Brasão

Tribunal Regional Eleitoral - AM

PORTARIA Nº 104, DE 6 DE MARÇO DE 2023

InstituI a Norma Complementar da Política de Segurança da Informação para Gerenciamento de Backup e Restauração de Dados e o Plano de Gerenciamento de Backup e Restauração de Dados (Anexo I).

O PRESIDENTE DO EGRÉGIO TRIBUNAL REGIONAL ELEITORAL DO AMAZONAS, no uso das competências que lhe são conferidas pelo art. 18, incisos XII, do Regimento Interno e com fundamento no art. 35, inciso I, da Lei n. 8.112, de 11.12.1990, com redação dada pela Lei n. 9.527, de 10.12.1997,

CONSIDERANDO a Res. CNJ nº 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Res. TSE nº 23.644/2021, que institui a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a portaria DG/TSE nº 444/2021, que instituiu a norma de termos e definições relativa à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO as boas práticas em segurança da informação previstas nas normas ABNT ISO/IEC 27001 e ABNT NBR ISO/IEC 27002;

CONSIDERANDO as boas práticas em segurança da informação previstas no modelo CIS Controls V.8;

CONSIDERANDO que a segurança da informação, a proteção e privacidade de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos do Tribunal Regional Eleitoral Amazonas;

RESOLVE:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º Fica instituída a Norma Complementar da Política de Segurança da Informação para Gerenciamento de Backup e Restauração de Dados e o Plano de Gerenciamento de Backup e Restauração de Dados (Anexo I).

Art. 2º O gerenciamento de backup e restauração de dados objetiva instituir diretrizes, responsabilidades e competências para garantia da segurança, integridade e disponibilidade dos dados custodiados pelo Tribunal Regional Eleitoral Amazonas.

Art. 3º As informações do Tribunal Regional Eleitoral Amazonas, incluindo dados pessoais, biográficos, biométricos e corporativos, devem ser protegidas por meio de rotinas sistemáticas de backup.

Art. 4º Não estão cobertos por esta norma os dados armazenados localmente em microcomputadores, notebooks, dispositivos móveis ou outros dispositivos de uso individual.

Art. 5º A salvaguarda e a recuperação dos dados de sistemas de informação custodiados por outras entidades, públicas ou privadas, utilizados pelo TRE-AM, deverão estar estabelecidas em cláusulas contratuais.

CAPÍTULO II

DAS DEFINIÇÕES

Art. 6º Para efeitos desta norma consideram-se os termos e definições previstos na portaria DG/TSE nº 444/2021, além dos seguintes:

  1. backup ou cópia de segurança: conjunto de procedimentos que permitem salvaguardar os dados de um sistema computacional, garantindo guarda, proteção e recuperação;
  2. backup completo: modalidade de backup em que todos os dados a serem salvaguardados são copiados integralmente (cópia de segurança completa) para uma unidade de armazenamento, independentemente de terem sido ou não alterados desde o último backup;
  3. backup diferencial: modalidade de backup em que são salvaguardados apenas dados novos ou modificados desde o último backup completo efetuado;
  4. backup incremental: modalidade de backup em que são salvaguardados apenas os dados novos ou modificados desde o último backup de qualquer modalidade efetuado;
  5. criticidade: grau de importância dos dados para a continuidade das atividades e serviços da organização;
  6. descarte: eliminação correta dos dados, unidades de armazenamento e acervos digitais;
  7. plano de gerenciamento de backup e restauração de dados: Documento formal onde são definidos os responsáveis pela cópia dos dados, o que será armazenado, periodicidade de execução da cópia e tempo de retenção, de acordo com as orientações da norma complementar da Política de Segurança da Informação para gerenciamento de backup e restauração de dados;
  8. restauração: processo de recuperação e disponibilização de dados salvaguardados em determinada imagem de backup;
  9. retenção: período pelo qual os dados devem ser salvaguardados e estar aptos à restauração;
  10. janela de backup: período durante o qual, cópias de segurança sob execução agendada ou manual poderão ser executadas;
  11. rotina de backup: procedimento utilizado para se realizar um backup;
  12. unidade de armazenamento de backup: dispositivo para armazenamento de dados em suporte digital com características específicas para retenção de cópia de segurança de dados digitais.

CAPÍTULO III

DOS PADRÕES OPERACIONAIS

Seção I

Dos Princípios Gerais

Art. 7º As rotinas de backup devem ser orientadas para a restauração dos dados no menor tempo possível, principalmente quando um incidente possa ocasionar indisponibilidade de serviços de TI. Art. 8º As rotinas de backup devem possuir requisitos mínimos, diferenciados de acordo com o tipo de serviço de TI ou dado salvaguardado, dando prioridade aos serviços de TI críticos da organização.

Art. 9º As tecnologias utilizadas para a realização do backup devem cumprir os requisitos necessários para preservar a integridade, a confidencialidade, a disponibilidade e a irretratabilidade das informações.

Art. 10º Os dados abarcados por esta norma deverão ser definidos em um Plano de Gerenciamento de Backup e Restauração de Dados (Anexo I), a ser definido pela área técnica responsável, refletindo os requisitos de negócio da organização, bem como os requisitos de segurança da informação envolvidos.

Parágrafo único. O Plano de Gerenciamento de Backup e Restauração de Dados (Anexo I) deve ser aprovado pela Comitê de Governança de Tecnologia da Informação - GOVTIC.

Art. 11º A solicitação e validação de salvaguarda dos dados referentes aos serviços de TI deve ser realizada pelos responsáveis técnicos dos serviços de TI.

Art. 12º A infraestrutura de backup não pode utilizar os mesmos controladores de domínio do restante da infraestrutura e nem os dos usuários comuns.

  1. O Plano de Gerenciamento de Backup e Restauração de Dados (Anexo I) deve explicitar, no mínimo, os seguintes requisitos técnicos:
  2. escopo (dados a serem salvaguardados/restaurados);
  3. tipo (completo/total, incremental e diferencial);
  4. frequência (diária, semanal, mensal e anual);
  5. tempo de retenção;
  6. unidade de armazenamento;
  7. janela de backup;
  8. local de armazenamento das mídias;
  9. periodicidade de teste de restauração do backup.

Art. 13º A documentação do Plano de Gerenciamento de Backup e Restauração de Dados e das rotinas de backup deve ser armazenada em local seguro e com acesso restrito à Seção responsável pelo gerenciamento de backup.

Art. 14º Os backups devem estar em conformidade com a legislação vigente, em especial ao que compete à LGPD.

Art. 15º Deverão ser utilizadas soluções de backup e restauração de dados adequadas e especializadas, preferencialmente capazes de atuar de maneira automatizada.

Seção II

Dos Tipos, Frequência e Retenção de Dados de Backups

Art. 16º Os backups devem ser realizados observando o tipo, a frequência e o tempo de retenção a serem definidos no Plano de Gerenciamento de Backup e Restauração de Dados (Anexo I).

§1º Poderão ser estabelecidos tipo, frequência e tempo de retenção diferenciados para cada serviço e/ou sistema de informação, de acordo com o nível de criticidade, desde que respeitados os padrões mínimos estabelecidos no Plano de Gerenciamento de Backup e Restauração de Dados (Anexo I).

§2º Os backups dos sistemas devem ser realizados utilizando-se os seguintes tipos:

  1. completo/total;
  2. incremental; ou
  3. diferencial.

3º Os backups dos sistemas devem ser realizados utilizando-se as seguintes frequências temporais:

  1. diária;
  2. semanal;
  3. mensal; ou
  4. anual;

Art. 17º Expirado o prazo de retenção dos dados armazenados, a mídia poderá ser reutilizada.

Seção III

Do Uso da Rede

Art. 18º Deverá ser considerado, para a execução das rotinas de backup, o seu impacto sobre o desempenho da rede computacional, garantindo que o tráfego necessário para tal não cause a indisponibilidade dos demais sistemas e serviços de TI.

Parágrafo Único. O backup das informações armazenadas nos servidores da rede corporativa deve ser realizado em período de baixa utilização de seus recursos computacionais, preferencialmente fora do horário de expediente ordinário das unidades da Secretaria do Tribunal.

Seção IV

Das Unidades de Armazenamento de Backups

Art. 19º A escolha das unidades de armazenamento utilizadas na salvaguarda dos dados deverá atender as seguintes características dos dados resguardados:

  1. a criticidade;
  2. o tempo de retenção;
  3. a probabilidade de necessidade de restauração;
  4. o tempo esperado para restauração;
  5. o custo de aquisição da unidade de armazenamento de backup; e
  6. a vida útil da unidade de armazenamento de backup.

Art. 20º O backup, de acordo com sua criticidade, deve ser provido em 2 (duas) mídias distintas, com conteúdo idêntico, para armazenamento em 2 (dois) locais diferentes, observado o seguinte:

  1. uma cópia de segurança deve ser armazenada de forma a permitir sua rápida localização e recuperação;
  2. outra cópia de segurança deve ser armazenada em local externo à sede do Tribunal;
  3. ao menos uma cópia de segurança deve ser armazenada em uma localização que não seja endereçável de forma contínua por meio de chamadas do sistema operacional.

§1º Os locais de armazenamento das mídias da cópia de segurança devem ter mecanismos de segurança, considerando, minimamente, os seguintes elementos:

  1. o acesso ao local deve ser restrito e monitorado;
  2. o acesso ao local deve ser registrado em logs contendo minimamente a identificação do usuário e informações de data e hora de entrada e saída;
  3. o local deve possuir controles de prevenção, detecção e combate a incêndio;
  4. o local deve ser protegido contra interferências eletromagnéticas.

§2º Os locais externos de armazenamento da cópia de segurança devem possuir requisitos de segurança adequados e separados do ambiente de armazenagem da cópia principal, de forma que não permaneçam expostos aos mesmos riscos de desastres que a localidade de origem dos dados.

§3º A cópia de segurança referida no inciso II do caput pode ser armazenada em serviços de nuvem, desde que sejam criptografados e gerenciados pela mesma solução de backup, sendo observados, ainda, os cuidados de gerenciamento de acessos privilegiados e de bloqueio de redes de acesso.

Art. 21º Deverá ser identificada a viabilidade de utilização de diferentes tecnologias na realização dos backups, propondo a melhor solução para cada caso.

Art. 22º Poderão ser utilizadas técnicas de compressão de dados, contanto que o acréscimo no tempo de recuperação dos dados seja considerado aceitável.

Seção V

Do Descarte e da Substituição de Cópia de Segurança

Art. 23º O descarte e a substituição da mídia utilizada para geração da cópia de segurança devem respeitar o disposto na norma complementar específica da Política de Segurança da Informação que trata do Controle de Acesso Físico e Lógico relativos à Segurança das Informações.

Art. 24º Nos casos de substituição da solução de backup (hardware ou software), as informações contidas nas mídias da antiga solução devem ser transferidas, em sua totalidade, para mídias compatíveis com a nova solução.

Art. 25º Quando da necessidade de descarte de unidades de armazenamento de backups, tais recursos devem ser fisicamente destruídos de forma a inutilizá-los, atentando-se ao descarte sustentável e ambientalmente correto.

Parágrafo único. A solução de backup obsoleta somente poderá ser desativada após a certificação de que todas as informações foram transferidas para a nova solução implementada.

Seção VI

Dos Testes de Backup

Art. 26º Os backups devem ser testados com periodicidade mínima mensal, com o objetivo de garantir a sua confiabilidade e a integridade dos dados salvaguardados.

Art. 27º Os testes de restauração dos backups devem ser realizados em equipamentos servidores diferentes dos equipamentos que atendem os ambientes de produção, observados os recursos humanos e tecnológicos disponíveis.

Art. 28º A periodicidade, a abrangência, os procedimentos e as rotinas inerentes aos testes de backup devem ser devidamente registradas no Plano de Gerenciamento de Backup e Restauração de Dados (Anexo I).

CAPÍTULO IV

DAS RESPONSABILIDADES

Art. 29º São atribuições dos responsáveis pela execução e gestão das rotinas de backup e restauração:

  1. planejar os recursos necessários para implantar os requisitos desta norma e do Plano de Gerenciamento de Backup e Restauração de Dados (Anexo I);
  2. elaborar o Plano de Gerenciamento de Backup e Restauração de Dados (Anexo I) específico;
  3. propor soluções de backup das informações produzidas ou custodiadas pelo Tribunal;
  4. providenciar a criação e manutenção dos backups;
  5. configurar as soluções de backup;
  6. manter as unidades de armazenamento de backups funcionais, preservadas e seguras;
  7. verificar periodicamente os eventos gerados pela solução de backup, tomando as providências necessárias para remediação de eventuais falhas;
  8. gerenciar mensagens e registros de auditoria (logs) dos backups;
  9. tomar medidas preventivas para evitar falhas;
  10. reportar imediatamente ao Comitê de Segurança da Informação e de Gerenciamento de Crises Cibernéticas os incidentes ou erros que causem indisponibilidade ou que impossibilitem a restauração dos backups;
  11. providenciar a execução dos testes de restauração;
  12. restaurar ou recuperar os backups em caso de necessidade.

CAPÍTULO V

DAS DISPOSIÇÕES FINAIS

Art. 30º Esta norma complementar deverá ser revisada a cada 12 meses.

Art. 31º Os casos omissos e eventuais dúvidas quanto à aplicação desta norma serão dirimidos pela Comissão de Segurança da Informação deste Tribunal.

Art. 32º Esta Portaria entra em vigor na data de sua publicação e sua implementação iniciará imediatamente e deverá estar totalmente implantada no prazo de 24 (vinte e quatro) meses a contar de sua vigência.

Publique-se e cumpra-se.

Desembargador JORGE MANOEL LOPES LINS

Presidente do TRE - AM

Anexo Port 104.docx

Este texto não substitui o publicado no DJE-AM, n° 49, de 20.03.2023, p. 19-23.