PORTARIA N° 1095, DE 14 DE NOVEMBRO DE 2023

A PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DE SERGIPE, Desa. ELVIRA MARIA DE ALMEIDA SILVA, no exercício de suas atribuições conforme o art. 28, inciso XXXIV, do Regimento Interno deste Tribunal;

CONSIDERANDO a necessidade de atender às diretrizes estabelecidas pela Resolução CNJ 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSECPJ);

CONSIDERANDO também a importância da Resolução TSE 23.644/2021, que estabelece a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a relevância da Portaria DG/TSE 444/2021, que normatiza os termos e definições relacionados à Política de Segurança da Informação do Tribunal Superior Eleitoral;

CONSIDERANDO, ainda, as boas práticas em segurança da informação preconizadas pelas normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002;

CONSIDERANDO a necessidade de garantir a preservação da integridade, confidencialidade e credibilidade dos ativos de informação no âmbito da Justiça Eleitoral de Sergipe;

CONSIDERANDO a necessidade de atualizar e aprimorar continuamente as práticas de segurança da informação em resposta a novos desafios e ameaças;

RESOLVE:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º - Fica aprovada a revisão da Política de Backup, Armazenamento, Salvaguarda e Restauração de Dados, a qual estabelece diretrizes, responsabilidades e competências destinadas a garantir a segurança, proteção e disponibilidade dos dados digitais sob a responsabilidade da Secretaria de Tecnologia da Informação e Comunicação (STI). Esses dados são essenciais para assegurar a continuidade das atividades do Tribunal Regional Eleitoral de Sergipe.

Art. 2º - A Seção de Suporte Operacional (SESOP) será a unidade responsável por estruturar e implementar a Política de Backup, Armazenamento, Salvaguarda e Restauração de Dados.

CAPÍTULO II

DAS DEFINIÇÕES

Art. 3º - Para fins desta Portaria, adotam-se as seguintes definições:

I - Backup ou Cópia de Segurança: Conjunto de procedimentos para preservar os dados de um sistema computacional, garantindo sua guarda, proteção e recuperação.

II - Backup Full ou Completo: Modalidade em que todos os dados são copiados.

III - Backup Incremental: Modalidade em que apenas os arquivos modificados desde o último backup são copiados.

IV - Ativos de Informação: Compreendem meios de armazenamento, transmissão e processamento, sistemas de informação, locais físicos desses meios e indivíduos com acesso a eles.

V - Criticidade: Grau de importância dos dados para a continuidade das atividades e serviços da organização.

VI - Descarte: Eliminação adequada de dados, unidades de armazenamento e acervos digitais.

VII - Plano de Gerenciamento de Backup e Restauração de Dados: Documento formal que estabelece responsáveis pela cópia de dados, o que será armazenado, periodicidade de execução e tempo de retenção, conforme norma complementar da Política de Segurança da Informação.

VIII - Restauração: Processo de recuperação e disponibilização de dados salvaguardados em uma imagem de backup.

IX - Retenção: Período durante o qual os dados devem ser mantidos aptos para restauração.

X - Janela de Backup: Período em que cópias de segurança agendadas ou manuais podem ser executadas.

XI - Rotina de Backup: Procedimento utilizado para realizar um backup.

XII - Unidade de Armazenamento de Backup: Dispositivo destinado ao armazenamento de dados.

CAPÍTULO III

DOS PRINCÍPIOS GERAIS

Art. 4º - As diretrizes gerais para a implementação e manutenção da Política de Backup, Armazenamento, Salvaguarda e Restauração de Dados são as seguintes:

I - a Política de Backup, Armazenamento, Salvaguarda e Restauração de Dados deve estar alinhada com a Política de Segurança da Informação e com a gestão de continuidade de negócios do Tribunal Regional Eleitoral de Sergipe;

II - as rotinas de backup devem priorizar a rápida restauração dos dados, especialmente em situações de indisponibilidade dos serviços de TI;

III - as rotinas de backup devem empregar soluções especializadas e, preferencialmente, automatizadas;

IV - as rotinas de backup devem atender a requisitos mínimos específicos, conforme o tipo de serviço de TI ou dado salvaguardado, com ênfase nos serviços de TI críticos da organização;

V - o armazenamento de backup deve ser realizado em local separado da infraestrutura crítica e distante da sede do Tribunal, a fim de armazenar cópias extras dos backups principais, especialmente os de dados de serviços críticos;

VI - a infraestrutura de rede de backup deve ser segregada, tanto logicamente quanto fisicamente, dos sistemas críticos da organização;

VII - recursos (físicos e lógicos) de infraestrutura devem ser reservados para a realização de testes de restauração de backup;

VIII - em situações que exijam confidencialidade, as cópias de segurança devem ser protegidas por meio de criptografia.

Art. 5º - A inclusão de um ativo de informação nos procedimentos de backup deve ser avaliada pelo proprietário do produto negocial.

Parágrafo único. Dados armazenados em dispositivos locais, como estações de trabalho, notebooks, smartphones e mídias removíveis, não fazem parte desses procedimentos.

Art. 6º - Os serviços de TIC que estão sob a abrangência desta política devem ser detalhados em uma lista restrita, na qual devem ser descritos todos os ativos que os sustentam.

Art. 7º - As rotinas de cópia de segurança devem ser realizadas regularmente, de acordo com a modalidade, periodicidade e retenção de dados definidos no Plano de Gerenciamento de Backup e Restauração de Dados, observadas as seguintes orientações:

I - as rotinas mencionadas no caput devem ser executadas de modo automatizado, seguindo uma programação previamente definida em procedimento específico, sem intervenção humana;

II - a programação das rotinas de cópia de segurança deve ser cuidadosamente planejada para minimizar qualquer impacto significativo sobre o desempenho dos demais serviços de Tecnologia da Informação e Comunicação (TIC);

III - os administradores de backups têm a responsabilidade de verificar a conclusão bem-sucedida dessas rotinas e, quando necessário, analisar os registros de log para garantir o êxito da operação;

IV - as mídias utilizadas no processo de backup devem ser devidamente identificadas, tornando mais fácil a localização e extração das informações armazenadas nelas;

V - os administradores de backup devem seguir rigorosamente os critérios estabelecidos pelos fabricantes, assegurando a validade e a qualidade das mídias utilizadas nos backups.

Art. 8º - Durante a execução das rotinas de backup, é fundamental avaliar o impacto sobre o desempenho da rede computacional, assegurando que o tráfego necessário não comprometa a disponibilidade de outros sistemas e serviços de TI.

Art. 9º - Ao escolher as unidades de armazenamento utilizadas na salvaguarda dos dados, é necessário levar em consideração as seguintes características dos dados resguardados:

I - sua criticidade;

II - o período de retenção necessário;

III - a probabilidade de necessidade de restauração;

IV - o tempo estimado para a restauração;

V - o custo de aquisição da unidade de armazenamento de backup;

VI - a vida útil da unidade de armazenamento de backup;

VII - a avaliação da viabilidade de utilizar diferentes tecnologias.

Art. 10 - Os locais externos de armazenamento da cópia de segurança devem atender a requisitos de segurança apropriados e ser fisicamente separados do ambiente de armazenagem da cópia principal, de forma que não estejam expostos aos mesmos riscos de desastre que a localidade de origem dos dados.

Art. 11 - Os procedimentos específicos para o gerenciamento do backup, armazenamento, salvaguarda e restauração de dados no âmbito deste Tribunal Regional Eleitoral de Sergipe serão detalhados e especificados no Plano de Gerenciamento de Backup e Restauração de Dados, anexo desta portaria.

Art. 12 - Fica revogada a Portaria 1047/2017.

Art. 13 - Esta Portaria entra em vigor na data de sua publicação.

ELVIRA MARIA DE ALMEIDA SILVA

Presidente

ANEXO I

Plano de Gerenciamento de Backup e Restauração de Dados.

(Este anexo, por questões de segurança, não está disponível neste documento)

PUBLIQUE-SE E CUMPRA-SE.