RESOLUÇÃO Nº 496, 17 DE DEZEMBRO DE 2020

O TRIBUNAL REGIONAL ELEITORAL DO TOCANTINS, no uso de suas atribuições constitucionais, legais e regulamentares,

Considerando a Norma Complementar n.º 03/IN01/DSIC/GSIPR, de 30 de junho de 2009, que estabelece diretrizes para a elaboração de Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal;

Considerando a necessidade de atualizar a Resolução TRE-TO n.º 225, de 15 de fevereiro de 2011, que estabelece a política de segurança da informação no âmbito da Justiça Eleitoral do Tocantins.

Considerando a Resolução TSE nº 23.379, de 1º de março de 2012, que dispõe sobre o Programa de Gestão Documental, o Sistema de Arquivos, o Fundo Histórico Arquivístico e o Comitê de Gestão Documental no âmbito da Justiça Eleitoral;

Considerando a Resolução TSE nº 23.501, de 19 de dezembro de 2016, que institui a Política de Segurança da Informação no âmbito da Justiça Eleitoral (PSI-JE);

Considerando a Resolução CNJ nº 211, de 15 dezembro de 2015 que institui a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD) e  estabelece que  cada órgão deverá elaborar e aplicar política, gestão e processo de segurança da informação a serem desenvolvidos em todos os níveis da instituição, por meio de um Comitê Gestor de Segurança da Informação;

Considerando a Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD);que estabelece que a segurança é um princípio a ser observado na utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de distribuição, perda, alteração, comunicação ou difusão;

Considerando o Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação e dispõe sobre a governança da segurança da informação na qual aos os  órgãos e às entidades da administração pública federal, em seu âmbito de atuação, compete elaborar sua política de segurança da informação e as normas internas de segurança da informação;

Considerando a Resolução TRE-TO nº 475, de 26 de junho de 2020, aprova as diretrizes do Programa de Dados Abertos do Tribunal Regional Eleitoral do Tocantins;

Considerando a Recomendação CNJ nº 73, de 20 de agosto de 2020, que recomenda aos órgãos do poder Judiciário Brasileiro a adoção de medidas preparatórias e ações iniciais para adequação às disposições contidas na Lei Geral de Proteção de Dados - LGPD; 

Considerando que a Justiça Eleitoral do Tocantins gera, adquire, absorve e mantém grande volume de informações no exercício de suas competências constitucionais, legais e regulamentares e que essas informações devem permanecer íntegras, disponíveis e, quando for o caso, com sigilo resguardado;

Considerando que as informações são armazenadas em diferentes formas, veiculadas em diversos meios físicos e eletrônicos, e, por conseguinte, vulneráveis a incidentes como desastres naturais, acessos não autorizados, mau uso, falhas de equipamentos, extravio e furto;

Considerando a necessidade de estabelecer diretrizes e padrões para garantir um ambiente tecnológico controlado e seguro de forma a oferecer todas as informações necessárias aos processos de trabalho das unidades administrativas e das serventias judiciárias da Justiça Eleitoral do Tocantins, incluindo de empresas prestadoras de serviços e parceiros, com integridade, confidencialidade e disponibilidade;

RESOLVE:

Art. 1º Instituir a Política de Segurança da Informação no âmbito da Justiça Eleitoral do Tocantins (PSI-TO), com o objetivo de garantir um ambiente tecnológico controlado e seguro de forma a oferecer todas as informações necessárias aos processos de trabalho com integridade, confidencialidade e disponibilidade.

CAPÍTULO I

DOS CONCEITOS E DEFINIÇÕES

Art. 2º Para efeitos desta resolução e das regulamentações dela decorrentes aplicam-se as seguintes definições: 

I - ameaça: causa potencial de um incidente indesejado que pode resultar em dano para um sistema ou organização;

II - atividades essenciais ou atividades críticas: atividades precípuas da Justiça Eleitoral cuja interrupção ocasiona severos transtornos, como, por exemplo, perda de prazos administrativos e judiciais, dano à imagem institucional, prejuízo ao Erário, entre outros;

III - atividades precípuas: conjunto de procedimentos e tarefas que utilizam recursos tecnológicos, humanos e materiais, inerentes à atividade-fim da Justiça Eleitoral;

IV - ativo de informação: patrimônio composto por todos os dados e informações gerados, adquiridos, utilizados ou armazenados pela Justiça Eleitoral;

V - ativo de processamento: patrimônio composto por todos os elementos de hardware, software e infraestrutura de comunicação necessários à execução das atividades precípuas da Justiça Eleitoral; 

VI - ativo: qualquer bem, tangível ou intangível, que tenha valor para a organização;

VII - autenticidade: propriedade que garante que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade; 

VIII -ciclo de vida da informação: ciclo formado pelas fases de produção, recepção, organização, uso, disseminação e destinação;

IX - cifração: ato de cifrar mediante uso de algoritmo simétrico ou assimétrico, com recurso criptográfico, para substituir sinais de linguagem em claro por outros ininteligíveis a pessoas não autorizadas a conhecê-los;

X - COGETIC: Comitê Gestor de Planejamento Estratégico e Governança da Tecnologia da Informação e Comunicação;

XI - confidencialidade: propriedade da informação que garante que ela não será disponibilizada ou divulgada a indivíduos, entidades ou processos sem a devida autorização;

XII - continuidade de negócio: capacidade estratégica e tática de um órgão ou entidade de planejar e responder a incidentes e interrupções de negócios, minimizando seus impactos e recuperando perdas de ativos da informação das atividades críticas, de forma a manter suas operações em um nível aceitável, previamente definido;

XIII - criticidade: propriedade que define a importância da informação para a continuidade do negócio;

XIV - curador da informação: unidade ou pessoa responsável pela definição de critérios de acesso, classificação, tempo de vida e normas específicas do uso da informação;

XV -custodiante: unidade da organização que, de alguma forma, total ou parcialmente, zela pelo armazenamento, operação, administração e preservação de um sistema estruturante – ou dos ativos de informação que compõem o sistema de informação – que não lhe pertence, mas que está sob sua custódia;  

XVI - decifração: ato de decifrar mediante uso de algoritmo simétrico ou assimétrico, com recurso criptográfico, para reverter processo de cifração original;

XVII - disponibilidade: propriedade da informação que garante que ela será acessível e utilizável sempre que demandada;

XVIII - equipe de Tratamento e Resposta a Incidentes de Redes Computacionais (ETIR-TO): Equipe de pessoas com a responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores no âmbito da Justiça Eleitoral do Tocantins;

XIX - equipe de Tratamento e Resposta a Incidentes de Redes Computacionais da Justiça Eleitoral (ETIR-JE): Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais da Justiça Eleitoral, cujos membros são servidores do Tribunal Superior Eleitoral;

XX - gestão de segurança da informação: ações e métodos que visam à integração das atividades de gestão de riscos, à  gestão de continuidade de negócio, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando à tecnologia da informação;

XXI - governança da informação: conjunto de normas, diretrizes e controles de responsabilidade desenvolvidos para assegurar o valor, a qualidade e a conformidade das informações;

XXII - incidente de segurança em redes computacionais: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores; 

XXIII - incidente em segurança da informação: qualquer indício de fraude, sabotagem, desvio, falha ou evento indesejado ou inesperado que tenha probabilidade de comprometer as operações do negócio ou ameaçar a segurança da informação;

XIV - informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente do suporte em que resida ou da forma pela qual seja veiculado;

XV - integridade: propriedade que garante que a informação mantém todas as características originais estabelecidas pelo proprietário;

XVI - irretratabilidade (ou não repúdio): garantia de que a pessoa se responsabilize por ter assinado ou criado a informação;

XVII - quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação;

XVIII - recurso criptográfico: sistema, programa, processo, equipamento isolado ou em rede que utiliza algoritmo simétrico ou assimétrico para realizar cifração ou decifração;

XIX - recurso: além da própria informação, é todo o meio direto ou indireto utilizado para o seu tratamento, tráfego e armazenamento;

XX - rede de computadores: rede formada por um conjunto de máquinas eletrônicas com processadores capazes de trocar informações e partilhar recursos, interligados por um subsistema de comunicação, ou seja, existência de dois ou mais computadores, e outros dispositivos interligados entre si de modo a poder compartilhar recursos físicos e lógicos, sendo que estes podem ser do tipo dados, impressoras, mensagens (e-mails, inclusive), entre outros;

XXI - risco: o efeito sobre a incerteza, ou seja, o desvio positivo ou negativo relacionado ao resultado esperado de um processo, projeto, ou qualquer outro objetivo, com impacto negativo na instituição;

XXII - segurança da informação: abrange aspectos físicos, tecnológicos e humanos da organização e orienta-se pelos princípios da autenticidade, da confidencialidade, da integridade, da disponibilidade e da irretratabilidade da informação, entre outras propriedades;

XXIII - tratamento da informação: recepção, produção, reprodução, utilização, acesso, transporte, transmissão, distribuição, armazenamento, eliminação e controle da informação, inclusive as sigilosas;

XXIV -usuário externo: qualquer pessoa física ou jurídica que faça uso dos serviços da instituição e não se inclua no conceito de usuário interno;

XXV - usuário interno: qualquer pessoa física que faça uso de informações e exerça atividade interna na organização, ainda que temporariamente, com ou sem remuneração ou vínculo empregatício;

XXVI -vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

CAPÍTULO II

DOS PRINCÍPIOS

Art. 3º A PSI-TO se alinha às estratégias da Justiça Eleitoral e tem como princípio norteador a garantia da autenticidade, da confidencialidade, da disponibilidade, da integridade e da irretratabilidade dos ativos de informação e de processamento.

Parágrafo único. Integram também a PSI-TO as demais normas e procedimentos relacionados à segurança da informação emanados no âmbito da Justiça Eleitoral bem como deste Regional.

CAPÍTULO III

DO ESCOPO

Art. 4º A PSI-TO tem como objetivo instituir diretrizes, responsabilidades e competências visando a gestão da segurança da informação.

Art. 5º A PSI-TO é de responsabilidade da instituição e parte integrante de todos os processos organizacionais e se aplica a todos os magistrados, servidores efetivos, cedidos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo, estagiários, prestadores de serviço, colaboradores e usuários externos que façam uso dos ativos de informação e de processamento no âmbito da Justiça Eleitoral do Tocantins.

§ 1° Os destinatários relacionados no caput são corresponsáveis pela segurança da informação, de acordo com os preceitos estabelecidos nesta resolução.

§ 2° Os serviços de tecnologia disponibilizados pelo Tribunal aos usuários relacionados no caput são considerados de propriedade da Justiça Eleitoral e passíveis de monitoramento.

CAPÍTULO IV

DA ESTRUTURA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO

Art. 6º Compõem a Estrutura de Gestão da Segurança da Informação:

I - Pleno do Tribunal;

II - Presidência do Tribunal;

III - Comitê Gestor de Planejamento Estratégico e Governança da Tecnologia da Informação e Comunicação (COGETIC);

IV - Diretoria Geral do Tribunal;

V - Comissão de Gestão da Segurança da Informação;

VI - Gestor da Segurança da Informação;

VII – Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais;

VIII – Curador da informação.

§ 1° A Comissão de Segurança da Informação, subordinada à Presidência do Tribunal,  deve ser composta por, no mínimo, um colaborador das seguintes unidades administrativas: Presidência, Corregedoria Regional Eleitoral, Diretoria-Geral, das Secretarias e Assessoria de Comunicação Social, Corporativa e Cerimonial.

§ 2° O Gestor de Segurança da Informação deve ser servidor que detenha amplo conhecimento dos processos de negócio do Tribunal e do tema em foco.

§ 3° A ETIR-TO deve ser composta por servidores lotados na Secretaria de Tecnologia da Informação, observadas as competências de cada Seção.

CAPÍTULO V

DAS COMPETÊNCIAS E ATRIBUIÇÕES

Art. 7º Compete ao Pleno do Tribunal apreciar as propostas de alterações a esta Resolução, aprovadas COGETIC.

Art. 8º Compete à Presidência do Tribunal:

I - promover a aplicação das ações estabelecidas nesta Política;

II - nomear ou delegar ao Diretor-Geral a nomeação:

1. da Comissão de Segurança da Informação;
2. do Gestor de Segurança da Informação e seu substituto;
3. dos integrantes da ETIR-TO.

III - submeter ao Pleno as propostas de alteração desta resolução.

Art. 9º Compete ao COGETIC:

I - aprovar normas, procedimentos, planos e/ou processos que lhe forem submetidos pela Comissão de Segurança da Informação;

II - submeter à Presidência as propostas que extrapolem sua alçada decisória;

III - apoiar a aplicação das ações estabelecidas nesta Política;

IV - propor a alocação dos recursos à implementação desta Política, bem como as ações dela decorrentes;

V - avaliar a adequação, suficiência e eficácia desta política;

VI - responder pela segurança da informação.

 Art. 10. Compete à Diretoria-Geral:

I - apoiar, acompanhar e monitorar a aplicação desta Política bem como as ações dela derivadas;

II - viabilizar recursos financeiro, dentro dos limites orçamentários, para as ações relacionadas à Segurança da Informação abrangendo sua manutenção bem como a capacitação dos usuários quanto ao tema.

Art. 11. Compete à Comissão de Segurança da Informação:

I – propor melhorias, alterações e ajustes da PSI-TO ao COGETIC;

II - propor normas, procedimentos, planos visando à operacionalização da PSI-TO;

III - submeter estratégias para a implantação desta PSI-TO;

IV - fiscalizar a aplicação das normas e da PSI-TO;

V – avaliar e investigar e  os danos decorrentes de quebra de segurança da informação;

VI - propor o modelo de implementação da Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais (ETIR-TO), de acordo com a norma vigente, ao COGETIC;

VII - sugerir a constituição de subgrupos técnicos de trabalho para tratar de temas sobre segurança da informação;

VIII - propor ações de capacitação e divulgação relacionadas ao tema segurança da informação.

Art. 12. Compete ao Gestor de Segurança da Informação:

I - manter as normas e procedimentos no âmbito do TRE-TO atualizados com a legislação vigente, os normativos expedidos pelo TSE, bem como as boas práticas adotadas por outras instituições;

II - propor o uso de novas tecnologias na área de segurança da informação;

III - propor normas relativas à segurança da informação à Comissão de Segurança da Informação;

IV - propor iniciativas para garantir nível adequado da segurança da informação à Comissão de Segurança da Informação, com base, inclusive, nos registros armazenados pela ETIR-TO; 

V - implantar, em conjunto com as demais áreas, normas, procedimentos, planos e/ou processos elaborados pela Comissão de Segurança da Informação. 

Art. 13. Compete à Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais (ETIR-TO):

I - receber, analisar, classificar, tratar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores, além de armazenar registros para formação de série histórica como subsídio estatístico e para fins de auditoria;

II - elaborar o Processo de Tratamento e Resposta a Incidentes em Redes de Computadores;

III - formalizar à ETIR-JE os incidentes de segurança em redes computacionais que envolvam ou que possam vir a envolver mais de um Tribunal Eleitoral; 

IV - atender às orientações da ETIR-JE.

Art. 14. Compete à Secretaria de Tecnologia da Informação:

I - prover os ativos de processamento necessários ao cumprimento desta política;

II - garantir que os níveis de acesso lógico concedidos aos usuários estejam adequados aos propósitos do negócio e condizentes com as normas vigentes de segurança da informação;

III - disponibilizar e gerenciar a infraestrutura necessária aos processos de trabalho da ETIR-TO.

Art. 15. Compete à Secretaria de Administração e Orçamento:

I - implantar controles nos ambientes físicos, visando à prevenção de danos, furtos, roubos, interferência e acesso não autorizado às instalações e ao patrimônio da Justiça Eleitoral do Tocantins;

II - implantar controles e proteção contra ameaças externas ou decorrentes do meio ambiente, como incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e desastres naturais;

III - assegurar que os colaboradores das empresas prestadoras de serviço contratadas conheçam suas atribuições e responsabilidades em relação à segurança da informação;

IV - adotar as medidas necessárias por ocasião do desligamento de colaboradores das empresas prestadoras de serviço contratadas e comunicar às demais unidades do Tribunal, com vistas à pertinente remoção dos acessos às informações da Justiça Eleitoral.

Art. 16. Compete à Secretaria de Gestão de Pessoas:

I - apoiar a Comissão de Segurança da Informação na missão de assegurar que usuários internos conheçam suas atribuições e responsabilidades em relação à segurança da informação;

II - adotar as medidas necessárias por ocasião do desligamento de pessoal e comunicar às demais unidades do Tribunal, com vistas à pertinente remoção dos acessos às informações da Justiça Eleitoral;

III - promover a capacitação dos servidores que integram a estrutura de gestão da segurança da informação, no que for pertinente;

IV - garantir que todos os usuários internos recebam orientações quanto à segurança da informação.

Art. 17. Compete à Secretaria Judiciária e de Gestão da Informação regulamentar e coordenar a governança da informação no âmbito da TRE-TO.

Art. 18. Compete à Corregedoria Eleitoral empreender medidas e expedir normas para adequar as práticas cartorárias a esta Política.

Art. 19. Compete Coordenadoria de Controle Interno e Auditoria incluir no escopo do Plano Anual de Auditoria a análise do cumprimento desta política, seus regulamentos e demais normativos de segurança vigentes.

Art. 20. Compete à Assessoria de Comunicação Social, Corporativa e Cerimonial:

I - promover campanhas de conscientização sobre a importância da segurança da informação;

II - divulgar esta Política no âmbito da Justiça Eleitoral do Tocantins;

Art. 21. Compete ao Juízo Eleitoral:

I - apoiar a Comissão de Segurança da Informação na missão de assegurar que os colaboradores conheçam suas atribuições e responsabilidades em relação à segurança da informação;

Art. 22. Compete aos usuários internos:

I - responder por toda atividade executada com o uso de sua identificação;

II - ter pleno conhecimento desta política;

III - reportar tempestivamente ao Gestor de Segurança da Informação quaisquer falhas ou indícios de falhas de segurança de que tenha conhecimento ou suspeita;

IV - proteger as informações sigilosas e pessoais obtidas em decorrência do exercício de suas atividades;

V - executar as orientações técnicas e os procedimentos estabelecidos pela Comissão de Segurança da Informação;

VI - gerenciar os ativos sob sua responsabilidade.

Art. 23. Compete às unidades listadas nos artigos 14 a 21, bem como aos usuários internos, executar as orientações técnicas e procedimentos estabelecidos pela Comissão de Segurança da Informação.

CAPÍTULO VI

DAS DIRETRIZES GERAIS

Art. 24. Deve ser criado e revisado, conforme o caso e mediante necessidade apontada pelo COGETIC, procedimentos, planos e/ou processos e normas sobre temas específicos de segurança da informação que se fizerem necessários.

CAPÍTULO VII

DISPOSIÇÕES FINAIS

Art. 25. Aplica-se subsidiariamente no que couber a Resolução TSE 23.501, de 19 de dezembro de 2016, a qual institui a Política de Segurança da Informação no âmbito da Justiça Eleitoral.

Art. 26. Os contratos, convênios, acordos de cooperação e outros instrumentos congêneres celebrados pelo Tribunal devem observar, no que couber, o constante desta Política.

Art. 27. Casos omissos serão resolvidos pelo COGETIC, consultada a Comissão de Segurança da Informação.

Art. 28. Ficam revogadas a Resolução TRE-TO nº 201, de 28 de janeiro de 2010, e a Resolução TRE-TO nº 225, de 15 de fevereiro de 2011.

Art. 29. Esta Resolução entra em vigor na data de sua publicação.

Sala de Sessões do Tribunal Regional Eleitoral do Tocantins.

Palmas -TO, 17 de dezembro de 2020.

Desembargador EURÍPEDES DO CARMO LAMOUNIER-Presidente; Desembargador MARCO VILLAS BOAS-Vice-Presidente/Corregedor Regional Eleitoral; Juíza ANA PAULA BRANDÃO BRASIL; Juiz JOSÉ MÁRCIO SILVEIRA; Juiz JOSÉ MARIA LIMA; Juíza ÂNGELA ISSA HAONAT; Juiz MARCELO CORDEIRO; DR. ÁLVARO LOTUFO MANZANO-Procurador Regional Eleitoral