PORTARIA DTIC/SE/MJSP Nº 6, de 31 de março de 2022

O DIRETOR DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO​, no uso da competência lhe foi subdelegada pelo art. 4º da Portaria nº 1411, de 25 de novembro de 2021, da Secretaria-Executiva do Ministério da Justiça e Segurança Pública,

RESOLVE:

Art. 1º Fica instituída a NORMA DE SEGURANÇA DE REPLICAÇÃO DE DADOS E BACKUP​ do Ministério da Justiça e Segurança Pública - MJSP, na forma do Anexo a esta Portaria.

Art. 2º Esta norma entra em vigor no 1º dia útil do segundo mês da publicação desta Portaria.

RODRIGO LANGE

ANEXO

NORMA DE SEGURANÇA DE REPLICAÇÃO DE DADOS E BACKUP​

CAPÍTULO I

DAS DISPOSIÇÕES GERAIS

Art. 1º     A Norma de Segurança de Replicação de Dados e Backup do MJSP objetiva estabelecer as regras para controle dos processos de replicação e de restauração de dados em conformidade com a Política de Segurança da Informação – POSIC do MJSP e as estratégias de continuidade de negócio institucionais.

Art. 2º     As disposições apresentadas nesta norma adotam como terminologia o Glossário de Segurança da Informação do GSI e observam os normativos legais e regulamentares vigentes, considerando-se ainda as seguintes definições adicionais:

Ambiente Produtivo – conjunto de recursos de processamento e armazenamento de dados que sustentam aplicações de produção, ou seja, que sustentam diretamente processos de negócio institucionais.

Ambiente Não-Produtivo – conjunto de recursos de processamento e armazenamento de dados utilizados por versões de desenvolvimento, testes ou homologação das aplicações, e que não sustentam diretamente processos de negócio institucionais.

Arquivamento (archiving) – processo de retenção de réplicas de dados por longos períodos, com o objeto de atender políticas de conformidade operacional (compliance). O archiving se diferencia do backup porque a finalidade primária do backup é propiciar a recuperação de ambientes operacionais a partir de cópias feitas em momentos passados no tempo, enquanto o propósito primordial do archiving é reter os dados para fins de conformidade e auditoria.

Proteção de Dados Contínua (Continuous Data Protection – CDP ) – Mecanismos de replicação contínua de dados para datacenter de contingência visando o restabelecimento de serviços no menor prazo possível no caso da ocorrência de um incidente que inviabilize parcial ou totalmente o datacenter principal.

Mídia Primária de Armazenamento – recursos utilizados para o armazenamento primário dos dados, ou seja, que armazenam os dados diretamente processados e acessados pelos sistemas e aplicações em ambiente produtivo ou não-produtivo.

Meta de Ponto de Recuperação (Recovery-Point Objective – RPO): é a previsão do máximo hiato temporal sem uma réplica dos dados passível de recuperação, ou seja, é o máximo período em que se admite a não recuperação dos dados recentes no caso de um incidente que afete as fontes primárias de dados.

Meta de Tempo de Recuperação (Recovery-Time Objective – RTO): prazo máximo estimado para restaurar os dados de uma réplica ou para retorno da disponibilidade dos serviços após uma interrupção.

Gravação única e múltiplas leituras (Write Once Read Many – W.O.R.M.) – Política de escrita dos dados em dispositivos de armazenamento na qual os dados escritos somente podem ser modificados ou apagados após um período definido, porém podem ser lidos a qualquer momento.

CAPÍTULO II

REALIZAÇÃO DE CÓPIAS DE SEGURANÇA

Art. 2º     A Diretoria de Tecnologia da Informação e Comunicação do MJSP (DTIC/MJSP) disponibilizará recursos adequados para a geração de cópias de segurança (backups) de suas informações críticas, a fim de garantir que sejam recuperadas após um incidente, desastre ou falha em qualquer uma de suas mídias primárias de armazenamento utilizadas por ambientes produtivos

Parágrafo único. Nos casos em que as áreas de negócio da instituição expressem a necessidade, será avaliada pela DTIC/MJSP a conveniência da geração de cópias de segurança para ambientes não-produtivos.

Art. 4º     A realização de cópias de segurança dos dados acessados diretamente pelos usuários corporativos de TIC (ex. pastas de arquivos e caixas de correio eletrônico) se dará apenas em relação àqueles armazenados na infraestrutura centralizada (datacenters e ambientes de computação em nuvem).

Art. 5º     A frequência e o prazo de retenção dos backups de dados primários e as metas de RPO e RTO deverão ser definidos em conformidade com a estratégia de continuidade de negócio estabelecida para cada uma das aplicações que suportam processos de negócio institucionais.

Parágrafo único. Em qualquer caso, para as diferentes fontes de dados primários as frequências e os períodos de retenção não serão inferiores ao estabelecido a seguir:

bancos de dados relacionais e não-relacionais - frequência diária e retenção mensal;

aplicações - frequência diária e retenção quinzenal;

logs de aplicações e eventos de auditoria - frequência diária e retenção mensal;

imagens de sistema operacional e máquinas virtuais - frequência diária e retenção quinzenal;

arquivos ou objetos gerenciados por aplicações - frequência diária e retenção mensal;

servidor de arquivos - frequência diária e retenção mensal;

configurações de ativos de infraestrutura de TIC - frequência diária e retenção mensal; e

caixas de correio eletrônico - frequência diária e retenção trimestral.

Art. 6º     Os backups de dados com idade igual ou inferior à retenção mínima deverão ser armazenados em equipamentos e mídias de acesso rápido, visando acelerar ao máximo o processo de execução das cópias e de restauração dos sistemas afetados por um incidente. Os backups retidos por período além da retenção mínima poderão ser transferidos para mídias de acesso mais lento, tais como bibliotecas de fitas (tape library), equipamentos de armazenamento em disco (storage) de alta retenção e armazenamento em nuvem.

Parágrafo único. A adoção de frequências de backup maiores do que a frequência diária deverá levar em conta o impacto da execução dos backups na performance dos sistemas cujos dados serão replicados.

Art. 7º     No caso dos repositórios de arquivos ou objetos, as rotinas de realização backups em pontos do tempo podem ser substituídas pela realização periódica de instantâneos (snapshots) do estado dos repositórios para viabilizar a recuperação para um estado anterior, desde que os equipamentos suportem esta funcionalidade e que cada um dos repositórios possua ao menos uma réplica integral do seu conteúdo.

Art. 8º     No caso do uso de serviço de e-mails em nuvem, considerando não existirem meios para acessar à infraestrutura subjacente ao serviço, a realização dos backups periódicos das caixas de correio pode ser substituída pela implementação de políticas de retenção e arquivamento das informações contidas nas caixas por meio das próprias funcionalidades disponibilizadas pelo provedor de serviços.

Art. 9º     Sempre que possível, os backups feitos em disco deverão ter réplicas armazenadas em datacenter de contingência ou em nuvem.

CAPÍTULO III

PROTECÃO CONTÍNUA DOS DADOS

Art. 10º     O Plano de Continuidade de Negócios deverá definir as aplicações para as quais será necessário instituir mecanismo de proteção contínua dos dados (CDP) em datacenter de contingência, visando a recuperação do sistema produtivo impactado no datacenter principal.

Parágrafo único. A adoção de mecanismos de proteção contínua dos dados visa proteger o conjunto de ativos de informação de uma determinada aplicação, garantindo a recuperação no menor RPO (inferior a 30 minutos) e RTO (inferior a uma hora) possíveis. 

CAPÍTULO IV

ARQUIVAMENTO DE DADOS

Art. 11º     Serão adotadas estratégias de arquivamento (archiving) para fontes de dados como logs, eventos de auditoria e outras fontes, tais como caixas de correio de ex-servidores da instituição, nos casos especificados e pelos prazos que forem definidos critérios de conformidade por parte da área responsável pelos processos de segurança da informação na DTIC/MJSP.

Parágrafo único. Os processos de arquivamento dos dados deverão garantir o armazenamento e a recuperação dos dados armazenados por um período de até 5 anos.

CAPÍTULO V

SEGURANÇA NO ARMAZENAMENTO DE RÉPLICAS DE DADOS

Art. 12º     Os equipamentos que armazenam em disco dados de backups e de archiving deverão dispor de mecanismos de proteção a ataques de ramsomware, tais como a possibilidade de adoção de políticas do tipo W.O.R.M. (write once read many) em nível de configuração para as unidades de armazenamento.

Art. 13º     Deverá ser feito uso preferencial de criptografia nos casos em que os dados primários protegidos por backup contenham chaves criptográficas ou segredos cujo vazamento possa implicar em risco para a infraestrutura de TIC.

CAPÍTULO VI

RESTAURAÇÃO DOS DADOS

Art. 14º     A restauração dos dados se dará em todos os casos em que houver necessidade por consequência de incidente que inviabilize o acesso aos dados primários e/ou indisponibilize a aplicação afetada.

§ 1º      Nos casos em que for necessária a recuperação de dados de aplicações o RPO a ser buscado não deve ser superior a 24 horas, salvo em situações em que haja solicitação de RPO maior por parte da área negocial responsável pela aplicação.

§ 2º       A restauração poderá se dar a pedido da área negocial responsável pela aplicação mesmo nos casos em que não existe incidente que indisponibilize a aplicação, neste caso condicionada a uma análise do risco e viabilidade técnica envolvidas no processo de restauração dos dados.

Art. 15º     A restauração de dados armazenados em repositórios de uso individual ou coletivo e utilizados diretamente pelos usuários corporativos de TIC (ex. caixas de e-mail ou pastas compartilhadas de arquivos) será feita a pedido do(s) usuário(s) afetado(s).

Parágrafo único. No caso da recuperação de dados das fontes descritas no caput, compete ao usuário solicitante a validação dos dados recuperados.

Art. 16º     Deverão ser realizados testes periódicos de restauração dos dados armazenados em mídias de backup a fim de garantir a integridade e disponibilidade das informações protegidas.

CAPÍTULO VII

FERRAMENTA DE EXECUÇÃO DE CÓPIAS DE SEGURANÇA

Art. 17º     A ferramenta utilizada para execução e restauração de cópias de segurança deverá gerar um catálogo dos dados protegidos e das cópias executadas, o qual deverá ser mantido íntegro e preferencialmente ser replicado em diferentes componentes de infraestrutura visando ampliar a segurança no armazenamento das informações.

Parágrafo único. Os catálogos da ferramenta de execução e restauração de cópias de segurança deverão conter, no mínimo, as seguintes informações:

identificação da fonte (source) dos dados protegidos;

identificação do destino (target) onde os dados protegidos foram armazenados;

número da mídia e quantidade de mídias utilizadas na realização da cópia de segurança (no caso de mídias removíveis);

identificação da rotina de backup utilizada (diária, semanal, mensal, etc);

descrição do conteúdo replicado;

data e horário de realização do backup;

versão e descrição do software utilizado para a realização do backup; e

tempo de retenção aplicável à cópia de segurança.
 

Art. 18º     A ferramenta de replicação e restauração de cópias de segurança deverá ser capaz de gerar logs dos processos de execução ou de restauração de dados para permitir a análise do resultado das operações e que sejam tomadas providências no caso da ocorrência de falhas.

CAPÍTULO VIII

ARMAZENAMENTO E DESCARTE DE MÍDIAS REMOVÍVEIS

Art. 19º     O armazenamento físico das mídias removíveis (fitas) utilizadas para realização de cópias de segurança deverá obedecer aos procedimentos abaixo:

deverão ser guardadas em local seguro, com acesso restrito somente as pessoas autorizadas pela DTIC/MJSP;

o local de armazenamento das mídias deve permitir o acesso rápido para facilitar a sua identificação e restauração;

deverá haver identificação suficiente nas mídias para permitir a sua vinculação inequívoca com os ativos de dados replicados e a rotina (ciclo) de replicação executada; e

nos casos em que houver duas cópias do mesmo conteúdo em mídias distintas, ao menos uma das mídias deverá ser armazenada em localidade remota (offsite), com os mesmos requisitos de proteção.

Art. 20º     No caso de substituição da tecnologia atual de fitas removíveis utilizada no armazenamento dos dados de cópias de segurança, o conteúdo das mídias da antiga tecnologia devem ser transferidas em sua totalidade para as mídias da nova tecnologia.

Art. 21º     O descarte das mídias utilizadas para armazenamento dos backups deve seguir protocolos de segurança estabelecidos no âmbito da DTIC/MJSP por regramento próprio.

CAPÍTULO IX

DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS

Art. 22º     Qualquer incidente de segurança da informação relacionado aos procedimentos de replicação e restauração de dados deverá ser comunicado imediatamente à ETIR – Equipe de Tratamento de Incidentes de Segurança – para as providências necessárias.

Art. 23º     Dúvidas, casos omissos, ou situações excepcionais em relação a esta norma serão dirimidos pela Diretoria de Tecnologia da Informação e Comunicação.

Este texto não substitui o original publicado nos veículos oficiais (Diário Oficial da União - DOU e Boletim de Serviço - BS).