
§ 2º O procedimento de concessão de acesso privilegiado deve manter arquivo de registro, contendo informações sobre este pedido, para posterior auditoria.
§ 3º O Gestor do ativo de informação deve definir prazos de expiração para as credenciais de acesso privilegiado, após os quais deve ser reavaliado o atendimento aos critérios para a atribuição de acesso privilegiado ao detentor das credenciais expiradas.
§ 4º A solicitação de acesso privilegiado para qualquer unidade que não seja gestora do ativo deverá ser encaminhada através de processo administrativo ao Presidente da Comissão de Segurança da Informação, para análise e autorização.
Art. 30. As competências dos usuários com acesso privilegiado aos sistemas e ativos de informação deverão ser avaliadas em intervalos não superiores a três meses, para que estejam alinhadas às atividades e obedecendo as regras de segregação de funções.
Art. 31. O acesso privilegiado aos sistemas e ativos de informação, através do uso de ID de usuário administrador genérico, deve ser evitado se o sistema assim permitir e, quando não houver essa possibilidade, deve ser concedido mediante procedimentos de troca periódica de senha e auditoria dos acessos, criados pelo gestor do ativo.
§ 1º Após a saída ou mudança de lotação de usuário com conhecimento de senha de usuário administrador genérico, esta deve ser modificada.
§ 2 º A conta de administrador genérico deve ser renomeada e ter sua função apagada, para que não possa ser facilmente identificada.
§ 3 º A conta de administrador genérico não deve ser usada para acesso à Internet, iniciar serviços de rede e acessar arquivos externos.
§ 4 º Uma solução de cofre de senhas deverá ser adotada para este tipo de acesso.
SEÇÃO IV
DA POLÍTICA DE SENHAS
Art. 32. Os sistemas ou serviços de informação considerados passíveis de controle de acesso pelo gestor de ativo devem ter seu acesso restrito e controlado através do uso de senhas, token ou mecanismo de autenticação similar.
§ 1º Serão concedidas senhas temporárias, mediante concordância e assinatura de termo de confidencialidade de toda senha, ou outro mecanismo de autenticação que estiver em sua posse.
§ 2º O acesso remoto à rede, o acesso administrativo e o acesso a aplicações expostas externamente se darão por autenticação multifatorial (MFA).
§ 3º A Secretaria de Tecnologia da Informação, em conjunto com o gestor do ativo de informação, pode implantar a autenticação de multifatores para determinados tipos de acesso, em função de sua criticidade.
Art. 33. A senha de acesso do usuário, pessoal e intransferível.
Art. 34. As senhas devem ser secretas e definidas considerando boas práticas de mercado.
SEÇÃO V
DOS PROCEDIMENTOS SEGUROS DE ENTRADA NO SISTEMA
Art. 35. O procedimento adequado de acesso ao sistema ( login) deve atender às seguintes recomendações:
I - não fornecer mensagens de ajuda ou informações do sistema durante o procedimento de acesso que possam auxiliar um usuário não autorizado;
II - validar informações de acesso ao sistema somente após todos os dados estarem completamente preenchidos;
III - em caso de erro, não indicar qual parte do dado de entrada está correta ou incorreta;
IV - bloquear o acesso do usuário ao sistema após, no máximo, 5 (cinco) tentativas de acesso ao sistema;
V - registrar tentativas de acesso ao sistema, sem sucesso e bem sucedidas;
VI - por ocasião do acesso ao sistema, mostrar as seguintes informações:
a) data e hora do último acesso ao sistema ou equipamento, com sucesso; e
b) detalhes de qualquer tentativa, sem sucesso, de acesso ao sistema desde o último acesso com sucesso.
VII - encerrar sessões inativas após um período definido de inatividade; e
VIII - em caso de uso externo, deve-se restringir o tempo de conexão para reduzir oportunidade de acesso não autorizado.
SEÇÃO VI
DO ACESSO DOS EQUIPAMENTOS À REDE E AOS SERVIÇOS DE REDE
Art. 36. Os dispositivos e serviços de rede, bem como as demais aplicações do Tribunal, devem ser configurados mediante regra "tudo é proibido a não ser que expressamente permitido".
Art. 37. O acesso de novo equipamento à rede é regulamentado pelo procedimento de autorização específico e deverá ser executado através da abertura de chamado de requisição de serviço na central de serviços;
Art. 38. São consideradas redes do Tribunal, para efeito de controle, a rede cabeada da sede e seus anexos, todas as redes wifi em suas dependências e por ele provida, o acesso VPN, o perímetro para a Internet, as redes dos cartórios eleitorais, centrais de atendimento e postos eleitorais.
Art. 39. É vedada a inclusão de equipamentos pessoais ou de terceiros em qualquer uma das redes internas do TRE, sem autorização da STI.
Art. 40. A inclusão de equipamentos de terceiros na rede será efetuada em sub-rede segura, distinta das demais e por período definido.
Art. 41. O horário de funcionamento da VPN e do acesso à internet será controlado pela STI e qualquer alteração excepcional deverá ser solicitada à Comissão de Segurança da Informação.
Art. 42. A inclusão de equipamentos e usuários na VPN será solicitada pelo usuário, quando chefe de seção ou ocupante de cargo ou função superior, ou pela chefia imediata nos demais casos, por e-mail, à Equipe de Tratamento de Incidente de Segurança da Informação (ETIR), ou por meio de formulário ou sistema específico eventualmente disponibilizado pela STI.
Art. 43. Os acessos à rede devem ser registrados, arquivados por um período mínimo de 6 (seis) meses, monitorados e frequentemente deve ser emitido relatório crítico com finalidade de identificar acessos indevidos.
Art. 44. Será exigido múltiplo fator de autenticação nas máquinas que acessarem a VPN do Tribunal.
Art. 45. Os serviços de rede que não estejam em uso devem ser removidos e não apenas desabilitados.
SEÇÃO VII
DO CONTROLE DE ACESSO AO CÓDIGO-FONTE DE PROGRAMAS
Art. 46. O código-fonte e itens associados (esquemas, especificações, planos de validação, etc.) dos sistemas de informação desenvolvidos pelo Tribunal somente serão acessíveis pelos usuários que tenham como atribuição funcional seu desenvolvimento, manutenção ou outra atividade para a qual o acesso seja imprescindível.
§ 1º As bibliotecas de código-fonte e itens associados devem ser armazenadas em ferramentas apropriadas para este fim, em ambientes segregados dos sistemas operacionais onde os respectivos sistemas de informação sejam executados.
§ 2º Os eventos de acesso às bibliotecas de código-fonte e itens associados devem ser registrados, permitindo sua auditoria.
§ 3º Os códigos-fonte que sejam publicados para entidades externas devem contar com controles adicionais que garantam sua integridade.
CAPÍTULO VII
DISPOSIÇÕES FINAIS
Art. 47. A utilização de ferramentas voltadas para a Gestão da Segurança da Informação tais como as de gerenciamento de eventos e informações de segurança substituem a obrigação da geração de relatórios.
Art. 48. Os casos omissos serão resolvidos pela Comissão de Segurança da Informação do Tribunal.
Art. 49. Esta norma complementar deve ser revisada a cada 12 (doze) meses pelo Gestor de Segurança da Informação e encaminhada para apreciação pela Comissão de Segurança da Informação.
Art. 50. Esta Política deve ser publicada no portal de intranet do Tribunal pela Comissão de Segurança da Informação.
Art. 51. O descumprimento desta norma será objeto de apuração pela unidade competente do Tribunal, com a consequente aplicação das penalidades cabíveis a cada caso.
Art. 52. A STI deverá providenciar as contratações e serviços para dar efetividade a esta resolução em até cento e oitenta dias da data de publicação desta norma.
Art. 53. Esta Portaria entra em vigor na data de sua publicação.
Cuiabá, datada e assinada eletronicamente.
Desembargadora MARIA APARECIDA RIBEIRO
Presidente do TRE-MT
________________
* Este texto não substitui o publicado em 23/01/2024 no Diário da Justiça Eletrônico do TRE-MT nº 4055, p. 2-10.
(Texto consolidado com as alterações promovidas pela Portaria nº 388 de 2024)*
Institui regras para a Gestão de Identidade e o Controle de Acesso Físico e Lógico ao ambiente cibernético do Tribunal Regional Eleitoral de Mato Grosso.
A PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DE MATO GROSSO, no uso das atribuições que lhe confere art. 19, XI, do Regimento Interno deste Tribunal,
CONSIDERANDO a necessidade de definir processos de gestão de identidade e controle de acesso físico e lógico aos ativos de informação;
CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos;
CONSIDERANDO que o acesso à informação, assim como aos recursos de processamento das informações e aos processos de negócios, deve ser controlado com base nos requisitos de negócio e da segurança da informação;
CONSIDERANDO a necessidade de adequação à Lei nº 13.709/2018 - Lei Geral de Proteção de Dados;
CONSIDERANDO a Resolução CNJ n º 396/2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);
CONSIDERANDO a Resolução TSE nº 23.644/2021, que instituiu a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;
CONSIDERANDO a Resolução TRE/MT nº 2748/2022, que institui a Política de Segurança da Informação (PSI) no âmbito do Tribunal Regional Eleitoral de Mato Grosso;
CONSIDERANDO a NC 07/IN01/DSIC/GSIPR, de 15 de julho de 2014, que estabeleceu diretrizes para implantação de controles de acesso relativos à segurança da informação e das comunicações na Administração Pública Federal;
CONSIDERANDO as boas práticas de segurança da informação e privacidade previstas nas normas ABNT ISO/IEC 27001 e ABNT ISO/IEC 27002, complementadas pela norma ABNT NBR ISO/IEC 27701;
CONSIDERANDO, ainda, as recomendações do Acórdão 1.603/2008-TCU, item 9.1.3, sobre a importância dos controles de acesso;
CONSIDERANDO o que consta no Processo SEI nº 08170.2022-5,
RESOLVE
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 1º Fica instituída a Norma de Gestão de Identidade e Controle de Acesso Físico e Lógico relativa à segurança da informação e comunicação, no âmbito do Tribunal Regional Eleitoral de Mato Grosso.
Art. 2º Esta norma integra a Política de Segurança da Informação do Tribunal Regional Eleitoral de Mato Grosso (PSI), estabelecida pela Resolução TRE nº 2748/2022.
CAPÍTULO II
DOS CONCEITOS E DEFINIÇÕES
Art. 3º Para efeitos desta norma, consideram-se os termos e definições previstos na Portaria DG /TSE nº 444/2021 ou outra que vier a substituí-la, aplicando-se, de forma subsidiária, aqueles estabelecidos no Glossário de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República.
CAPÍTULO III
DOS PRINCÍPIOS
Art. 4º O controle de acesso é regido pelos seguintes princípios:
I - necessidade de saber: os usuários deverão ter acesso somente às informações necessárias ao desempenho de suas tarefas;
II - necessidade de uso: os usuários deverão ter acesso apenas aos ativos (equipamentos de TI, sistemas, aplicações, procedimentos, salas) necessários ao desempenho de suas tarefas;
III - privilégio mínimo: deverão ser conferidos apenas os privilégios necessários para que o usuário realize a sua função na organização; e
IV - segregação de funções: consiste na separação das funções desempenhadas no controle de acesso, por exemplo, pedido de acesso, autorização de acesso e administração de acesso.
CAPÍTULO IV
DO ESCOPO E DO ÂMBITO DE APLICAÇÃO
Art. 5º São objetivos deste normativo:
I - estabelecer diretrizes para implantação de controles de acesso físico e lógico; e
II - assegurar a confidencialidade, integridade e disponibilidade dos ativos de informação e comunicação sob a responsabilidade deste Tribunal.
Art. 6º Esta norma se aplica a todos os magistrados, servidores efetivos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo, estagiários, prestadores de serviço, colaboradores e usuários externos, outros órgãos públicos ou entidades privadas contratadas ou com parcerias celebradas, acordos de cooperação de qualquer tipo, convênios e termos congêneres que fazem uso dos ativos de informação e de processamento no âmbito da Justiça Eleitoral.
§ 1º Os contratos celebrados pelo Tribunal deverão atender os requisitos desta política, bem como as normas referentes à proteção de dados pessoais.
§ 2º Os destinatários desta norma, relacionados no caput, são corresponsáveis pela segurança da informação e comunicação, de acordo com os preceitos estabelecidos neste normativo.
CAPÍTULO V
DO CONTROLE DE ACESSO FÍSICO
SEÇÃO I
DO PERÍMETRO DE SEGURANÇA
Art. 7º A Comissão de Segurança da Informação (CSI) deve definir o perímetro de segurança física para proteção das instalações de processamento e armazenamento da informação ( datacenter das demais áreas que contenham informações críticas ou sensíveis.
Art. 8º As instalações do datacenter devem atender às seguintes diretrizes:
I - paredes fisicamente sólidas, sem brechas nem pontos por onde possa ocorrer uma invasão, portas externas adequadamente protegidas por mecanismos de controle contra acesso não autorizado, sem janelas ou, na impossibilidade, com janelas com proteção externa;
II - videomonitoramento de sua área interna e de seu perímetro;
III - controle de acesso físico às áreas e instalações, sob a responsabilidade da STI, utilizando-se dos mecanismos necessários para o controle e registro de data e hora de todas as entradas e saídas, sejam de servidores, visitantes ou prestadores de serviços, permitindo-lhes o acesso, desde que previamente autorizados;
IV - mecanismos de autenticação físico ou multifatorial, para as instalações de processamento, armazenamento e comutação de dados, restritas ao pessoal autorizado;
V - portas corta-fogo com sistema de alarme, monitoradas, que funcionem de acordo com os códigos locais, para minimizar os riscos de ameaças físicas potenciais;
VI - sistemas para detecção de intrusos;
VII - instalações de processamento e armazenamento das informações que sejam projetadas para minimizar os riscos de ameaças físicas potenciais, tais como fogo, inundação, enchente, vibrações danosas, explosão, manifestações civis, fumaça, ataques maliciosos e furtos;
VIII - proteção contra raios;
IX - alimentações alternativas de energia elétrica e telecomunicações, com rotas físicas diferentes;
X - iluminação e comunicação de emergência;
XI - sistema de controle de temperatura e umidade com recurso de emissão de alertas.
Art. 9º As diretrizes para proteção das demais áreas que contenham informações críticas ou sensíveis que não estejam armazenadas no datacenter devem ser estabelecidas pela Comissão de Segurança da Informação, observadas as legislações vigentes.
SEÇÃO II
DOS EQUIPAMENTOS DE PROCESSAMENTO E ARMAZENAMENTO
Art. 10. Para evitar perdas, danos, furtos ou comprometimento de ativos e interrupção das operações do Tribunal, deverá ser observada as seguintes diretrizes:
I - adotar controles para minimizar o risco de ameaças físicas potenciais e ambientais, como furto, incêndio, explosivos, fumaça, água, poeira, vibração, efeitos químicos, interferência com o suprimento de energia elétrica, interferência com as comunicações, radiação eletromagnética e vandalismo;
II - verificar se os suprimentos de energia elétrica, telecomunicações, água, gás, esgoto, calefação /ventilação e sistema de ar-condicionado estão em conformidade com as especificações do
fabricante do equipamento e com os requisitos legais da localidade;
III - adotar controles para evitar a retirada de equipamentos do Tribunal, sem prévia autorização da unidade competente, conforme regulamentação específica; e
IV - utilizar, sempre que possível, que disponham de fechaduras com chave ou mecanismo racks semelhante, garantindo que apenas a(s) equipe(s) responsáveis pelos ativos instalados nos racks tenham acesso físico a eles.
SEÇÃO III
DA SEGURANÇA DO CABEAMENTO
Art. 11. O cabeamento de energia elétrica e de telecomunicações que transporta dados ou dá suporte aos serviços de informações deve ser protegido contra interceptação, interferência ou danos, conforme as seguintes diretrizes:
I - as linhas de energia elétrica e de telecomunicações que entram nas instalações de processamento da informação devem ser subterrâneas ou ficar abaixo do piso, sempre que possível, e devem atender aos requisitos mínimos de proteção; e
II - os cabos de energia elétrica devem ser segregados dos cabos de comunicação, para evitar interferências.
SEÇÃO IV
DA MANUTENÇÃO EXTERNA DOS EQUIPAMENTOS
Art. 12. A manutenção dos equipamentos de processamento de informações deve seguir as seguintes diretrizes:
I - ser realizada somente por pessoal de manutenção identificado e autorizado;
II - manter registro de todas as falhas, constatadas ou suspeitas, e de todas as operações de manutenção preventiva e corretiva realizadas;
III - eliminar as informações sensíveis do equipamento, quando possível, ou tratar de forma alternativa os riscos de sua exposição;
IV - inspecionar o equipamento, após a manutenção, para garantir que não foi alterado indevidamente e que está em perfeito funcionamento.
SEÇÃO V
DA REUTILIZAÇÃO OU DESCARTE SEGURO DOS EQUIPAMENTOS OU DOS EQUIPAMENTOS EM PROVA DE CONCEITO
Art. 13. Todos os equipamentos que contenham mídias de armazenamento de dados devem ser examinados antes da reutilização ou descarte, para assegurar que dados sensíveis e softwares licenciados tenham sido removidos ou sobregravados com segurança.
Parágrafo único. As mídias que contenham informações com acesso restrito de propriedade intelectual devem ser apagadas fisicamente e, da mesma forma, as informações devem ser destruídas, apagadas ou sobregravadas por meio de técnicas que tornem as informações originais irrecuperáveis.
CAPÍTULO VI
DO CONTROLE DE ACESSO LÓGICO
SEÇÃO I
DO GERENCIAMENTO DE ACESSO LÓGICO
Art. 14. O acesso aos sistemas de informação será assegurado, unicamente, ao usuário devidamente identificado pela STI e submetidos à análise da CSI.
§ 1º Os gestores dos ativos devem determinar regras apropriadas de controle de acesso, direitos de acesso e restrições para papéis específicos dos usuários terem acesso aos ativos, com nível de detalhe e rigor de controle que reflitam os riscos de segurança da informação associados, observada a consistência entre os direitos de acesso e as políticas de classificação da informação.
§ 2º As regras de controle de acesso deverão ser baseadas na premissa de que "tudo é proibido a menos que expressamente permitido", no lugar da regra "tudo é permitido, a menos que expressamente proibido".
Art. 15. A concessão e a revogação de acesso serão implementadas por meio de um processo formal, preferencialmente automatizado, com estabelecimento de responsáveis pela solicitação, administração, concessão, bloqueio e revogação.
§ 1º Compete aos proprietários de todos os tipos de ativos estabelecer regras de concessão, bloqueio e revogação de acesso aos ativos para os usuários, levando em conta as políticas, princípios e normas de controle de acesso aplicáveis.
§ 2º Os acessos deverão ser retirados imediatamente após a revogação dos direitos ou o encerramento das atividades, contratos ou acordos, ou ajustados após qualquer mudança de atribuições.
§ 3º As contas deverão ser desabilitadas, em vez de excluídas, para preservação de trilhas de auditoria.
Art. 16. A criação de nomes de usuário e de contas de e-mail seguirá critério padronizado pela STI e submetidos à aprovação do CETI.
Art. 17. O modelo de controle de acesso será, preferencialmente, fundamentado no controle de acesso baseado em papéis (RBAC).
Art. 18. Deverá ser estabelecido e mantido um inventário atualizado de todas as contas gerenciadas, contendo data de início e término, incluindo:
I - contas de usuário e de administrador; e
II - contas de serviço.
§ 1º O inventário das contas de usuário e de administrador deverá conter, no mínimo, o nome da pessoa, o nome de usuário e a sua unidade de lotação, enquanto o das contas de serviço indicará ao menos a unidade gestora, as datas de revisão e o propósito.
§ 2º As contas deverão ser revisadas trimestralmente, pela STI ou pelo responsável pelo ativo, para avaliar se as contas ativas permanecem autorizadas.
Art. 19. A Secretaria de Tecnologia da Informação deverá manter inventário dos sistemas de autenticação do Tribunal, abrangendo os internos e aqueles hospedados em provedores remotos.
SEÇÃO II
DO ACESSO ÀS REDES, SISTEMAS INTERNOS E SERVIÇOS DE REDE
Art. 20. A gestão de contas internas e o controle de acesso se darão de forma centralizada, por meio de serviço de diretório.
Art. 21. As operações de criação de usuários da rede local serão solicitadas por meio de instrumento específico, observada a segregação de funções em todo o fluxo do gerenciamento de acesso, pelos seguintes agentes:
I - Secretaria de Gestão de Pessoas, chefia imediata da unidade de lotação do usuário ou ainda coordenadoria, secretaria ou assessoria a qual a unidade pertence, no caso de magistrados, servidores efetivos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo e estagiários; e
II - Chefia imediata da unidade de lotação do usuário, no caso de colaboradores e prestadores de serviços.
Parágrafo único. Nos demais casos, será necessária a aprovação da Comissão de Segurança da Informação.
Art. 22. A chefia imediata da unidade de lotação do usuário deverá solicitar a atribuição de direitos de acesso aos recursos computacionais do Tribunal, por meio do sistema de service desk da Secretaria de Tecnologia da Informação, informando os sistemas ou serviços de informação e o perfil de acesso que o usuário deve possuir.
§ 1º O perfil de acesso do usuário aos sistemas ou serviços de informação deve ser mantido restrito ao desempenho de suas atividades institucionais.
§ 2º O gestor do ativo de informação será responsável pela autorização do direito de acesso, que poderá ser operacionalizado por equipe técnica designada;
§ 3º Na análise da solicitação de acesso, o gestor do ativo deverá considerar também a consistência entre a classificação da informação e os direitos de acesso, bem como as normas e legislação vigentes.
§ 4º Estas autorizações devem estar documentadas, para fins de auditoria e levantamento periódico, considerando as boas práticas de mercado, visando à detecção de usuários com acesso indevido.
§ 5º Deverá ser estabelecido um perfil padrão para usuários, ao qual todos retornarão em caso de mudança de lotação ou qualquer outro motivo que leve à suspensão de suas atividades, antes que sejam solicitados novos perfis de acesso pela nova chefia.
§ 6º A lotação de um usuário em uma unidade permite acesso à área específica de armazenamento de arquivos da unidade, bem como o recebimento de mensagens para o grupo de e-mail dela.
§ 7º Caso existam mensagens ou arquivos para os quais nem todos tenham acesso, deve-se criar grupo de distribuição de mensagens ou de permissão de acesso distinto do padrão da unidade.
§ 8º O procedimento de atribuição de acesso não deve permitir que a permissão seja efetivada antes que a autorização formal seja finalizada.
Art. 23. Os usuários devem possuir identificação única e exclusiva para permitir relacioná-la às suas ações e responsabilidades.
§ 1º O uso compartilhado de identificação de usuários somente será permitido por razões operacionais, mediante procedimento de atribuição de responsabilidades compartilhado pelas chefias imediatas e autorização da STI.
§ 2º A regra do parágrafo primeiro se aplica também a grupo ou conta de e-mail com possibilidade de resposta a partir do grupo/conta, caso em que as responsabilidades pela caixa de e-mail, pela conta e pelo grupo, além da responsabilidade por todas as mensagens enviadas e recebidas, serão da chefia da unidade.
Art. 24. Compete à chefia imediata informar aos gestores do ativo a movimentação e o desligamento de qualquer usuário lotado em sua unidade, dadas as implicações na manutenção de direitos de acesso aos ativos de informação.
§ 1º A retirada do usuário dos acessos citados no art. 22 se dará, preferencialmente, após a mudança de lotação ou desligamento efetuado no sistema de gestão de recursos humanos.
§ 1º A remoção dos acessos citados no art. 22 desta Portaria deverá ser solicitada pela chefia imediata antes do último dia de permanência do usuário na unidade e, no caso de demissão de pessoal ou desligamento sumário, de imediato, por meio do sistema de service desk da Secretaria de Tecnologia da Informação, que deverá programar a atividade para o último horário do respectivo dia. (Parágrafo com redação dada pela Portaria nº 388 de 26/08/2024)
§ 2º Periodicamente, a Coordenadoria de Infraestrutura Computacional fará o bloqueio automático das credenciais de acesso dos usuários que não realizaram o acesso por mais de 45 (quarenta e cinco) dias, incluídos os servidores aposentados, cedidos e licenciados.
Art. 25. Os direitos de acesso dos usuários devem ser revistos em intervalos regulares, bem como após qualquer mudança de nível institucional que implique em realocação de pessoas, unidades ou papéis.
Art. 26. As atividades de gerenciamento de identidades, acesso e autenticação devem ser registradas e arquivadas pela Coordenadoria de Infraestrutura Computacional.
Parágrafo único. Deverão ser emitidos, frequentemente, relatórios críticos com finalidade de identificar inconsistências nestas atividades, atentando-se às recomendações anteriores bem como para as seguintes:
a) identificação de forma periódica de usuários redundantes;
b) identificação de solicitações de acesso sem segregação de funções.
Art. 27. Devem ser incluídas cláusulas, nos contratos de prestadores de serviço, elencando sanções, nos casos de acesso não autorizado, ou mesmo tentativa, efetuado por pessoa ou agente, mediante ações diretas ou indiretas dos seus colaboradores.
Art. 28. Compete ao Gestor de ativo realizar a revisão de direitos de acesso ao ativo sob sua responsabilidade, podendo a Secretaria de Tecnologia da Informação automatizar o processo de retirada de acessos e alteração de perfil para usuários, nos casos previstos nos arts. 24 e 25, conforme as regras estabelecidas formalmente.
SEÇÃO III
DO ACESSO PRIVILEGIADO
Art. 29. O acesso privilegiado aos sistemas e ativos de informação somente será concedido aos usuários que tenham como atribuição funcional o dever de administrá-los.
§ 1º O acesso privilegiado deve ser concedido ao usuário por meio de credenciais de acesso exclusivas para este fim, distintas das credenciais de acesso concedidas a tal usuário para a realização de suas atividades normais de negócio.
§ 2º O procedimento de concessão de acesso privilegiado deve manter arquivo de registro, contendo informações sobre este pedido, para posterior auditoria.
§ 3º O Gestor do ativo de informação deve definir prazos de expiração para as credenciais de acesso privilegiado, após os quais deve ser reavaliado o atendimento aos critérios para a atribuição de acesso privilegiado ao detentor das credenciais expiradas.
§ 4º A solicitação de acesso privilegiado para qualquer unidade que não seja gestora do ativo deverá ser encaminhada através de processo administrativo ao Presidente da Comissão de Segurança da Informação, para análise e autorização.
Art. 30. As competências dos usuários com acesso privilegiado aos sistemas e ativos de informação deverão ser avaliadas em intervalos não superiores a três meses, para que estejam alinhadas às atividades e obedecendo as regras de segregação de funções.
Art. 31. O acesso privilegiado aos sistemas e ativos de informação, através do uso de ID de usuário administrador genérico, deve ser evitado se o sistema assim permitir e, quando não houver essa possibilidade, deve ser concedido mediante procedimentos de troca periódica de senha e auditoria dos acessos, criados pelo gestor do ativo.
§ 1º Após a saída ou mudança de lotação de usuário com conhecimento de senha de usuário administrador genérico, esta deve ser modificada.
§ 2 º A conta de administrador genérico deve ser renomeada e ter sua função apagada, para que não possa ser facilmente identificada.
§ 3 º A conta de administrador genérico não deve ser usada para acesso à Internet, iniciar serviços de rede e acessar arquivos externos.
§ 4 º Uma solução de cofre de senhas deverá ser adotada para este tipo de acesso.
SEÇÃO IV
DA POLÍTICA DE SENHAS
Art. 32. Os sistemas ou serviços de informação considerados passíveis de controle de acesso pelo gestor de ativo devem ter seu acesso restrito e controlado através do uso de senhas, token ou mecanismo de autenticação similar.
§ 1º Serão concedidas senhas temporárias, mediante concordância e assinatura de termo de confidencialidade de toda senha, ou outro mecanismo de autenticação que estiver em sua posse.
§ 2º O acesso remoto à rede, o acesso administrativo e o acesso a aplicações expostas externamente se darão por autenticação multifatorial (MFA).
§ 3º A Secretaria de Tecnologia da Informação, em conjunto com o gestor do ativo de informação, pode implantar a autenticação de multifatores para determinados tipos de acesso, em função de sua criticidade.
Art. 33. A senha de acesso do usuário, pessoal e intransferível.
Art. 34. As senhas devem ser secretas e definidas considerando boas práticas de mercado.
SEÇÃO V
DOS PROCEDIMENTOS SEGUROS DE ENTRADA NO SISTEMA
Art. 35. O procedimento adequado de acesso ao sistema ( login) deve atender às seguintes recomendações:
I - não fornecer mensagens de ajuda ou informações do sistema durante o procedimento de acesso que possam auxiliar um usuário não autorizado;
II - validar informações de acesso ao sistema somente após todos os dados estarem completamente preenchidos;
III - em caso de erro, não indicar qual parte do dado de entrada está correta ou incorreta;
IV - bloquear o acesso do usuário ao sistema após, no máximo, 5 (cinco) tentativas de acesso ao sistema;
V - registrar tentativas de acesso ao sistema, sem sucesso e bem sucedidas;
VI - por ocasião do acesso ao sistema, mostrar as seguintes informações:
a) data e hora do último acesso ao sistema ou equipamento, com sucesso; e
b) detalhes de qualquer tentativa, sem sucesso, de acesso ao sistema desde o último acesso com sucesso.
VII - encerrar sessões inativas após um período definido de inatividade; e
VIII - em caso de uso externo, deve-se restringir o tempo de conexão para reduzir oportunidade de acesso não autorizado.
SEÇÃO VI
DO ACESSO DOS EQUIPAMENTOS À REDE E AOS SERVIÇOS DE REDE
Art. 36. Os dispositivos e serviços de rede, bem como as demais aplicações do Tribunal, devem ser configurados mediante regra "tudo é proibido a não ser que expressamente permitido".
Art. 37. O acesso de novo equipamento à rede é regulamentado pelo procedimento de autorização específico e deverá ser executado através da abertura de chamado de requisição de serviço na central de serviços;
Art. 38. São consideradas redes do Tribunal, para efeito de controle, a rede cabeada da sede e seus anexos, todas as redes wifi em suas dependências e por ele provida, o acesso VPN, o perímetro para a Internet, as redes dos cartórios eleitorais, centrais de atendimento e postos eleitorais.
Art. 39. É vedada a inclusão de equipamentos pessoais ou de terceiros em qualquer uma das redes internas do TRE, sem autorização da STI.
Art. 40. A inclusão de equipamentos de terceiros na rede será efetuada em sub-rede segura, distinta das demais e por período definido.
Art. 41. O horário de funcionamento da VPN e do acesso à internet será controlado pela STI e qualquer alteração excepcional deverá ser solicitada à Comissão de Segurança da Informação.
Art. 42. A inclusão de equipamentos e usuários na VPN será solicitada pelo usuário, quando chefe de seção ou ocupante de cargo ou função superior, ou pela chefia imediata nos demais casos, por e-mail, à Equipe de Tratamento de Incidente de Segurança da Informação (ETIR), ou por meio de formulário ou sistema específico eventualmente disponibilizado pela STI.
Art. 43. Os acessos à rede devem ser registrados, arquivados por um período mínimo de 6 (seis) meses, monitorados e frequentemente deve ser emitido relatório crítico com finalidade de identificar acessos indevidos.
Art. 44. Será exigido múltiplo fator de autenticação nas máquinas que acessarem a VPN do Tribunal.
Art. 45. Os serviços de rede que não estejam em uso devem ser removidos e não apenas desabilitados.
SEÇÃO VII
DO CONTROLE DE ACESSO AO CÓDIGO-FONTE DE PROGRAMAS
Art. 46. O código-fonte e itens associados (esquemas, especificações, planos de validação, etc.) dos sistemas de informação desenvolvidos pelo Tribunal somente serão acessíveis pelos usuários que tenham como atribuição funcional seu desenvolvimento, manutenção ou outra atividade para a qual o acesso seja imprescindível.
§ 1º As bibliotecas de código-fonte e itens associados devem ser armazenadas em ferramentas apropriadas para este fim, em ambientes segregados dos sistemas operacionais onde os respectivos sistemas de informação sejam executados.
§ 2º Os eventos de acesso às bibliotecas de código-fonte e itens associados devem ser registrados, permitindo sua auditoria.
§ 3º Os códigos-fonte que sejam publicados para entidades externas devem contar com controles adicionais que garantam sua integridade.
CAPÍTULO VII
DISPOSIÇÕES FINAIS
Art. 47. A utilização de ferramentas voltadas para a Gestão da Segurança da Informação tais como as de gerenciamento de eventos e informações de segurança substituem a obrigação da geração de relatórios.
Art. 48. Os casos omissos serão resolvidos pela Comissão de Segurança da Informação do Tribunal.
Art. 49. Esta norma complementar deve ser revisada a cada 12 (doze) meses pelo Gestor de Segurança da Informação e encaminhada para apreciação pela Comissão de Segurança da Informação.
Art. 50. Esta Política deve ser publicada no portal de intranet do Tribunal pela Comissão de Segurança da Informação.
Art. 51. O descumprimento desta norma será objeto de apuração pela unidade competente do Tribunal, com a consequente aplicação das penalidades cabíveis a cada caso.
Art. 52. A STI deverá providenciar as contratações e serviços para dar efetividade a esta resolução em até cento e oitenta dias da data de publicação desta norma.
Art. 53. Esta Portaria entra em vigor na data de sua publicação.
Cuiabá, datada e assinada eletronicamente.
Desembargadora MARIA APARECIDA RIBEIRO
Presidente do TRE-MT
________________
* Este texto não substitui o publicado em 23/01/2024 no Diário da Justiça Eletrônico do TRE-MT nº 4055, p. 2-10.
Portaria nº 196 de 22/01/2024, publicada em 23/01/2024 no Diário da Justiça Eletrônico do TRE-MT nº 4055, p. 2-10.
Norma alteradora:
Portaria nº 388 de 26/08/2024 publicada em 27/08/2024 no Diário da Justiça Eletrônico do TRE-MT nº 4205, p. 3.
Ouvidoria
Termos de uso e privacidade
Como foi sua navegação?