Tribunal Regional Eleitoral - MA
Secretaria Judiciária
Coordenadoria Apoio ao Pleno, Gestão Processual e Documental
Seção de Gestão Documental
INSTRUÇÃO NORMATIVA Nº 8, DE 22 DE NOVEMBRO DE 2021
Dispõe sobre regras e procedimentos gerais para acesso às áreas de rede e aos sistemas e ativos de informação, nos termos da Resolução TRE-MA nº 9.128, de 7 de novembro de 2017, que adota a Resolução TSE nº 23.501, de 19 de dezembro de 2016, como Política de Segurança da Informação do TRE-MA.
O DIRETOR GERAL DO TRIBUNAL REGIONAL ELEITORAL DO MARANHÃO, no uso das atribuições que lhe são conferidas pelo art. 49 do Regulamento Interno da Secretaria do Tribunal Regional Eleitoral do Maranhão, considerando a Resolução TSE nº 23.501/2016, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral, a Portaria TRE-MA nº 204/2018, que reconstitui a CSI, a Resolução TRE-MA nº 9.128/2017, que adota a Resolução TSE nº 23.501 como PSI do TRE-MA, a Portaria TRE-MA nº 738, de 14 de novembro de 2017, que cria a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR), a Portaria TRE-MA nº 736/2017, que nomeia Gestor de Segurança da Informação para o TRE-MA, série normativa ABNT ISO 27000, referente à Segurança da Informação
RESOLVE:
Art. 1º Esta Instrução Normativa dispõe sobre regras e procedimentos gerais para acesso às áreas de rede e aos sistemas e ativos de informação, nos termos da Resolução TRE – MA nº 9.128, de 7 de novembro de 2017, que adota a Resolução TSE nº 23.501, de 19 de dezembro de 2016, como Política de Segurança da Informação do TRE-MA.
Art. 2º Para fins desta Instrução Normativa entende-se por:
I - Agente público: magistrados, promotores, servidores, assessores, requisitados, estagiários, menores aprendizes e prestadores de serviço que estejam exercendo atividades no âmbito da Justiça Eleitoral do Maranhão;
II - Titular da unidade: Presidente, Corregedor, Diretor Geral, Secretários, Coordenadores, chefes de seção ou seus substitutos;
III – CENTRAL - TI: unidade destinada ao atendimento dos usuários dos serviços de Tecnologia da Informação - TI;
IV - Recursos de TI: todo equipamento ou dispositivo que utilize tecnologia da informação, bem como qualquer recurso ou informação que seja acessível através desses equipamentos ou dispositivos tecnológicos, tais como computadores, servidores de rede, impressoras, sistemas, programas, softwares, acessos à rede local, internet, VPN, pendrives, smartcards, tokens, smartphones, modems sem fio, desktops, pastas compartilhadas na rede;
V - CSI: Comissão de Segurança da Informação da Justiça Eleitoral do Maranhão, criada pela Portaria TRE-MA nº 737/2017, com atribuições definidas pela Resolução nº 23.501/2016;
VI - ETIR: Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais da Justiça Eleitoral do Maranhão, criada pela Portaria TRE-MA nº 738/2017, com atribuições definidas pela Resolução TSE nº 23.501/2016;
VII - Gestor de sistema de informação: agente público oficialmente designado como gestor de determinado sistema de informação;
VIII - Sistema de informação: aplicação da tecnologia da informação que dá apoio às atividades de determinada área de conhecimento, que visando a otimizar as operações, o gerenciamento e a decisão, trabalhando os dados e transformando-os em informação;
IX - Credenciais de acesso: conjunto composto pelo token com certificado digital, nome de conta e respectiva senha, utilizada para ingresso ou acesso (login) em equipamentos, rede ou sistema;
X - Rede local: conjunto de recursos compartilhados através dos ativos de rede e computadores clientes, por onde circulam as informações corporativas da Justiça Eleitoral do Maranhão;
XI - Rede sem fio: sistema que interliga equipamentos utilizando o ar como meio de transmissão através de ondas eletromagnéticas;
XII - Ponto de acesso sem fio: equipamento que compõe uma rede sem fio, concentrando as conexões de um ou mais equipamentos;
XIII - Sistemas de mensageria: sistemas que permitem o envio e a recepção de mensagens de correio eletrônico ou de mensagens instantâneas entre usuários, dentro e fora de uma instituição;
XIV - VPN – Rede Privada Virtual: rede que permite realizar conexões à rede interna da instituição de uma forma segura, possibilitando a realização de atividades e a utilização de sistemas como se estivesse conectado fisicamente a ela;
XV - Clientes prioritários: aqueles que atendem ao eleitor, tais como, cartórios eleitorais, postos de atendimento de transmissão de boletins de urna; e
XVI – SIS: subsistema de segurança desenvolvido pela empresa Módulo.
Art. 3º Esta Instrução Normativa será atualizada sempre que necessário, segundo as necessidades da Justiça Eleitoral do Maranhão e a evolução tecnológica do parque de TI.
Parágrafo único. As atualizações a que se refere o caput deste artigo ocorrerão no todo ou em parte, em intervalo máximo de 2 (dois) anos, levando-se em conta a modularidade da Política de Segurança da Informação de que trata esta Instrução, e deverão ser submetidas à aprovação da CSI.
Do acesso à rede local da Justiça Eleitoral do Maranhão
Art. 4º Toda solicitação de criação, manutenção ou exclusão de contas de acesso e de concessão ou revogação de permissão de acesso em áreas da rede, será feita mediante abertura de chamado na CENTRAL - TI.
Art. 5º O responsável pela solicitação de criação de novas contas de acesso à rede será:
I - SGP, quando se tratar de magistrados, promotores, servidores, requisitados, estagiários ou menor aprendiz, que deverá informar o número do título eleitoral, nome completo do agente, sua lotação, matrícula e vigência, se for o caso; e
II - Fiscal de contrato, quando se tratar de contratados, informando o número do título, o nome completo do interessado, sua lotação ou unidade de atuação, a vigência do contrato, o nome da empresa contratada, com o respectivo número de matrícula do funcionário na empresa ou outro documento.
§ 1º As contas de agentes públicos que exerçam atividade por prazo determinado serão configuradas para expiração automática ao término da vigência informada no contrato.
§ 2º Os servidores removidos, cedidos e aposentados terão suas contas ativas e sem prazo de validade em virtude de necessitarem acessar serviços na intranet.
Art. 6º O responsável por solicitar a liberação/concessão ou restrição/remoção de privilégios de acesso às áreas de rede e por verificar se o Termo de Responsabilidade constante do Anexo I a esta Instrução Normativa foi assinada digitalmente será:
I - O fiscal de contrato, no caso dos terceirizados sob sua responsabilidade; e
II - O responsável pelo setor ou seu substituto, no caso dos demais servidores.
Art. 7º O responsável por informar ao setor competente, por meio da CENTRAL-TI, eventual desligamento ou mudança de lotação, para efeitos de bloqueio/remoção de contas será:
I - A SGP para magistrados, promotores, servidores, requisitados, estagiários ou menor aprendiz; e
II - Fiscal de contrato para os terceirizados sob sua responsabilidade;
Art. 8º Não haverá identificação genérica e de uso compartilhado para acesso aos recursos da rede, exceto em caso de necessidade justificada e à vista de parecer da CSI, no tocante à possibilidade de aceitação dos riscos associados.
Art. 9º Toda conta de acesso terá uma senha associada e atenderá ao seguinte:
I - Ser trocada pelo usuário no primeiro acesso;
II - Possuir no mínimo 12 (doze) caracteres;
III – Conter caracteres de três das seguintes categorias:
- Letras maiúsculas (A a Z)
- Letras minúsculas (a a z)
- Dígitos (0 a 9)
- Caracteres não alfanuméricos (caracteres especiais): (~!@#$%^&*_-+='|\() {} []:;"' <>,.? /)
IV - terá validade de 180 (cento e oitenta) dias;
V - Não utilizará as 3 (três) últimas senhas; e
VII - poderá ser bloqueada ou desativada se permanecer inativa por período superior a 90 (noventa) dias ou se forem detectadas mais de 5 (cinco) tentativas malsucedidas de acesso.
Parágrafo único. Após o período de validade, automaticamente será solicitado ao usuário que proceda à troca de senha, salvo em casos específicos, quando a mudança será feita por interveniência da STIC.
Art. 10. A conta de acesso à rede será em regra o título de eleitor, salvo para menor aprendiz, que será o CPF, se ainda não tiver título de eleitor.
Art. 11. No ato de criação de conta de acesso à rede, será automaticamente criada conta de correio eletrônico correspondente, bem como de outros serviços que utilizem a mesma base de dados de autenticação.
Art. 12. A CENTRAL-TI deverá informar ao solicitante e ao seu proprietário a criação da conta de acesso, e ao seu proprietário a senha de acesso inicial juntamente com as instruções para a sua alteração.
Art. 13. O proprietário da conta deverá zelar pelo seu bom uso, guardando a confidencialidade das suas senhas, solicitando alteração em caso de extravio, perda, roubo, uso não autorizado de sua conta de acesso ou quebra de segurança.
Art. 14. Em nenhuma hipótese será admitido o empréstimo ou o compartilhamento de credenciais de acesso.
Art. 15. O proprietário da conta será responsabilizado pelo mau uso que dela fizer, até prova em contrário.
Art. 16. Na hipótese de descumprimento do disposto nos arts. 4º a 15 desta Instrução Normativa, tanto o titular quanto quem utilizou as suas credenciais indevidamente estarão sujeitos às sanções administrativas, cíveis e penais cabíveis, em consonância com art. 41 da resolução TSE 23.501/2016.
Da utilização do sistema de rede sem fio
Art. 17. As regras para acesso à rede sem fio abrangem todos os dispositivos de comunicação de dados sem fio, como servidores de rede, notebooks, smartphones, microcomputadores, impressoras, conectados à rede interna da Justiça Eleitoral do Maranhão.
Art. 18. Os equipamentos de rede sem fio da Justiça Eleitoral do Maranhão, incluindo controladores, softwares, pontos de acesso farão parte de uma solução corporativa.
§ 1º Todas as operações realizadas nos equipamentos da solução corporativa serão de responsabilidade da STIC, que fará testes periódicos de invasão e auditoria.
§ 2º Caso haja necessidade de instalação ou utilização de redes sem fio nas dependências de unidades do TRE, que não façam parte da solução corporativa, esta nova rede deverá ser aprovada pelo Diretor Geral após parecer da STIC.
Art. 19. É vedado a conexão de dispositivos particulares de comunicação de dados sem fio à rede local da Justiça Eleitoral do Maranhão, salvo expressa autorização do Diretor Geral.
Parágrafo único. As conexões dos dispositivos citados no caput deste artigo serão avaliadas pela STIC em relação aos requisitos de segurança e à conectividade de acesso.
Art. 20. Os dispositivos conectados à rede da Justiça Eleitoral do Maranhão através de conexão sem fio deverão utilizar mecanismo de segurança WPA-2 ou superior, além de suportar autenticação forte, com possibilidade de efetuar checagens em bancos de dados externos como RADIUS ou similar.
Art. 21. Todo o acesso à rede da Justiça Eleitoral do Maranhão será monitorado e registrado em log e guardado pelo período de um (1) ano para futuras auditorias e investigações.
Art. 22. A forma de acesso à rede sem fio da Justiça Eleitoral do Maranhão será definida e implementada pela STIC, devendo ser realizada através de identificador único para o usuário.
§ 1º Deverá ser mantido um registro que possibilite a identificação do dispositivo a partir do qual foi feita a conexão.
§ 2º Não será permitido o acesso direto a qualquer rede sem fio, quer da rede sem fio interna da Justiça Eleitoral do Maranhão, quer da que fornece acesso à internet, sem o respectivo registro e autenticação, através de protocolo de autenticação seguro.
Art. 23. A STIC analisará, de acordo com a conveniência e oportunidade, a necessidade de criação de redes sem fio para fins específicos.
Art. 24. Quando houver comprometimento da segurança ou desligamento do agente público deverá ser solicitado o bloqueio da conta de acesso.
Parágrafo único. O responsável por solicitar o bloqueio previsto no caput deste artigo e por verificar se o Termo de Responsabilidade constante do Anexo desta Instrução Normativa foi assinado será:
I - O fiscal de contrato, no caso dos terceirizados sob sua responsabilidade;
II – A SGP ou responsável pelo setor ou seu substituto no caso dos demais servidores, logo que tiver conhecimento.
Art. 25. O uso indevido do serviço de rede sem fio que comprometa sua disponibilidade ou segurança acarretará o bloqueio da conta do usuário e dispositivo ao acesso à rede sem fio.
Art. 26. Em nenhuma hipótese será admitido o empréstimo ou o compartilhamento de credenciais de acesso.
Art. 27. Na hipótese de descumprimento do disposto nos arts. 17 ao 26 desta Instrução Normativa, os responsáveis estarão sujeitos às sanções administrativas, cíveis e penais cabíveis, em consonância com art. 41 da resolução TSE 23.501/2016.
Da utilização de sistemas de mensageria da Justiça Eleitoral do Maranhão.
Art. 28. O sistema de correio eletrônico e mensageria da Justiça Eleitoral do Maranhão não deve ser utilizado para a criação ou a distribuição de quaisquer mensagens que não sejam compatíveis com as atribuições dos usuários, incluindo as que contenham injúrias e comentários depreciativos sobre raça, idade, deficiência física ou mental, orientação sexual, pornografia, crença e religião, política ou nacionalidade, nem tenham relação com a atividade institucional.
Art. 29. Os sistemas de correio eletrônico e mensageria são serviços corporativos da Justiça Eleitoral do Maranhão e serão mantidos pela STIC, que deverá definir o cliente e o protocolo de mensageria instantânea homologado para a utilização na Justiça Eleitoral do Maranhão.
Art. 30. Todas as mensagens armazenadas no sistema de correio eletrônico e de mensageria da Justiça Eleitoral do Maranhão são passíveis de auditoria, podendo ser rastreadas por softwares específicos para verificação e adequação às normas estabelecidas na Política de Segurança da Informação e na legislação pertinente.
Art. 31. É proibido o envio de spam, correntes ou mensagens que contenham qualquer tipo de software malicioso pelos usuários do sistema de correio eletrônico da Justiça Eleitoral do Maranhão.
Art. 32. A STIC implementará mecanismos para identificação de mensagens que possuam conteúdo infectado por softwares maliciosos ou que ofereçam risco à segurança da informação.
Parágrafo único. Quando forem detectadas mensagens em conformidade com o previsto no caput deste artigo, elas serão excluídas automaticamente ou armazenadas em quarentena.
Art. 33. Caberá à STIC definir e implementar regras de utilização do correio eletrônico e mensageria visando ao bom funcionamento do serviço e à segurança das informações, tais como às relativas à quantidade de destinatários, tamanho máximo das caixas postais, mensagens enviadas e recebidas e tipos permitidos de arquivos anexados às mensagens.
Art. 34. A STIC poderá prover sistemas de mensageria instantânea para a comunicação entre os usuários internos e outros órgãos.
Art. 35. A utilização ou conexão com sistemas de mensageria instantânea de uso público para fins de trabalho como MSN Messenger, Yahoo! Messenger, Google Talk, dentre outros, poderão ser restringidas a critério da CSI.
Art. 36. É de responsabilidade dos usuários realizar manutenção nas suas caixas de armazenamento, a fim de deixá-las sempre disponíveis para recebimento de comunicações.
Art. 37. Poderão ser criadas listas de discussão institucionais, a fim de facilitar a disseminação de informações entre usuários.
Parágrafo único. As listas de discussão, em regra, não receberão e-mails externos à instituição, salvo se houver solicitação formal de secretários, do diretor geral ou de assessor da Corregedoria.
Art. 38. O envio de mensagens para listas de discussão da Justiça Eleitoral do Maranhão restringir-se-á a assuntos de interesse geral.
Art. 39. A administração das listas de discussão será de responsabilidade do responsável pelo Setor.
Art. 40. As contas de correio eletrônico serão formadas em regra pelo nome, seguido de ponto e último sobrenome, sendo permitidas sugestões do usuário desde que não fira a regra estabelecida.
Parágrafo único. Caso a forma padrão incorra em homonímia com conta já existente, será escolhida forma alternativa do seguinte modo:
I - Nome, seguido de ponto e de letras iniciais do prenome e o último sobrenome completo; e
II - Nome, seguido por ponto e letras iniciais acrescido do último sobrenome e um número sequencial.
Art. 41. A criação de conta de correio eletrônico será automática quando da criação da conta para acesso à rede de computadores e atenderá aos mesmos requisitos especificados para criação de conta de acesso à rede uma vez que, será a mesma conta utilizada no serviço de correio eletrônico.
Art. 42. Em nenhuma hipótese será admitido o empréstimo ou o compartilhamento de credenciais de acesso.
Art. 43. Na hipótese de descumprimento do disposto nos arts. 28 ao 42 desta Instrução Normativa, os responsáveis estarão sujeitos às sanções administrativas, cíveis e penais cabíveis, em consonância com art. 41 da resolução TSE 23.501/2016.
Do acesso a sistemas de informação da Justiça Eleitoral do Maranhão
Art. 44. O TRE-MA designará para cada sistema de informação antes do início de seu desenvolvimento ou implantação, um servidor efetivo e seu substituto ou um grupo de servidores denominado Gestor Demandante de Sistemas de Informação.
Art. 45. O Gestor Demandante de Sistemas de Informação será responsável por:
I - Operacionalizar a criação, manutenção, bloqueio e exclusão de contas nos sistemas que possuírem módulo específico para realizar tais operações;
II - Definir o perfil, ou perfis, de acesso ao sistema em que cada usuário deverá ser incluído, bem como determinar as mudanças de perfil que se fizerem necessárias;
III - Definir os requisitos funcionais e não-funcionais do sistema;
IV - Conhecer os requisitos de segurança do sistema e as implicações e impactos de cada permissão concedida, com a finalidade de garantir que o usuário tenha acesso limitado às ações e informações de que precisa para desempenhar suas atividades; e
IV – Gerenciar as permissões nos sistemas de informações utilizados na Justiça Eleitoral do Maranhão.
Art. 46. Toda solicitação de permissão para acesso, criação, bloqueio e exclusão de contas de usuários a sistemas de informação deverá ser realizada através de abertura de chamado na CENTRAL-TI, que encaminhará solicitação ao Gestor Demandante de Sistema de Informação.
§ 1º Caso o sistema não possua módulo específico de gerenciamento de contas, o Gestor Demandante de Sistema de Informação devolverá o chamado à CENTRAL-TI, fornecendo as informações necessárias para realização da operação solicitada.
§ 2º A CENTRAL-TI somente atenderá solicitações de criação e manutenção de contas de acesso a sistemas de informação que sejam autorizadas pelos Gestores de Sistema de Informação.
Art. 47. O Gestor de Sistema de Informação poderá indicar data para a expiração automática de contas de acesso temporária, caso contrário, competir-lhe-á solicitar a revogação de autorização, ao término do tempo previsto para a utilização do sistema pelo usuário temporário.
Art. 48. Quando do primeiro acesso ao sistema o usuário deverá obrigatoriamente tomar ciência das regras de uso estipuladas nas normas vigentes.
Art. 49. Eventual desligamento ou mudança de lotação/atribuição ou afastamento o Gestor de Sistemas de Informação será informado, para efeito de cancelamento da conta de acesso ao sistema ou a alteração de perfil:
I – Pelo fiscal de contrato, no caso de terceirizados sob sua responsabilidade; e
II – Pela SGP, no caso dos demais agentes públicos.
Art. 50. Os dados necessários para efetivação do acesso ao sistema são definidos pelo Gestor de Sistema de Informação e serão informados a CENTRAL-TI quando da solicitação de criação da conta.
Art. 51. A autorização para acesso a sistemas de informação não implicará a criação automática de conta de acesso à rede da Justiça Eleitoral do Maranhão ou de conta de e-mail institucional.
§ 1º Para o fim do previsto no caput deste artigo, in fine, deverá ser observado o disposto na seção do acesso à rede local da Justiça Eleitoral do Maranhão.
§ 2º Em nenhuma hipótese será admitido o empréstimo ou compartilhamento de credenciais de acesso aos sistemas, pelos quais responderá administrativa e penalmente o titular das credenciais de acesso.
Do acesso à intranet e à internet
Art. 52. Os acessos ao portal e aos demais serviços disponíveis na intranet da Justiça Eleitoral do Maranhão serão efetuados, preferencialmente, através da rede local da instituição.
Art. 53. O acesso à internet deverá ser realizado preferencialmente no interesse da Instituição.
Art. 54. Os acessos a sites e serviços disponíveis na internet serão controlados por filtros de conteúdo e reguladores de tráfego implementados nos dispositivos de segurança da rede da Justiça Eleitoral do Maranhão.
Parágrafo único. A operacionalização das atividades descritas no caput deste artigo é de responsabilidade da SERED.
Art. 55. Compete à STIC:
I - Implementar, de acordo com a necessidade, mecanismos de regulação de tráfego no acesso a serviços de maior consumo de banda, de forma a preservar a disponibilidade da rede e priorização de acesso a sistemas de informação;
II - Implementar sistemas de monitoramento de tráfego que permita a emissão de relatórios gerenciais que demonstrem o uso da internet, ficando vedada a divulgação de dados de acesso individualizado, que poderão ser fornecidos à superior hierárquico mediante solicitação formal; e
III - fazer ajustes temporários no controle de banda da internet para viabilizar eventos específicos como videoconferências ou bloqueios em casos de contramedida a incidentes de segurança.
Art. 56. Os titulares das unidades da Justiça Eleitoral do Maranhão poderão:
I - Solicitar aplicação de filtros de acesso à internet para os usuários das suas unidades, com base nas categorias de conteúdo fornecidas pela STIC; e
II - Solicitar medidas de ajustes e restrições em caso de mau uso do recurso.
Parágrafo único. As solicitações de criação ou alteração nas permissões de acesso ou aplicações de perfis e restrições deverão ser realizadas através de abertura de chamado junto à CENTRAL-TI.
Art. 57. É vedada a utilização da internet para:
I - Acessar sites com códigos maliciosos e vírus de computador;
II - Acessar sites com materiais pornográficos, atentatórios à moral e aos bons costumes ou ofensivos;
III - Acessar sites ou arquivos que contenham conteúdo criminoso ou ilegal, ou que façam sua apologia, incluindo os de pirataria;
IV - Acessar sites ou arquivos com conteúdo de incitação à violência, que não respeitem os direitos autorais ou que visem a objetivos comerciais particulares;
V - Realizar download de arquivos não relacionados às necessidades de trabalho do TRE-MA, em especial arquivos que contenham materiais ilegais ou que não respeitem os direitos autorais;
VI - Realizar atividades relacionadas a jogos eletrônicos pela internet; e
VII - Transferir e armazenar informações classificadas como sigilosas ou restritas do TRE-MA em sites com os quais não haja um contrato ou acordo de responsabilidade estabelecido com o TRE-MA.
Art. 58. Todas as operações de acesso realizadas serão registradas para fins de auditoria e deverão ser armazenadas por pelo menos 1 ano.
Art. 59. Em nenhuma hipótese será admitido burlar ou tentar burlar os filtros de conteúdo ou restrições de acesso à internet, utilizando-se de mecanismos de proxys externos, como free proxys, sob pena de responsabilização administrativa e penal.
Do acesso à rede privada virtual (VPN)
Art. 60. A criação de contas e a concessão/revogação de permissões de acesso à VPN obedecerão, no que couber, ao disposto na seção “Do acesso à rede local da Justiça Eleitoral do Maranhão”.
Art. 61. O acesso à VPN deverá ser estritamente vinculado ao exercício das atividades funcionais do usuário.
Art. 62. A solicitação para criação de acesso à VPN deverá ser feita pelo interessado com anuência do chefe imediato e encaminhada à Central-TI, com a devida justificação, informando especificamente a necessidade de uso, para que seja aprovada pelo Secretário de TIC.
Parágrafo único. Excepcionalmente poderá ser criada conta de acesso temporária para prestadores de suporte que necessitem de acesso remoto, a qual deverá ser autorizada expressamente pelo Secretário da STIC e cancelada tão logo cesse a necessidade.
Art. 63. Todo acesso deverá ser feito de forma autenticada com duplo fator de autenticação.
Art. 64. Todo computador utilizado para acesso à rede VPN será fornecido pelo TRE-MA.
Parágrafo único: Este dispositivo deverá obedecer a requisitos mínimos de segurança, que serão definidos pela STIC, como atualização de segurança, antivírus, SIS.
Art. 65. Apenas poderão ser utilizados como clientes VPN os softwares ou equipamentos que forem homologados pela STIC.
Art. 66. Os equipamentos utilizados para acesso à VPN, serão considerados uma extensão da rede da Justiça Eleitoral do Maranhão e, portanto, estarão sujeitos à Política de Segurança da Informação e a todos os normativos a ela concernentes.
Art. 67. Qualquer modificação na configuração dos clientes VPN que desrespeite os requisitos de segurança estabelecidos pela STIC e comprometa a segurança do acesso ensejará o bloqueio da conta e do dispositivo de acesso.
Art. 68. O acesso à VPN será monitorado pela STIC, que poderá encerrar qualquer conexão que esteja prejudicando o acesso de clientes prioritários.
Art. 69. Por motivos de segurança, a STIC poderá suspender o serviço de VPN sem prévio aviso.
Art. 70. É de responsabilidade do usuário da VPN:
I - Zelar pelo bom uso de seu acesso à VPN, assegurando que outras pessoas não utilizarão para acessar a rede interna da Justiça Eleitoral do Maranhão;
II - Encerrar suas sessões após o uso;
III - Permanecer conectado apenas pelo tempo necessário para a execução das suas tarefas;
IV - Informar aos setores competentes sobre qualquer problema de segurança detectado; e
V - Utilizar o acesso apenas em equipamentos homologados pela STIC.
Art. 71. A validade do acesso à VPN será de 3 (três) meses, cabendo obrigatoriamente ao usuário solicitar a revalidação do seu acesso junto à CENTRAL-TI.
Art. 72. Após a liberação do acesso solicitado, a CENTRAL-TI deverá informar ao solicitante as instruções de uso para acesso a VPN.
Art. 73. Em nenhuma hipótese será admitido o empréstimo ou o compartilhamento de credenciais de acesso VPN, sob pena de responsabilização administrativa e penal.
Da utilização de celular corporativo
Art. 74. O TRE-MA poderá disponibilizar celulares para seus servidores em conformidade com as necessidades funcionais do trabalho;
§ 1º Estes dispositivos deverão passar por processo de homologação realizado por equipe técnica da STIC, onde serão cadastrados, receberão identificação única e terão suas configurações adequadas pelo menos aos padrões de segurança estabelecidos nesta instrução normativa, a fim de serem incorporados à rede da Justiça Eleitoral do Maranhão.
§ 2º Quando houver desligamento do servidor ou substituição do aparelho, a chefia imediata deverá solicitar à CENTRAL-TI que sejam realizados os procedimentos de adequação às boas práticas de segurança desta instrução normativa.
§ 3º Fica proibida a instalação de aplicativos ou alterar configurações de segurança nestes dispositivos móveis sem que sejam das lojas oficiais, exceto para aplicativos desenvolvidos por órgãos públicos.
Boas práticas para utilização de celulares corporativos
Art. 75. As unidades da Justiça Eleitoral do Maranhão deverão seguir pelo menos as seguintes práticas no que diz respeito a celulares corporativos:
§ 1º Para utilização:
I – Os usuários deverão evitar a conexão e uso em redes públicas;
II – Manter as conexões de comunicação, como bluetooth e infravermelho, desabilitadas sempre que não for necessário;
III – Manter o sigilo das suas credenciais de acesso aos dispositivos móveis;
IV - Manter o sistema operacional e as aplicações instaladas sempre com a versão mais recente e com todas as atualizações aplicadas;
V – Ficar atento às notícias veiculadas no site do fabricante, principalmente as relacionadas à segurança;
VI - Ser cuidadoso ao instalar aplicações desenvolvidas por terceiros, como complementos, extensões e plug-ins. Procurar usar aplicações de fontes confiáveis e que sejam bem avaliadas pelos usuários; e
VII – Instalação de antivírus e sistema que permita gerenciamento remoto, como obtenção de localização e formatação remota.
§ 2º Para aquisição:
I - O dispositivo não deve estar descontinuado pelo fabricante e ter garantia de distribuição de atualizações de segurança pelo tempo de uso pela Justiça Eleitoral;
II - O dispositivo não deve ter sido ilegalmente desbloqueado (jailbreak) ou ter suas permissões de acesso modificadas
§ 3º Para proteção física e de dados:
I – Realizar cópias de segurança (backup) periódicos dos dados nele gravados;
II – Manter controle físico sobre o dispositivo móvel, principalmente em ambientes públicos;
III – Utilizar senha de acesso que siga pelo menos o padrão definido nesta instrução normativa;
IV – Configurar dispositivo para se apagado (formatado) após cinco tentativas de desbloqueio sem sucesso;
§ 4º Para desfazimento:
I – Realizar cópias de segurança;
II - Apagar todas as informações contidas em memória interna e externa, utilizando software que apagam arquivos definitivamente;
III – Restaurar dispositivo para configuração de fábrica.
§ 5º Em caso de perda ou furto:
I - Informar a operadora e solicitar o bloqueio;
II – Informar à SERED para alterar as senhas que estejam configuradas nos serviços instalados; e
III – acionar funcionalidade para formatação remota do dispositivo.
Da exclusão de contas de usuários.
Art. 76. As contas de usuários de rede, sistemas, banco de dados, correio eletrônico, etc. poderão ser apagadas após 5 anos de inatividade.
Parágrafo único. Antes da exclusão definitiva o setor competente deverá dar amplo conhecimento na intranet das contas de usuários que serão apagadas dando prazo de 1 mês para manifestação em contrário.
Art. 77. Esta Instrução Normativa entra em vigor na data de sua publicação.
Certifique-se. Publique-se. Cumpra-se.
Luann de Matos Oliveira Soares
Diretor-Geral
Este ato não substitui o publicado no DJE nº 227 de 01.12.2021, p. 02-11.