Brasão

Tribunal Superior Eleitoral

Secretaria de Gestão da Informação e do Conhecimento

Coordenadoria de Jurisprudência e Legislação

Seção de Legislação

PORTARIA Nº 418, DE 3 DE MAIO DE 2022.

Dispõe sobre o tratamento de vulnerabilidades em sistemas de informação desenvolvidos ou mantidos pelo Tribunal Superior Eleitoral.

O DIRETOR GERAL DA SECRETARIA DO TRIBUNAL SUPERIOR ELEITORAL, no uso de suas atribuições e

CONSIDERANDO a Resolução nº 23.644/2021 que instituiu a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral,

CONSIDERANDO a Portaria TSE nº 540 , de 23 de agosto de 2021, que dispõe sobre a instituição da Norma de Desenvolvimento Seguro de sistemas, relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral,

CONSIDERANDO, a necessidade de contínua avaliação de segurança sobre os ativos de tecnologia desenvolvidos ou mantidos pelo TSE,

CONSIDERANDO, a necessidade de priorização das ações de correção de segurança, ainda que em concorrência com outras demandas de software,

RESOLVE:

Art. 1º Fica instituído procedimento para correções de vulnerabilidades de segurança em sistemas de informação desenvolvidos ou mantidos pelo Tribunal Superior Eleitoral (TSE).

Art. 2º A Secretaria de Tecnologia da Informação (STI) procederá às análises nos sistemas de informação para identificar eventuais vulnerabilidades que possam expor o TSE a riscos de segurança, a fim de adotar as medidas para correção dessas vulnerabilidades.

§1º A STI estabelecerá um cronograma de análise periódica dos sistemas por ela mantidos.

§2º Em caso de suspeita de vulnerabilidade ou iminente ameaça em sistema do TSE, a STI procederá à sua imediata análise de segurança.

Art. 3º Os relatórios emitidos após análise de segurança são restritos às áreas técnicas envolvidas no tratamento da vulnerabilidade.

§1º Caso o relatório aponte vulnerabilidade de naturezas crítica e alta, que se caracterizam pela recomendação de desativação do sistema, a STI notificará imediatamente ao Comitê Estratégico de Tratamento de Segurança Cibernética para solicitar autorização de desativação do sistema e, de forma concomitante, a unidade técnica responsável deverá proceder imediatamente às ações de correção.

§2º Caso o relatório aponte vulnerabilidade de natureza média, serão identificadas como prioridade máxima para fins do planejamento do próximo pacote de trabalho (sprint) da unidade responsável pelo desenvolvimento do sistema de informação avaliado.

§3º Caso o relatório aponte vulnerabilidade de natureza baixa, serão identificadas como prioridade padrão para fins de planejamento dos próximos pacotes de trabalho (sprints) da unidade responsável pelo desenvolvimento do sistema de informação avaliado.

§4º Caso as correções impactem os prazos acordados para entrega de novas funcionalidades, a unidade gestora do sistema deverá ser notificada para avaliar necessidade de ajustes nos prazos de entrega.

Art. 4º A efetividade das correções implementadas deverá ser avaliada pela unidade responsável pelos testes de segurança dos sistemas de informação.

Art. 5º As situações excepcionais serão tratadas pelo Diretor-Geral da Secretaria do Tribunal.

Art. 6º Esta portaria entra em vigor na data de sua publicação.

RUI MOREIRA DE OLIVEIRA

Este texto não substitui o publicado no DJE-TSE, nº 87, de 13.5.2022, p. 112-113.