Dispõe sobre as regras e os procedimentos para gestão de riscos de segurança da informação do Tribunal Regional Eleitoral de Roraima.

 

O Diretor-Geral do Tribunal Regional Eleitoral de Roraima, no uso de suas atribuições legais e regimentais,

 

CONSIDERANDO a necessidade de apoiar a gestão dos riscos de segurança da informação do TRERR, cuja avaliação periódica é condição para implementação e operação do Sistema de Gestão de Segurança da Informação.

CONSIDERANDO a Res. CNJ 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Res. TSE 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Portaria DG/TSE 444/2021, que dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO as boas práticas em segurança da informação previstas nas normas ABNT ISO/IEC 27001 e ABNT NBR ISO/IEC 27002;

CONSIDERANDO as boas práticas em gestão de riscos de segurança da informação previstas na norma ABNT ISO/IEC 27005;

CONSIDERANDO a necessidade de gerenciar os riscos que envolvem o tratamento de dados pessoais, de acordo com a Lei nº 13.709, de 14 de agosto de 2018 (LGPD);

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral de Roraima;

 

RESOLVE:

 

CAPÍTULO I
DISPOSIÇÕES PRELIMINARES

 

Art. 1º Fica instituída a norma complementar da Política de Segurança da Informação (PSI) para gestão de riscos de segurança da informação.

Art. 2º Esta norma integra a PSI da Justiça Eleitoral, estabelecida pela Res. TSE 23.644/2021.

 

CAPÍTULO II
DAS DEFINIÇÕES GERAIS

 

Art. 3º Para efeitos desta norma consideram-se os termos e definições previstos na Portaria DG/TSE 444/2021, além das seguintes:

I - Contexto Externo - Conjunto de circunstâncias a que o risco de segurança da informação está associado, com perspectiva focada na sociedade.

II - Contexto Interno - Conjunto de circunstâncias a que o risco de segurança da informação está associado, com perspectiva focada apenas no ambiente interno da instituição.

III - Proprietário do Risco - Unidade Organizacional responsável pelo ativo ou processo de negócio a que o risco se refere.

Art. 4º São considerados gestores de riscos os responsáveis pelas unidades organizacionais do TRERR, o gestor de segurança da informação, o encarregado de dados pessoais e o gestor de continuidade de negócios.

Art. 5º Esta norma segue as diretrizes da norma ABNT ISO/IEC 27005:2019, na implementação e na operação do SGSI (Sistema de Gestão de Segurança da Informação).

Art. 6º Todos os novos sistemas de informação, sejam estes desenvolvidos internamente, obtidos de outras instituições ou adquiridos de fornecedor externo, deverão passar por análise de riscos de segurança da informação antes de sua implementação.

 

CAPÍTULO III
DA DEFINIÇÃO DO CONTEXTO DO RISCO

 

Art. 7º Para a definição dos contextos externos e internos devem ser considerados os fatores humanos, tecnológicos, organizacionais e de imagem da Justiça Eleitoral, além da:

I - identificação dos ativos de informação;

II - identificação das ameaças;

III - identificação das vulnerabilidades;

IV - proteção de dados pessoais, de acordo com a LGPD;

V - identificação das partes interessadas.

 

CAPÍTULO IV
DO PROCESSO DE AVALIAÇÃO DO RISCO

 

Art. 8º O processo de avaliação do risco deve seguir os seguintes passos:

I - identificação: reconhecimento do contexto, dos ativos, das ameaças e das vulnerabilidades, dos controles existentes, no que tange a integridade, a disponibilidade e a confidencialidade da informação, independente da fonte ou causa do risco estar ou não sob o controle da organização.

II - análise: a análise do risco deve levar em conta a criticidade dos ativos de informação, a extensão das vulnerabilidades conhecidas e dos incidentes anteriores registrados.

III - avaliação: a avaliação do risco se dará pela comparação da tabela de impacto x probabilidade com o apetite ao risco estabelecido pela organização, definindo as medidas de tratamento aplicáveis.

Art. 9º Para a análise qualitativa do risco, considera-se o apetite ao risco o grau máximo de 12 (médio), em escala de 25 pontos e deve ser ajustado conforme o apetite ao risco estabelecido pela CSI.

Parágrafo único. Caso a análise seja quantitativa, caberá à CSI o aceite do risco no caso concreto.

 

CAPÍTULO V
DO TRATAMENTO DO RISCO

 

Art. 10. O tratamento do risco, elaborado após criteriosa avaliação, deverá atuar para modificar, reter, compartilhar ou evitar os riscos, por meio de controles e ações adequados.

 

CAPÍTULO VI
DA ACEITAÇÃO DO RISCO

 

Art. 11. A aceitação do risco residual, o qual esteja além do limite do apetite ao risco definido, deverá ser feito por autoridade, após análise e parecer da Comissão de Segurança da Informação (CSI).

 

CAPÍTULO VII
DA COMUNICAÇÃO E CONSULTA DO RISCO

 

Art. 12. Os riscos deverão ser comunicados e compartilhados entre as partes interessadas.

 

CAPÍTULO VIII
DO MONITORAMENTO E ANÁLISE CRÍTICA DO RISCO

 

Art. 13. O monitoramento e análise crítica dos riscos em segurança da informação deverá ser efetuada pelo gestor de segurança da informação e pela CSI por meio de subsídios a serem encaminhados pelas áreas proprietárias do risco.

Art. 14. Os riscos elencados devem ser reavaliados com periodicidade mínima anual.

Art. 15. Os riscos de segurança da informação devem ser monitorados, preferencialmente, por meio de solução informatizada de GRC (governança, risco e conformidade), permitindo o acesso às partes interessadas e à alta administração.

Parágrafo único. Na impossibilidade de adoção de sistema informatizado para monitoramento dos riscos devem ser adotados controles manuais, cujo controle ficará a cargo do Gestor de Segurança da Informação.

 

CAPÍTULO IX
DISPOSIÇÕES FINAIS

 

Art. 16. A Coordenadoria de Infraestrutura e Cibersegurança e o Gestor de Segurança da Informação apoiarão as demais unidades organizacionais quando da elaboração da análise de riscos de segurança da informação.

Art. 17. Os casos omissos serão resolvidos pela CSI.

Art. 18. Qualquer descumprimento desta normativa deve ser imediatamente comunicado e registrado pelo Gestor de Segurança da Informação, com consequente adoção das providências cabíveis.

Art. 19. Esta norma complementar deverá ser revisada a cada 12 meses pelo Gestor de Segurança da Informação e encaminhada para nova apreciação do CSI.

Art. 20. Esta Portaria entra em vigor na data de sua publicação e sua implementação inicia-se imediatamente.

 

Boa Vista, 24 de agosto de 2022.

 

Adriano Nogueira Batista

Diretor-Geral do TRE/RR

(documento assinado eletronicamente)