Portaria Nº 240/2019

O Diretor-Geral do Tribunal Regional Eleitoral de Roraima, no uso das atribuições que lhe confere o art. 86, V da Resolução TRE/RR nº 234/2015, e

Considerando os preceitos constantes na Lei n.º 12.527/2011 – Lei de Acesso à Informação;

Considerando os princípios e diretrizes constantes da Política Nacional de Segurança do Poder Judiciário, instituída pela Resolução CNJ 239/2016;

Considerando as determinações relacionadas ao controle de acesso, consignadas na Resolução 23.501/2016, que instituiu a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

Resolve:

 

Art. 1º. Instituir a Política de Gerenciamento de Acesso e Uso de Recursos de TIC, no âmbito do Tribunal Regional Eleitoral de Roraima.

Art. 2º. Esta Política se aplica a todos os magistrados, membros do Ministério Público, servidores efetivos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo, estagiários, prestadores de serviço, colaboradores e fornecedores, que fazem uso dos ativos de informação e recursos de TIC no âmbito do Tribunal Regional Eleitoral de Roraima.

Capítulo I

DOS CONCEITOS E DEFINIÇÕES

Art. 3º. Para os efeitos desta Portaria, considera-se:

I - ativos de informação: patrimônio composto por todos os dados e informações

II - gerados, adquiridos, utilizados ou armazenados pelo TRE-RR;

III - controle de acesso: meios para garantir o acesso autorizado e a restrição de acesso aos ativos de informação com base em requisitos de negócio e de segurança;

IV - credenciais de acesso: conjunto composto pelo nome de conta e respectiva senha, utilizadas para ingresso ou acesso em equipamentos, rede ou sistema.

V - log de registros: expressão utilizada para descrever o processo de registro de eventos relevantes num sistema computacional. Esse registro pode ser utilizado para restabelecer o estado original de um sistema ou para que um administrador conheça o seu comportamento no passado;

VI - princípio do privilégio mínimo: concessão do menor privilégio necessário para conclusão das tarefas a serem executadas pelos usuários;

VII - recursos de processamento da informação: é todo o meio direto ou indireto utilizado para o tratamento, tráfego e armazenamento da informação;

VIII - rede corporativa: infraestrutura que permite a transmissão de dados entre diversos equipamentos de uma mesma corporação, tais como computadores pessoais, servidores de arquivos, impressoras, câmeras de vídeo;

IX - sistemas de mensageria: sistemas que permitem o envio e a recepção de mensagens de correio eletrônico ou de mensagens instantâneas entre usuários, dentro e fora de uma instituição;

X - unidade gestora da solução: unidade responsável pelas definições relativas aos processos de trabalho, regras de negócio e requisitos de uma solução de TI, bem como por acordar níveis de serviço para a solução, definir perfis de acesso e aprovar ou reprovar requisições de autorização de acesso aos ativos sob sua responsabilidade;

XI - usuários internos: magistrados, membros do Ministério Público, servidores efetivos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo, estagiários, prestadores de serviço e colaboradores, que fazem uso dos ativos de informação e de processamento no âmbito do Tribunal Regional Eleitoral de Roraima; e

XII - usuários externos: visitantes ou participantes de eventos que venham a ocorrer nas dependências do Tribunal Regional Eleitoral de Roraima, ou seja, qualquer usuário que não se enquadre na classificação de usuários interno.

XIII - aplicativos – Softwares projetados para executarem um grupo de funções, tarefas ou atividades coordenadas para benefício do usuário.

XIV - área pública – Espaço reservado no servidor de arquivos destinado à disponibilidade de arquivos temporário;

XV - programas maliciosos: vírus, worms, trojans, keylogers, screenlogers, ransomware, bots e botnets, spyware, backdoors e rootkits.

Seção I

Do Controle de Acesso à Rede Corporativa

Art. 4º. O acesso a serviços disponibilizados no ambiente da rede corporativa do Tribunal Regional Eleitoral de Roraima será previamente autorizado e permanentemente controlado.

Art. 5º. As credenciais de acesso à rede do Tribunal Regional Eleitoral de Roraima serão concedidas mediante abertura de chamado no Service Desk da Secretaria de Tecnologia da Informação (SDTIC) para: Magistrados e membros do Ministério Público, servidores efetivos, removidos, cedidos, requisitados, com lotação provisória, ocupantes de cargo em comissão com ou sem vínculo, estagiários e prestadores de serviço.

Parágrafo único. A Coordenadoria de Gestão de Pessoas será a unidade responsável pela requisição para contas de usuários.

Art. 6º. As contas de estagiários e prestadores de serviço serão configuradas para expirarem automaticamente, ao término do prazo de vigência do contrato.

Art. 7º. As unidades responsáveis por autorizar a criação de novas credenciais deverão informar, via Service Desk da Secretaria de Tecnologia da Informação (SDTIC), o desligamento ou a movimentação de lotação dos respectivos usuários, para que sejam tomadas providências de bloqueio e posterior eliminação das contas, quando necessário.

Art. 8º. Não haverá identificação genérica e de uso compartilhado para acesso aos recursos da rede, excetuando-se os casos de necessidade, justificada e acompanhada de parecer da Secretaria de Tecnologia da Informação acerca da possibilidade de aceitação dos riscos associados.

Art. 9º. As senhas vinculadas às contas de acesso à rede corporativa deverão atender, obrigatoriamente, aos seguintes critérios:

I - devem ter o tamanho mínimo de 8 (oito) caracteres;

II - devem ser formados pela combinação de letras minúsculas e maiúsculas, números e símbolos;

III - não podem ser iguais às últimas 3 (três) senhas utilizadas; e

IV - devem ser alteradas a cada 180 (cento e oitenta) dias.

Art. 10. O acesso aos serviços disponibilizados na rede corporativa, bem como as operações realizadas, serão monitorados eletronicamente e registrados em log, assegurando-se a prioridade das atividades de interesse do TRE-RR.

Seção II

Do Controle de Acesso aos Compartilhamentos de Rede

Art. 11. Cabe a cada titular de unidade requerer, via Service Desk da Secretaria de Tecnologia da Informação (SDTIC), a criação de diretórios de rede, a liberação, revogação e a restrição dos privilégios de acesso aos documentos de sua unidade.

Art. 12. É vedada a utilização dos compartilhamentos de rede para armazenamento de arquivos de uso pessoal, cabendo à Secretaria de Tecnologia da Informação a realização de auditorias periódicas visando a identificação de material estranho às atividades desempenhadas pelas unidades organizacionais.

Parágrafo Único: Caberá a Secretaria de Tecnologia da Informação definir o compartilhamento de rede para cada tipo de informação que será armazenada, com o intuito de racionalizar os recursos de armazenamento disponíveis.

Seção III

Do Acesso Remoto aos Serviços de Rede

Art. 13. O acesso remoto, em caráter excepcional, aos serviços da rede corporativa, deve ser requerido ao Service Desk da Secretaria de Tecnologia da Informação (SDTIC), com antecedência mínima de 48 (quarenta e oito) horas.

Parágrafo único: De posse do requerimento fundamentado, a Secretaria de Tecnologia da Informação emitirá parecer acerca da possibilidade de aceitação dos riscos associados.

Art. 14. Durante a conexão remota deverão ser utilizados sistemas de criptografia para o acesso às informações exclusivamente às pessoas autorizadas, impedindo a sua leitura capturada acidental ou intencionalmente.

Art. 15. Devem ser utilizados, obrigatoriamente, meios de autenticação de usuários para assegurar a identificação das entidades participantes da troca de informações.

Art. 16. Os meios para assegurar a integridade das comunicações deverão impossibilitar alteração das informações durante transmissão sem anuência ou identificação das entidades participantes.

Art. 17. Os mecanismos adotados deverão assegurar a disponibilidade dos meios de comunicação em níveis compatíveis com os exigidos pelo processo utilizado.

Seção IV

Do Controle de Acesso à Rede Sem Fio

Art. 18. A Secretaria de Tecnologia da Informação disponibilizará redes sem fio, para acesso à Internet, por usuários internos e externos que possuam credenciais de acesso cadastradas no sistema de autenticação do Tribunal Regional Eleitoral de Roraima.

Art. 19. Credenciais de acesso novas, para usuários internos que não possuam acesso à rede corporativa do TRE-RR, serão concedidas mediante abertura de chamado, por superior hierárquico, junto ao Service Desk da Secretaria de Tecnologia da Informação (SDTIC).

Art. 20. Usuários internos, lotados na sede ou cartórios eleitorais, deverão utilizar as mesmas credenciais de acesso à rede corporativa.

Art. 21. Usuários externos, visitantes ou participantes de eventos realizados na sede do TRE-RR, deverão preencher formulário de cadastro online, disponibilizado no momento da conexão à rede sem fios destinada exclusivamente para essa finalidade.

Art. 22. O acesso às redes sem fio será monitorado eletronicamente e registrado em log.

Seção V

Do Controle de Acesso aos Sistemas de Mensageria

Art. 24. A Secretaria de Tecnologia da Informação disponibilizará os serviços de correio eletrônico e de comunicação instantânea, destinados ao uso corporativo, sendo o usuário responsável por todas as mensagens enviadas a partir de sua credencial.

Art. 25. O conteúdo dos serviços de mensageria, de uso corporativo, poderá ser acessado pelo Tribunal Regional Eleitoral de Roraima, mediante autorização prévia da Diretoria- Geral, quando sua utilização puser em risco a segurança da informação e a imagem institucional.

Parágrafo único. O acesso autorizado às informações dos usuários deverá ser registrado formalmente, permitindo a realização de auditoria posterior do procedimento.

Art. 26. As credenciais de acesso aos serviços de mensageria serão concedidas mediante abertura de chamado, por superior hierárquico no Service Desk da Secretaria de Tecnologia da Informação (SDTIC).

Art. 27. É vedada a criação de credenciais de correio eletrônico para estagiários, prestadores de serviço, servidores inativos ou cedidos a outros órgãos, excetuando-se os casos de necessidade, justificada e acompanhada de parecer da Secretaria de Tecnologia da Informação acerca da possibilidade de aceitação dos riscos associados.

Seção VI

Do Acesso aos Sistemas de Informação

Art. 28. As credenciais de acesso aos sistemas de informação do Tribunal Regional Eleitoral de Roraima serão concedidas mediante abertura de chamado no Service Desk da Secretaria de Tecnologia da Informação (SDTIC), pela chefia imediata da unidade de lotação do usuário.

§ 1º. Para cada sistema, deverá ser fornecido o perfil de acesso que o usuário

deverá possuir para acessá-lo.

§ 2º. A unidade gestora da solução será responsável pela autorização do direito;

§ 3º. O perfil de acesso aos sistemas de informação deverá estar em acordo com a política de classificação das informações deste Tribunal.

Art. 29. Os direitos de acesso dos usuários deverão ser revisados, em intervalos regulares, pela unidade gestora da solução, sobretudo quando ocorrer mudança de função do servidor, alteração de lotação ou desligamento.

Seção VII

Do Acesso à Intranet e à Internet

Art. 30. O acesso ao portal e aos demais serviços disponíveis na intranet do Tribunal Regional Eleitoral de Roraima serão efetuados, preferencialmente, a partir da rede da Justiça Eleitoral (JE).

Art. 31. Os acesso a sítios e serviços disponíveis na internet serão controlados por filtros de conteúdo e reguladores de tráfego implementados nos dispositivos de segurança do TRE-RR.

Parágrafo único. A Secretaria de Tecnologia da Informação deverá implementar mecanismos de regulação de tráfego no acesso a serviços de maior consumo de dados, visando a preservação da disponibilidade da rede.

Art. 32. Os titulares das unidades do TRE-RR deverão fiscalizar o bom uso dos acessos à internet e requerer, via sistema de Helpdesk, ajustes e restrições de acesso em caso de mau uso.

Art. 33. Todas as operações de acesso realizadas serão registradas em log, para fins de auditoria.

Art. 34. Não será admitida, em nenhuma hipótese, a tentativa de burla aos filtros de conteúdo e às restrições de acesso impostas.

Seção VIII

Dos Aplicativos para uso no parque computacional

Art. 35. A relação de aplicativos homologados para uso no parque computacional, de propriedade do Tribunal Regional Eleitoral de Roraima, será disponibilizada no portal da Intranet pela Seção de Apoio ao Usuário (SAU).

Art. 36. A SAU prestará suporte prioritariamente às ocorrências relacionadas com a instalação, configuração e utilização dos aplicativos homologados.

Parágrafo único: Eventual suporte a aplicativos não homologados ficará a critério da SAU.

Art. 37. A STI providenciará a formatação das unidades de armazenamento (HD, SSD e outros) quando:

I - precisar instalar versões mais atualizadas de aplicativos, plugins e outros;

II – precisar instalar novos aplicativos ou substituir os anteriormente homologados;

III - solucionar problemas relacionados a códigos maliciosos (vírus, vermes, cavalos de troia, capturadores de teclas ou telas, espiões e outros);

IV - outras situações técnicas justificadas pela SAU.

Art. 3.8 A formatação prevista no art. 3 será realizada preferencialmente de maneira programada e automatizada fora do horário de expediente.

§ 1.º. Arquivos pessoais dos servidores deverão ser armazenados preferencialmente em dispositivos removíveis, sendo vedada a manutenção de arquivos pessoais nas unidades de armazenamento interno dos computadores de propriedade do TRE-RR, sob risco de perda dos arquivos em eventual formatação.

§ 2.º. Em caso de infecção por códigos maliciosos ou necessidade de atualização crítica de segurança ou, ainda, em outras situações devidamente justificadas e autorizadas pela STI, fica a SAU autorizada a formatar ou substituir qualquer computador do parque computacional do TRE-RR sem a necessidade de autorização prévia por parte do respectivo usuário.

Art. 39. Periodicamente, a SAU poderá realizar auditoria na rede para identificar arquivos não relacionados ao serviço que estejam ocupando muito espaço, que infrinjam leis de direito autoral ou que representem risco à segurança da informação.

§ 1.º. Identificadas as circunstâncias relacionadas neste artigo, o setor correspondente será cientificado para excluir os arquivos no prazo de 5 dias úteis.

§ 2.º. Inobservado o prazo do § 1.º deste artigo, a SAU comunicará a ocorrência à STI, que poderá determinar a exclusão dos arquivos.

§ 3.º. Caso seja disponibilizada área pessoal de armazenamento na infraestrutura da corte, fica vedado o armazenamento de conteúdo erótico ou que infrinja leis de direito autoral.

Art. 40. A área pública é livre para armazenamento temporário e troca de arquivos entre setores.

Parágrafo único. Todos os arquivos armazenados na área pública serão periodicamente deletados preferencialmente de forma automática fora do horário de expediente.

Art. 41 Fica expressamente vedado qualquer suporte em equipamentos que não sejam de propriedade ou que não tenham relação direta com as atividades desta corte, salvo mediante autorização da Diretoria-Geral.

CAPÍTULO II

DAS DISPOSIÇÕES FINAIS

Art. 42. Os casos omissos serão resolvidos pela Comitê de Segurança da Informação (CSI).

Art. 43. O descumprimento desta Portaria será objeto de apuração pela unidade competente do Tribunal, podendo acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.

Art. 44. Esta Portaria entra em vigor na data de sua publicação, revogando a IN nº 39/2019.

 

Alex Caon Fin

Diretor-Geral do TRE/RR

(assinado eletronicamente)