INSTRUÇÃO NORMATIVA Nº 9, DE 29 DE MAIO DE 2024

O DIRETOR-GERAL DA SECRETARIA DO TRIBUNAL SUPERIOR ELEITORAL, no uso de suas atribuições legais e regimentais e consoante o disposto na Portaria TSE nº 387 de 28 de maio de 2024,

RESOLVE:

Art. 1º Fica instituído o Processo de Gestão de Incidentes Cibernéticos (PGIC) do Tribunal Superior Eleitoral (TSE).

Art. 2º Para os efeitos da Política de Segurança da Informação do TSE e das normas a ela subordinadas, aplicam-se os termos e definições conceituados na Portaria TSE nº 444, de 8 de julho de 2021(https://www.tse.jus.br/legislacao/compilada/prt/2021/portaria-no-444-de-08-de-julhode-2021).

Art. 3º O PGIC corresponde ao conjunto de medidas que são aplicadas, de forma cíclica, para a resolução de incidentes cibernéticos, minimizando seu impacto através da contenção até a recuperação do ativo comprometido, acompanhado de monitoramento e comunicação com as partes envolvidas.

Art. 4º São etapas do PGIC:

I - recebimento;

II - registro;

III - análise;

IV - classificação;

V - tratamento; e

VI - melhorias no processo cíclico.

§ 1º O monitoramento e a comunição com as partes envolvidas devem ser realizados em cada etapa do processo, de acordo com suas particularidades.

§ 2º O processo é cíclico, com a aplicação de medidas de forma recorrente até a resolução integral do incidente e a transmissão das informações relacionadas ao mesmo para as partes envolvidas.

Art. 5º A etapa de recebimento é realizada mediante notificações:

I - externas: recebidas via e-mail (etir@tse.jus.br), ofício ou demais comunicados de origem externa ao Tribunal;

II - internas: recebidas de colaboradores que utilizam a rede do TSE, podendo ser detectadas pelas ferramentas de monitoramento dos ativos de informação do Tribunal ou encaminhadas por chamado feito à Seção de Defesa Cibernética (SDCIBER).

Art. 6º A etapa de registro consiste em cadastrar o incidente de segurança reportado em sistema específico, acionando-se a ETIR para realizar a triagem e a análise da notificação.

Parágrafo Único. A STI proverá sistema de gestão de incidentes cibernéticos (SGIC), possibilitando o registro do incidente e das demais atividades estabelecidas neste normativo.

Art. 7º A etapa de análise consiste na verificação, pela equipe de triagem, se o evento reportado caracteriza um incidente cibernético a ser tratado pela ETIR.

§ 1º A ETIR deve definir previamente a equipe de triagem que será acionada para analisar cada tipo de incidente cibernético.

§ 2º Caso o evento reportado não seja identificado como um incidente cibernético, o procedimento será encerrado como notificação, sendo as partes interessadas comunicadas.

Art. 8º Confirmado o incidente, realiza-se sua classificação, com a identificação de seu grau de severidade e tipo catalogado.

Art. 9º. A classificação pela ETIR deve se basear no grau de severidade do evento, sendo adotadas ações específicas para cada nível de severidade do evento.

Parágrafo único. Os níveis de severidade e as respectivas ações são:

I - crítico: incidente com dano potencial de inviabilizar completamente as atividades do órgão, devendo ser tratado imediatamente, com mobilização integral das equipes responsáveis para o tipo de evento;

II - elevado: incidente com dano potencial de inviabilizar parcialmente as atividades do órgão, devendo ser tratado imediatamente, com mobilização parcial das equipes responsáveis para o tipo de evento;

III - moderado: incidente que pode afetar parte da organização, causando atrasos ou retrabalho, não trazendo danos significativos se tratados a tempo, devendo ser monitorado e tratado de acordo com a fila de priorização de incidentes existente, com comunicação aos responsáveis;

IV - baixo: incidente que impacta atividades ou ativos secundários do TSE, não trazendo danos significativos se tratado a tempo, devendo ser monitorado e tratado de acordo com a fila de priorização de incidentes existente, com comunicação aos responsáveis;

V - muito baixo: incidente originário em atividades ou ativos que possuem contingenciamento ou baixa relevância, devendo ser monitorado de acordo com a fila de priorização de incidentes, autorizado o tratamento por equipes técnicas externas, com acompanhamento da ETIR.

Art. 10. O CSI deve ser alertado sempre que ocorrer incidente classificado como de gravidade elevada ou crítica.

Parágrafo único. O Tribunal deve atuar para minimizar o impacto do incidente, através da contenção até a recuperação do dano causado, de acordo com a classificação do incidente.

Art. 11. A ETIR deve definir e manter uma listagem com a tipificação dos incidentes previamente catalogados para fins de tratamento.

Parágrafo único. Em caso de incidente não catalogado, caberá ao Supervisor da ETIR encaminhar o tratamento para sua solução.

Art. 12. O tratamento investiga o incidente a fim de identificar a causa raiz e possíveis meios para reduzir os impactos no órgão, com as seguintes fases:

I - contenção: objetiva limitar o dano ocorrido e prevenir qualquer dano posterior, com as seguintes providências:

a) preservação de evidências, de acordo com as normas vigentes no Tribunal;

b) análise de ações de curto e médio prazo a serem tomadas.

II - erradicação: objetiva tratar os sistemas afetados, com as seguintes providências:

a) eliminação das causas e o incremento na segurança;

b) registro de informação relevante sobre o incidente e recomendações para mitigação no SGIC, para o controle de incidentes pela ETIR.

III - restauração: objetiva restabelecer os recursos afetados para um estado íntegro e disponível, com o cuidado para garantir que não levará a outros incidentes.

Parágrafo Único. Deve ser utilizado o canal de informação oficial definido pelo Supervisor da ETIR para a troca de informações sobre o tratamento do incidente, com a presença apenas dos especialistas da área, membros e demais servidores diretamente envolvidos no tratamento dos incidentes.

Art. 13. A fase de melhoria se caracteriza pela documentação e compartilhamento das lições aprendidas do incidente com as equipes envolvidas, descrevendo formas de obter melhores resultados e reavaliando riscos para evitar novos incidentes.

Art. 14. As etapas de comunicação e monitoramento ocorrem durante todo o ciclo de vida do incidente.

§ 1º O SGIC será o recurso de comunição interna do incidente, devendo ser alimentado de forma a possibilitar a comunicação e monitoramento dos incidentes com as partes interessadas.

§ 2º O CSI definirá previamente o servidor responsável para elaboração de informes, notas ou equivalentes junto à Secretaria de Comunicação do Tribunal.

Art. 15. O detalhamento técnico dos produtos gerados dentro do processo de resposta a incidentes e os procedimentos detalhados de acordo com cada tipo de incidente devem ser fornecidos e atualizados periodicamente pela ETIR.

Art. 16. Até que a STI desenvolva o SGIC previsto no art. 7º desta Instrução Normativa, deverá a ETIR providenciar meios alternativos para realizar o recebimento, o registro e a documentação de todo o procedimento previsto para a notificação e o tratamento de incidentes cibernéticos.

Art. 17. Esta Instrução Normativa entra em vigor na data de sua publicação.

ROGÉRIO AUGUSTO VIANA GALLORO