Brasão

Tribunal Superior Eleitoral

Secretaria de Gestão da Informação

Coordenadoria de Jurisprudência

Seção de Legislação

PORTARIA Nº 444, DE 8 DE JULHO DE 2021.

Dispõe sobre a instituição da norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral.

O DIRETOR-GERAL DA SECRETARIA DO TRIBUNAL SUPERIOR ELEITORAL, no uso de suas atribuições legais e regimentais, considerando a Resolução CNJ nº 211, de 15 de dezembro de 2015, que institui a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD); e a Resolução nº TSE 23.501, de 19 de dezembro de 2016, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

RESOLVE:

Art. 1º Fica instituída a norma de termos e definições, em consonância com a Política de Segurança da Informação do Tribunal Superior Eleitoral.

CAPÍTULO I

DOS TERMOS E DEFINIÇÕES

Art. 2º Para os efeitos da Política de Segurança da Informação do Tribunal Superior Eleitoral, aplicam-se os seguintes termos e definições:

I - Agente público: todo aquele que exerce, ainda que transitoriamente ou sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função nos órgãos e entidades da APF, direta e indireta (Ref. Portaria GSI/PR nº 93/2019);

II - Ameaça: causa potencial de um incidente indesejado que pode resultar em dano para um sistema ou organização (Ref. Resolução TSE nº 23.501/2016);

III - Assinatura digital: tipo de assinatura eletrônica que usa operações matemáticas com base em algoritmos criptográficos de criptografia assimétrica para garantir segurança na autenticidade das documentações. Para assinar digitalmente um documento é necessário possuir um certificado digital.Entre as principais vantagens do uso de assinatura digital estão o não repúdio (não deixa dúvidas quanto ao seu remetente) e tempestividade (a AC pode verificar data e hora da assinatura de um documento) (Ref. Portaria GSI/PR nº 93/2019);

IV - Atividades críticas: atividades precípuas da Justiça Eleitoral cuja interrupção ocasiona severos transtornos, como, por exemplo, perda de prazos administrativos e judiciais, dano à imagem institucional, prejuízo ao Erário, entre outros (Ref. Resolução TSE nº 23.501/2016);

V - Atividades precípuas: conjunto de procedimentos e tarefas que utilizam recursos tecnológicos, humanos e materiais, inerentes à atividade-fim da Justiça Eleitoral (Ref. Resolução TSE nº 23.501 /2016);

VI - Ativo de informação: patrimônio composto por todos os dados e informações gerados, adquiridos, utilizados ou armazenados pela Justiça Eleitoral (Ref. Resolução TSE nº 23.501/2016);

VII - Ativo de processamento: patrimônio composto por todos os elementos de hardware, software e infraestrutura de comunicação necessários à execução das atividades precípuas da Justiça Eleitoral (Ref. Resolução TSE nº 23.501/2016);

VIII - Ativo de TI: o mesmo que ativo de processamento;

IX - Ativo: qualquer bem, tangível ou intangível, que tenha valor para a organização (Ref. Resolução TSE nº 23.501/2016);

X - Atributos de Valor para a Sociedade: princípios balizadores dos objetivos estratégicos e das decisões tomadas (Ref. Resolução CNJ nº 211/2015);

XI - Autenticidade: propriedade que garante que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade (Ref. Resolução TSE nº 23.501/2016);

XII - Ciclo de vida da informação: ciclo formado pelas fases de produção, recepção, organização, uso, disseminação e destinação (Ref. Resolução TSE nº 23.501/2016);

XIII - Cifração: ato de cifrar mediante uso de algoritmo simétrico ou assimétrico, com recurso criptográfico, para substituir sinais de linguagem em claro por outros ininteligíveis a pessoas não autorizadas a conhecê-los (Ref. Resolução TSE nº 23.501/2016);

XIV - Comitê Nacional de Gestão de Tecnologia da Informação e Comunicação do Poder Judiciário: responsável pela formulação, acompanhamento e revisão da ENTICJUD, seus indicadores e suas metas (Ref. Resolução CNJ nº 211/2015);

XV - Confidencialidade: propriedade da informação que garante que ela não será disponibilizada ou divulgada a indivíduos, entidades ou processos sem a devida autorização (Ref. Resolução TSE nº 23.501/2016);

XVI - Contêiner dos ativos de informação: local onde "vive" o ativo de informação. Geralmente, um contêiner descreve algum tipo de ativo tecnológico - hardware, software ou sistema de informação (mas também pode se referir a pessoas ou mídias como papel, CD-ROM ou DVD-ROM). Portanto, um contêiner é qualquer tipo de ativo no qual um ativo de informação é armazenado, transportado ou processado. Ele pode ser um único ativo tecnológico (como um servidor), uma coleção de ativos tecnológicos (como uma rede) ou uma coletânea de mídias digitais, entre outros (Ref. Portaria GSI/PR nº 93/2019);

XVII - Continuidade de negócios: capacidade estratégica e tática de um órgão ou entidade de planejar e responder a incidentes e interrupções de negócios, minimizando seus impactos e recuperando perdas de ativos da informação das atividades críticas, de forma a manter suas operações em um nível aceitável, previamente definido (Ref. Resolução TSE nº 23.501/2016);

XVIII - Credencial (ou conta de acesso): permissão, concedida por autoridade competente após o processo de credenciamento, que habilita determinada pessoa, sistema ou organização ao acesso de recursos. A credencial pode ser física (como um crachá), ou lógica (como a identificação de usuário e senha) (Ref. Portaria GSI/PR nº 93/2019);

XIX - Custodiante: aquele que, de alguma forma, total ou parcialmente, zela pelo armazenamento, operação, administração e preservação de um sistema estruturante - ou dos ativos de informação que compõem o sistema de informação - que não lhe pertence, mas que está sob sua custódia (Ref. Portaria GSI/PR nº 93/2019);

XX - CVE: acrônimo de Common Vulnerabilities and Exposures, é um dicionário de vulnerabilidades com nomes padronizados para vulnerabilidades e outras informações de exposições de segurança;

XXI - CVSS: acrônimo para Common Vulnerability Scoring System, é um padrão criado pelo Forum for Incident Response and Security Teams (FIRST) para calcular a severidade de uma vulnerabilidade técnica com base em características do ambiente e ajudar na priorização das atividades de correção de acordo com os riscos;

XXII - Decifração: ato de decifrar mediante uso de algoritmo simétrico ou assimétrico, com recurso criptográfico, para reverter processo de cifração original (Ref. Resolução TSE nº 23.501/2016);

XXIII - Diretriz Estratégica de Nivelamento: determinações, instruções ou indicações a serem observadas na execução da ENTIC-JUD tendo em vista o alcance dos objetivos estratégicos (Ref. Resolução CNJ nº 211/2015);

XXIV - Disponibilidade: propriedade da informação que garante que ela será acessível e utilizável sempre que demandada (Ref. Resolução TSE nº 23.501/2016);

XXV - Gestão de Segurança da Informação: ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade de negócios, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando à tecnologia da informação (Ref. Resolução TSE nº 23.501/2016);

XXVI - Governança de TIC: conjunto de diretrizes, estruturas organizacionais, processos e mecanismos de controle que visam assegurar que as decisões e ações relativas à gestão e ao uso de TIC mantenham-se harmoniosas às necessidades institucionais e contribuam para o cumprimento da missão e o alcance das metas organizacionais (Ref. Resolução CNJ nº 211/2015);

XXVII - Hora Legal Brasileira (HLB): gerada pelo Observatório Nacional a partir de um conjunto de 7 padrões atômicos de feixe de césio e 2 padrões atômicos de MASER de hidrogênio, é a referência brasileira das grandezas de tempo e frequência;

XXVIII - Incidente de segurança em redes computacionais: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores (Ref. Resolução TSE nº 23.501/2016);

XXIX - Incidente em segurança da informação: qualquer indício de fraude, sabotagem, desvio, falha ou evento indesejado ou inesperado que tenha probabilidade de comprometer as operações do negócio ou ameaçar a segurança da informação (Ref. Resolução TSE nº 23.501/2016);

XXX - Indicadores Nacionais: conjunto de indicadores estratégicos de resultado estabelecidos pela Rede de Governança Colaborativa do Poder Judiciário (Ref. Resolução CNJ nº 211/2015);

XXXI - Informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente do suporte em que resida ou da forma pela qual seja veiculado (Ref. Resolução TSE nº 23.501/2016);

XXXII - Iniciativa Estratégica Nacional: programa, projeto ou operação alinhada à Estratégia Nacional de Tecnologia da Informação e Comunicação (Ref. Resolução CNJ nº 211/2015);

XXXIII - Integridade: propriedade que garante que a informação mantém todas as características originais estabelecidas pelo proprietário (Ref. Resolução TSE nº 23.501/2016);

XXXIV - Irretratabilidade (ou não repúdio): garantia de que a pessoa se responsabilize por ter assinado ou criado a informação (Ref. Resolução TSE nº 23.501/2016);

XXXV - Macrodesafio de TIC: diretriz estratégica nacional destinada a impulsionar a melhoria da infraestrutura e da governança de TIC no Poder Judiciário (Ref. Resolução CNJ nº 211/2015);

XXXVI - Metas de Medição Periódica: metas aplicáveis aos órgãos do Poder Judiciário e acompanhadas pelo CNJ para períodos predefinidos durante a vigência da Estratégia Nacional de Tecnologia da Informação e Comunicação (Ref. Resolução CNJ nº 211/2015);

XXXVII - Metas Nacionais: conjunto de metas estratégicas estabelecidas pela Rede de Governança Colaborativa do Poder Judiciário que permitem gerir desempenhos (Ref. Resolução CNJ nº 211/2015);

XXXVIII - Missão: definição de finalidade da área (Ref. Resolução CNJ nº 211/2015);

XXXIX - Objetivos Estratégicos: resultados que a TIC pretende atingir, com vistas à concretização da missão e ao alcance da visão, observando as diretrizes estratégicas do planejamento institucional do órgão, além daquelas contidas nesta Resolução (Ref. Resolução CNJ nº 211/2015);

XL - Proprietário do ativo de informação: refere-se à parte interessada do órgão ou entidade, indivíduo legalmente instituído por sua posição e/ou cargo, o qual é responsável primário pela viabilidade e sobrevivência dos ativos de informação (Ref. Norma Complementar nº 10/IN01/DSIC /GSIPR);

XLI - Quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação (Ref. Resolução TSE nº 23.501/2016);

XLII - Recurso criptográfico: sistema, programa, processo, equipamento isolado ou em rede que utiliza algoritmo simétrico ou assimétrico para realizar cifração ou decifração (Ref. Resolução TSE nº 23.501/2016);

XLIII - Recurso: além da própria informação, é todo o meio direto ou indireto utilizado para o seu tratamento, tráfego e armazenamento (Ref. Resolução TSE nº 23.501/2016);

XLIV - Recursos de Tecnologia da Informação: são o conjunto de bens e serviços de tecnologia da informação que constituem a infraestrutura tecnológica de suporte automatizado ao ciclo da informação, que envolve as atividades de produção, coleta, tratamento, armazenamento, transmissão, recepção, comunicação e disseminação (Ref. Guia de Comitê de TI do SISP);

XLV - Rede de computadores: rede formada por um conjunto de máquinas eletrônicas com processadores capazes de trocar informações e partilhar recursos, interligados por um subsistema de comunicação, ou seja, existência de dois ou mais computadores, e outros dispositivos interligados entre si de modo a poder compartilhar recursos físicos e lógicos, sendo que estes podem ser do tipo dados, impressoras, mensagens (e-mails), entre outros (Ref. Resolução TSE nº 23.501/2016);

XLVI - Registro de eventos (log): processo com a finalidade de registrar eventos durante o seu ciclo de vida, podendo ser gerado por sistemas operacionais, aplicações, entre outros, e armazenado durante um período pré-determinado;

XLVII - Resumo criptográfico: resultado da ação de algoritmos que fazem o mapeamento de bits de tamanho arbitrário para uma sequência de bits de tamanho fixo menor - conhecida como resultado hash - de forma que seja muito difícil encontrar duas mensagens produzindo o mesmo resultado hash (resistência à colisão) e que o processo reverso também não seja realizável (utilizando-se apenas o hash não é possível recuperar a mensagem que o gerou) (Ref. Portaria GSI/PR nº 93 /2019);

XLVIII - Risco: potencial associado à exploração de vulnerabilidades de um ativo de informação por ameaças, com impacto negativo no negócio da organização (Ref. Resolução TSE nº 23.501/2016);

XLIX - SCAP: acrônimo de Security Content Automation Protocol, é uma especificação estabelecida pelo NIST (National Institute of Standards and Technology) para expressar e manipular dados de segurança de forma padronizada;

L - Segurança da informação: abrange aspectos físicos, tecnológicos e humanos da organização e orienta-se pelos princípios da autenticidade, da confidencialidade, da integridade, da disponibilidade e da irretratabilidade da informação, entre outras propriedades (Ref. Resolução TSE nº 23.501/2016);

LI - Tecnologia da Informação e Comunicação (TIC): ativo estratégico que suporta processos institucionais, por meio da conjugação de recursos, processos e técnicas utilizados para obter, processar, armazenar, fazer uso e disseminar informações (Ref. Resolução CNJ nº 211/2015);

LII - Tratamento da informação: recepção, produção, reprodução, utilização, acesso, transporte, transmissão, distribuição, armazenamento, eliminação e controle da informação, inclusive as sigilosas (Ref. Resolução TSE nº 23.501/2016);

LIII - Usuário: aquele que utiliza, de forma autorizada, recursos inerentes às atividades precípuas da Justiça Eleitoral (Ref. Resolução TSE nº 23.501/2016);

LIV - Viabilizadores de Governança de TIC: fatores que, individualmente ou coletivamente, tenham a capacidade de afetar o funcionamento da governança, da gestão e da infraestrutura de Tecnologia da Informação e Comunicação (Ref. Resolução CNJ nº 211/2015);

LV - Visão: declaração de propósito e futuro desejado, com perspectiva de longo prazo (Ref. Resolução CNJ nº 211/2015);

LVI - Vulnerabilidade de dia zero: falha na segurança de um software que ainda não é conhecida por seus desenvolvedores, pelos fabricantes de soluções de segurança e pelo público em geral. Também é considerada uma Vulnerabilidade de Dia Zero a falha de segurança que já é conhecida pelo fornecedor do produto, mas para a qual ainda não existe um pacote de segurança para corrigila. Por não ser conhecida ou por não haver ainda um patch de segurança para essa falha, ela pode ser explorada por hackers em Explorações de Dia Zero. A correção de uma vulnerabilidade de dia zero geralmente é tarefa do fabricante do software, que precisará lançar um pacote de segurança para consertar a falha (Ref. Portaria GSI/PR nº 93/2019);

LVII - Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças (Ref. Resolução TSE nº 23.501/2016).

CAPÍTULO II

DISPOSIÇÕES FINAIS

Art. 3º Os casos omissos serão resolvidos pela Comissão de Segurança da Informação - CSI deste Tribunal.

Art. 4º A revisão desta portaria relativa à Política de Segurança da Informação ocorrerá sempre que se fizer necessário ou conveniente para este Tribunal, não excedendo o período máximo de 3 (três) anos.

Art. 5º Esta portaria deve ser publicada no portal de intranet do Tribunal Superior Eleitoral.

Art. 6º Esta portaria entrará em vigor na data de sua publicação.

RUI MOREIRA DE OLIVEIRA

Este texto não substitui o publicado no DJE-TSE, nº 131, de 12.7.2021, p. 1- 6.