Tribunal Regional Eleitoral - BA
Secretaria Judiciária
Assessoria de Gestão de Jurisprudência
PORTARIA Nº 641, DE 21 DE DEZEMBRO DE 2017
Institui a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) no âmbito do TRE/BA.
O PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DA BAHIA, no uso de suas atribuições legais e regimentais,
Considerando a Política Corporativa de Segurança da Informação e Comunicação da Justiça Eleitoral (POSIC-JE), aprovada pela Resolução TSE nº 23501, de 19 de dezembro de 2016, e adotada por este Tribunal através da Portaria TRE/BA nº 611, de 30 de novembro de 2017;
Considerando os Acórdãos 866/2011, 594/2011, 7312/2010 e 2746/2010, proferidos pelo Plenário do Tribunal de Contas da União, os quais determinam a instituição de Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais;
Considerando as disposições insertas nas Normas Complementares n. 05/IN01/DSIC/GSIPR, de 04 de agosto de 2009, e n. 08/IN01/DSIC/GSIPR, de 19 de agosto de 2010, e na Instrução Normativa n. 01 do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República, que disciplinam a criação e a gestão de Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal;
Considerando a Resolução CNJ nº 211/2015, que institui a Estratégia Nacional de Tecnologia da Informação e Comunicação do Judiciário; e
Considerando, ainda, a importância da adoção de boas práticas relacionadas à proteção da informação preconizadas pelas normas ISO NBR/IEC 27001:2013 e 27002:2013;
RESOLVE:
Art. 1º Instituir a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) no âmbito do Tribunal Regional Eleitoral da Bahia.
DOS CONCEITOS E DEFINIÇÕES
Art. 2º Para os efeitos desta Portaria e de suas regulamentações aplicam-se as seguintes definições:
Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR): grupo de pessoas com a responsabilidade de receber, analisar, classificar, tratar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores, além de armazenar registros para formação de séries históricas como subsídio estatístico e para fins de auditoria ;
Agente responsável: servidor público, ocupante de cargo efetivo do TRE/BA, incumbido de chefiar e gerenciar a ETIR;
Artefato malicioso: qualquer programa de computador, ou parte de um programa, construído com a intenção de provocar danos, obter informações não autorizadas ou interromper o funcionamento de sistemas e/ou redes de computadores;
Comunidade ou público-alvo: conjunto de pessoas, setores, órgãos ou entidades atendidas pela ETIR;
Detecção de intrusão: serviço que consiste na análise do tráfego de redes e de histórico de dispositivos que detectam as tentativas de intrusões em redes de computadores, com vistas a identificar e iniciar os procedimentos de resposta a incidentes de segurança em redes computacionais, com base em eventos com características pré-definidas, que possam levar a uma possível intrusão;
Incidente de segurança: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores;
Serviço: conjunto de procedimentos, estruturados em um processo bem definido, oferecido à comunidade da ETIR;
Vulnerabilidade: é qualquer fragilidade dos sistemas computacionais e redes de computadores que permitam a exploração maliciosa e acessos indesejáveis ou não autorizados;
Tratamento de artefatos maliciosos: serviço que consiste em receber informações ou cópia de artefato malicioso que foi utilizado no ataque, ou em qualquer atividade desautorizada ou maliciosa. Uma vez recebido, o mesmo será analisado, para fins de detecção de sua natureza, mecanismo, versão e objetivo, com vistas ao desenvolvimento (ou ao menos sugestão) de estratégia de detecção, remoção e defesa;
Tratamento de incidentes de segurança em redes computacionais: serviço que consiste em receber, filtrar, classificar e responder às solicitações e alertas, bem como realizar análises dos incidentes de segurança no intuito de extrair informações que permitam impedir a continuidade da ação maliciosa e também a identificação de tendências;
Tratamento de vulnerabilidades: serviço que consiste em receber informações sobre vulnerabilidades, quer sejam em hardware ou software, objetivando analisar sua natureza, mecanismo e suas consequências e desenvolver estratégias para detecção e correção.
DO OBJETIVO
Art. 3º A ETIR terá como objetivo garantir o cumprimento da missão institucional do Tribunal Regional Eleitoral da Bahia, através do tratamento e resposta a incidentes de segurança na rede interna de computadores.
DA ESTRUTURA ORGANIZACIONAL
Art. 4º A ETIR estará administrativamente vinculada à Secretaria de Tecnologia da Informação deste Tribunal, sendo formada, preferencialmente, por servidores públicos efetivos lotados na área de Infraestrutura de Rede de Computadores, os quais, além de suas funções regulares, desempenharão as atividades relacionadas ao tratamento e resposta a incidentes em redes computacionais.
§1º O Gestor de Segurança da Informação e Comunicações é o responsável por coordenar a instituição, implementação e manutenção da infraestrutura necessária à Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais.
§2º Compete ao Gestor de Segurança da Informação propor os meios necessários para a capacitação e o aperfeiçoamento técnico dos membros da Equipe, bem como apoiar a ETIR na execução de seu trabalho, viabilizando a disponibilização dos recursos materiais, tecnológicos e humanos necessários à prestação dos serviços oferecidos aos usuários.
Art. 5º Os integrantes da equipe, incluído o Agente Responsável, serão designados por meio de Portaria da Presidência.
§ 1º A equipe será composta de igual número de membros titulares e substitutos.
§ 2º O Agente Responsável será designado dentre os membros titulares.
Art. 6º A ETIR funcionará como um grupo de trabalho permanente, de atuação primordialmente reativa e não exclusiva (sem prejuízo de sua responsabilidade quanto a ações preventivas).
Parágrafo único. As atividades reativas da ETIR terão prioridade sobre aquelas designadas pelos chefes imediatos de seus respectivos integrantes.
Art. 7º Trimestralmente, a ETIR deverá apresentar à Comissão de Segurança da Informação relatórios estatísticos dos incidentes de segurança ocorridos no período, com os respectivos tratamentos adotados, com vistas à elaboração de estudos de melhoria dos mecanismos de segurança ou para subsidiar as decisões estratégicas da Administração relativamente à Segurança da Informação.
DA AUTONOMIA
Art. 8º A ETIR seguirá o modelo "Autonomia Completa", conforme descrito nas normas do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República, o que lhe permitirá, na recuperação de incidentes de segurança, conduzir o público-alvo na realização de ações ou medidas necessárias para reforçar a resposta ou a postura da organização.
Parágrafo único. Caso necessário, durante um incidente de segurança, a ETIR poderá tomar a decisão de executar as medidas de recuperação sem esperar a aprovação de níveis superiores de gestão.
DO PÚBLICO-ALVO
Art. 9º A ETIR atenderá, por meio do registro de chamado na Central de Serviços de TIC (CESTIC), a todos os usuários da rede de computadores e de sistemas do TRE/BA que comunicarem eventos identificados como incidentes de segurança.
Art. 10. Com o objetivo de alimentar suas bases de conhecimentos e fomentar a troca de tecnologias, a ETIR poderá interagir com outras unidades de natureza semelhante vinculadas a órgãos da Administração Pública Federal, do Poder Legislativo, do Poder Judiciário e do Ministério Público, fornecendo informações acerca dos incidentes de segurança ocorridos na rede de computadores do TRE/BA.
Paragrafo único. Nos casos previstos no caput deste artigo, a comunicação dos incidentes de segurança, bem como o tratamento aplicado, será efetuada através de documento devidamente formalizado.
DOS SERVIÇOS E PROCEDIMENTOS
Art. 11. Caberá à ETIR implementar e desempenhar os seguintes serviços, sem prejuízo de outros requisitados, desde que em consonância com normas e legislações referentes ao gerenciamento de incidentes de segurança em redes de computadores:
tratamento de incidentes de segurança em redes computacionais;
tratamento de artefatos maliciosos;
tratamento de vulnerabilidades;
monitoramento da segurança da rede de computadores.
Art. 12. Para cada serviço elencado no artigo anterior deverão ser formalizados os procedimentos a serem observados pela ETIR, através de documento a ser elaborado pelo Agente Responsável, contendo:
a definição do serviço;
o objetivo do serviço;
a descrição das funções e procedimentos que compõem o serviço.
Parágrafo único. O documento de que trata este artigo deverá ser elaborado pela Equipe e submetido à Comissão de Segurança da Informação, no prazo máximo de 6 (seis) meses após sua nomeação, devendo ser atualizado sempre que necessário.
DAS RESPONSABILIDADES
Art. 13. Caberá ao Agente Responsável:
elaborar os procedimentos internos a serem observados pela ETIR, com apoio da própria equipe;
gerenciar as atividades desempenhadas pela ETIR;
distribuir, sempre que necessário, tarefas para a ETIR, inclusive as de caráter pró-ativo;
sugerir à Secretaria de Tecnologia da Informação, quando necessária, a convocação de representantes de outras unidades da Secretaria, para atuar no tratamento e resposta a determinado incidente de segurança;
treinar integrantes da equipe para o fiel desempenho de suas atividades;
assegurar que os usuários sejam informados sobre os procedimentos adotados em relação aos incidentes de segurança da informação por eles comunicados;
zelar pela capacitação dos membros da ETIR, fazendo constar do Plano Anual de Capacitação os eventos que entender relevantes ao bom desempenho dos trabalhos da equipe.
Art. 14. Caberá à ETIR:
manter registro dos incidentes de segurança em redes de computadores notificados ou detectados, com o objetivo de assegurar registro histórico das atividades;
recolher evidências imediatamente após a constatação de um incidente de segurança da informação na rede interna de computadores;
executar análise crítica sobre os registros de falha para assegurar que as mesmas foram satisfatoriamente resolvidas;
investigar as causas dos incidentes de segurança da informação na rede interna de computadores;
implementar mecanismos para permitir a quantificação e monitoração dos tipos, volumes e custos de incidentes e falhas de funcionamento;
indicar a necessidade de controles aperfeiçoados ou adicionais para limitar a frequência, os danos e o custo de futuras ocorrências de incidentes;
tratar a informação de forma a viabilizar e assegurar disponibilidade, integridade, confidencialidade e autenticidade da informação, observada a legislação em vigor, naquilo que diz respeito ao estabelecimento de graus de sigilo.
DAS DISPOSIÇÕES GERAIS
Art. 15. A ETIR comunicará a ocorrência de incidentes de segurança em redes de computadores ao Centro de Tratamento de Incidentes de Segurança em Redes de Computadores da Administração Pública Federal - CTIR Gov, conforme procedimentos a serem definidos pelo próprio CTIR Gov, com vistas a permitir que sejam dadas soluções integradas para a APF, bem como a geração de estatísticas.
Art. 16. Durante o gerenciamento de incidentes de segurança em redes de computadores, havendo indícios de ilícitos criminais, a ETIR tem como dever:
§1º Acionar as autoridades policiais competentes para a adoção dos procedimentos legais julgados necessários;
§2º Observar os procedimentos para preservação das evidências exigindo consulta às orientações sobre cadeia de custódia, conforme ato normativo específico a ser expedido;
§3º Priorizar a continuidade dos serviços da ETIR e da missão institucional da organização, observando os procedimentos previstos nesta Portaria.
Art. 17. Os casos omissos e as dúvidas surgidas na aplicação desta Portaria serão dirimidos pela Comissão de Segurança da Informação deste Tribunal.
Art. 18. Este normativo deverá ser revisado periodicamente, em intervalos máximos de 3 (três) anos.
Art. 19. Os integrantes da Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais, bem como o Agente Responsável, deverão ser nomeados em até de 30 (trinta) dias da publicação desta Portaria.
Art. 20. Esta Portaria entra em vigor na data de sua publicação.
Salvador, 21 de dezembro de 2017.
Des. JOSÉ EDIVALDO ROCHA ROTONDANO
Presidente do Tribunal Regional Eleitoral da Bahia
Este texto não substitui o publicado no DJE-TRE-BA, nº 001, de 02/01/2018, p. 3-5.