PORTARIA Nº 41, DE 17 DE JANEIRO DE 2020

O Excelentíssimo Senhor Desembargador JOSÉ DOS ANJOS, Presidente do TRIBUNAL REGIONAL ELEITORAL DE SERGIPE, no uso das atribuições que lhe são conferidas pelo art. 17, inciso XXXIV, do Regimento Interno do Tribunal,

CONSIDERANDO os princípios e diretrizes constantes da Política Nacional de Segurança do Poder Judiciário, instituída pela Resolução CNJ 239/2016;

CONSIDERANDO as determinações relacionadas ao controle de acesso, consignadas na Resolução 23.501/2016, que instituiu a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO as determinações relacionadas ao controle de acesso, consignadas na Resolução 10/2019, que dispõe sobre a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral de Sergipe;

CONSIDERANDO a necessidade do estabelecimento de regras de controle, direitos e restrições de acesso às informações produzidas ou custodiadas pelo Tribunal Regional Eleitoral de Sergipe, que não sejam de domínio público.

RESOLVE:

Art. 1º Instituir a política de controle de acesso às informações e aos recursos de processamento da informação, no âmbito do Tribunal Regional Eleitoral de Sergipe (TRE-SE).

Art. 2º Aprovar o documento acessório diferenciado “Política de Controle de Acesso Lógico” do Tribunal Regional Eleitoral de Sergipe, na forma dos anexos.

Art. 3º Fica revogada a portaria 192/2018, de 12 de março de 2018.

Art. 4º Esta portaria entra em vigor na data de sua publicação.

PUBLIQUE-SE E CUMPRA-SE.

JOSÉ DOS ANJOS

Presidente

O Excelentíssimo Senhor Desembargador JOSÉ DOS ANJOS, Presidente do TRIBUNAL REGIONAL ELEITORAL DE SERGIPE, no uso das atribuições que lhe são conferidas pelo art. 17, inciso XXXIV, do Regimento Interno do Tribunal,

CONSIDERANDO os princípios e diretrizes constantes da Política Nacional de Segurança do Poder Judiciário, instituída pela Resolução CNJ 239/2016;

CONSIDERANDO as determinações relacionadas ao controle de acesso, consignadas na Resolução 23.501/2016, que instituiu a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO as determinações relacionadas ao controle de acesso, consignadas na Resolução 10/2019, que dispõe sobre a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral de Sergipe;

CONSIDERANDO a necessidade do estabelecimento de regras de controle, direitos e restrições de acesso às informações produzidas ou custodiadas pelo Tribunal Regional Eleitoral de Sergipe, que não sejam de domínio público.

RESOLVE:

Art. 1º Instituir a política de controle de acesso às informações e aos recursos de processamento da informação, no âmbito do Tribunal Regional Eleitoral de Sergipe (TRE-SE).

Art. 2º Aprovar o documento acessório diferenciado “Política de Controle de Acesso Lógico” do Tribunal Regional Eleitoral de Sergipe, na forma dos anexos.

Art. 3º Fica revogada a portaria 192/2018, de 12 de março de 2018.

Art. 4º Esta portaria entra em vigor na data de sua publicação.

PUBLIQUE-SE E CUMPRA-SE.

JOSÉ DOS ANJOS

Presidente

Anexo I

POLÍTICA DE CONTROLE DE ACESSO LÓGICO

1. Apresentação

Este documento e seus anexos definem as normas a serem seguidas no Tribunal Regional Eleitoral de Sergipe – TRE/SE relativas ao acesso lógico, aos ativos e aos sistemas de informação, de modo a possibilitar o controle de acesso à rede, aos sistemas e às informações produzidas e armazenadas no TRE/SE, sejam de caráter público ou privativo.

A elaboração e a atualização deste documento e de seus anexos são de responsabilidade do Comitê de Segurança da Informação – CSI, criado pela Resolução 10/2019. Este documento, de estrutura modular, é composto de uma parte principal e de seus anexos. O documento principal contém as definições e regras gerais.

Os anexos são as definições e regras para temas, ou áreas específicas, conforme estabelecido na Seção II da Resolução nº 10/2019, que dispõe sobre a Política de Segurança da Informação do TRE/SE, para permitir melhorias, adequações e atualizações progressivas e independentes.

2. Escopo

Este documento define as regras e procedimentos gerais para o acesso lógico aos sistemas e ativos de informação, consoante dispõe a Seção II da Política de Segurança da Informação do TRE/SE. As regras específicas, de acordo com o tema, estarão declaradas nos anexos deste documento, os quais abordarão os seguintes pontos:

• acesso à rede local;

• acesso à rede sem fio;

• utilização de mensageria e colaboração corporativas e instantâneas;

• acesso aos sistemas de informação;

• acesso à internet e à intranet;

• acesso aos compartilhamentos de rede;

• acesso remoto aos serviços de rede;

• novos serviços que venham a ser incorporados.

3. Público-Alvo

As regras aqui dispostas aplicam-se a todos os agentes públicos lotados ou não no Tribunal e a qualquer pessoa ou entidade que interaja com a rede do Tribunal ou utilize os serviços de TI nela disponíveis.

4. Conceituação

A este documento aplicam-se as seguintes conceituações:

I. agente público: magistrados, servidores, estagiários e prestadores de serviço que estejam exercendo atividades neste Tribunal;

II. credenciais de acesso: conjunto composto pelo nome de conta e respectiva senha, utilizada para ingresso ou acesso (login) em equipamentos, rede ou sistema;

III. CSI: Comitê de Segurança da Informação do Tribunal, com atribuições definidas pela Resolução 10/2019;

IV. CSTI: Central de Serviços da Secretaria de Tecnologia da Informação;

V. CTSI: Comissão Técnica de Segurança da Informação do TRE/SE, com atribuições definidas pela Resolução 10/2019;

VI. ETIR: Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais, com atribuições definidas pela Resolução 10/2019;

VII. gestor de sistema: agente público oficialmente designado como gestor de determinado sistema de informação;

VIII. log de registros: expressão utilizada para descrever o processo de registro de eventos relevantes num sistema computacional. Esse registro pode ser utilizado para restabelecer o estado original de um sistema ou para que um administrador conheça o seu comportamento no passado;

IX. ponto de acesso sem fio: equipamento que compõe uma rede sem fio, concentrando as conexões de um ou mais equipamentos;

X. recursos de TI: todo equipamento ou dispositivo que utilize tecnologia da informação, bem como qualquer recurso ou informação que seja acessível através desses equipamentos ou dispositivos tecnológicos, tais como impressoras, sistemas, programas, softwares, acessos à rede local, internet, vpn, pendrives, smartcards, tokens, smartphones, modems sem fio, desktops, pastas compartilhadas na rede, etc;

XI. rede local: conjunto de recursos compartilhados através dos servidores de rede, switches e computadores clientes, onde circulam as informações corporativas do Tribunal;

XII. rede sem fio: sistema que interliga equipamentos utilizando o ar como meio de transmissão através de ondas eletromagnéticas;

XIII. sistema de informação: aplicação da tecnologia da informação que dá apoio às atividades de determinada área de conhecimento, que visa otimizar as operações, o gerenciamento e a decisão, trabalhando os dados e transformando-os em informação;

XIV. sistemas de mensageria: sistemas que permitem o envio e a recepção de mensagens de correio eletrônico ou de mensagens instantâneas entre usuários, dentro e fora de uma instituição.

5. Objetivos

Definir regras claras e objetivas para o acesso lógico a informações, serviços e recursos de TI no âmbito do Tribunal Regional Eleitoral de Sergipe.

6. Documentos de Referência

Resolução CNJ nº 239/2016;

Resolução TSE nº 23.501/2016;

Resolução TRE/SE nº 10/2019;

Documentos normativos complementares à Resolução 10/2019;

Série normativa ABNT ISO 27000, referente à Segurança da Informação.

7. Disposições Gerais

7.1 Esta política será atualizada sempre que necessário, de modo a refletir as necessidades do Tribunal e a evolução tecnológica do parque de TI.

7.1.1 As atualizações poderão ocorrer no todo ou por partes, tendo em vista a modularidade desta política.

7.1.2 Toda atualização ensejará a atualização do número de versão da política, que é dado na forma “N.nn”.

7.1.3 As atualizações nos anexos (módulos) gerarão incremento na numeração da parte “nn”, e as alterações no documento principal gerarão incremento em “N”.

7.2 As alterações nesta política poderão ser feitas por orientação do CSI.

8. Disposições Finais

8.1 Este documento e seus anexos devem ser amplamente divulgados entre todos os magistrados, servidores, prestadores de serviço e estagiários que atuem no Tribunal.

8.2 Este documento e seus anexos deverão estar disponíveis, para acesso ou download, a qualquer tempo, através dos meios adequados.

8.3 Os casos omissos desta PCA serão resolvidos pela Comitê de Segurança da Informação (CSI).

8.4 O descumprimento desta PCA será objeto de apuração pela unidade competente do Tribunal, podendo acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.

Anexo II

ACESSO À REDE CORPORATIVA

1. Apresentação

Este documento é parte da Política de Controle de Acesso Lógico do Tribunal. Os técnicos da CSTI deverão tê-lo à disposição, citá-lo e disponibilizá-lo para os usuários sempre que forem questionados com relação aos procedimentos adotados para a criação de contas.

2. Objetivos

Definir as regras a serem seguidas no âmbito da Secretaria de Tecnologia da Informação – STI relativas à criação de contas para acesso à rede do Tribunal.

3. Disposições Gerais

3.1 A criação de novas contas de acesso à rede se dará da seguinte forma:

3.1.1 Para servidores do Tribunal, efetivos ou requisitados – após a abertura de chamado na CSTI, através da ferramenta na intranet, pela Seção de Registros Funcionais (SEREF), informando o nome completo, lotação, matrícula do servidor e título eleitoral.

3.1.2 Para estagiários – após a abertura de chamado na CSTI, através de ferramenta na intranet, pela Seção de Lotação e Gestão de Desempenho (SEGED), informando o nome completo, unidade de atuação, matrícula do estagiário, vigência do contrato e título eleitoral.

3.1.3 Para prestadores de serviço – após a abertura de chamado na CSTI, através de ferramenta na intranet, pelo gestor do contrato, informando o nome completo, unidade de atuação, número e vigência do contrato, nome da empresa contratada, matrícula na empresa contratada (ou outro documento legalmente válido) e título eleitoral.

3.1.3.1 Nas substituições eventuais, caberá ao responsável informar o período para a configuração adequada da conta de acesso do prestador de serviço.

3.1.4 Para membros, magistrados e promotores que estiverem exercendo atividades no Tribunal – após a abertura de chamado na CSTI, através de ferramenta na intranet, pela Seção de Controle de Juízos Eleitorais (SEJUE).

3.1.4.1 Deverá ser informado o período de vinculação do membro, magistrado ou promotor para configuração adequada da conta de acesso.

3.1.5 Em casos excepcionais, poderão ser criadas contas para servidores ou requisitados de outros órgãos que estejam prestando serviços no Tribunal, após abertura de chamado na CSTI, através de ferramenta na intranet, pelo titular da unidade onde o referido agente atuará.

3.1.5.1 Tais agentes públicos deverão preencher o Termo de Responsabilidade, conforme o Anexo VIII.

3.2 O solicitante de acesso para servidor ou estagiário deverá recolher sua assinatura no Termo de Responsabilidade, conforme o Anexo VIII.

3.3 O gestor do contrato, ou responsável pela fiscalização dos serviços desempenhados pelo prestador de serviço, ficará responsável por recolher sua assinatura no Termo de Responsabilidade, conforme o Anexo VIII, a ser arquivado no respectivo processo de gestão do contrato.

3.4 Após a criação da conta solicitada, a CSTI deverá informar ao solicitante a criação da conta e a senha de acesso inicial juntamente com as instruções para a sua alteração.

3.5 As senhas vinculadas às contas de acesso à rede corporativa deverão atender, obrigatoriamente, aos seguintes critérios:

3.5.1 Devem ter o tamanho mínimo de 10 (dez) caracteres.

3.5.2 Devem ser formados pela combinação de letras minúsculas e maiúsculas, números e símbolos.

3.5.3 Não podem ser iguais à última senha utilizada.

3.5.4 Devem ser alteradas a cada 12 (doze) meses.

3.6 As contas de estagiários e prestadores de serviço serão configuradas para expirarem automaticamente, ao término do prazo de vigência do contrato.

3.6.1 Para evitar a expiração automática da conta de estagiários ou de prestadores de serviços, deverá ser aberto chamado na CSTI, através de ferramenta na intranet, pelo chefe imediato do estagiário, ou pelo gestor do contrato do prestador de serviços, com antecedência mínima de 3 dias úteis à expiração da conta.

3.7 As unidades responsáveis por autorizar a criação de novas credencias deverão informar à CSTI, através de ferramenta na intranet, o desligamento, afastamento ou movimentação de lotação dos respectivos usuários, para que sejam tomadas providências de bloqueio e posterior eliminação da conta, quando necessário.

3.8 Não haverá identificação genérica e de uso compartilhado para acesso aos recursos da rede, excetuando-se os casos de necessidade, justificada e acompanhada de parecer da STI, acerca da possibilidade de aceitação dos riscos associados.

3.9 As contas de usuário poderão ser bloqueadas ou desativadas de acordo com período predefinido sem acesso, ou em caso de mais de cinco tentativas sucessivas de acesso malsucedidas, entre outras possibilidades.

4. Disposições Finais

4.1 No ato de criação de conta de acesso à rede, será automaticamente criada conta dos serviços de mensageria instantânea, correio eletrônico e agenda correspondente, bem como de outros serviços que utilizem a mesma base de dados de autenticação.

4.2 O serviço de acesso à rede do TRE/SE será configurado para que, automaticamente, as contas sejam bloqueadas após 180 dias de inatividade.

4.3 Contas de acesso de servidores desligados, afastados por mais de 180 dias e aposentados poderão ter seus privilégios alterados após informação da Seção de Registros Funcionais (SEREF).

4.4 Em nenhuma hipótese será admitido o empréstimo ou o compartilhamento de credenciais de acesso.

4.4.1 No descumprimento dos casos tratados neste item, os atos praticados serão de responsabilidade de todos os envolvidos, estando sujeitos às sanções administrativas e penais cabíveis tanto o titular das credenciais quanto aquele que as utilizar indevidamente.

4.5 O acesso a serviços disponibilizados na rede corporativa, bem como as operações realizadas, serão monitorados eletronicamente e registrados em log, assegurando-se a prioridade das atividades de interesse do Tribunal.

ANEXO II (Redação dada pela Portaria nº 506/2022)

ACESSO A REDE CORPORATIVA

1. Apresentação

Este documento é parte da Política de Controle de Acesso Lógico do Tribunal. Os técnicos da CSTI deverão tê-lo à disposição, citá-lo e disponibilizá-lo para os usuários sempre que forem questionados com relação aos procedimentos adotados para a criação de contas.

2. Objetivos

Definir as regras a serem seguidas no âmbito da Secretaria de Tecnologia da Informação - STI relativas à criação de contas para acesso à rede do Tribunal.

3. Disposições Gerais

3.1 A criação de novas contas de acesso à rede se dará da seguinte forma:

3.1.1 Para servidores do Tribunal, efetivos ou requisitados - após a abertura de chamado na CSTI, através da ferramenta na , pela Seção de Registros Funcionais (intranet SEREF), informando o nome completo, lotação, matrícula do servidor e título eleitoral.

3.1.2 Para estagiários - após a abertura de chamado na CSTI, através de ferramenta na intranet, pela Seção de Lotação e Gestão de Desempenho (SEGED), informando o nome completo, unidade de atuação, matrícula do estagiário, vigência do contrato e título eleitoral.

3.1.3 Para prestadores de serviço - após a abertura de chamado na CSTI, através de ferramenta na intranet, pelo gestor do contrato, informando o nome completo, unidade de atuação, número e vigência do contrato, nome da empresa contratada, matrícula na empresa contratada (ou outro documento legalmente válido) e título eleitoral.

3.1.3.1 Nas substituições eventuais, caberá ao responsável informar o período para a configuração adequada da conta de acesso do prestador de serviço.

3.1.4 Para membros, magistrados e promotores que estiverem exercendo atividades no Tribunal - após a abertura de chamado na CSTI, através de ferramenta na , pela intranet Seção de Controle de Juízos Eleitorais (SEJUE).

3.1.4.1 Deverá ser informado o período de vinculação do membro, magistrado ou promotor para configuração adequada da conta de acesso.

3.1.5 Em casos excepcionais, poderão ser criadas contas para servidores ou requisitados de outros órgãos que estejam prestando serviços no Tribunal, após abertura de chamado na CSTI, através de ferramenta na intranet, pelo titular da unidade onde o referido agente atuará.

3.1.5.1 Tais agentes públicos deverão preencher o Termo de Responsabilidade, conforme o Anexo IX.

3.2 O solicitante de acesso para servidor ou estagiário deverá recolher sua assinatura no Termo de Responsabilidade, conforme o Anexo IX.

3.3 O gestor do contrato, ou responsável pela fiscalização dos serviços desempenhados pelo prestador de serviço, ficará responsável por recolher sua assinatura no Termo de Responsabilidade, conforme o Anexo IX, a ser arquivado no respectivo processo de gestão do contrato.

3.4 Após a criação da conta solicitada, a CSTI deverá informar ao solicitante a criação da conta e a senha de acesso inicial juntamente com as instruções para a sua alteração.

3.5 As senhas vinculadas às contas de acesso à rede corporativa deverão atender, obrigatoriamente, aos seguintes critérios:

3.5.1 Devem ter o tamanho mínimo de 10 (dez) caracteres.

3.5.2 Devem conter pelo menos 3 dos 4 tipos de caracteres seguintes: números, letras maiúsculas, letras mínúsculas e caracteres especiais, como $@#&%. Deve existir pelo menos uma unidade de cada um dos tipos de caracteres escolhidos.

3.5.3 Não podem ser iguais à última senha utilizada.

3.5.4 Devem ser alteradas em intervalos regulares de, no máximo, 6 (seis) meses, conforme necessidade.

3.6 As contas de estagiários e prestadores de serviço serão configuradas para expirarem automaticamente, ao término do prazo de vigência do contrato.

3.6.1 Para evitar a expiração automática da conta de estagiários ou de prestadores de serviços, deverá ser aberto chamado na CSTI, através de ferramenta na intranet, pelo chefe imediato do estagiário, ou pelo gestor do contrato do prestador de serviços, com antecedência mínima de 3 dias úteis à expiração da conta.

3.7 As unidades responsáveis por autorizar a criação de novas credencias deverão informar à CSTI, através de ferramenta na intranet, o desligamento, afastamento ou movimentação de lotação dos respectivos usuários, para que sejam tomadas providências de bloqueio e posterior eliminação da conta, quando necessário.

3.8 Não haverá identificação genérica e de uso compartilhado para acesso aos recursos da rede, excetuando-se os casos de necessidade que deverá seguir o rito:

a) O setor demandante apresenta justificativa e envia, via processo SEI, para o Gabinete de Cibersegurança/STI emitir o parecer;

b) Emitido o parecer, os autos são submetidos para deliberação do Comitê Gestor de Segurança da Informação.

3.9 As contas de usuário poderão ser bloqueadas ou desativadas de acordo com período predefinido sem acesso, ou em caso de mais de cinco tentativas sucessivas de acesso malsucedidas, entre outras possibilidades.

4. Disposições Finais

4.1 No ato de criação de conta de acesso à rede, será automaticamente criada conta dos serviços de mensageria instantânea, correio eletrônico e agenda correspondente, bem como de outros serviços que utilizem a mesma base de dados de autenticação.

4.2 O serviço de acesso à rede do TRE/SE será configurado para que, automaticamente, as contas sejam bloqueadas após 180 dias de inatividade.

4.3 Contas de acesso de servidores desligados, afastados por mais de 180 dias e aposentados poderão ter seus privilégios alterados após informação da Seção de Registros Funcionais (SEREF).

4.4 Em nenhuma hipótese será admitido o empréstimo ou o compartilhamento de credenciais de acesso.

4.4.1 No descumprimento dos casos tratados neste item, os atos praticados serão de responsabilidade de todos os envolvidos, estando sujeitos às sanções administrativas e penais cabíveis tanto o titular das credenciais quanto aquele que as utilizar indevidamente.

4.5 O acesso a serviços disponibilizados na rede corporativa, bem como as operações realizadas, serão monitorados eletronicamente e registrados em log, assegurando-se a prioridade das atividades de interesse do Tribunal.

Anexo III

ACESSO À REDE SEM FIO

1. Apresentação

Este documento é parte da Política de Controle de Acesso Lógico do Tribunal. Os técnicos da CSTI deverão tê-lo à disposição, citá-lo e disponibilizá-lo para os usuários sempre que forem questionados com relação aos procedimentos adotados para o acesso e a utilização do serviço de rede sem fio.

2. Objetivos

Definir as regras a serem seguidas no âmbito do Tribunal relativas à utilização do serviço de rede sem fio mantido pela Secretaria de Tecnologia da Informação.

3. Disposições Gerais

3.1 Secretaria de Tecnologia da Informação disponibilizará redes sem fio, apartadas da rede corporativa do Tribunal, para acesso à Internet, por usuários internos e externos que possuam credenciais de acesso cadastradas no sistema de autenticação do Tribunal Regional Eleitoral de Sergipe.

3.2 Credenciais de acesso novas, para usuários internos que não possuam acesso à rede corporativa do Tribunal, serão concedidas mediante abertura de chamado, por superior hierárquico, na CSTI, através de ferramenta na intranet.

3.3 Usuários internos, lotados na sede do Tribunal, deverão utilizar as mesmas credenciais de acesso à rede corporativa.

3.4 Usuários internos, lotados nos cartórios eleitorais, deverão utilizar as credenciais de acesso ao Sistema Eletrônico de Informações (SEI).

3.5 Usuários externos, visitantes ou participantes de eventos realizados na sede do Tribunal, deverão preencher formulário de cadastro online, disponibilizado no momento da conexão à rede sem fio destinada exclusivamente para essa finalidade.

3.6 O acesso às redes sem fio deve ser registrado e aprovado pela STI, devendo atender ao princípio do privilégio mínimo e sendo monitorado eletronicamente com registro em log.

3.7 Os pontos de acesso serão objeto de testes periódicos de penetração e de auditoria.

3.8 Os dispositivos conectados através de conexão sem fio deverão utilizar as configurações de criptografia estabelecidas pela STI.

3.9 Qualquer tecnologia de acesso sem fio implementada no Tribunal deverá suportar autenticação forte, com possibilidade de efetuar checagens em bancos de dados externos como RADIUS ou similar. Deverá ser dada preferência, portanto, a tecnologias que possibilitem autenticação de, pelo menos, dois fatores.

4. Disposições Finais

4.1 Os dados necessários ao acesso à rede sem fio são definidos pela STI e serão informados à CSTI quando da solicitação de criação da conta.

4.2 Após a liberação do acesso solicitado, a CSTI deverá informar ao solicitante as instruções para a utilização da rede sem fio.

4.3 Em nenhuma hipótese será admitido o empréstimo ou o compartilhamento de credenciais de acesso.

4.3.1 No caso acima, os atos praticados serão de responsabilidade de todos os envolvidos, estando sujeitos às sanções administrativas e penais cabíveis, tanto o titular das credenciais quanto aquele que as utilizar indevidamente.

Anexo IV

UTILIZAÇÃO DE SISTEMAS DE MENSAGERIA E COLABORAÇÃO DO TRE/SE

1. Apresentação

Este documento é parte da Política de Controle de Acesso Lógico do Tribunal. Os técnicos da CSTI deverão tê-lo à disposição, citá-lo e disponibilizá-lo para os usuários sempre que forem questionados com relação aos procedimentos adotados para o acesso e a utilização de serviços de mensageria e colaboração corporativas e instantâneas.

2. Objetivos

Definir as regras a serem seguidas no âmbito do Tribunal relativas à utilização dos serviços de mensageria e colaboração corporativas e instantâneas mantidos pela Secretaria de Tecnologia da Informação.

3. Disposições Gerais

3.1 A Secretaria de Tecnologia da Informação disponibilizará os serviços de correio eletrônico e de comunicação instantânea, destinados ao uso corporativo, sendo o usuário responsável por todas as mensagens enviadas a partir de sua credencial.

3.2 O conteúdo dos serviços de mensageria e colaboração, de uso corporativo, poderá ser acessado pelo Tribunal Regional Eleitoral de Sergipe, mediante autorização prévia da Diretoria-Geral, quando sua utilização puser em risco a segurança da informação e a imagem institucional.

3.2.1 O acesso autorizado às informações dos usuários deverá ser registrado formalmente, permitindo a realização de auditoria posterior do procedimento.

3.3 As credenciais de acesso aos serviços de mensageria e colaboração serão concedidas mediante abertura de chamado, por superior hierárquico, na CSTI, através de ferramenta na intranet.

3.4 É vedada a criação de credenciais de correio eletrônico para estagiários, prestadores de serviço, servidores inativos ou cedidos a outros órgãos, excetuando-se os casos de necessidade, justificada e acompanhada de parecer da Secretaria de Tecnologia da Informação acerca da possibilidade de aceitação dos riscos associados.

3.5 O sistema de correio eletrônico do TRE/SE não deve ser utilizado para a criação ou a distribuição de quaisquer mensagens que não sejam compatíveis com as atribuições dos usuários, incluindo as que contenham ofensas e comentários sobre raça, idade, deficiência, orientação sexual, pornografia, crença e religião, política ou nacionalidade, entre outros não relacionados à atividade do órgão.

3.6 O envio de mensagens a todos os componentes da lista de endereços do Tribunal restringir-se-á a assuntos de interesse geral dos servidores e magistrados.

3.7 É proibido o envio de spam ou mensagens que contenham qualquer tipo de software malicioso pelos usuários do sistema de correio eletrônico do Tribunal.

3.8 A STI proverá mecanismos para a identificação de mensagens que possuam conteúdo infectado por softwares maliciosos ou que ofereçam risco à segurança da informação. Tais mensagens, quando detectadas, poderão ser excluídas automaticamente ou armazenadas em quarentena.

3.9 Cabe à Diretoria-Geral, diante de parecer técnico emitido pela STI, estipular as regras de utilização do correio eletrônico que se façam necessárias para o bom funcionamento do serviço e para a segurança das informações, aí incluídas as de quantidade de destinatários, tamanho máximo das caixas postais, mensagens enviadas e recebidas e tipos permitidos de arquivos anexados às mensagens.

3.10 O Tribunal poderá prover sistemas de mensageria e colaboração instantâneas para a comunicação entre os usuários internos e outros órgãos.

3.11 A STI definirá os clientes e os protocolos de mensageria e colaboração instantâneas homologados para a utilização pelo Tribunal.

3.12 A utilização ou conexão com sistemas de mensageria e colaboração instantâneas de uso público, como MSN Messenger, Yahoo! Messenger, Google Talk, dentre outros, poderão ser restringidas a critério da Diretoria-Geral.

4. Disposições Finais

4.1 Os dados necessários para o acesso aos sistemas são definidos pela STI e serão informados à CSTI quando da solicitação de criação da conta.

4.2 Após a criação da conta solicitada, a CSTI deverá informar ao solicitante e ao titular da conta a senha de acesso inicial e as instruções para sua alteração, quando aplicável.

4.3 As senhas iniciais criadas durante o cadastro de contas novas e todas as senhas reinicializadas por solicitação do titular deverão ter prazo de expiração de no máximo 2 dias úteis.

4.4 Em nenhuma hipótese será admitido o empréstimo ou o compartilhamento de credenciais de acesso.

4.4.1 No caso acima, os atos praticados serão de responsabilidade de todos os envolvidos, estando sujeitos às sanções administrativas e penais cabíveis tanto o titular das credenciais quanto aquele que as utilizar indevidamente.

Anexo V

ACESSO A SISTEMAS DE INFORMAÇÃO DO TRIBUNAL

1. Apresentação

Este documento é parte da Política de Controle de Acesso Lógico do Tribunal. Os técnicos da CSTI deverão tê-lo à disposição, citá-lo e disponibilizá-lo para os usuários sempre que forem questionados com relação aos procedimentos adotados para a criação de contas.

2. Objetivos

Definir as regras a serem seguidas no âmbito do Tribunal relativas à criação e manutenção de contas de acesso a sistemas de informação mantidos pela Secretaria de Tecnologia da Informação.

3. Disposições Gerais

3.1 Na hipótese de o Sistema de Informação possuir módulo específico para a manutenção e criação de contas, habilitado para uso do Gestor do Sistema, a responsabilidade pela criação e manutenção de contas é de exclusiva responsabilidade deste. Portanto, o Gestor de Sistema de Informação deverá zelar pela base de usuários de sistema de forma que somente pessoas autorizadas tenham acesso ao sistema.

3.2 Quando não houver módulo específico para uso do Gestor do Sistema de Informação, este deverá realizar chamado à CSTI, através da ferramenta na intranet, fornecendo todos os dados necessários para a realização do cadastro e para a alteração ou exclusão de contas no sistema.

3.3 É responsabilidade do Gestor do Sistema de Informação definir o perfil, ou perfis, de acesso ao sistema em que cada usuário deverá ser incluído, bem como determinar as mudanças de perfil que se fizerem necessárias.

3.3.1 O perfil de acesso aos sistemas de informação deve estar de acordo com a política de classificação das informações do Tribunal.

3.4 A CSTI somente atenderá solicitações de criação e manutenção de contas de acesso a sistemas de informação que sejam feitas pelos Gestores de Sistema de Informação ou por servidores por eles autorizados e designados formalmente para realizar esse tipo de solicitação.

3.5 Em caso de acesso temporário, o Gestor de Sistema de Informação poderá indicar data para a expiração automática da autorização de acesso concedida. Não o fazendo, é responsabilidade dele solicitar a revogação da autorização ao término do tempo previsto para a utilização do sistema pelo usuário temporário.

3.5.1 Para evitar a expiração automática das contas temporárias, deverá ser aberto chamado na CSTI, através de ferramenta na intranet, com antecedência mínima de 3 dias úteis à expiração da conta.

3.6 O Gestor do Sistema de Informação ou servidor designado para controlar os acessos ao Sistema de Informação ficará responsável por providenciar a assinatura pelo usuário de Termo de Responsabilidade, anexo VIII, atestando estar ciente dos direitos, responsabilidades e possíveis sanções pelo uso indevido da conta do sistema.

3.7 É responsabilidade do Gestor do Sistema de Informação solicitar o cancelamento da conta de acesso ao sistema ou a alteração de perfil quando do desligamento, mudança de lotação/atribuição ou afastamento do agente público.

4. Disposições Finais

4.1 Os dados necessários ao acesso ao sistema são definidos pelo Gestor de Sistema de Informação e serão informadas à CSTI quando da solicitação de criação da conta.

4.2 A autorização para acesso a Sistemas de Informação não implicará na criação automática de conta de acesso à rede do Tribunal ou conta de e-mail institucional. Para esse fim, deve ser utilizado o disposto na Política de Acesso à Rede Local do Tribunal (Anexo I).

4.3 Após a criação da conta solicitada, a CSTI ou o Gestor de Sistema de Informação deve informar ao solicitante a criação da conta e ao titular da conta, a senha de acesso inicial e as instruções para alteração da mesma.

4.4 As senhas iniciais criadas durante o cadastro de contas novas e todas as senhas reinicializadas por solicitação do titular deverão ter prazo de expiração de no máximo 2 dias úteis.

4.5 Em nenhuma hipótese será admitido o empréstimo ou compartilhamento de credenciais de acesso.

4.5.1 No caso acima, os atos praticados serão de responsabilidade de todos os envolvidos, estando sujeitos às sanções administrativas e penais cabíveis tanto o titular das credenciais quanto aquele que as utilizar indevidamente.

4.6 Os direitos de acesso dos usuários deverão ser revisados, em intervalos regulares, pela unidade gestora da solução, sobretudo quando ocorrer mudança de função do servidor, alteração de lotação ou desligamento.

Anexo VI

ACESSO À INTRANET TRE/SE E À INTERNET

1. Apresentação

Este documento é parte da Política de Controle de Acesso Lógico do Tribunal. Os técnicos da CSTI deverão tê-lo à disposição, citá-lo e disponibilizá-lo para os usuários sempre que forem questionados com relação aos procedimentos adotados para a criação de contas.

2. Objetivos

Definir as regras a serem seguidas no âmbito do Tribunal relativas à liberação de acesso a sites e serviços da internet.

3. Disposições Gerais

3.1 Os acessos ao portal e aos demais serviços disponíveis na intranet do Tribunal serão efetuados, preferencialmente, através da rede da Justiça Eleitoral (JE).

3.2 Os acesso a sítios e serviços disponíveis na internet serão controlados por filtros de conteúdo e reguladores de tráfego implementados nos dispositivos de segurança do Tribunal.

3.2.1 A Secretaria de Tecnologia da Informação deverá implementar mecanismos de regulação de tráfego no acesso a serviços de maior consumo de dados, visando a preservação da disponibilidade da rede.

3.3 Os titulares das unidades do Tribunal deverão fiscalizar o bom uso dos acessos à internet e solicitar à CSTI, através de ferramenta na intranet, ajustes e restrições de acesso em caso de mau uso.

3.4 Não será admitida, em nenhuma hipótese, a tentativa de burla aos filtros de conteúdo e às restrições de acesso impostas, sob pena de responsabilização dos envolvidos, que estarão sujeitos às sanções administrativas e penais cabíveis.

4. Disposições Finais

4.1 A STI poderá, eventualmente e quando necessário, fazer ajustes temporários no controle de banda para viabilizar eventos específicos como videoconferências e acesso a visitantes.

4.2 Todas as operações de acesso realizadas serão registradas em log, para fins de auditoria.

Anexo VII

ACESSO AOS COMPARTILHAMENTOS DE REDE

1. Apresentação

Este documento é parte da Política de Controle de Acesso Lógico do Tribunal. Os técnicos da CSTI deverão tê-lo à disposição, citá-lo e disponibilizá-lo para os usuários sempre que forem questionados com relação aos procedimentos adotados para a criação e manutenção de pastas na rede.

2. Objetivos

Definir as regras a serem seguidas no âmbito da Secretaria de Tecnologia da Informação - STI relativas à criação e manutenção de pastas na rede.

3. Disposições Gerais

3.1 Cabe a cada titular de unidade solicitar à CSTI, através de ferramenta na intranet, a criação de pastas na rede, a liberação e a restrição dos privilégios de acesso aos documentos de sua unidade.

3.2 Não será admitida, em nenhuma hipótese, a utilização dos compartilhamentos de rede para armazenamento de arquivos de uso pessoal, sob pena de responsabilização dos envolvidos, que estarão sujeitos às sanções administrativas e penais cabíveis. A Secretaria de Tecnologia da Informação realizará auditorias periódicas visando a identificação de material estranho às atividades desempenhadas pelas unidades organizacionais.

Anexo VIII

CONTROLE DE ACESSO REMOTO AOS SERVIÇOS DE REDE

1. Apresentação

Este documento é parte da Política de Controle de Acesso Lógico do Tribunal. Os técnicos da CSTI deverão tê-lo à disposição, citá-lo e disponibilizá-lo para os usuários sempre que forem questionados com relação aos procedimentos adotados para o acesso remoto aos serviços de rede.

2. Objetivos

Definir as regras a serem seguidas no âmbito da Secretaria de Tecnologia da Informação - STI relativas à disponibilização de acesso remoto aos serviços de rede.

3. Disposições Gerais

3.1 O acesso remoto, em caráter excepcional, aos serviços da rede corporativa, deve ser solicitado à CSTI, através de ferramenta na intranet, com antecedência mínima de 2 dias úteis.

3.1.1 De posse da solicitação fundamentada, a Secretaria de Tecnologia da Informação emitirá parecer acerca da possibilidade de aceitação dos riscos associados.

3.2 Durante a conexão remota deverão ser utilizados sistemas de criptografia para o acesso às informações exclusivamente às pessoas autorizadas, impedindo a sua leitura capturada acidental ou intencionalmente.

3.3 Devem ser utilizados, obrigatoriamente, meios de autenticação de usuários para assegurar a identificação das entidades participantes da troca de informações.

3.4 Os meios para assegurar a integridade das comunicações deverão impossibilitar alteração das informações durante transmissão sem anuência ou identificação das entidades participantes.

3.5 Os mecanismos adotados deverão assegurar a disponibilidade dos meios de comunicação em níveis compatíveis com os exigidos pelo processo utilizado.

Anexo IX

TERMO DE RESPONSABILIDADE

Objetivo

Definir as responsabilidades para todos os agentes públicos em atividade no Tribunal Regional Eleitoral de Sergipe que tenham acesso aos recursos de tecnologia da informação ou à rede de computadores da instituição.

TERMO DE RESPONSABILIDADE

Pelo presente termo, declaro ter conhecimento da Política de Segurança da Informação do Tribunal Regional Eleitoral de Sergipe, disponível para consulta no sítio da internet, e concordo em aceitar suas regras.

Com autorização superior, estou recebendo uma conta com privilégios adequados ao exercício das atividades, que aqui executo, a qual deverá ser utilizada somente para tal fim.

Declaro estar ciente de que minhas ações serão monitoradas de acordo com a Política de Segurança da Informação do Tribunal Regional Eleitoral de Sergipe e de que qualquer alteração feita sob minha identificação, advinda de minha autenticação e autorização, é de minha responsabilidade.

Estou ciente, ainda, de minha responsabilidade pelo dano que possa causar por descumprimento da Política de Segurança da Informação do Tribunal Regional Eleitoral de Sergipe ao realizar uma ação de iniciativa própria de tentativa de modificação da configuração, física ou lógica, dos recursos computacionais sem a permissão da área competente.

Aracaju/SE, ___ de _____________ de _____.

Nome e assinatura [agente público]

Matrícula

Nome, assinatura e unidade organizacional [titular da unidade, gestor de contrato ou sistema]

Matrícula