RESOLUÇÃO Nº 22.780, DE 24 DE ABRIL DE 2008.

O Tribunal Superior Eleitoral, no uso de suas atribuições, resolve expedir diretrizes visando a regulamentar a Política de Segurança da Informação da Justiça Eleitoral:

CAPÍTULO I

DAS DEFINIÇÕES

Art. 1º Para os efeitos desta resolução aplicam-se as seguintes definições:

I - atividades críticas: conjunto de processos vinculados às atividades precípuas da Justiça Eleitoral, cuja interrupção ocasiona severos transtornos;

II - atividades precípuas: conjunto de procedimentos e tarefas que utilizam recursos tecnológicos, humanos e materiais, inerentes à atividade fim da Justiça Eleitoral, contemplando todos os ambientes existentes, no âmbito do Tribunal Superior Eleitoral e tribunais regionais eleitorais;

III - ativo de informação: é o patrimônio composto por todos os dados e informações geradas, adquiridas, utilizadas ou armazenadas pela Justiça Eleitoral;

IV - ativo de processamento: é o patrimônio composto por todos os elementos de hardware, software e infra-estrutura de comunicação, necessários para a execução das atividades precípuas da Justiça Eleitoral;

V - confidencialidade: a informação não será disponibilizada ou divulgada a indivíduos, entidades ou processos sem autorização;

VI - criticidade: grau de importância da informação, para a continuidade das atividades precípuas da Justiça Eleitoral;

VII - disponibilidade: a informação será acessível e utilizável sob demanda da entidade autorizada;

VIII - integridade: proteção à precisão e à perfeição de recursos;

IX - recurso: além da própria informação, todo o meio direto ou indireto utilizado para o seu tratamento, tráfego e armazenamento;

X - usuário: quem utiliza, de forma autorizada, recursos inerentes às atividades precípuas da Justiça Eleitoral;

XI - segurança da informação: preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade podem também estar envolvidas.

CAPÍTULO II

 DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Art. 2º A Política de Segurança da Informação da Justiça Eleitoral (PSI) deve ser empregada para preservação da integridade, confidencialidade e credibilidade dos ativos de informação da Justiça Eleitoral.

Art. 3º A Política de Segurança da Informação da Justiça Eleitoral visa a combater atos acidentais ou intencionais de destruição, modificação, apropriação ou divulgação indevida de informações. Art. 4º A Política de Segurança da Informação da Justiça Eleitoral (PSI) se aplica a todos os servidores, estagiários e prestadores de serviço, que fazem uso dos recursos materiais e tecnológicos.

Parágrafo único. Todos os servidores, estagiários e prestadores de serviço da Justiça Eleitoral são co-responsáveis pela segurança da informação, devendo, para tanto, conhecer e seguir a Política de Segurança da Informação da Justiça Eleitoral.

CAPÍTULO III

DA SEGURANÇA DA INFORMAÇÃO

Art. 5º A fim de preservar a continuidade, integridade e disponibilidade das informações e serviços devem ser adotados mecanismos de proteção.

Art. 6º Toda e qualquer informação gerada, adquirida, utilizada ou armazenada pela Justiça Eleitoral é considerada de sua propriedade e deve ser protegida, de acordo com a Política de Segurança da Informação de que trata esta resolução, legislação em vigor e com as normas e procedimentos relacionados.

 Art. 7º As informações devem ser classificadas de acordo com um sistema próprio, determinado pela necessidade de sigilo, confidencialidade e disponibilidade, para garantir o armazenamento, a proteção de acesso e o uso adequado.

Parágrafo único. Os sistemas e equipamentos utilizados para armazenamento de informações devem receber a mesma classificação dada à informação neles mantida.

Art. 8º Deverão ser realizadas auditorias periódicas dos ativos da Justiça Eleitoral, de forma a aferir o correto cumprimento da Política de Segurança da Informação.

CAPÍTULO IV

DA INSTITUIÇÃO DAS COMISSÕES DE SEGURANÇA DA INFORMAÇÃO

Art. 9º Deverá ser constituída, no âmbito de cada tribunal eleitoral, comissão de segurança da informação, composta, no mínimo, por representantes da Diretoria-Geral, da Corregedoria, da Secretaria de Gestão de Pessoas e da Secretaria de Tecnologia da Informação.

Parágrafo único. As comissões de segurança da informação constituídas no âmbito de cada tribunal regional deverão acompanhar as diretrizes estabelecidas pela Comissão de Segurança da Informação do TSE.

CAPÍTULO V

DO USO DE RECURSOS TECNOLÓGICOS

Art. 10. No que se refere à segurança da informação, é proibido tudo aquilo que não esteja expressamente autorizado pela Comissão de Segurança da Informação.

Art. 11. É vedado o uso de recursos da Justiça Eleitoral para constranger, assediar, ofender, caluniar, ameaçar ou causar prejuízos a qualquer pessoa física ou jurídica, bem como para veicular opiniões político-partidárias.

Art. 12. É vedado que apenas um usuário possua controle exclusivo de um processo de negócio ou recurso.

Art. 13. Todos os ativos de informação ou processamento da Justiça Eleitoral devem ser inventariados, classificados, atualizados periodicamente e mantidos em condição de uso.

Art. 14. Cada ativo deverá ter um gestor formalmente designado.

Art. 15. Qualquer indício de falha na segurança da informação deve ser formalmente registrado e notificado ao gestor do ativo, bem como à comissão de segurança da informação de seu respectivo tribunal.

CAPÍTULO VI

DOS USUÁRIOS DE RECURSOS TECNOLÓGICOS

Art. 16. Todo usuário deve possuir identificação pessoal, intransferível e com validade estabelecida.

Art. 17. Deverão ser adotados mecanismos que garantam a integridade e autenticidade da identificação do usuário.

Art. 18. O usuário receberá permissão de acesso apenas aos recursos necessários e indispensáveis ao desempenho de suas funções.

Parágrafo único. As permissões de acesso deverão ser bloqueadas, em caso de afastamento provisório de fato, e revogadas, em caso de desligamento do usuário.

CAPÍTULO VII

DO GERENCIAMENTO DE RISCOS

Art. 19. Deverá ser implementado processo de gerenciamento de riscos, visando à identificação e à mitigação de riscos associados às atividades críticas da Justiça Eleitoral.

Parágrafo único. O processo de gerenciamento de riscos deverá ser revisado periodicamente.

 Art. 20. Deverão ser elaborados planos de continuidade de negócio para cada atividade crítica, de forma a garantir o fluxo das informações necessárias em momento de crise e o retorno seguro à situação de normalidade.

Parágrafo único. Os planos de continuidade de negócio deverão ser testados e revisados periodicamente.

CAPÍTULO VIII

DAS COMPETÊNCIAS

Art. 21. Compete à Diretoria-Geral de cada tribunal integrante da Justiça Eleitoral apoiar a aplicação das ações estabelecidas na Política de Segurança da Informação e normas correlatas.

Art. 22. Compete à Comissão de Segurança da Informação do Tribunal Superior Eleitoral:

I - analisar criticamente e submeter a Política de Segurança da Informação da Justiça Eleitoral à aprovação da Corte;

II - avaliar as mudanças impactantes na exposição dos recursos a riscos, identificando as principais ameaças;

III - analisar criticamente os incidentes de segurança da informação e ações corretivas correlatas;

IV - propor iniciativas para aumentar o nível da segurança da informação;

V - promover a divulgação da Política da Segurança da Informação, bem como ações para disseminar a cultura em segurança da informação;

VI - promover processos de gerenciamento de riscos, bem como a elaboração e aprovação dos planos de continuidade de negócios;

VII - promover ações com o propósito de viabilizar recursos para o cumprimento da Política da Segurança da Informação;

VIII - definir planos para realizações de auditorias periódicas.

 Art. 23. Compete às comissões de segurança da informação dos tribunais regionais eleitorais:

I - avaliar as mudanças impactantes na exposição dos recursos a riscos, identificando as principais ameaças;

II - analisar criticamente os incidentes de segurança da informação e ações corretivas correlatas;

III - propor iniciativas para aumentar o nível da segurança da informação;

IV - promover a divulgação da Política da Segurança da Informação, bem como ações para disseminar a cultura em segurança da informação;

V - promover processos de gerenciamento de riscos, bem como a elaboração e aprovação dos planos de continuidade de negócios;

VI - promover ações, com o propósito de viabilizar recursos para o cumprimento da Política da Segurança da Informação;

VII - definir o plano de auditoria periódica, no âmbito do Tribunal Eleitoral a que estiver vinculada.

Art. 24. Compete às Secretarias de Tecnologia da Informação:

I - prover o apoio necessário à implementação e compreensão da Política de Segurança da Informação da Justiça Eleitoral;

II - executar as orientações técnicas e procedimentos estabelecidos pela comissão de segurança da informação do seu respectivo tribunal;

III - prover os ativos de processamento necessários ao cumprimento da Política da Segurança da Informação;

IV - subsidiar a comissão de segurança da informação do seu respectivo tribunal com informações de cunho tecnológico, aplicadas à execução da Política da Segurança da Informação;

V - apoiar a realização de auditorias, conforme plano de auditoria periódica.

Art. 25. Compete aos usuários:

I - responder por toda atividade executada com o uso de sua identificação;

II - ter pleno conhecimento e seguir a Política de Segurança da Informação;

III - notificar a sua chefia imediata e à Comissão de Segurança da Informação qualquer indício ou falha na segurança da informação.

CAPÍTULO IX

DISPOSIÇÕES FINAIS

Art. 26. Fica assegurado às comissões de segurança da informação, a qualquer tempo, o poder de suspender temporariamente o acesso do usuário a recurso computacional da Justiça Eleitoral, quando evidenciados riscos à segurança da informação.

 Art. 27. Caberá à Comissão de Segurança da Informação do Tribunal Superior Eleitoral elaborar, revisar, atualizar, divulgar e validar as diretrizes, normas, procedimentos e instruções, que regulamentem os princípios e valores existentes na Política de Segurança da Informação, bem como referendar as proposições encaminhadas pelas comissões de segurança da informação dos tribunais regionais eleitorais.

Art. 28. As atividades das comissões de segurança da informação devem ser executadas em conformidade com as recomendações publicadas pela Associação Brasileira de Normas Técnicas - ABNT - relativas a sistemas de gestão de segurança da informação.

 Art. 29. Compete às comissões de segurança da informação de cada tribunal eleitoral a elaboração de normas e procedimentos visando à regulamentação e operacionalização das diretrizes apresentadas nesta resolução.

 Parágrafo único. As normas e procedimentos de que trata o caput desse artigo deverão ser elaboradas tomando-se por base os objetivos de controle e controles estabelecidos na NBR ISO IEC 17799:2005, quais sejam:

I - organização da segurança da Informação;

II - gestão de ativos;

III - segurança em recursos humanos;

IV - segurança física e do ambiente;

V - gerenciamento das operações e comunicações;

VI - controles de acessos;

VII - aquisição, desenvolvimento e manutenção de sistemas de informação;

VIII - gestão de incidentes de segurança da informação;

IX - gestão da continuidade do negócio; e

X - conformidade.

Art. 30. Os casos omissos serão resolvidos pelas comissões de segurança da informação.

Art. 31. Esta resolução entrará em vigor na data de sua publicação.

Brasília, 24 de abril de 2008.

Marco Aurélio - Presidente

Joaquim Barbosa - Relator

Carlos Ayres Britto

Ari Pargendler

Felix Fischer

Marcelo Ribeiro

Arnaldo Versiani