ORDEM DE SERVIÇO DG N. 3, DE 11 DE NOVEMBRO DE 2013.

O Diretor-Geral da Secretaria do Tribunal Regional Eleitoral de Santa Catarina, no uso das atribuições que lhe são conferidas pelo art. 21 da Resolução n. 22.780 de 24.4.2008, e pelo art. 30, VIII, do Regulamento Interno da Estrutura Orgânica deste Tribunal (Resolução TRESC n. 7.545, de 17.9.2007),

– considerando a necessidade de estabelecer procedimentos de controle de uso e acesso à informação digital, tendo em vista a potencialidade de danos à imagem ou às operações vitais ao negócio desta Instituição, em decorrência do uso indevido ou do acesso não autorizado à informação, por meio de recursos de tecnologia da informação;

– considerando a Resolução TSE n. 22.780, de 24.4.2008, que estabelece princípios e valores a serem adotados para assegurar a integridade, a confidencialidade e a disponibilidade das informações no âmbito da Justiça Eleitoral;

– considerando a Resolução TRESC n. 7.894, de 21.10.2013, que estabelece a Política de Segurança da Informação no âmbito da Justiça Eleitoral de Santa Catarina; e

– considerando os estudos promovidos nos autos do Procedimento Administrativo STI n. 006/2013, protocolo n. 53.627/2013,

R E S O L V E:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º Esta Ordem de Serviço dispõe sobre os procedimentos técnicos associados à segurança da informação em meio digital no âmbito da Justiça Eleitoral de Santa Catarina.

Art. 2º Aplica-se o disposto nesta Ordem de Serviço aos usuários previstos no art. 3º da Resolução TRESC n. 7.894/2013.

Art. 3º Para os efeitos desta Ordem de Serviço, aplicam-se as seguintes definições:

I – administrador de recurso de tecnologia da informação (TI): responsável pelo gerenciamento de sistemas, serviços e ativos de rede;

II – ambiente de produção: ambiente computacional onde são providos recursos e sistemas utilizados pelos usuários;

III – ativos de rede: equipamentos servidores responsáveis pela conectividade e segurança da rede;

IV – ativos de TI: notebooks, estações de trabalho, periféricos, ativos de rede e demais equipamentos de TI, bem como softwares e sistemas;

V – cópia de segurança: réplica dos dados de um dispositivo de armazenamento para outro, para que possam ser restaurados no caso da perda dos dados originais;

VI – CPD (Centro de Processamento de Dados): local designado para hospedar os serviços disponibilizados aos usuários, em ambiente de produção;

VII – estação de trabalho: conjunto formado por microcomputador, monitor, teclado, mouse e alto-falantes;

VIII – macrounidades: Presidência, Corregedoria Regional Eleitoral, Gabinete dos Juízes, Direção-Geral e Secretarias;

IX – mídia removível: unidade de armazenamento de dados que pode ser acoplada à estação de trabalho através de conexões externas (i.e. pendrive, telefone celular e dispositivos móveis com suporte a armazenamento de dados, HD externo, disquete, CD e DVD);

X – princípios da segurança da informação: confidencialidade, integridade e disponibilidade;

XI – usuário: qualquer pessoa que tenha acesso, de forma autorizada, a partir da rede da Justiça Eleitoral, a informações produzidas ou custodiadas pelo TRESC;

XII – vírus de computador: programa destinado a se infiltrar em computador alheio, de forma indesejada, com o intuito de causar dano.

CAPÍTULO II

DOS REQUISITOS DE SEGURANÇA

Seção I

Para os Usuários

Art. 4º Os usuários devem ter acesso aos recursos de TI necessários à realização das atividades inerentes às suas atribuições.

Art. 5º A Secretaria de Tecnologia da Informação (STI) deverá disponibilizar ao usuário conta de acesso única, pessoal e intransferível, composta por login e senha.

Parágrafo único. O usuário deverá tomar ciência das normas aplicáveis para a utilização dos recursos de TI do TRESC. Caso não o faça em até cinco dias após a criação de sua conta de acesso, terá a mesma bloqueada, até que seja regularizada a situação.

Art. 6º O usuário é responsável por todos os acessos realizados por meio de sua conta.

Art. 7º A conta de acesso do usuário deverá ser bloqueada, após período de inatividade a ser definido, sem necessidade de comunicação ao titular durante o afastamento.

Art. 8º O usuário deve zelar pelo sigilo de sua senha de acesso, sendo responsável por possíveis danos que o seu mau uso ocasione.

Art. 9º Deverão ser estabelecidos os critérios de composição e validade da senha da conta de acesso do usuário.

Art. 10. Cabe ao usuário bloquear o acesso à estação de trabalho quando se ausentar do posto de trabalho, e desligá-la ao final do expediente.

Art. 11. As informações armazenadas em pastas pessoais nos equipamentos servidores da rede são de responsabilidade dos respectivos usuários.

Seção II

Para Administradores de Recursos de TI

Art. 12. Os administradores de recursos de TI devem firmar compromisso, por termo específico, responsabilizando-se pela confidencialidade das informações a que tiverem acesso.

Art. 13. É proibido aos administradores de recursos de TI ler, apagar ou manipular informações de qualquer usuário, salvo nos casos em que haja previsão normativa ou com a devida autorização, podendo o autor de tal ação ser punido administrativamente, sem prejuízo das demais sanções cabíveis.

Art. 14. Deverão ser definidos os critérios de composição e validade da senha da conta de acesso administrativo.

Art. 15. Os administradores de recursos de TI devem reportar à área de segurança da informação todo e qualquer evento que possa comprometer os princípios da segurança da informação.

Seção III

Para Ativos de TI

Art. 16. Os ativos de TI estarão sujeitos a monitoramento e auditoria, para fins de identificação de vulnerabilidades que representem ameaças ao ambiente de produção.

Art. 17. Os equipamentos móveis devem ter tratamento diferenciado em relação ao armazenamento, utilização e transporte, visando à segurança física e lógica, especialmente em ambientes externos.

Art. 18. Estações de trabalho e equipamentos móveis disponibilizados aos usuários devem conter solução de antivírus atualizada, com autoproteção ativa e com agendamento de verificação periódica.

Art. 19. A documentação em meio físico e digital dos ativos de rede deve ser mantida atualizada e armazenada em local seguro.

Art. 20. A adoção de novas ferramentas para administração de sistemas deverá passar por homologação prévia, de forma a não comprometer a segurança do ambiente de produção.

Art. 21. Deve ser configurado serviço de sincronização de horário nos ativos de TI, de forma a refletir a hora legal brasileira, disponibilizada pelo Observatório Nacional.

Art. 22. Devem ser habilitados nos ativos de rede somente os serviços indispensáveis, relacionados diretamente com sua finalidade.

Art. 23. As interfaces de gerenciamento e diagnóstico nos ativos de rede devem estar habilitadas somente para administradores de recursos de TI.

Art. 24. Deverá ser definida pela STI política para geração, armazenamento, verificação e retenção de registros de eventos (logs), incluindo tentativas de acesso, com e sem sucesso, aos ativos de rede, aos sistemas e à rede de comunicação de dados.

Art. 25. O acesso físico ao ambiente de CPD deve ser restrito e controlado, de forma a possibilitar auditoria.

Seção IV

Para a Rede de Comunicação de Dados

Art. 26. Os pontos de acesso à rede de comunicação de dados da Justiça Eleitoral de Santa Catarina devem ser identificados, documentados e controlados.

Parágrafo único. Compete à STI o gerenciamento físico e lógico da rede de comunicação de dados, devendo ser desabilitados os pontos de acesso à rede não utilizados.

Art. 27. A rede de comunicação de dados deverá ser segmentada em perímetros lógicos, de forma a proporcionar maior segurança a segmentos de rede críticos.

Art. 28. Controles e mecanismos de segurança devem ser implementados nos ativos de rede, de forma a preservar a integridade, a disponibilidade e a confidencialidade das informações trafegadas.

Seção V

Para Sistemas Computacionais

Art. 29. Compete à STI implementar regras para atualização de software para o ambiente de produção, observando-se os critérios para homologação de sistemas.

Art. 30. Compete à STI a implantação e a atualização da documentação dos sistemas informatizados.

Seção VI

Para Transferência e Salvaguarda de Dados do CPD

Art. 31. Deverá ser definida pela STI, juntamente com os respectivos gestores das informações, política relacionada às cópias de segurança, abrangendo prazos de realização, rodízio de mídias, retenção e descarte das informações armazenadas.

Art. 32. As mídias utilizadas no processo de cópia de segurança dos dados devem estar identificadas, relacionando o tipo da cópia e o número sequencial da mídia.

Parágrafo único. As cópias de segurança feitas sob demanda devem conter identificação diferenciada, acrescendo a informação da área solicitante, do conteúdo e da data de realização.

Art. 33. É vedada a retirada não autorizada de informações internas para ambiente externo, seja por meio do uso de mídias removíveis, de correio eletrônico ou via internet.

Parágrafo único. O transporte de mídias para local externo deve ser acompanhado por pessoa designada pela STI.

Seção VII

Para o Uso da Internet

Art. 34. O serviço de acesso a endereços eletrônicos na internet, disponibilizado aos usuários, visa atender às atividades desempenhadas na Justiça Eleitoral de Santa Catarina.

Art. 35. Os acessos à internet serão identificados, mediante autenticação do usuário, estando passíveis de monitoração.

Art. 36. É vedado aos usuários da Justiça Eleitoral de Santa Catarina o acesso na internet aos seguintes tipos de conteúdo:

I – pornografia ou conteúdo ofensivo aos direitos humanos;

II – serviços de bate-papo;

III – jogos em geral;

IV – programas comerciais não licenciados (pirataria);

V – programas não relacionados às atividades desempenhadas pelo usuário;

VI – protetores de tela;

VII – conteúdo multimídia, tais como filmes, músicas e animações, não relacionados às atividades desempenhadas pelo usuário;

VIII – transmissão “ao vivo” de eventos não relacionados às atividades desempenhadas pelo usuário.

Art. 37. A STI poderá propor à Direção-Geral restrição a outros tipos de conteúdo.

Art. 38. Em situações emergenciais a STI poderá efetuar bloqueios a determinados endereços eletrônicos, sem comunicação prévia.

Parágrafo único. A STI poderá implantar restrições de acesso a endereços eletrônicos na internet que ofereçam potenciais riscos à rede de computadores ou nos casos de necessidade de controle do uso da banda de rede, de forma a evitar a perda de desempenho do serviço.

Art. 39. Caberá aos gestores das macrounidades acompanhar e verificar o bom uso dos recursos de internet por suas equipes.

Seção VIII

Para o Uso do Correio Eletrônico

Art. 40. Os serviços de correio eletrônico e de listas corporativas de distribuição de e-mail, disponibilizados aos usuários, visam atender às atividades desempenhadas na Justiça Eleitoral de Santa Catarina.

Parágrafo único. Por solicitação do responsável pela lista de distribuição e a critério da STI, será permitido restringir o conjunto de usuários autorizados a enviar mensagens à lista.

Art. 41. O envio de mensagem sem relação direta com as atividades desempenhadas pelos usuários inscritos na lista de distribuição deverá ser previamente autorizado pelo responsável pela lista.

Parágrafo único. No caso de listas que incluam o conjunto dos servidores da sede deste Tribunal ou dos cartórios eleitorais, a autorização deve ser concedida previamente pela Direção-Geral e mencionada no corpo da mensagem.

Art. 42. Deverão ser estabelecidos limites para o tamanho das mensagens enviadas e recebidas, bem como os tipos de arquivos que poderão ser anexados às mensagens.

Seção IX

Para o Tratamento de Códigos Maliciosos em Ativos de TI

Art. 43. Deverá ser implantada pela STI solução de detecção e bloqueio de programas com códigos maliciosos e vírus de computador, que também seja capaz de verificar e bloquear conteúdos suspeitos em mensagens de correio eletrônico e no acesso a endereços eletrônicos na internet.

CAPÍTULO III

DAS PENALIDADES

Art. 44. A violação do disposto neste instrumento normativo poderá sujeitar o infrator às sanções previstas na legislação vigente.

CAPÍTULO IV

DISPOSIÇÕES FINAIS

Art. 45. Fica assegurada à STI, a qualquer tempo, tomar as medidas técnicas necessárias quando evidenciados riscos à segurança da informação.

Art. 46. Os incidentes de segurança da informação deverão ser comunicados à comissão de segurança da informação, para adoção de medidas cabíveis, sem prejuízo das medidas aplicáveis por outras instâncias.

Art. 47. Os casos omissos e/ou excepcionais serão apreciados pela Direção-Geral.

Art. 48. Esta Ordem de Serviço entra em vigor na data de sua publicação no Boletim Interno do Tribunal Regional Eleitoral de Santa Catarina.

Publique-se e cumpra-se.

Secretaria do Tribunal Regional Eleitoral de Santa Catarina, em Florianópolis, 11 de novembro de 2013.

Sérgio Manoel Martins, Diretor-Geral