Portaria Presidência nº 122, de 05 de junho de 2023

O PRESIDENTE do Tribunal Regional Eleitoral Amapá, no uso de suas atribuições legais e regimentais,

 

 

CONSIDERANDO que a segurança da informação e a proteção de dados pessoais são condições essenciais para a prestação dos serviços jurisdicionais e administrativos;

CONSIDERANDO, ainda, que o acesso à informação, assim como aos recursos de processamento das informações e aos processos de negócios, deve ser controlado com base nos requisitos de negócio e da segurança da informação;

CONSIDERANDO a do Resolução Conselho Nacional de Justiça, CNJ, n.º 396/2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução do Tribunal Superior Eleitoral, TSE, n.º 23.644/2021, que instituiu a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO as boas práticas de segurança da informação e privacidade previstas nas normas da Associação Brasileira de Normas Técnicas (ABNT), ABNT ISO/IEC 27001 e ABNT ISO/IEC 27002, complementadas pela norma ABNT NBR ISO/IEC 27701; e

CONSIDERANDO, ainda, a Portaria nº 25/2023 do Tribunal Regional Eleitoral do Amapá, TRE-AP, de Termos e Definições relativa à Política de Segurança da Informação,

 

RESOLVE:

 

 

Art. 1º Instituir a Política de Backup e Recuperação de Dados do Tribunal Regional Eleitoral do Amapá.

Art. 2º Esta portaria integra a Política de Segurança de Informação do TRE-AP, estabelecida pela Resolução TRE-AP nº 570/2022.

 

CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES

 

Art. 3º A Política de Backup e Recuperação de Dados objetiva instituir diretrizes, responsabilidades e competências que visam à segurança, proteção e disponibilidade dos dados digitais custodiados pelas unidades de tecnologia da informação e comunicação (TIC) e formalmente definidos como de necessária salvaguarda no Tribunal Regional Eleitoral do Amapá.

Art. 4º A política de que trata esta portaria aplica-se a todas as unidades do TRE-AP que tenham sob sua guarda dados em formato digital.

Art. 5º A salvaguarda e recuperação dos dados da Justiça Eleitoral do Amapá abrange exclusivamente repositórios institucionais custodiados pelas seções de TIC, armazenados nos centros de processamento de dados.

Parágrafo único. Não serão salvaguardados nem recuperados dados armazenados localmente, nos microcomputadores dos usuários ou em quaisquer outros dispositivos fora dos centros de processamento de dados mantidos pelas seções de TIC.

Art. 6º A salvaguarda dos dados em formato digital pertencentes a serviços de TIC da Justiça Eleitoral do Amapá, mas custodiados por outras entidades, públicas ou privadas, como nos casos de serviços em nuvem, deve estar garantida nos acordos ou contratos que formalizam a relação entre os envolvidos.

 

CAPÍTULO II
DOS PADRÕES OPERACIONAIS

 

SEÇÃO I

DOS PRINCÍPIOS GERAIS

 

Art. 7º A Política de Backup e Recuperação de Dados deve estar alinhada com a gestão de continuidade de negócios em nível organizacional.

Art. 8º As rotinas de backup devem ser orientadas para a restauração dos dados no menor tempo possível, principalmente quando da indisponibilidade de serviços de TIC.

Art. 9º As rotinas de backup devem possuir requisitos mínimos diferenciados de acordo com o tipo de serviço de TIC ou dado salvaguardado, dando prioridade aos serviços essenciais de TIC da organização.

Art. 10. Os serviços essenciais de TIC da Justiça Eleitoral do Amapá estão formalmente elencados na Portaria TRE-AP Nº 9/2022.

 

SEÇÃO II

DAS FERRAMENTAS DE BACKUP

 

Art. 11. As rotinas de backup devem utilizar soluções especializadas para este fim, preferencialmente de forma automatizada.

Art. 12. Os ativos envolvidos no processo de backup são considerados ativos críticos para a organização.

 

SEÇÃO III

DA FREQUÊNCIA E RETENÇÃO DOS DADOS

 

Art. 13. Os backups dos serviços essenciais de TIC da Justiça Eleitoral do Amapá devem ser realizados utilizando-se as seguintes estratégias:

I – Cópias de segurança diária

II – Cópias de segurança semanal

III – Cópias de segurança mensal

Parágrafo único. As cópias de segurança que tratam este artigo seguem a estrutura de 3 (três) cópias dos dados, armazenadas em pelo menos duas mídias diferentes e manter um backup fora do site principal.

 

Art. 14. Os serviços essenciais de TIC da Justiça Eleitoral do Amapá devem ser resguardados sob um padrão mínimo, o qual deve observar a correlação frequência e retenção de dados estabelecida a seguir:

I – diária: 10 dias;

II – semanal: 30 dias;

III – mensal: 1 ano;

IV – anual: 1 ano.

 

Art. 15. O backup de serviços não essenciais de TIC deve ser formalmente solicitado ao administrador de backup pelo responsável técnico pelo serviço de TIC, através de chamado ou processo administrativo eletrônico.

 

Art. 16. Os serviços não essenciais de TIC da Justiça Eleitoral do Amapá devem ser resguardados observando-se o padrão mínimo de correlação frequência e retenção de dados estabelecida a seguir:

I – diária: 10 dias;

II – semanal: 30 dias;

III – mensal: 6 meses.

 

Art. 17. Especificidades dos serviços de TIC podem demandar frequência e tempo de retenção diferenciados, caso em que a demanda será formalizada pelo Gestor da Informação e aprovada pelo Comitê de Gestão de Tecnologia da Informação e Comunicação (CGTIC).

 

Art. 18. A solicitação de salvaguarda dos dados referentes aos serviços essenciais de TIC e aos serviços não essenciais de TIC deve ser realizada pelos responsáveis técnicos, com a anuência prévia e formal dos gestores das informações, refletindo os requisitos de negócio da organização, bem como os requisitos de segurança da informação envolvidos e a criticidade da informação para a continuidade da operação da organização, e deve explicitar, no mínimo, os seguintes requisitos técnicos:

I – escopo (dados digitais a serem salvaguardados);

II – tipo de backup (completo, incremental ou diferencial);

III – frequência de realização do backup (diária, semanal, mensal ou anual);

IV – retenção;

V – Objetivo de Ponto de Recuperação/Recovery Point Objective (OPR/RPO);

VI – Objetivo de Tempo de Recuperação/Recovery Time Point (OTR/RTO).

 

Art. 19. A recuperação de dados não será viabilizada em caso de perdas anteriores à conclusão da cópia de segurança. Dados criados ou modificados entre execuções de cópias de segurança subsequentes não serão protegidos por soluções de backup.

 

Art. 20. A alteração das frequências e tempos de retenção definidos nesta seção deve ser precedida de solicitação e justificativa formais encaminhadas ao administrador de backup. A aprovação para execução da alteração depende da anuência do gestor da informação e de prévia apreciação pelo Comitê de Gestão de Tecnologia da Informação e Comunicação.

 

SEÇÃO IV

DO USO DA REDE

 

Art. 21. O administrador de backup deve considerar o impacto da execução das rotinas de backup sobre o desempenho da rede de dados da Justiça Eleitoral do Amapá, garantindo que o tráfego necessário às suas atividades não ocasione indisponibilidade dos demais serviços de TIC.

Art. 22. A execução do backup deve concentrar-se, preferencialmente, no período de janela de backup.

Art. 23. O período de janela de backup deve ser determinado pelo administrador de backup em conjunto com a área técnica responsável pela administração da rede de dados da Justiça Eleitoral do Amapá.

 

SEÇÃO V

DAS UNIDADES DE ARMAZENAMENTO DE BACKUPS

 

Art. 24. As unidades de armazenamento utilizadas na salvaguarda dos dados devem considerar as seguintes características dos dados:

I – a criticidade do dado salvaguardado;

II – o tempo de retenção do dado;

III – a probabilidade de necessidade de restauração;

IV – o tempo esperado para restauração;

V – o custo de aquisição da unidade de armazenamento de backup;

VI – a vida útil da unidade de armazenamento de backup.

Art. 25. O administrador de backup deve identificar a viabilidade de utilização de diferentes tecnologias na realização das cópias de segurança, propondo a melhor solução para cada caso.

Art. 26. Podem ser utilizadas técnicas de compressão de dados, contanto que o acréscimo no tempo de recuperação dos dados seja considerado aceitável pelos gestores das informações.

Art. 27. As unidades de armazenamento dos backups devem ser acondicionadas em locais apropriados, com controle de fatores ambientais sensíveis, como umidade e temperatura, e com acesso restrito a pessoas autorizadas pelo administrador de backup.

Art. 28. Quando da necessidade de descarte de unidades de armazenamento de backups, tais recursos devem ser fisicamente destruídos de forma a inutilizá-los, atentando-se ao descarte sustentável e ambientalmente correto. 

 

SEÇÃO VI

DOS TESTES DE BACKUP

 

Art. 29. Os backups devem ser testados periodicamente, com o objetivo de garantir a sua confiabilidade e a integridade dos dados salvaguardados.

Art. 30. Os testes de restauração dos backups devem ser realizados, por amostragem, em ambiente de homologação, ou seja, em equipamentos distintos dos que atendem ao ambiente de produção, observados os recursos humanos e tecnológicos disponíveis no tribunal.

Art. 31. A periodicidade, abrangência, procedimentos e as rotinas inerentes aos testes de backup serão definidos em norma específica a ser elaborada pela Secretaria de Tecnologia da Informação em conjunto com os gestores das informações.

 

CAPÍTULO III

DAS RESPONSABILIDADES

 

Art. 32. O administrador de backup e o operador de backup devem ser capacitados para as tecnologias, procedimentos e soluções utilizadas nas rotinas de backup.

§ 1º O administrador e o operador de backup do TRE-AP serão indicados pela Secretaria de Tecnologia da Informação, dentre os servidores lotados na Seção de Gestão da Infraestrutura e Redes de Computadores (SGIRC).

§ 2º Caso não seja possível a indicação de servidores distintos, o mesmo servidor poderá exercer os papéis de administrador e operador de backup.

Art. 33. São atribuições do administrador de backup:

I – propor soluções de cópia de segurança das informações digitais corporativas produzidas ou custodiadas pela Justiça Eleitoral do Amapá;

II – providenciar a criação e manutenção dos backups;

III – configurar as soluções de backup;

IV – manter as unidades de armazenamento de backups preservadas, funcionais e seguras;

V – definir os procedimentos de restauração e neles auxiliar;

VI – verificar diariamente os eventos gerados,mensagens e registros de auditoria (LOGs), pela solução de backup, tomando as providências necessárias para remediação de eventuais falhas;

VII – tomar medidas preventivas para evitar falhas;

VIII – reportar imediatamente ao setor a que está subordinado os incidentes ou erros que causem indisponibilidade ou impossibilitem a execução ou restauração de backups;

IX – disponibilizar informações que subsidiem as decisões referentes à gestão de capacidade relacionada aos backups;

X – propor modificações visando o aperfeiçoamento da Política de Backup e Recuperação de Dados, objeto desta portaria;

XI – providenciar a execução dos testes de restauração.

Art. 34. São atribuições do operador de backup:

I – restaurar ou recuperar os backups em caso de necessidade;

II – operar e manusear as unidades de armazenamento de backups;

III – informar ao administrador de backup qualquer problema que impossibilite a restauração de um backup.

Art. 35. São atribuições das áreas técnicas:

I – solicitar restaurações de dados, com anuência do gestor da informação;

II – sanar dúvidas técnicas do administrador de backup acerca das informações salvaguardadas;

III – validar, tecnicamente, o resultado das restaurações eventualmente solicitadas;

IV – validar, tecnicamente, o resultado dos testes de restauração dos backups.

Art. 36. São atribuições dos gestores da informação:

I – solicitar, formalmente, a salvaguarda das informações geridas e dar anuência à solicitação feita pela área técnica para recuperação de dados;

II – validar, negocialmente, o resultado das restaurações eventualmente solicitadas;

III – validar, negocialmente, o resultado dos testes de restauração dos backups.

Art. 37. A solicitação de restauração de dados que tenham sido salvaguardados depende de prévia e formal autorização dos respectivos gestores das informações.

Parágrafo único. O operador de backup terá a prerrogativa de negar a restauração de dados cujo conteúdo não seja condizente com a atividade institucional, cabendo recurso da negativa ao gestor da unidade do demandante.

 

CAPÍTULO IV

DAS DISPOSIÇÕES FINAIS

 

Art. 38. Esta portaria deverá ser amplamente divulgada no âmbito do Tribunal Regional Eleitoral do Amapá, fazendo-se ainda constar, em destaque, na área de tecnologia da informação na intranet.

Art. 39. Esta portaria poderá ser revisada a qualquer tempo, para fins de eventual atualização, quando identificada a necessidade de alteração em quaisquer de seus dispositivos.

Art. 40. A Secretaria de Tecnologia da Informação e os gestores das informações digitais tomarão as providências necessárias para a adequação das rotinas e dos procedimentos de backups definidos nesta portaria.

Parágrafo único. Casos excepcionais não abordados nesta portaria serão decididos pelo Secretário de Tecnologia da Informação, com análise da Coordenadoria de Infraestrutura e, sendo necessário, pelas seções de TI ou pelos gestores das informações digitais.

Art. 41. Esta portaria entra em vigor na data de sua publicação.

Desembargador JOÃO GUILHERME LAGES MENDES.

PRESIDENTE.