INSTRUÇÃO NORMATIVA Nº 34, DE 22 DE SETEMBRO DE 2025

O Presidente do Tribunal Regional Eleitoral do Tocantins, no uso das atribuições que lhe são conferidas pelo art. 20, inciso XV, do Regimento Interno do Tribunal Regional Eleitoral do Tocantins, RESOLVE:

CAPÍTULO I
DISPOSIÇÕES PRELIMINARES

Art. 1º Ficam instituídas as regras e os procedimentos para gestão de incidentes de segurança da informação na Justiça Eleitoral do Tocantins.

Art. 2º Esta norma integra a Política de Segurança de Informação da Justiça Eleitoral e a Política de Segurança da Informação do TRE-TO, estabelecidas pela Resoluções TSE nº 23.644/2021 e TRE-TO nº 496/2020.

CAPÍTULO II
DAS DEFINIÇÕES

Art. 3º Para efeitos desta norma consideram-se os termos e definições previstos na Portaria DG/TSE 444/2021, além dos seguintes:

I - ANPD – Agência Nacional de Proteção de Dados Pessoais.

II - CTIR GOV – Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo.

III - ETIR-TO (Equipe de Tratamento e Resposta a Incidentes de Segurança da Informação) – Equipe de tecnologia da informação, de constituição multidisciplinar, coordenada por um Agente Responsável.

IV - Evento de segurança da informação: alguma mudança de estado em algum ativo ou serviço de TI, como troca de uma senha, log de acesso a um serviço web, bloqueio da execução de um aplicativo pelo antivírus etc. 

V - Incidente de segurança da informação: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de informação ou das redes de computadores.

VI - Incidente de segurança da informação com dados pessoais: qualquer incidente de segurança à proteção de dados pessoais, sendo acesso não autorizado, acidental ou ilícito que resulte em destruição, perda, alteração, vazamento ou qualquer forma de tratamento de dados ilícita ou inadequada, que tem a capacidade de pôr em risco os direitos e as liberdades dos titulares dos dados pessoais.

VII - Incidente grave – Incidente de segurança da informação de maior impacto para a organização, que prejudica de forma intensa a utilização dos serviços de TI ou expõe dados de forma indevida, devendo ser priorizado em relação aos demais incidentes.

VIII - Objetivo de Tempo de Recuperação (OTR/RTO) – Período de tempo gasto pela organização para recuperar uma atividade ou processo crítico após sua interrupção, que será definido em portaria específica.

IX - Resposta a incidentes: ação tomada para proteger e restaurar as condições operacionais dos sistemas de informação e as informações neles armazenadas, quando ocorre um ataque ou intrusão.

Art. 4º - Esta norma visa descrever as principais estratégias no tratamento de incidentes computacionais, que envolvam ou não dados pessoais, permitindo a adequada preparação, detecção, contenção, erradicação, recuperação, avaliação e comunicação desses incidentes.

CAPÍTULO III
DAS RESPONSABILIDADES

Art. 5º A atuação operacional na resposta a incidentes é de responsabilidade da ETIR-TO (Equipe de Tratamento e Resposta a Incidentes de Segurança da Informação), nomeada na Portaria 542/2024.

Art. 6º A comunicação externa com a ANPD e com os titulares de dados, em caso de incidentes graves envolvendo dados pessoais, é de responsabilidade do Encarregado de Dados pessoais.

Art. 7º A comunicação externa com a sociedade, em caso de incidentes graves, que inviabilizem as atividades precípuas do TRE-TO por prazo maior que o Objetivo de Tempo de Recuperação (OTR/RTO), é do grupo executivo estabelecido na Portaria 547/2023 e no plano de continuidade operacional dos serviços de TI do Tribunal, ou por outra autoridade determinada pela presidência do TRE-TO.

Art. 8º Cabe a todos os usuários internos a comunicação imediata caso tenham a informação da ocorrência de quaisquer incidentes de segurança da informação, utilizando os canais próprios fornecidos pela STI.

Art. 9º Cabe a Comissão Permanente de Segurança da Informação (CPSI) o monitoramento das atividades da ETIR-TO e o estabelecimento de métricas de desempenho.

CAPÍTULO IV
DA PREPARAÇÃO

Art. 10 A ETIR-TO elaborará o seu processo de trabalho e planos de resposta a incidentes, contendo os passos do processo de resposta, de acordo com os principais tipos de incidentes e ameaças, os quais ficarão disponíveis para consulta dos seus componentes.

Art. 11 A STI manterá registro de logs de eventos, de acordo com norma específica, com intuito de subsidiar a detecção manual ou automatizada de incidentes.

Art. 12 A ETIR-TO determinará os meios de comunicação oficiais e adicionais a serem acionados durante o processo de resposta a incidentes.

Art. 13 A ETIR-TO fará o monitoramento de ameaças cibernéticas, incluindo o acompanhamento de boletins encaminhados pelo CTIR GOV.

CAPÍTULO V
DA DETECÇÃO E ANÁLISE

Art. 14 A detecção dos incidentes poderá ocorrer por meio de ferramentas automatizadas de monitoramento de eventos, pela análise manual de registros de eventos, por comunicação de usuários ou por monitoramento dos operadores técnicos.

Art. 15 Detectado o incidente ou a suspeita dele, a área técnica responsável pelo ativo de informação atingido ou a ETIR-TO, farão o registro do incidente para análise.

Art. 16 Confirmada a ocorrência do incidente, a ETIR-TO acionará o plano de respostas adequado.

Art. 17 As áreas técnicas envolvidas na resposta ao incidente devem, na medida do possível, atuar para preservar as evidências forenses para eventual análise posterior, como: 

I - efetuar cópia completa do sistema comprometido, 

II - efetuar cópias dos logs de acesso, 

III - efetuar cópias de mensagens ou arquivos, 

IV - outras ações previstas no plano de resposta a incidentes respectivo.

CAPÍTULO VI
DA CONTENÇÃO, ERRADICAÇÃO E RECUPERAÇÃO

Art. 18 Após a fase de detecção e análise, a ETIR-TO atuará para conter os danos causados pelo incidente, localizar a causa raiz e erradicar a ameaça.

Art. 19 A recuperação do ambiente deve ocorrer somente após a certeza de que a ameaça e vulnerabilidade que deram causa ao incidente (causa raiz) foram adequadamente tratados.

Art. 20 Em caso de incidente grave, a recuperação do ambiente deve ocorrer somente com aval do Coordenador do Grupo Executivo do Plano de Continuidade Operacional de TI, ou por outra autoridade determinada pela presidência do TRE-TO.

CAPÍTULO VII
DA AVALIAÇÃO PÓS-INCIDENTE

Art. 21 Concluídas as etapas de tratamento do incidente, a ETIR-TO deverá documentar os procedimentos realizados e as lições aprendidas, por meio de relatório de incidente.

Art. 22 O armazenamento dos relatórios de incidentes deverá ocorrer em sistema de informação específico, tendo seu acesso restrito.

Art. 23 Caso a causa raiz não possa ser adequadamente determinada, a ETIR-TO deverá registrar como problema para análise posterior.

CAPÍTULO VIII
DA COMUNICAÇÃO

Art. 24 O Agente Responsável pela ETIR-TO encaminhará ao Gestor de Segurança da Informação e ao Encarregado de Dados Pessoais relatório resumido de todos os incidentes categorizados como graves que envolvam dados pessoais, tão logo a gravidade do incidente seja definida. 

Art. 25 O Gestor de Segurança da Informação apresentará à CPSI e à ETIR-TO do TRE-TO as informações relevantes acerca dos incidentes graves ocorridos.

Art. 26 Em caso de incidentes graves envolvendo dados pessoais, o Encarregado de Dados Pessoais informará à ANPD e aos titulares dos dados, de acordo com o plano de comunicação.

Art. 27 Nos casos em que o incidente de segurança da informação evoluir para uma situação caracterizada como crise cibernética, conforme os critérios estabelecidos no Protocolo de Gerenciamento de Crises Cibernéticas do TRE-TO, deverão ser observadas as diretrizes específicas constantes da Portaria TRE/TO nº 547/2023, Anexo II, ou norma que vier a substituí-la.

CAPÍTULO IX
DAS DISPOSIÇÕES FINAIS

Art. 28 O descumprimento não fundamentado desta norma deve ser comunicado e registrado pelo Gestor de Segurança da Informação, com consequente adoção das providências cabíveis.

Art. 29 Esta norma complementar deve ser revisada a cada 12 meses pelo Gestor de Segurança da Informação e encaminhada para nova apreciação da Comissão Permanente de Segurança da Informação.

Art. 30 Os casos omissos serão resolvidos pela Comissão Permanente de Segurança da Informação.

Art. 31 Esta Instrução Normativa entra em vigor na data de sua publicação e sua implementação inicia-se imediatamente.

Palmas, 22 de setembro de 2025.

Desembargador Adolfo Amaro Mendes
Presidente