PORTARIA PRESIDÊNCIA N. 112, DE 27 DE JUNHO DE 2018.

A PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DO DISTRITO FEDERAL, no uso de suas atribuições legais, e considerando: os princípios e diretrizes constantes da Política Nacional de Segurança do Poder Judiciário, instituída pela Resolução CNJ 239/2016; as determinações relacionadas ao controle de acesso, consignadas na Resolução 23.501/2016, que instituiu a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral; a necessidade do estabelecimento de regras de controle, direitos e restrições de acesso aos ativos de Tecnologia da Informação; as informações produzidas ou custodiadas pelo Tribunal Regional Eleitoral do Distrito Federal, que não sejam de domínio público, bem como as deliberações tomadas no PA SEI 0002966-52.2018.6.07.8100;

RESOLVE:

Art. 1° Instituir a Política de Controle de Acesso (PCA) no âmbito do Tribunal Regional Eleitoral do Distrito Federal - TRE-DF.

Art. 2° Esta Política se aplica a todos os magistrados, membros do Ministério Público, servidores efetivos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo, estagiários, prestadores de serviço, colaboradores e fornecedores, que se utilizam dos ativos de informação e recursos de Tecnologia da Informação no âmbito do TRE-DF.

DOS CONCEITOS E DEFINIÇÕES

Art. 3° Para os efeitos desta Portaria, considera-se:

I    - Ativos de informação: patrimônio composto por todos os dados e informações gerados, adquiridos, utilizados ou armazenados pelo TRE-DF;
II   - Controle de acesso: meios para garantir o acesso autorizado e a restrição de acesso aos ativos de informação com base em requisitos de negócio e de segurança;
III  - Credenciais de acesso: conjunto composto pelo nome de conta e respectiva senha, utilizadas para ingresso ou acesso em equipamentos, rede ou sistema;
IV  - Log de registros: expressão utilizada para descrever o processo de registro de eventos relevantes num sistema computacional. Esse registro pode ser utilizado para restabelecer o estado original de um sistema ou para que um administrador conheça o seu comportamento no passado;
V   - Princípio do privilégio mínimo: concessão do menor privilégio necessário para conclusão das tarefas a serem executadas pelos usuários;
VI  - Recursos de processamento da informação: é todo o meio direto ou indireto utilizado para o tratamento, tráfego e armazenamento da informação;
VII - Rede corporativa: infraestrutura que permite a transmissão de dados entre diversos equipamentos de uma mesma corporação, tais como computadores pessoais, servidores de arquivos, impressoras, câmeras de vídeo;
VIII - Sistemas de mensageria: sistemas que permitem o envio e a recepção de mensagens de correio eletrônico ou de mensagens instantâneas entre usuários, dentro e fora de uma instituição;
IX   - Unidade gestora da solução: unidade responsável pelas definições relativas aos processos de trabalho, regras de negócio e requisitos de uma solução de TI, bem como por acordar níveis de serviço para a solução, definir perfis de acesso e aprovar ou reprovar solicitações de autorização de acesso aos ativos sob sua responsabilidade;
X    - Usuários internos: magistrados, membros do Ministério Público, servidores efetivos e requisitados, ocupantes de cargo em comissão sem vínculo efetivo, estagiários, prestadores de serviço e colaboradores, que fazem uso dos ativos de informação e de processamento no âmbito do TRE-DF;
XI   - Usuários externos: visitantes ou participantes de eventos que venham a ocorrer nas dependências do Tribunal Regional Eleitoral do Distrito Federal, ou seja, qualquer usuário que não se enquadre na classificação de usuários internos; e
XII  - STIC: Sigla que representa a Secretaria de Tecnologia da Informação e Comunicação.

DAS DIRETRIZES DE ACESSO

Art. 4° O acesso às informações produzidas ou custodiadas pelo TRE-DF, que não sejam de domínio público, deve ser limitado às atribuições necessárias ao desempenho das respectivas atividades dos destinatários desta política, na forma descrita no caput do art. 2°.

§ 1° Qualquer outra forma de uso que extrapole as atribuições necessárias ao desempenho das atividades necessitará de prévia autorização formal.

§ 2° O acesso a informações produzidas ou custodiadas pelo TRE-DF, que não sejam de domínio público, quando autorizado, será condicionado ao aceite de termo de sigilo e responsabilidade.

Art. 5° Todo usuário deverá possuir credenciais de acesso, pessoais e intransferíveis, qualificando-o, inequivocamente, como responsável por qualquer atividade desenvolvida sob essa identificação.

Art. 6° Os usuários devem receber permissão de acesso aos serviços, respeitando-se o princípio do privilégio mínimo, mediante autorização expedida por superior hierárquico.

§ 1° O usuário é responsável pelos acessos realizados por meio de sua conta, devendo zelar pelo sigilo de sua senha, respondendo por eventuais danos decorrentes do seu uso indevido.

§ 2° As credenciais de acesso poderão ser suspensas, a qualquer momento, caso ocorram tentativas de acesso não autorizado a recursos de tecnologia, ou realização de atividades que apresentem risco à segurança da informação.

Art. 7° Os serviços de tecnologia da informação disponibilizados pelo TRE-DF não deverão ser utilizados para acessar, criar, transmitir, distribuir ou armazenar conteúdo em desrespeito às leis e regulamentações, especialmente aquelas referentes aos crimes cibernéticos, contra a pessoa, contra os costumes, à ética e à decência.

DO CONTROLE DE ACESSO À REDE CORPORATIVA

Art. 8° O acesso a serviços disponibilizados no ambiente da rede corporativa do TRE-DF será previamente autorizado e permanentemente controlado.

Art. 9° As credenciais de acesso à rede do TRE-DF serão concedidas mediante abertura de chamado no sistema de Helpdesk.

Parágrafo único. As unidades responsáveis pela abertura dos chamados são:

I    - Presidência e Corregedoria, para solicitação das credenciais de acesso de membros, magistrados, promotores que estiverem exercendo atividades no TRE-DF;
II   - Seção de Registros Funcionais (SEREF), para solicitação das credenciais de acesso de servidores efetivos, removidos, cedidos, com lotação provisória, requisitados e ocupantes de cargo em comissão sem vínculo efetivo;
III  - Seção de Desenvolvimento e Capacitação (SECAP), para solicitação das credenciais de acesso de estagiários; e
IV  - Gestores titulares das unidades, para solicitação das credenciais de acesso de prestadores de serviço destas unidades.
Art. 10 As contas de estagiários e prestadores de serviço serão configuradas para expirarem automaticamente, ao término do prazo de vigência do contrato.

Art. 11 As unidades responsáveis por autorizar a criação de novas credenciais deverão informar, via sistema de Helpdesk, o desligamento ou a movimentação de lotação dos respectivos usuários, para que sejam tomadas providências de bloqueio e posterior eliminação das contas, quando necessário.

Art. 12 Não haverá identificação genérica e de uso compartilhado para acesso aos recursos da rede, excetuando-se os casos de necessidade, justificada e acompanhada de parecer da STIC acerca da possibilidade de aceitação dos riscos associados.

Art. 13 As senhas vinculadas às contas de acesso à rede corporativa deverão atender, obrigatoriamente, aos seguintes critérios:

I    - Devem ter o tamanho mínimo de 8 (oito) caracteres;
II   - Devem ser formados pela combinação de letras minúsculas e maiúsculas, números e símbolos, com no mínimo 1 caracter maiúsculo, 1 numero e um caracter especial;
III  - Não podem ser iguais à últimas 3 senhas utilizadas; e
IV  - Devem ser alteradas a cada 90 (noventa) dias.
Art. 14 O acesso a serviços disponibilizados na rede corporativa será obrigatoriamente disponibilizado e configurado pela Coordenadoria de Infra Estrutura (COIE), bem como as operações realizadas, poderão ser monitorados eletronicamente e registrados em log, assegurando-se a prioridade das atividades de interesse do TRE-DF.

DO CONTROLE DE ACESSO AOS COMPARTILHAMENTOS DE REDE

Art. 15 Cabe a cada titular de unidade solicitar, via sistema Helpdesk, a criação de diretórios de rede, a liberação e a restrição dos privilégios de acesso aos documentos de sua unidade.

Art. 16 É vedada a utilização dos compartilhamentos de rede para armazenamento de arquivos de uso pessoal, cabendo à STIC a realização de auditorias periódicas, visando a identificação de material estranho às atividades desempenhadas pelas unidades organizacionais.

DO CONTROLE DE ACESSO À REDE SEM FIO

Art. 17 A STIC disponibilizará redes sem fio, apartadas da rede corporativa do Tribunal, para acesso à Internet, por usuários internos e externos que possuam credenciais de acesso cadastradas no sistema de autenticação do TRE-DF.

Art. 18 Usuários internos, lotados na sede do Tribunal, deverão utilizar as mesmas credenciais de acesso à rede corporativa.

Art. 19 Usuários internos, lotados nos cartórios eleitorais, deverão utilizar as credenciais de acesso referentes ao título de eleitor.

Art. 20 Usuários externos, visitantes ou participantes de eventos realizados na sede do TRE-DF, deverão preencher formulário de cadastro online, disponibilizado no momento da conexão à rede sem fios, destinada exclusivamente para essa finalidade, exceto em casos específicos.

Art. 21 O acesso às redes sem fio poderá ser monitorado eletronicamente e registrado em log.

Art. 22 Os meios de acesso a rede sem fio deverão ser obrigatoriamente providos e configurados pela Coordenadoria de Infra Estrutura (COIE).

DO CONTROLE DE ACESSO AOS SISTEMAS DE MENSAGERIA

Art. 23 A STIC disponibilizará os serviços de correio eletrônico, destinados ao uso corporativo, sendo o usuário responsável por todas as mensagens enviadas a partir de sua credencial.

Art. 24 O conteúdo dos serviços de mensageria, de uso corporativo, poderá ser acessado pelo TRE-DF, mediante autorização prévia da Diretoria-Geral, quando sua utilização puser em risco a segurança da informação e a imagem institucional.

Parágrafo único. O acesso autorizado às informações dos usuários deverá ser registrado formalmente, permitindo a realização de auditoria posterior ao procedimento.

Art. 25 As credenciais de acesso aos serviços de mensageria serão concedidas mediante abertura de chamado, por superior hierárquico, no sistema de Helpdesk.

DO ACESSO AOS SISTEMAS DE INFORMAÇÃO

Art. 26 As credenciais de acesso aos sistemas de informação do TRE-DF serão concedidas mediante abertura de chamado no sistema de Helpdesk, pela chefia imediata da unidade de lotação do usuário.

§ 1° Para cada sistema, deverá ser fornecido o perfil de acesso que o usuário deverá possuir.

§ 2° A unidade gestora da solução será responsável pela autorização do direito de acesso.

§ 3° O perfil de acesso aos sistemas de informação deve estar de acordo com a política de classificação das informações deste Tribunal.

Art. 27 Os direitos de acesso dos usuários deverão ser revisados, em intervalos regulares, pela unidade gestora da solução, sobretudo quando ocorrer mudança de função do servidor, alteração de lotação ou desligamento.

DO ACESSO À INTRANET E INTERNET

Art. 28 O acesso ao portal e aos demais serviços disponíveis na intranet do TRE-DF serão efetuados, exclusivamente, a partir da rede da Justiça Eleitoral (JE).

Art. 29 Os acessos a sítios e serviços disponíveis na internet serão controlados por filtros de conteúdo e reguladores de tráfego implementados nos dispositivos de segurança do TRE-DF.

Parágrafo único. A STIC deverá implementar mecanismos de regulação de tráfego no acesso a serviços de maior consumo de dados, visando a preservação da disponibilidade da rede.

Art. 30 Os titulares das unidades do TRE-DF deverão fiscalizar o bom uso dos acessos à internet e solicitar, via sistema de Helpdesk, ajustes e restrições de acesso em caso de mau uso.

Art. 31 Todas as operações de acesso realizadas poderão ser registradas em log, para fins de auditoria.

Art. 32 Não será admitida, em nenhuma hipótese, a tentativa de burla aos filtros de conteúdo e às restrições de acesso impostas.

DAS DISPOSIÇÕES FINAIS

Art. 33 Os casos omissos desta PCA serão resolvidos pela Comissão de Segurança da Informação (CSI).

Art. 34 O descumprimento desta PCA será objeto de apuração pela unidade competente do Tribunal, podendo acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.

Art. 35 Esta Portaria entra em vigor na data de sua publicação.

Desembargadora CARMELITA BRASIL
Presidente