TRIBUNAL REGIONAL ELEITORAL DO PARANÁ
INSTRUÇÃO NORMATIVA Nº 08/2019
Dispõe sobre a gestão de vulnerabilidades em sistemas de informação no âmbito da Justiça Eleitoral do Paraná.
O DIRETOR-GERAL DO TRIBUNAL REGIONAL ELEITORAL, no uso de suas atribuições legais e regimentais,
CONSIDERANDO a necessidade de garantir a disponibilidade, a confidencialidade e a integridade dos dados e dos sistemas de informação;
CONSIDERANDO a necessidade de adequação dos sistemas de informação às boas práticas de gestão previstas na norma ABNT/ISO/IEC 27001:2013;
CONSIDERANDO a necessidade de definir as políticas de gestão de vulnerabilidades em sistemas de informação no TRE-PR;
CONSIDERANDO a necessidade de adequação à Lei Geral de Proteção de Dados (Lei nº 13.709/2018);
CONSIDERANDO que a segurança da informação é condição essencial para a prestação dos serviços jurisdicionais e administrativos da Justiça Eleitoral do Paraná; e,
CONSIDERANDO o contido no PAD nº 13338/2019,
RESOLVE
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1º Ficam estabelecidas as diretrizes para a gestão de vulnerabilidades em sistemas de informação no TRE-PR.
Art. 2º Esta norma integra a Política de Segurança de Informação da Justiça Eleitoral, estabelecida pela Resolução TSE nº 23.501/2016.
CAPÍTULO II
DAS DEFINIÇÕES
Art. 3º Para efeitos desta norma consideram-se as seguintes definições:
I - Ameaça – causa potencial de um incidente indesejado que pode resultar em dano para um sistema ou organização;
II - Vulnerabilidade - fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças;
III - Risco - potencial associado à exploração de vulnerabilidades de um ativo de informação por ameaças, com impacto negativo no negócio da organização;
IV - Ativo de informação – todo dado ou informação gerado, adquirido, utilizado ou custodiado pela Justiça Eleitoral, assim como qualquer equipamento, software ou recurso utilizado para seu processamento ou armazenamento.
CAPÍTULO III
DAS AÇÕES PREVENTIVAS
Art. 4º Devem ser implementadas ações preventivas, de acordo com as melhores práticas, para, no mínimo:
I - Atualizar e manter atualizados os sistemas operacionais e aplicativos instalados em estações de trabalho e dispositivos móveis;
II - Atualizar e manter atualizados os sistemas operacionais de servidores, sejam estes físicos ou virtuais;
III - Atualizar e manter atualizados os servidores de aplicação (middleware);
IV - Atualizar e manter atualizados os SGBDs (Sistemas de Gestão de Bancos de Dados);
V - Atualizar e manter atualizados a infraestrutura de virtualização;
VI - Atualizar e manter atualizados os sistemas e aplicações web;
VII - Atualizar e manter atualizados sistemas de IOT (Internet of Things, ou “Internet das Coisas”) e de comunicação;
VIII - Testar novos sistemas de informação antes de sua entrada em produção;
IX - Manter atualizada a base de ativos de informação.
Parágrafo único. Toda atualização deve ser precedida de análise de compatibilidade e, se aplicável, testes em ambiente de homologação com o intuito de garantir a disponibilidade e integridade dos sistemas e minimizar o risco de incompatibilidades que possam produzir incidentes e perturbações indesejáveis no ambiente de TI.
CAPÍTULO IV
DAS DESCOBERTAS DE VULNERABILIDADES
Art. 5º Devem ser realizadas varreduras e testes periódicos em todos os ativos de informação inventariados conectados à rede do TRE-PR, em busca de vulnerabilidades.
Art. 6º As atividades de varreduras e testes podem ser feitas de forma automatizada ou manual, de acordo com a disponibilidade de recursos e da necessidade.
Art. 7º Principais tipos de varreduras a serem realizados e considerados durante as análises de riscos:
I – Completa - É composta por testes para todas as vulnerabilidades conhecidas de aplicativos da Web, sistemas operacionais e redes, usando ferramentas manuais e automatizadas;
II – Rápida – É composta por testes das principais vulnerabilidades conhecidas, tipicamente realizada de forma automatizada.
CAPÍTULO V
DA AVALIAÇÃO E DA PRIORIZAÇÃO
Art. 8º As vulnerabilidades encontradas nas varreduras e testes serão classificadas de acordo com o nível de criticidade, levando em conta o potencial de dano, a facilidade de exploração por ameaça, a importância do ativo para a atividade da Justiça Eleitoral do Paraná e o nível de privacidade e sigilo das informações acessadas pelo ativo.
Art. 9º As vulnerabilidades serão classificadas, no mínimo, com os seguintes níveis: alto, médio e baixo.
Art. 10. As vulnerabilidades de maior criticidade deverão ser tratadas no menor tempo possível.
Art. 11. No caso de impossibilidade de tratamento de alguma vulnerabilidade classificada como crítica, o Secretário de Tecnologia da Informação e o Gestor de Segurança da Informação deverão ser imediatamente comunicados pela área técnica responsável pelo tratamento.
CAPÍTULO VI
DA CORREÇÃO
Art. 12. A área responsável pelo ativo de informação cuja vulnerabilidade for encontrada, deve atuar para diminuir a exposição ao risco a um nível aceitável, de acordo com o nível de criticidade do ativo.
Art. 13. Os processos de correção de vulnerabilidade de criticidade alta em ativos definidos como prioritários ao negócio, devem ter suas atividades priorizadas em relação às demais atividades rotineiras das unidades técnicas.
Art. 14. Caso um ativo de informação vulnerável tenha sido desenvolvido ou seja mantido por outro órgão público, este deverá ser comunicado.
CAPÍTULO VII
DA MEDIÇÃO
Art. 15. Deverão ser acompanhados, ao longo do tempo, o surgimento de novas vulnerabilidades, o tempo de tratamento das vulnerabilidades descobertas e o nível de exposição dos principais ativos de informação.
CAPÍTULO VIII
DAS RESPONSABILIDADES
Art. 16. Cabe ao Gestor de Segurança da Informação:
I - Acompanhar a evolução das vulnerabilidades do ambiente computacional;
II – Acompanhar a evolução das ameaças de maior prevalência no tocante à segurança de ativos de informação;
III – Realizar ou acompanhar a realização de testes e varreduras nos ativos de informação;
IV – Comunicar-se com a ETIR (Equipe Técnica de Resposta a Incidentes de Redes Computacionais) e com as áreas da SECTI responsáveis pelos ativos, a fim de informar e obter informações acerca de vulnerabilidades existentes;
V – Elaborar análises de risco de segurança dos ativos de informação, de acordo com as normas de gestão de riscos vigentes;
VI – Reportar-se à Comissão de Segurança da Informação sobre a evolução, os riscos e os achados dos testes e varreduras.
Art. 17. Cabe às unidades técnicas responsáveis pelos ativos de informação:
I – Providenciar as atualizações de que trata o art. 4º, de acordo com as boas práticas e planejamento;
II – Corrigir as vulnerabilidades encontradas em observância à priorização definida pelo Gestor de Segurança da Informação;
III – Implementar medidas para mitigar o risco referente às vulnerabilidades que não puderem ser corrigidas tempestivamente.
Art. 18. Cabe ao Secretário de Tecnologia da Informação:
I – Acompanhar a evolução das vulnerabilidades do ambiente computacional;
II – Acionar as áreas técnicas responsáveis pelos ativos de informação, eventualmente vulneráveis, para que providenciem o tratamento;
III – Informar, quando necessário, as áreas de negócio, o encarregado pela proteção de dados pessoais e a Diretoria-Geral, sobre vulnerabilidade crítica descoberta e que não puder ser tratada em tempo adequado;
IV – Aceitar os riscos que não puderem ser tratados ou encaminhá-los para apreciação superior.
CAPÍTULO IX
DAS DISPOSIÇÕES FINAIS
Art. 19. Os casos omissos e eventuais dúvidas quanto à aplicação desta norma serão dirimidos pela Comissão de Segurança da Informação deste Tribunal.
Art. 20. Esta instrução normativa entra em vigor na data de sua publicação.
Curitiba, 19 de novembro de 2019.
VALCIR MOMBACH
Diretor-Geral do TRE/PR