Tribunal Regional Eleitoral - MA
Secretaria Judiciária
Coordenadoria Apoio ao Pleno, Gestão Processual e Documental
Seção de Gestão Documental
INSTRUÇÃO NORMATIVA Nº 1, DE 9 JANEIRO DE 2023.
Institui Norma de Configuração Segura de Ambientes no âmbito do TRE-MA.
O DIRETOR-GERAL DO TRIBUNAL REGIONAL ELEITORAL DO MARANHÃO, no uso de suas atribuições legais e regimentais,
CONSIDERANDO a Resolução CNJ nº 370, de 28 de janeiro de 2021, que institui a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD);
CONSIDERANDO a Resolução TSE nº 23.644, de 01 de julho de 2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;
CONSIDERANDO a Resolução TRE-MA nº 9888/2021, de 21 de outubro de 2021, que adota, no âmbito do Tribunal Regional Eleitoral do Maranhão, as diretrizes da Política de Segurança da Informação da Justiça Eleitoral,
RESOLVE:
Capítulo I
DISPOSIÇÕES PRELIMINARES
Art. 1º Fica instituída a norma de configuração segura de ambientes, em consonância com a Política de Segurança da Informação da Justiça Eleitoral (PSI-JE).
Art. 2º Para os efeitos desta norma deverá ser realizada a classificação de risco dos dados manipulados/armazenados no ativo corporativo contemplando pelo menos três níveis:
i Risco alto
ii Risco moderado
iii Risco baixo.
Capítulo II
DA CLASSIFICAÇÃO DOS TIPOS DE ATIVOS CORPORATIVOS
Art. 3º Os controles mínimos estabelecidos nos incisos deste artigo visam estabelecer e manter a configuração segura de ativos corporativos (dispositivos de usuário final, incluindo portáteis e móveis; dispositivos de rede; dispositivos não computacionais/IoT; e servidores) e software (sistemas operacionais e aplicações) no ambiente da rede corporativa da justiça eleitoral de acordo com a seguinte classificação:
I ATIVOS DE INFRAESTRUTURA REDE, quais sejam os dispositivos de rede;
II ATIVOS DE APLICAÇÕES, quais sejam os sistemas operacionais e aplicações;
III ATIVOS DE USUÁRIOS, quais sejam os usuários finais;
IV ATIVOS DE DISPOSITIVOS, quais sejam os dispositivos de usuário final, incluindo portáteis, dispositivos não computacionais/IoT, móveis e servidores;
Capítulo III
DA CONFIGURAÇÃO SEGURA PARA OS ATIVOS DE INFRAESTRUTURA DE REDE
Art. 4º Deverá ser estabelecido e mantido um processo de configuração segura para os ativos de rede contemplando no mínimo:
i Revisão e atualização da documentação anualmente ou quando ocorrerem mudanças significativas no ambiente que possam impactar esta medida de segurança;
ii Gerenciamento dos ativos e softwares corporativos com implementações de gestão de configuração que no mínimo seja contemplado:
ii.a Uso preferencial de infraestrutura como código (IaC) qual seja o gerenciamento e provisionamento da infraestrutura por meio de códigos, em vez de processos manuais;
ii.b Acesso a interfaces administrativas por meio de protocolos de rede seguros, como Secure Shell (SSH) e Hypertext Transfer Protocol Secure (HTTPS);
ii.c Não utilização de protocolos de gestão inseguros, como Telnet (Teletype Network) e HTTP, a menos que seja operacionalmente essencial;
ii.d Aplicação de procedimentos de hardening nos ativos de rede e servidores contemplando no mínimo a limitação do acesso à interface de gerência em interfaces e/ou endereços IP controlados;
Capítulo IV
DA CONFIGURAÇÃO SEGURA PARA OS ATIVOS DE APLICAÇÕES
Art. 5º Deverá ser estabelecido e mantido um processo de configuração segura para os softwares de sistemas operacionais e aplicações utilizados nos ativos corporativos que contemple:
i Revisão e atualização da documentação anualmente ou quando ocorrerem mudanças significativas na organização que possam impactar esta medida de segurança.
ii Criação de processos automatizados de configuração de segurança que definam as configurações de segurança dos sistemas para atender aos requisitos mínimos de proteger os dados usados nos ativos corporativos.
iii Utilização de configurações de baseline de segurança com base nos requisitos de segurança ou classificação dos dados no ativo corporativo contemplando:
iii.a Instalação do software básico do sistema operacional e posterior aplicação dos patches de segurança apropriados.
iii.b Instalação apenas dos pacotes, ferramentas e utilitários de software de aplicações apropriadas e posterior atualizações apropriadas ao software instalado.
iii.c Instalação do software antimalware e posterior aplicação dos patches de segurança apropriados, onde houver suporte.
iii.d Execução automatizada de processos de configuração de segurança.
iv Execução de testes que possam aferir a qualidade das implementações de segurança.
Capítulo V
DA CONFIGURAÇÃO SEGURA PARA OS ATIVOS DE USUÁRIOS
Art. 6º Deverá ser estabelecido e mantido um processo de configuração segura para os ativos de usuários da rede corporativa da Justiça Eleitoral que contemple:
i Configuração de bloqueio automático de sessão nos ativos corporativos após um período definido de inatividade.
i.a Para sistemas operacionais de uso geral, o período não deve exceder 15 minutos.
i.b Para dispositivos móveis de usuário final, o período não deve exceder 2 minutos.
ii Desativação ou inutilização das contas padrão nos ativos e software corporativos quando possível.
Capítulo VI
DA CONFIGURAÇÃO SEGURA PARA OS ATIVOS DE DISPOSITIVOS
Art. 7º Deverá ser estabelecido e mantido um processo de configuração segura para os ativos de dispositivos dos usuários da rede corporativa da Justiça Eleitoral que contemple:
i A implementação e gerenciamento de firewall nos servidores, onde houver suporte. Essas implementações podem incluir firewall virtual, firewall do sistema operacional ou um agente de firewall de terceiros.
ii A implementação e gerenciamento de firewall baseado em host ou uma ferramenta de filtragem de porta nos dispositivos de usuário final, com uma regra de negação padrão de bloqueio todo o tráfego, exceto os serviços e portas que são explicitamente permitidos.
iii A implementação e gerenciamento de solução antimalware nos dispositivos de usuário final e nos servidores, onde houver suporte.
iv A implementação de solução de gerenciamento de acessos privilegiados nos servidores, onde houver suporte.
v A desinstalação ou desativação todos os serviços desnecessários nos ativos e software corporativos.
vi Configuração de servidores DNS confiáveis nos ativos corporativos, preferencialmente servidores DNS controlados pela Justiça Eleitoral e/ou servidores DNS confiáveis acessíveis externamente caso seja imprescindível para a operação;
vii A imposição de bloqueio automático do dispositivo seguindo um limite pré-determinado de tentativas de autenticação local com falha nos dispositivos portáteis de usuário final, quando compatível.
vii.a Para laptops, não deve ser permita mais de 10 tentativas de autenticação com falha;
vii.b Para tablets e smartphones, não mais do que 7 tentativas de autenticação com falha.
viii A limpeza remota dos dados corporativos de dispositivos portáteis de usuário final de propriedade da Justiça Eleitoral para dispositivos perdidos ou roubados, ou quando do desligamento do usuário das funções exercidas na Justiça Eleitoral.
ix A implementação da segmentação dos espaços de trabalho corporativos que sejam utilizados nos dispositivos móveis de usuário final, onde houver suporte, para garantir a separação das aplicações e dados corporativos das aplicações e dados pessoais.
Capítulo VII
DISPOSIÇÕES FINAIS
Art. 8º Os casos omissos serão resolvidos pela Comissão de Segurança da Informação (CSI).
Art. 9º A revisão desta portaria ocorrerá a cada ano ou sempre que se fizer necessário ou conveniente para o TRE-MA.
Art. 10º O descumprimento desta portaria deve ser imediatamente registrado como incidente de segurança e comunicado à CSI para apuração e consequente adoção das providências cabíveis.
Art. 11 Esta portaria entra em vigor na data de sua publicação e o plano de ação para sua implementação será apresentado no prazo de 60 dias a contar dessa data.
Cientifique-se. Publique-se. Cumpra-se.
Hebert Pinheiro Leite
Diretor-Geral
São Luís, 09 de janeiro de 2023.
Este ato não substitui o publicado no DJE nº 3 de 12.01.2023, p. 2-5.