Tribunal Regional Eleitoral - MA
Secretaria Judiciária
Coordenadoria Apoio ao Pleno, Gestão Processual e Documental
Seção de Gestão Documental
INSTRUÇÃO NORMATIVA Nº 11, DE 22 DE AGOSTO DE 2022
Dispõe sobre regras e procedimentos gerais para acesso às áreas de rede e aos sistemas e ativos de informação, nos termos da Resolução TRE-MA nº 9.888, de 2021, que adota a Resolução TSE nº 23.644, de 2021, como Política de Segurança da Informação do TRE-MA.
A PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DO MARANHÃO, no uso das atribuições que lhe são conferidas pelo art. 29, XXXVIII, do Regimento Interno deste Tribunal, e
CONSIDERANDO a Resolução TSE nº 23.644, de 2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;
CONSIDERANDO a Portaria TRE-MA nº 1647/2021, de 14 de dezembro de 2021, que reconstitui a CSI, a Resolução TRE-MA nº 9.888, de 2021, que adota a Resolução TSE nº 23.644, de 2021, como PSI do TRE-MA;
CONSIDERANDO a Portaria TRE-MA nº 939, de 2022, que cria a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR);
CONSIDERANDO a Portaria TRE-MA nº 736, de 2017, que nomeia Gestor de Segurança da Informação para o TRE-MA,
RESOLVE;
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 1º Esta Instrução Normativa dispõe sobre regras e procedimentos gerais para acesso às áreas de rede e aos sistemas e ativos de informação, nos termos da Resolução TRE-MA nº 9.888, de 2021, que adota a Resolução TSE nº 23.644, de 2021, como Política de Segurança da Informação do TRE-MA.
Art. 2º Para fins desta Instrução Normativa entende-se por:
I - agente público (a): magistrados (as), promotores (as), servidores (as), requisitados (as), estagiários (as), menores aprendizes e prestadores (as) de serviço que estejam exercendo atividades no âmbito da Justiça Eleitoral do Maranhão;
II - titular da unidade: Presidente, Corregedor (a), Diretor (a) Geral, Secretários (as), Coordenadores (as), chefes de seção ou seus (suas) substitutos (as);
III – Central TI: unidade destinada ao atendimento dos (as) usuários (as) dos serviços de Tecnologia da Informação (TI);
IV - recursos de TI: todo equipamento ou dispositivo que utilize tecnologia da informação, bem como qualquer recurso ou informação que seja acessível através desses equipamentos ou dispositivos tecnológicos, tais como computadores, servidores de rede, impressoras, sistemas, programas, softwares, acessos à rede local, internet, VPN, pendrives, smartcards, tokens, smartphones, modems sem fio, desktops, pastas compartilhadas na rede;
V - CSI: Comissão de Segurança da Informação da Justiça Eleitoral do Maranhão, criada pela Portaria TRE-MA º 1647/2021, de 14 de dezembro de 2021, com atribuições definidas pela Resolução nº 23.644, de 2021;
VI - ETIR: Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais da Justiça Eleitoral do Maranhão, criada pela Portaria TRE-MA nº 939, de 2022, com atribuições definidas pela Resolução TSE nº 23.644, de 2021;
VII – gestor (a) de sistema de informação: agente público (a) oficialmente designado (a) como gestor (a) de determinado sistema de informação;
VIII - sistema de informação: aplicação da tecnologia da informação que dá apoio às atividades de determinada área de conhecimento, visando otimizar as operações, o gerenciamento e a decisão, trabalhando os dados e transformando-os em informação;
IX - credenciais de acesso: conjunto composto pelo token com certificado digital, nome de conta e respectiva senha, utilizada para ingresso ou acesso (login) em equipamentos, rede ou sistema;
X - rede local: conjunto de recursos compartilhados através dos ativos de rede e computadores clientes, por onde circulam as informações corporativas da Justiça Eleitoral do Maranhão;
XI - rede sem fio: sistema que interliga equipamentos utilizando o ar como meio de transmissão através de ondas eletromagnéticas;
XII - ponto de acesso sem fio: equipamento que compõe uma rede sem fio, concentrando as conexões de um ou mais equipamentos;
XIII - sistemas de mensageria: sistemas que permitem o envio e a recepção de mensagens de correio eletrônico ou de mensagens instantâneas entre usuários (as), dentro e fora de uma instituição;
XIV - VPN – Rede Privada Virtual: rede que permite realizar conexões à rede interna da instituição de uma forma segura, possibilitando a realização de atividades e a utilização de sistemas como se estivesse conectado fisicamente a ela;
XV - clientes prioritários: aqueles que atendem ao eleitor, tais como, cartórios eleitorais, postos de atendimento de transmissão de boletins de urna; e
XVI – SIS: subsistema de segurança desenvolvido pela empresa Módulo.
Art. 3º Esta Instrução Normativa será atualizada sempre que necessário, segundo as necessidades da Justiça Eleitoral do Maranhão e a evolução tecnológica do parque de TI.
Parágrafo único. As atualizações a que se refere o caput deste artigo ocorrerão no todo ou em parte, em intervalo máximo de 2 (dois) anos, levando-se em conta a modularidade da Política de Segurança da Informação de que trata esta Instrução, e deverão ser submetidas à aprovação da CSI.
CAPÍTULO II
DO ACESSO À REDE LOCAL DA JUSTIÇA ELEITORAL DO MARANHÃO
Art. 4º Toda solicitação de criação, manutenção ou exclusão de contas de acesso e de concessão ou revogação de permissão de acesso em áreas da rede, será feita mediante abertura de chamado na Central TI.
Art. 5º O (A) responsável pela solicitação de criação de novas contas de acesso à rede será:
I – Secretaria de Gestão de Pessoas (SGP): quando se tratar de magistrados (as), promotores (as), servidores (as), requisitados (as), estagiários (as) ou menor aprendiz, que deverá informar o número do título eleitoral, nome completo do (a) agente, sua lotação, matrícula e vigência, se for o caso; e
II - fiscal de contrato: quando se tratar de contratados (as), informando o número do título, o nome completo do (a) interessado (a), sua lotação ou unidade de atuação, a vigência do contrato, o nome da empresa contratada, com o respectivo número de matrícula do (a) funcionário (a) na empresa ou outro documento.
§ 1º As contas de agentes públicos (as) que exerçam atividade por prazo determinado serão configuradas para expiração automática ao término da vigência informada do contrato.
§ 2º Os (As) servidores (as) removidos (as), cedidos (as) e aposentados (as) terão suas contas ativas e sem prazo de validade em virtude de necessitarem acessar serviços na intranet.
Art. 6º O (A) responsável por solicitar a liberação/concessão ou restrição/remoção de privilégios de acesso às áreas de rede e por verificar se o Termo de Responsabilidade constante do Anexo a esta Instrução Normativa foi assinado digitalmente será:
I – o (a) fiscal de contrato, no caso dos (as) terceirizados (as) sob sua responsabilidade; e
II - o (a) responsável pelo setor ou seu (sua) substituto (a), no caso dos (as) demais servidores (as).
Art. 7º O (A) responsável por informar ao setor competente, por meio da Central TI, eventual desligamento ou mudança de lotação, para efeitos de bloqueio/remoção de contas será:
I - a SGP: para magistrados (as), promotores (as), servidores (as), requisitados (as), estagiários (as) ou menor aprendiz; e
II - fiscal de contrato: para os (as) terceirizados (as) sob sua responsabilidade.
Art. 8º Não haverá identificação genérica e de uso compartilhado para acesso aos recursos da rede, exceto em caso de necessidade justificada e à vista de parecer da CSI, no tocante à possibilidade de aceitação dos riscos associados.
Art. 9º Toda conta de acesso terá uma senha associada e atenderá ao seguinte:
I - será trocada pelo (a) usuário (a) no primeiro acesso;
II - possuirá no mínimo 12 (doze) caracteres;
III - conterá caracteres de três das seguintes categorias:
a) letras maiúsculas (A a Z);
b) letras minúsculas (a a z);
c) dígitos (0 a 9);
d) caracteres não alfanuméricos (caracteres especiais): (~!@#$%^&*_-+='|\() {} []:;"' <>,.? /).
IV - terá validade de 180 (cento e oitenta) dias;
V - não utilizará as 3 (três) últimas senhas; e
VI - poderá ser bloqueada ou desativada se permanecer inativa por período superior a 90 (noventa) dias ou se forem detectadas mais de 5 (cinco) tentativas malsucedidas de acesso.
Parágrafo único. Após o período de validade, automaticamente será solicitado ao (à) usuário(a) que proceda à troca de senha, salvo em casos específicos, quando a mudança será feita por interveniência da Secretaria de Tecnologia da Informação e Comunicação (STIC).
Art. 10. A conta de acesso à rede será em regra o título de eleitor, salvo para menor aprendiz, que será o CPF, se ainda não tiver título de eleitor.
Art. 11. No ato de criação de conta de acesso à rede, será automaticamente criada conta de correio eletrônico correspondente, bem como de outros serviços que utilizem a mesma base de dados de autenticação.
Art. 12. A Central TI deverá informar a criação da conta de acesso ao (à) solicitante e ao (à) proprietário (a) , e a este (a), a senha de acesso inicial, juntamente com as instruções para a sua alteração.
Art. 13. O (A) proprietário(a) da conta deverá zelar pelo seu bom uso, guardando a confidencialidade das suas senhas, solicitando alteração em caso de extravio, perda, roubo, uso não autorizado de sua conta de acesso ou quebra de segurança.
Art. 14. Em nenhuma hipótese será admitido o empréstimo ou o compartilhamento de credenciais de acesso.
Art. 15. O (A) proprietário (a) da conta será responsabilizado (a) pelo mau uso que dela fizer, até prova em contrário.
Art. 16. Na hipótese de descumprimento do disposto nos arts. 4º a 15 desta Instrução Normativa, tanto o (a) titular quanto quem utilizou as suas credenciais indevidamente estarão sujeitos (as) às sanções administrativas, cíveis e penais cabíveis, em consonância com o art. 41 da Resolução TSE 23.501, de 2016.
CAPÍTULO III
DA UTILIZAÇÃO DO SISTEMA DE REDE SEM FIO
Art. 17. As regras para acesso à rede sem fio abrangem todos os dispositivos de comunicação de dados sem fio, como servidores de rede, notebooks, smartphones, microcomputadores, impressoras, conectados à rede interna da Justiça Eleitoral do Maranhão.
Art. 18. Os equipamentos de rede sem fio da Justiça Eleitoral do Maranhão, incluindo controladores, softwares e pontos de acesso, farão parte de uma solução corporativa.
§ 1º Todas as operações realizadas nos equipamentos da solução corporativa serão de responsabilidade da STIC, que fará testes periódicos de invasão e auditoria.
§ 2º Caso haja necessidade de instalação ou utilização de redes sem fio nas dependências de unidades do TRE que não façam parte da solução corporativa, esta nova rede deverá ser aprovada pelo (a) Diretor (a) Geral após parecer da STIC.
Art. 19. É vedado a conexão de dispositivos particulares de comunicação de dados sem fio à rede local da Justiça Eleitoral do Maranhão, salvo expressa autorização do (a) Diretor (a) Geral.
Parágrafo único. As conexões dos dispositivos citados no caput deste artigo serão avaliadas pela STIC em relação aos requisitos de segurança e à conectividade de acesso.
Art. 20. Os dispositivos conectados à rede da Justiça Eleitoral do Maranhão através de conexão sem fio deverão utilizar mecanismo de segurança WPA-2 ou superior, além de suportar autenticação forte, com possibilidade de efetuar checagens em bancos de dados externos como RADIUS ou similar.
Art. 21. Todo o acesso à rede da Justiça Eleitoral do Maranhão será monitorado e registrado em log e guardado pelo período de um (1) ano para futuras auditorias e investigações.
Art. 22. A forma de acesso à rede sem fio da Justiça Eleitoral do Maranhão será definida e implementada pela STIC, devendo ser realizada através de identificador único para o(a) usuário(a).
§ 1º Deverá ser mantido um registro que possibilite a identificação do dispositivo a partir do qual foi feita a conexão.
§ 2º Não será permitido o acesso direto a qualquer rede sem fio, seja da rede sem fio interna da Justiça Eleitoral do Maranhão, seja da que fornece acesso à internet, sem o respectivo registro e autenticação, através de protocolo de autenticação seguro.
Art. 23. A STIC analisará, de acordo com a conveniência e oportunidade, a necessidade de criação de redes sem fio para fins específicos.
Art. 24. Quando houver comprometimento da segurança ou desligamento do (a) agente público (a) deverá ser solicitado o bloqueio da conta de acesso.
Parágrafo único. O (A) responsável por solicitar o bloqueio previsto no caput deste artigo e por verificar se o Termo de Responsabilidade constante do Anexo desta Instrução Normativa foi assinado será:
I - o (a) fiscal de contrato: no caso dos (as) terceirizados (as) sob sua responsabilidade;
II – a SGP ou responsável pelo setor ou seu (sua) substituto(a): no caso dos (as) demais servidores (as), logo que tiver conhecimento.
Art. 25. O uso indevido do serviço de rede sem fio que comprometa sua disponibilidade ou segurança acarretará o bloqueio da conta do (a) usuário (a) e dispositivo ao acesso à rede sem fio.
Art. 26. Em nenhuma hipótese será admitido o empréstimo ou o compartilhamento de credenciais de acesso.
Art. 27. Na hipótese de descumprimento do disposto nos arts. 17 ao 26 desta Instrução Normativa, os (as) responsáveis estarão sujeitos (as) às sanções administrativas, cíveis e penais cabíveis, em consonância com o art. 41 da resolução TSE 23.501. de 2016.
CAPÍTULO IV
DA UTILIZAÇÃO DE SISTEMAS DE MENSAGERIA DA JUSTIÇA ELEITORAL DO MARANHÃO
Art. 28. O sistema de correio eletrônico e mensageria da Justiça Eleitoral do Maranhão não deve ser utilizado para a criação ou a distribuição de quaisquer mensagens que não sejam compatíveis com as atribuições dos (as) usuários (as), incluindo as que contenham injúrias e comentários depreciativos sobre raça, idade, deficiência física ou mental, orientação sexual, pornografia, crença e religião, política ou nacionalidade; nem tenham relação com a atividade institucional.
Art. 29. Os sistemas de correio eletrônico e mensageria são serviços corporativos da Justiça Eleitoral do Maranhão e serão mantidos pela STIC, que deverá definir o cliente e o protocolo de mensageria instantânea homologado para a utilização na Justiça Eleitoral do Maranhão.
Art. 30. Todas as mensagens armazenadas no sistema de correio eletrônico e de mensageria da Justiça Eleitoral do Maranhão são passíveis de auditoria, podendo ser rastreadas por softwares específicos para verificação e adequação às normas estabelecidas na PSI e na legislação pertinente.
Art. 31. É proibido o envio de spam, correntes ou mensagens que contenham qualquer tipo de software malicioso pelos (as) usuários (as) do sistema de correio eletrônico da Justiça Eleitoral do Maranhão.
Art. 32. A STIC implementará mecanismos para identificação de mensagens que possuam conteúdo infectado por softwares maliciosos ou que ofereçam risco à segurança da informação.
Parágrafo único. Quando forem detectadas mensagens em conformidade com o previsto no caput deste artigo, elas serão excluídas automaticamente ou armazenadas em quarentena.
Art. 33. Caberá à STIC definir e implementar regras de utilização do correio eletrônico e mensageria visando ao bom funcionamento do serviço e à segurança das informações, tais como as relativas à quantidade de destinatários (as), tamanho máximo das caixas postais, mensagens enviadas e recebidas e tipos permitidos de arquivos anexados às mensagens.
Art. 34. A STIC poderá prover sistemas de mensageria instantânea para a comunicação entre os (as) usuários (as) internos (as) e outros órgãos.
Art. 35. A utilização ou conexão com sistemas de mensageria instantânea de uso público para fins de trabalho como MSN Messenger, Yahoo! Messenger, Google Talk, dentre outros, poderão ser restringidas a critério da CSI.
Art. 36. É de responsabilidade dos (as) usuários (as) realizar manutenção nas suas caixas de armazenamento, a fim de deixá-las sempre disponíveis para recebimento de comunicações.
Art. 37. Poderão ser criadas listas de discussão institucionais, a fim de facilitar a disseminação de informações entre usuários (as).
Parágrafo único. As listas de discussão, em regra, não receberão e-mails externos à instituição, salvo se houver solicitação formal de Secretários (as), do(a) Diretor(a) Geral ou de Assessor(a) da Corregedoria.
Art. 38. O envio de mensagens para listas de discussão da Justiça Eleitoral do Maranhão restringir-se-á a assuntos de interesse geral.
Art. 39. A administração das listas de discussão competirá ao responsável pelo Setor.
Art. 40. As contas de correio eletrônico serão formadas, em regra, pelo nome, seguido de ponto e último sobrenome, sendo permitidas sugestões do(a) usuário (a), desde que não fira a regra estabelecida.
Parágrafo único. Caso a forma padrão incorra em homonímia com conta já existente, será escolhida forma alternativa, do seguinte modo:
I - nome, seguido de ponto e de letras iniciais do prenome e o último sobrenome completo; e
II - nome, seguido por ponto e letras iniciais acrescido do último sobrenome e um número sequencial.
Art. 41. Criada a conta de acesso à rede, esta também funcionará como conta de correio eletrônico, visto que ambas possuem os mesmos requisitos.
Art. 42. Em nenhuma hipótese será admitido o empréstimo ou o compartilhamento de credenciais de acesso.
Art. 43. Na hipótese de descumprimento do disposto nos arts. 28 ao 42 desta Instrução Normativa, os (as) responsáveis estarão sujeitos (as) às sanções administrativas, cíveis e penais cabíveis, em consonância com o art. 41 da Resolução TSE 23.501, de 2016.
CAPÍTULO V
DO ACESSO A SISTEMAS DE INFORMAÇÃO DA JUSTIÇA ELEITORAL DO MARANHÃO
Art. 44. O TRE-MA designará, para cada sistema de informação, antes do início de seu desenvolvimento ou implantação, um(a) servidor (a) efetivo(a) e seu (sua) substituto(a) ou um grupo de servidores (as) denominado (a) Gestor(a) Demandante de Sistemas de Informação.
Art. 45. O (A) Gestor(a) Demandante de Sistemas de Informação será responsável por:
I - operacionalizar a criação, manutenção, bloqueio e exclusão de contas nos sistemas que possuírem módulo específico para realizar tais operações;
II - definir o perfil, ou perfis, de acesso ao sistema em que cada usuário(a) deverá ser incluído(a), bem como determinar as mudanças de perfil que se fizerem necessárias;
III - definir os requisitos funcionais e não-funcionais do sistema;
IV - conhecer os requisitos de segurança do sistema e as implicações e impactos de cada permissão concedida, com a finalidade de garantir que o(a) usuário (a) tenha acesso limitado às ações e informações de que precisa para desempenhar suas atividades; e
V – gerenciar as permissões nos sistemas de informações utilizados na Justiça Eleitoral do Maranhão.
Art. 46. Toda solicitação de permissão para acesso, criação, bloqueio e exclusão de contas de usuários (as) a sistemas de informação deverá ser realizada através de abertura de chamado na Central TI, que encaminhará a solicitação ao (à) Gestor(a) Demandante de Sistema de Informação.
§ 1º Caso o sistema não possua módulo específico de gerenciamento de contas, o (a) Gestor (a) Demandante de Sistema de Informação devolverá o chamado à Central TI, fornecendo as informações necessárias para realização da operação solicitada.
§ 2º A Central TI somente atenderá solicitações de criação e manutenção de contas de acesso a sistemas de informação que sejam autorizadas pelos (as) Gestores (as) de Sistema de Informação.
Art. 47. O (A) Gestor (a) de Sistema de Informação poderá indicar data para a expiração automática de contas de acesso temporária, caso contrário, competir-lhe-á solicitar a revogação de autorização, ao término do tempo previsto para a utilização do sistema pelo (a) usuário(a) temporário(a).
Art. 48. Quando do primeiro acesso ao sistema o (a) usuário (a) deverá obrigatoriamente tomar ciência das regras de uso estipuladas nas normas vigentes.
Art. 49. Em caso de desligamento ou mudança de lotação/atribuição ou afastamento do (a) servidor (a), o (a) Gestor(a) de Sistemas de Informação será informado (a), para efeito de cancelamento da conta de acesso ao sistema ou alteração de perfil:
I – pelo (a) fiscal de contrato: no caso de terceirizados (as) sob sua responsabilidade; e
II – pela SGP: no caso dos (as) demais agentes públicos (as).
Art. 50. Os dados necessários para efetivação do acesso ao sistema são definidos pelo (a) Gestor (a) de Sistema de Informação e serão informados à Central TI, quando da solicitação de criação da conta.
Art. 51. A autorização para acesso a sistemas de informação não implicará a criação automática de conta de acesso à rede da Justiça Eleitoral do Maranhão ou de conta de e-mail institucional.
§ 1º Para o fim do previsto no caput deste artigo, in fine, deverá ser observado o disposto no Capítulo II desta Instrução Normativa.
§ 2º Em nenhuma hipótese será admitido o empréstimo ou compartilhamento de credenciais de acesso aos sistemas, pelas quais responderá administrativa e penalmente seu titular.
CAPÍTULO VI
DO ACESSO À INTERNET E À INTRANET
Art. 52. Os acessos ao portal e aos demais serviços disponíveis na intranet da Justiça Eleitoral do Maranhão serão efetuados, preferencialmente, através da rede local da instituição.
Art. 53. O acesso à internet deverá ser realizado preferencialmente no interesse da Instituição.
Art. 54. Os acessos a sites e serviços disponíveis na internet serão controlados por filtros de conteúdo e reguladores de tráfego implementados nos dispositivos de segurança da rede da Justiça Eleitoral do Maranhão.
Parágrafo único. A operacionalização das atividades descritas no caput deste artigo é de responsabilidade da Seção de Gestão de Redes (SERED).
Art. 55. Compete à STIC:
I - implementar, de acordo com a necessidade, mecanismos de regulação de tráfego no acesso a serviços de maior consumo de banda, de forma a preservar a disponibilidade da rede e priorização de acesso a sistemas de informação;
II - implementar sistemas de monitoramento de tráfego que permita a emissão de relatórios gerenciais que demonstrem o uso da internet, ficando vedada a divulgação de dados de acesso individualizado, que poderão ser fornecidos à superior hierárquico mediante solicitação formal; e
III - fazer ajustes temporários no controle de banda da internet para viabilizar eventos específicos como videoconferências ou bloqueios em casos de contramedida a incidentes de segurança.
Art. 56. Os (As) titulares das unidades da Justiça Eleitoral do Maranhão poderão:
I - solicitar aplicação de filtros de acesso à internet para os (as) usuários (as) das suas unidades, com base nas categorias de conteúdo fornecidas pela STIC; e
II - solicitar medidas de ajustes e restrições em caso de mau uso do recurso.
Parágrafo único. As solicitações de criação ou alteração nas permissões de acesso ou aplicações de perfis e restrições deverão ser realizadas através de abertura de chamado junto à Central TI.
Art. 57. É vedada a utilização da internet para:
I - acessar sites com códigos maliciosos e vírus de computador;
II - acessar sites com materiais pornográficos, atentatórios à moral e aos bons costumes ou ofensivos;
III - acessar sites ou arquivos que contenham conteúdo criminoso ou ilegal, ou que façam sua apologia, incluindo os de pirataria;
IV - acessar sites ou arquivos com conteúdo de incitação à violência, que não respeitem os direitos autorais ou que visem a objetivos comerciais particulares;
V - realizar download de arquivos não relacionados às necessidades de trabalho do TRE-MA, em especial arquivos que contenham materiais ilegais ou que não respeitem os direitos autorais;
VI - realizar atividades relacionadas a jogos eletrônicos pela internet; e
VII - transferir e armazenar informações classificadas como sigilosas ou restritas do TRE-MA em sites com os quais não haja um contrato ou acordo de responsabilidade estabelecido com o TRE-MA.
Art. 58. Todas as operações de acesso realizadas serão registradas para fins de auditoria e deverão ser armazenadas por pelo menos 1 ano.
Art. 59. Em nenhuma hipótese será admitido burlar ou tentar burlar os filtros de conteúdo ou restrições de acesso à internet, utilizando-se de mecanismos de proxies externos, como free proxies, sob pena de responsabilização administrativa e penal.
CAPÍTULO VII
DO ACESSO À REDE PRIVADA VIRTUAL (VPN)
Art. 60. A criação de contas e a concessão/revogação de permissões de acesso à VPN obedecerão, no que couber, ao disposto no Capítulo II desta Instrução Normativa.
Art. 61. O acesso à VPN deverá ser estritamente vinculado ao exercício das atividades funcionais do(a) usuário(a), sendo bloqueada a sua utilização de segunda a sexta-feira, das 22hs às 6hs; e, nos finais de semana, durante todo o dia.
Parágrafo único. Exceções ao disposto no caput deste artigo deverão ser homologadas pelo(a) Diretor(a) Geral.
Art. 62. A solicitação ou revalidação do acesso à VPN deverá ser realizada pelo(a) gestor(a) máximo de cada unidade através de SEI dirigido à SERED, contendo as seguintes informações: nome do(a) servidor(a) que necessita de acesso, título, matrícula, e-mail externo, justificativa para uso, sistemas e serviços que serão utilizados.
§ 1º A revalidação ocorrerá nos meses de janeiro, abril, julho e outubro, oportunidade em que todas as contas não revalidadas serão bloqueadas por motivo de segurança.
§ 2º Excepcionalmente, o(a) fiscal de contrato poderá solicitar, por meio de SEI direcionado à Coordenadoria de Infraestrutura de Tecnologia da Informação e Comunicação (COINF), conta de acesso temporária para prestadores (as) de suporte que necessitem de acesso remoto, sendo o (a) fiscal responsável por acompanhar a realização do trabalho, não excedendo 12h de acesso contínuo.
§3° A solicitação deve conter as seguintes informações: nome do (a) funcionário(a), titulo, matrícula, e-mail da empresa, justificativa, máquinas que necessitará acessar, dia, hora de início e hora de fim.
Art. 63. Todo acesso deverá ser feito de forma autenticada com duplo fator de autenticação, com envio detokenparae-maildistinto doe-mailfuncional. (Revogado pela INSTRUÇÃO NORMATIVA Nº 10, DE 7 DE AGOSTO DE 2023.)
“Art. 63. Todo acesso deverá ser feito de forma autenticada com duplo fator de autenticação, com geração do código de autenticação (token) via aplicativo para dispositivos móveis (celular/tablet).” NOVA Redação pela (INSTRUÇÃO NORMATIVA Nº 10, DE 7 DE AGOSTO DE 2023.)
Art. 64. Todo computador utilizado para acesso à rede VPN será fornecido pelo TRE-MA.
Parágrafo único. Este dispositivo deverá obedecer a requisitos mínimos de segurança, que serão definidos pela STIC, como atualização de segurança, antivírus, SIS.
Art. 65. Apenas poderão ser utilizados como clientes VPN os softwares ou equipamentos que forem homologados pela STIC.
Art. 66. Os equipamentos utilizados para acesso à VPN serão considerados uma extensão da rede da Justiça Eleitoral do Maranhão e, portanto, estarão sujeitos à PSI e a todos os normativos a ela concernentes.
Art. 67. Qualquer modificação na configuração dos clientes VPN que desrespeite os requisitos de segurança estabelecidos pela STIC e comprometa a segurança do acesso ensejará o bloqueio da conta e do dispositivo de acesso.
Art. 68. O acesso à VPN será monitorado pela STIC, que poderá encerrar qualquer conexão que esteja prejudicando o acesso de clientes prioritários.
Art. 69. Por motivos de segurança, a STIC poderá suspender o serviço de VPN sem prévio aviso.
Art. 70. É de responsabilidade do(a) usuário(a) da VPN:
I - zelar pelo bom uso de seu acesso à VPN, assegurando que outras pessoas não utilizarão para acessar a rede interna da Justiça Eleitoral do Maranhão;
II - encerrar suas sessões após o uso;
III - permanecer conectado(a) apenas pelo tempo necessário para a execução das suas tarefas;
IV - informar aos setores competentes sobre qualquer problema de segurança detectado; e
V - utilizar o acesso apenas em equipamentos homologados pela STIC.
Art. 71. A validade do acesso à VPN será de 3 (três) meses, cabendo obrigatoriamente ao (à) usuário(a) solicitar a revalidação do seu acesso junto à Central TI.
Art. 72. Após a liberação do acesso solicitado, a Central TI deverá informar ao (à) solicitante as instruções de uso para acesso à VPN.
Art. 73. Em nenhuma hipótese será admitido o empréstimo ou o compartilhamento de credenciais de acesso à VPN, sob pena de responsabilização administrativa e penal.
CAPÍTULO VIII
DA UTILIZAÇÃO DE CELULAR CORPORATIVO
Art. 74. O TRE-MA poderá disponibilizar celulares para seus (suas) servidores (as) em conformidade com as necessidades funcionais do trabalho.
§ 1º Os dispositivos citados no caput deverão passar por processo de homologação realizado por equipe técnica da STIC, onde serão cadastrados, receberão identificação única e terão suas configurações adequadas pelo menos aos padrões de segurança estabelecidos nesta Instrução Normativa, a fim de serem incorporados à rede da Justiça Eleitoral do Maranhão.
§ 2º Quando houver desligamento do(a) servidor(a) ou substituição do aparelho, a chefia imediata deverá solicitar à Central TI que sejam realizados os procedimentos de adequação às boas práticas de segurança desta Instrução Normativa.
§ 3º Fica proibida a instalação de aplicativos ou a alteração de configurações de segurança nestes dispositivos móveis que não sejam das lojas oficiais, exceto para aplicativos desenvolvidos por órgãos públicos.
CAPÍTULO IX
BOAS PRÁTICAS PARA UTILIZAÇÃO DE CELULARES CORPORATIVOS
Art. 75. Os (as) servidores (as) da Justiça Eleitoral do Maranhão deverão seguir pelo menos as seguintes práticas no que diz respeito a celulares corporativos:
I - Para utilização:
a) evitar a conexão e uso em redes públicas;
b) manter as conexões de comunicação, como bluetooth e infravermelho, desabilitadas sempre que não for necessário;
c) manter o sigilo das suas credenciais de acesso aos dispositivos móveis;
d) manter o sistema operacional e as aplicações instaladas sempre com a versão mais recente e com todas as atualizações aplicadas;
e) ficar atento(a) às notícias veiculadas no site do fabricante, principalmente as relacionadas à segurança;
f) ser cuidadoso (a) ao instalar aplicações desenvolvidas por terceiros (as), como complementos, extensões e plug-ins, procurando usar aplicações de fontes confiáveis e que sejam bem avaliadas pelos (as) usuários (as); e
g) instalar antivírus e sistema que permita gerenciamento remoto, como obtenção de localização e formatação remota.
II - Para aquisição:
a) o dispositivo não deve estar descontinuado pelo fabricante e ter garantia de distribuição de atualizações de segurança pelo tempo de uso pela Justiça Eleitoral;
b) o dispositivo não deve ter sido ilegalmente desbloqueado (jailbreak) ou ter suas permissões de acesso modificadas.
III - Para proteção física e de dados:
a) realizar cópias de segurança (backup) periódicos dos dados nele gravados;
b) manter controle físico sobre o dispositivo móvel, principalmente em ambientes públicos;
c) utilizar senha de acesso que siga pelo menos o padrão definido nesta Instrução Normativa;
d) configurar dispositivo para ser apagado após 5 tentativas de desbloqueio sem sucesso;
IV - Para desfazimento:
a) realizar cópias de segurança;
b) apagar todas as informações contidas em memória interna e externa, utilizando softwares que apagam arquivos definitivamente;
c) restaurar dispositivo para configuração de fábrica;
V - Em caso de perda ou furto:
a) informar a operadora e solicitar o bloqueio;
b) informar à SERED para alterar as senhas que estejam configuradas nos serviços instalados; e
c) acionar funcionalidade para formatação remota do dispositivo.
CAPÍTULO X
DA EXCLUSÃO DE CONTAS DE USUÁRIOS
Art. 76. As contas de usuários (as) de rede, sistemas, banco de dados, correio eletrônico e similares poderão ser apagadas após 5 anos de inatividade.
Parágrafo único. Antes da exclusão definitiva, o setor competente deverá dar amplo conhecimento na intranet das contas de usuários (as) que serão apagadas dando prazo de 1 mês para manifestação em contrário.
CAPÍTULO XI
DISPOSIÇÕES FINAIS
Art. 77. Esta Instrução Normativa entra em vigor na data de sua publicação.
TRIBUNAL REGIONAL ELEITORAL DO MARANHÃO, datado e assinado eletronicamente.
Desembargadora ANGELA MARIA MORAES SALAZAR
Presidente
ANEXO
TERMO DE RESPONSABILIDADE
O presente termo visa definir as responsabilidades para todos os agentes públicos em atividade na Justiça Eleitoral do Maranhão que tenham acesso aos recursos de tecnologia da informação ou à rede de computadores da instituição.
Pelo presente termo, declaro ter conhecimento da Política de Segurança da Informação da Justiça Eleitoral do Maranhão disponível para consulta no sítio da internet http://portaldasegurancadainformacao/politicadeseguranca, a cujas regras adiro expressamente.
Com autorização superior, recebo, neste ato, uma conta com privilégios adequados e para uso exclusivo nas atividades que desempenho nesta Instituição.
Declaro estar ciente de que:
a) minhas ações serão monitoradas de acordo com a Política de Segurança da Informação da Justiça Eleitoral do Maranhão e de que qualquer alteração feita sob minha identificação, advinda de minha autenticação e autorização, é de minha exclusiva responsabilidade;
b) responderei pelo dano que possa causar por descumprimento da Política de Segurança da Informação da Justiça Eleitoral do Maranhão ao realizar uma ação de iniciativa própria de tentativa de modificação da configuração, física ou lógica, dos recursos computacionais sem a permissão da área competente;
c) deverei informar à unidade competente para que tome as medidas cabíveis, caso tenha acesso a informações não adequadas ao meu nível de permissão;
d) deverei manusear, com todo o cuidado, informações classificadas como sigilosas ou confidenciais;
e) deverei informar à Equipe de Tratamento de Incidentes de Rede Computacionais (ETIR) sobre quaisquer eventos que possam indicar falha de segurança ou risco à integridade da rede da Justiça Eleitoral do Maranhão.
_______________, ___ de _____________ de _____.
(município)
Nome e unidade organizacional [agente público] Matrícula
Nome e unidade organizacional
[titular da unidade, gestor de contrato ou sistema]
São Luís, 22 de agosto de 2022.
Este ato não substitui o publicado no DJE nº 161 de 23.08.2022, p.4-14