INSTRUÇÃO NORMATIVA Nº 5, DE 16 DE MAIO DE 2024

O DIRETOR-GERAL DA SECRETARIA DO TRIBUNAL SUPERIOR ELEITORAL, no uso de suas atribuições legais e regimentais, considerando a Resolução-TSE nº 23.644, de 1º de julho de 2021, que dispõe sobre a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral; a Resolução-TSE nº 23.360, de 13 de outubro de 2011, que regulamenta, entre outros, o ingresso de pessoas, objetos e volumes nas dependências do Tribunal; a Portaria TSE nº 454, de 13 de julho de 2021, que dispõe sobre o Controle de Acesso Físico e Lógico Relativos à Segurança das Informações e Comunicações do Tribunal Superior Eleitoral; a Portaria TSE nº 540, de 23 de agosto de 2021, que dispõe sobre a instituição da Norma de Desenvolvimento Seguro de Sistemas, relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral; as orientações de controles de segurança da informação dispostas na norma ISO NBR /IEC 27002:2013: a Revisão 1 da Norma Complementar nº 07/IN01/DSIC/GSIPR, homologada em 15 de julho de 2014, que estabelece diretrizes para a implantação de controles de acesso relativos à segurança da informação e das comunicações na administração pública federal; e as recomendações do Acórdão-TCU nº 1.603, de 13 de agosto de 2008, item 9.1.3, sobre a importância dos controles de acesso,

RESOLVE:

Art. 1º Ficam instituídas as matrizes de bases de dados de identificação que devem ser observadas, prioritariamente, para autenticação de público interno ou de público externo nos sistemas desenvolvidos ou mantidos pelo Tribunal Superior Eleitoral, conforme disposto no Anexo I desta instrução normativa.

Art. 2º Ficam instituídos os níveis de autenticação que devem ser observados, prioritariamente, para autenticação de público interno ou de público externo nos sistemas desenvolvidos ou mantidos pelo Tribunal Superior Eleitoral, conforme disposto no Anexo I desta instrução normativa.

Art. 3º Sugestões de aprimoramento ou necessidades de alteração das respectivas matrizes e níveis de autenticação poderão ser submetidas à Comissão Técnica de Tecnologia da Informação (CTTI), que poderá acatá-las sem a necessidade de expedição de nova instrução normativa.

Parágrafo único. Para fins de atualização das matrizes ou dos níveis de autenticação, faz-se necessário o cumprimento das seguintes obrigações:

I - aprovação das alterações pela maioria simples dos membros que compõem a CTTI, nos termos do art. 11 da Resolução TSE nº 23.509, de 21 de fevereiro de 2017;

II - estabelecimento, pela CTTI, com registro em ata de reunião, das alterações acatadas, com as devidas justificativas e com o prazo de início da vigência das novas versões do documento com especificações das matrizes e dos níveis de autenticação;

III - controle de versionamento do documento com especificações das matrizes e dos níveis de autenticação, identificando, de forma inequívoca, a versão vigente;

IV - proposição, formalização e divulgação, pela STI, dos procedimentos e artefatos necessários à implementação das matrizes e dos níveis de autenticação estabelecidos nesta instrução normativa; e

V - divulgação, pela Diretoria Geral, das novas versões de matrizes e níveis de autenticação aos Tribunais Regionais Eleitorais.

Art. 4º As unidades responsáveis pelo desenvolvimento de software, assim como outras partes interessadas envolvidas no processo de desenvolvimento ou de sustentação de sistemas de software no âmbito da STI, sejam fornecedores contratados ou mesmo áreas de TI dos Tribunais Regionais Eleitorais, deverão obedecer aos prazos para adesão às Matrizes de Bases de Identificação e Níveis de Acesso, conforme cronograma a ser estabelecido e divulgado pela CTTI do TSE, com prioridade para os sistemas considerados críticos ou estratégicos.

Art. 5º A impossibilidade de adequação de um sistema de software à respectiva matriz de identificação e/ou nível de autenticação, conforme o respectivo público, deverá ser justificada e informada à CTTI do TSE.

Art. 6º Eventuais conflitos e casos omissos ou excepcionais serão analisados e deliberados pela CTTI ou, na falta desta, pelo coordenador da referida Comissão.

Art. 7º Esta instrução normativa entrará em vigor na data de sua publicação.

Anexo I

INSTRUÇÃO NORMATIVA Nº 5 TSE

1. Introdução

Este documento foi elaborado pela Secretaria de Tecnologia da Informação do TSE e tem por objetivo a definição de diretrizes que tratam da gestão de autenticações no âmbito do TSE e dos sistemas do TSE utilizados pelos TREs, bem como da implementação de uma matriz de bases de identificação/autenticação e de níveis de autenticação.

A partir da implementação dessas diretrizes, objetiva-se o alcance dos seguintes benefícios:

1. Acesso mais abrangente e simplificado aos sistemas que façam adesão à solução, tanto para usuários externos quanto usuários internos;

2. Atendimento a demandas crescentes de integração com bases de identificação utilizadas em serviços governamentais externos à Justiça Eleitoral;

3. Apoio à infraestrutura necessária para aprofundamento de iniciativas de transformação digital no âmbito da Justiça Eleitoral;

4. Remoção tempestiva dos acessos de usuários externos e internos, em conformidade com a Portaria TSE nº 454 de 2021, Seção I, Capítulo V (do gerenciamento de acesso);

5. Apoio à implementação das diretrizes de desenvolvimento seguro de software previstas na Portaria TSE nº 540 de 2021, Capítulo VI (da gestão de identidades, autenticação e certificação digital).

Neste documento, estão descritas as versões mais atualizadas das seguintes diretrizes já aprovadas junto às seções de desenvolvimento e áreas de negócio do TSE:

• Matriz de bases de identificação para público interno;

• Níveis de autenticação para público interno;

• Matriz de bases de identificação para público externo;

• Níveis de autenticação para público externo.

ROGÉRIO AUGUSTO VIANA GALLORO