Brasão

Tribunal Regional Eleitoral - MA

Secretaria Judiciária

Coordenadoria Apoio ao Pleno, Gestão Processual e Documental

Seção de Gestão Documental

INSTRUÇÃO NORMATIVA Nº 9, DE 1 DE AGOSTO DE 2023.

Dispõe sobre o processo de gestão de configuração e ativos de informação e processamento da Justiça Eleitoral do Maranhão.

O DIRETOR-GERAL DO TRIBUNAL REGIONAL ELEITORAL DO MARANHÃO, no uso das atribuições que lhe são conferidas pelo art. 49 do Regulamento Interno da Secretaria deste Tribunal,

Considerando a Resolução-CNJ nº 370, de 28 de janeiro de 2021, que institui a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD),

Considerando a Resolução TSE nº 23.644/2021 que institui a Política de Segurança da Informação no âmbito da Justiça Eleitoral,

Considerando a Resolução TRE-MA nº 9.888/2021 que adota a Resolução TSE nº 23.644/2021 como PSI do TRE-MA,

Considerando a série normativa ABNT ISO 27000 referente à Segurança da Informação,

Considerando a Resolução TCU nº 294/2018 que dispõem sobre a classificação da informação quanto à confidencialidade da informação,

Considerando a Resolução TCU 329/2014 que dispõe sobre procedimentos de segurança e controles administrativos afetos à classificação da informação e a lei 12.527/2011 que regula o acesso a informações no âmbito da administração pública,

 

RESOLVE:

Art. 1º Esta instrução normativa dispõe sobre diretrizes gerais para Gestão de configuração e ativos de informação e processamento da Justiça Eleitoral do Maranhão em conformidade com o inciso II do art. 9º alínea a Gestão de ativos da Política de Segurança da Informação da Justiça Eleitoral do TRE-MA – Resolução TSE nº 23.644/2021, que estabelece que todos os ativos de informação e processamento da Justiça Eleitoral deverão ter um responsável e ser inventariados, classificados, atualizados periodicamente e mantidos em condições de uso.

 

Art. 2º Para fins desta instrução normativa entende-se por:

I – Ativo de informação: patrimônio composto por todos os dados e informações gerados, adquiridos, utilizados ou armazenados pela Justiça Eleitoral;

II – Ativo de processamento: patrimônio composto por todos os elementos de hardware, software e infraestrutura de comunicação necessários à execução das atividades precípuas da Justiça Eleitoral;

III - Agente público: Magistrados, promotores, servidores, requisitados, cedidos, estagiários, menor aprendiz, vinculados por act (acordo de cooperação técnica) e prestadores de serviço que estejam exercendo atividades no âmbito da Justiça Eleitoral do maranhão;

IV - Titular da unidade - presidente, corregedor, diretor geral, secretários, coordenadores, chefes de seção ou seus substitutos;

V - CSI – Comissão de Segurança da Informação da Justiça Eleitoral do Maranhão;

VI - Confidencialidade: propriedade que garante que a informação seja acessada somente pelas pessoas ou processos que tenham autorização para tal;

VII - Integridade: propriedade que garante a não violação das informações com intuito de protegê-las contra alteração, gravação ou exclusão indevida, acidental ou proposital;

VIII - Disponibilidade: propriedade que garante que as informações estejam acessíveis às pessoas e aos processos autorizados, no momento requerido;

IX - Autenticidade: propriedade que assegura a correspondência entre o autor de determinada informação e a pessoa, processo ou sistema a quem se atribui a autoria;

X - Gestor da informação: colegiado do TRE ou de sua Secretaria, autoridade do Tribunal ou dirigente de unidade responsável por informação em matéria de sua competência ou inerente à sua área de atuação;

XI - Detentor: qualquer pessoa que detenha a guarda física, mesmo que transitória, de ativo de informação ou processamento;

XII - Classificação da informação: ação que define o grau de confidencialidade e os grupos de acesso atribuídos à informação;

XIII - Rótulo: registro que visa identificar claramente a classificação da informação e ativo de processamento;

XIV - Solução de TI: conjunto formado por elementos de tecnologia da informação e processos de trabalho que se integram para produzir resultados que atendam às necessidades do Tribunal;

XV - Necessidade de conhecer: necessidade de acesso à informação em função do interesse do serviço;

XVI – Não repúdio: garantia de que alguém não possa negar a autoria em uma atividade; e

XVII – Proprietário do ativo de processamento: unidade da STIC responsável pela gestão lógica do ativo de processamento.

XVIII – Ferramenta de catálogo de configurações: Base de dados de configuração dos ativos de processamento de TIC com histórico da situação dos ativos de hardware e software e do relacionamento entre eles ao longo do tempo.

Art. 3º Nas atividades de gestão de ativos devem ser resguardadas a confidencialidade, criticidade, disponibilidade e integridade.

 

Dos ativos de informação

Art. 4º A classificação de cada ativo de informação deverá ser compatível com o grau de confidencialidade da mesma, conforme o disposto na Resolução TRE nº 9.481 de 2019, que trata da classificação da informação em grau de sigilo.

Art. 5º O proprietário do ativo de informação deverá classificar todo dado ou informação que não seja pública, que tenha sido gerada, adquirida, utilizada ou armazenada por uma unidade.

Art. 6º O proprietário do ativo de informação será responsável por:

I – Classificar;

II – Rotular;

III - Aplicar medidas de proteção física/lógica que garantam acesso exclusivamente a pessoas autorizadas;

IV - Identificar, avaliar, tratar e monitorar os riscos críticos para a segurança da informação; e

V - Manter o rótulo e aplicar os mesmos controles da informação original no caso de cópias ou impressão para todo ativo de informação, exceto para os de conteúdo público.

Parágrafo Único. A Comissão Permanente de Classificação de Documentos será responsável por definir a tabela de temporalidade de documentos digitais como arquivos de computador e e-mails.

Art. 7º O Detentor do ativo de informação deverá obrigatoriamente:

§ 1º Aplicar os controles administrativos e tecnológicos compatíveis com o grau de confidencialidade a ele atribuído, a menos que seja tecnicamente inviável, devendo ser justificada, documentada e registrada a concordância do gestor da informação, e

§ 2º Eliminar os ativos de informação do tipo arquivos digitais e e-mails nos prazos estabelecidos na tabela de temporalidade de documentos.

§ 3º A ausência injustificada de controles administrativos e tecnológicos compatíveis com o grau de confidencialidade da informação configura incidente de segurança da informação e deverá ser reportado ao Comitê de Segurança da Informação.

Art. 8°. O acesso a informações com classificação diferente de pública, por pessoas externas aos quadros da Justiça Eleitoral do Maranhão deverá ser precedida de:

I - Informação sobre a classificação da informação a ser acessada;

II - Aplicação de controles específicos que garantam o acesso somente a pessoas autorizadas; e

III - Assinatura prévia de termo de confidencialidade.

Art. 9º. Sempre que possível deverá ser incluída advertência sobre restrição de acesso a informações classificadas como não públicas, exceto, quando seja tecnicamente inviável.

Art. 10. Cabe ao gestor da informação decidir sobre a composição dos grupos de acesso às informações sobre sua gestão, tanto em áreas e serviços de rede ou sistemas de informação, respeitando o princípio do menor privilégio e a necessidade de conhecer, conforme procedimento descrito na norma de controle de acesso.

Art. 11. Compete à Secretaria de Tecnologia da Informação e Comunicação, ouvidos os gestores da informação, as definições técnicas que permitam implementar os controles administrativos e tecnológicos para as soluções de TI sob sua gestão.

 

Dos ativos de processamento

Art. 12. Os ativos de processamento, incluindo aqueles onde informações classificadas como não-públicas são processadas, armazenadas, transmitidas, excluídas ou destruídas, deverão:

I -  Ser inventariados;

II - Ser classificados;

III - Ter pelo menos um (1) proprietário designado imediatamente pela Administração quando o ativo for incluído no patrimônio do TRE-MA.

Art. 13. O inventário de ativos de processamento deverá identificar, se aplicável, pelo menos:

I - o número do patrimônio;

II - data de compra;

III - número do processo de aquisição;

IV - número do contrato;

V - data de término da garantia;

VI - configuração lógica;

VII - última versão de firmware instalado;

VIII – localização;

IX - última versão do software instalado e

X – classificação da informação.

Art. 14. A classificação do ativo de processamento deverá ser compatível com a classificação da informação por ele criada, processada, armazenada, transmitida, excluída ou destruída, levando em consideração o seu valor, requisitos legais e a sensibilidade, conforme o disposto na Resolução TRE nº 9.481 de 2019, que trata da classificação da informação em grau de sigilo.

§ 1º Cada ativo de processamento após ser classificado deverá ser rotulado tanto logicamente quanto fisicamente, bem como ter seu acesso tanto físico quanto lógico restringido de acordo com a classificação.

§ 2º De acordo com a necessidade, os ativos de processamento que atuem juntos para fornecer um serviço, poderão ser agrupados.

Art. 15. O proprietário do ativo de processamento será responsável por:

I – Definir a arquitetura e configuração lógica;

II - Realizar o inventário lógico periodicamente;

III - Zelar pelo uso aceitável de seus ativos de processamento, mantendo, quando viável, o ativo sob garantia/licenciamento válidos, aplicando medidas de proteção lógica e assegurando que seus softwares estejam sempre atualizados;

IV – Classificar e revisar a classificação periodicamente, rotulando física e logicamente de acordo com a classificação definida;

V - Manter registro formal de quem tem acesso lógico ao ativo de processamento que processa informação não-pública (ativo classificado de acordo com a Resolução 9481/2019 que trata da classificação da informação) e certificar-se de que estes usuários tenham consciência dos requisitos de segurança da informação associados ao ativo;

VI - Garantir que o processo de destruição dos dados armazenados no ativo de processamento será eficaz, quando do seu descarte ou da sua devolução ao Setor de Patrimônio do TRE-MA;

VII - Identificar, avaliar, tratar e monitorar os riscos críticos do ativo de processamento no que diz respeito a segurança da informação.

VIII – Conceder as permissões necessárias para que a ferramenta de catálogo de configurações, colete as configurações de seu ativo.   

IX – Verificar trimestralmente as configurações coletadas pela ferramenta de catálogo de configurações e complementá-las caso seja necessário.   

Art. 16. O Detentor do ativo de processamento será responsável por:

I – Aplicar medidas de segurança física para manter a integridade do ativo;

II - Zelar pelo uso aceitável de seus ativos de processamento, verificando se o local de instalação e armazenamento são adequados, acionando a manutenção sempre que necessário para corrigir defeitos ou atualizações de configuração ou software;

III - Manter registro formal de quem tem acesso físico ao ativo de processamento que processa informação não-pública (ativo classificado de acordo com a resolução de classificação da informação 9481/2019) e certificar-se de que estes usuários tenham consciência dos requisitos de segurança da informação associados ao ativo;

IV – Realizar cópia de segurança (backup) dos dados que julgar necessário resguardar, quando ocorrerem mudanças na sua lotação ou desligamento e devolução do ativo ao Setor de Patrimônio do TRE-MA;

 

Registro e descarte de ativos de processamento

Art. 17 O processo de registro de novos ativos de processamento se dará da seguinte forma:

§ 1º Após o recebimento provisório dos ativos de processamento pelo setor competente da STIC, este realizará a conferência do material recebido e informará ao fornecedor divergência quantitativa para resolução do problema;

§ 2° Não ocorrendo divergências quantitativas, o ativo de processamento ficará disponível para o fiscal de contrato que realizará os testes, aceite e comunicará para o patrimônio para o recebimento definitivo e registro em sistema próprio;

§ 3º Caso não haja conformidade o fiscal de contrato diligenciará o fornecedor;

§ 4º A documentação referente ao aceite será enviada ao setor de Patrimônio para realizar cadastro em sistema próprio e finalizar os procedimentos de pagamento;

§ 5º.  O recebimento e o aceite provisório se dará de acordo com o procedimento descrito no processo de aquisições de equipamentos e serviços de TIC e o recebimento definitivo vai seguir as normas específicas para esse procedimento.

§ 6º. Durante o processo de instalação e configuração, o proprietário do ativo de processamento deve conceder acesso para a ferramenta de catálogo de configurações daquele tipo de ativo listar e salvar as configurações do ativo. 

Art. 18 A equipe técnica realizará os testes necessários para instalação e configuração do ativo e providenciará a sua rotulagem, a sua distribuição e instalação conforme demandado.

Art. 19 A equipe técnica ao detectar defeito no ativo acionará o fornecedor caso o ativo esteja em garantia, caso contrário, acionará a manutenção para verificar a viabilidade de reparo.

Art. 20 Um ativo de processamento será considerado como inservível antieconômico e inservível irrecuperável (Decreto 9.373/2018), e, portanto, eletivo para desfazimento nos seguintes casos:

I – Ter sido descontinuado pelo fabricante comprometendo a segurança da informação caso seja utilizado;

II – Possuir tecnologia ultrapassada ou outra característica que faça com que não atenda mais às necessidades do TRE-MA;

III – Possuir defeito irrecuperável que impeça a sua utilização;

IV – Sua manutenção ser onerosa ou seu rendimento seja precário, em virtude do uso prolongado, desgaste prematuro ou obsoletismo;

V – O custo de recuperação ser mais de cinquenta por cento do seu valor de mercado ou seu custo-benefício demonstrar ser injustificável a sua recuperação.

Parágrafo único: Os critérios definidos no caput poderão ser utilizados como critério que caracterize a falta de interesse no uso de ativos com a finalidade de encerrar o contrato de suporte e manutenção dos ativos de processamento.

Art. 21 O processo de descarte dos ativos de processamento do tipo hardware se dará da seguinte forma:

I - Uma vez o proprietário do ativo de informação ou detentor declarar que o ativo de processamento se encaixa em um dos critérios do artigo 20 encaminhará o ativo ao setor de manutenção, informando os critérios que ensejaram essa condição, para realizar cópia de segurança, retirada de peças aproveitáveis e eliminação de forma segura dos dados das unidades de armazenamento.

II - Posteriormente, o setor de Manutenção encaminhará o ativo de informação para o setor de patrimônio para realização dos procedimentos de desfazimento;

Art. 22 O processo de descarte dos ativos de processamento do tipo software se dará pela desinstalação, caso seja necessário, resguardando a base de dados gerada pela solução do software e finalizando pelo registro em sistema próprio.

 

Das mídias removíveis

Art. 23. As mídias removíveis deverão ser classificadas e rotuladas de acordo com a classificação da informação nelas armazenadas, a fim de evitar acesso não autorizado à essas informações.

Art. 24. As mídias classificadas, ou seja, aquelas que não contenham conteúdo público, deverão ter um responsável designado que:

I - Guardará a mídia em local seguro;

II - Encaminhará a mídia, ao fim de sua vida útil, ao setor competente para que seja feita a destruição;

III - Autorizará a remoção da mídia do ambiente da instituição, quando necessário;

IV - Indicará a utilização de criptografia para proteger os dados da mídia, caso necessário;

V - Realizará a cópia para mídias novas periodicamente para preservação dos dados e

VI - Registrará cada mídia com identificador único.

Art. 25. As mídias inservíveis classificadas deverão ser encaminhadas para o setor de manutenção para que sejam descartadas ou recicladas de forma segura respeitando a legislação ambiental, a fim de impossibilitar que as informações nelas armazenadas sejam acessadas ou recuperadas.

Parágrafo único: O descarte de mídias com informações classificadas deverá ser registrado a fim de manter uma trilha de auditoria.

Art. 26.  A revisão desta portaria ocorrerá a cada 2 (dois) anos ou sempre que se fizer necessário ou conveniente para o Tribunal.

Art. 27. O descumprimento desta instrução normativa deve ser imediatamente registrado como incidente de segurança e comunicado à CSI para apuração e consequente adoção das providências cabíveis.

Art. 28. Os casos omissos serão resolvidos pela CSI.

Art. 29. Esta instrução normativa entra em vigor na data de sua publicação.

 

Mário Lobão Carvalho

Diretor-Geral

São Luís, 01 de agosto de 2023.

Este ato não substitui o publicado no DJE nº 137 de 03.08.2023, p.6-11