PORTARIA Nº 161, DE 12 DE JULHO DE 2018.

O DESEMBARGADOR CARLOS EDUARDO CAUDURO PADIN, PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DE SÃO PAULO, no uso das atribuições que lhe confere a Lei,

CONSIDERANDO que as informações na Justiça Eleitoral de São Paulo são armazenadas em diferentes formas, veiculadas em diferentes meios físicos e eletrônicos, portanto vulneráveis a incidentes como desastres naturais, acessos não autorizados, mau uso, falhas de equipamentos, extravio e furto;

CONSIDERANDO a necessidade de estabelecer diretrizes para o processo de cópias de segurança, armazenamento e recuperação dos dados, visando garantir a segurança, integridade e disponibilidade das informações;

CONSIDERANDO a Resolução nº 211/2015 do Conselho Nacional de Justiça, que dispõe sobre os requisitos de nivelamento de tecnologia da informação no âmbito do Poder Judiciário,

RESOLVE:

Art. 1º  Instituir a Política de Cópia de Segurança, Armazenamento e Restauração das informações eletrônicas no âmbito do Tribunal Regional Eleitoral de São Paulo, com o objetivo de estabelecer diretrizes para o processo de cópia de segurança, armazenamento e recuperação dos dados, visando garantir a segurança, integridade e disponibilidade de modo alinhado às normas da Política de Segurança da Informação.

Art. 2º  Para o disposto neste ato aplicam-se as seguintes definições:

I - Administrador de Backup: usuários que exercem função de administração dos backups dos recursos de tecnologia da informação do Tribunal Regional Eleitoral de São Paulo;

II - Administrador de Recurso: unidades do Tribunal Regional Eleitoral de São Paulo responsáveis pelos recursos computacionais utilizados para disponibilização de serviços corporativos no Tribunal Regional Eleitoral de São Paulo;

III - Backup: o mesmo que Cópia de Segurança;

IV - Clientes de backup: todo equipamento servidor no qual é instalado o agente de backup;

V - Disaster recovery: estratégia de recuperação de dados motivada por sinistros de grave amplitude física ou lógica;

VI - Full: modalidade de backup na qual todos os diretórios e arquivos informados pelos administradores de recurso são copiados integralmente;

VII - Mídia de backup: meio físico no qual efetivamente armazenam-se os dados de um backup;

VIII - Portal Service Desk: sistema utilizado para registros de incidentes e/ou solicitações de serviços de Tecnologia da Informação e Comunicação;

IX - Retenção: período de tempo em que o conteúdo da mídia de backup deve ser preservado;

X – Solução de Tecnologia da Informação e Comunicação: composta por bens e/ou serviços de Tecnologia da Informação e Comunicação que se integram para o alcance dos resultados pretendidos com a contratação, de modo a atender à necessidade que a desencadeou.

Art. 3º  A Seção de Banco de Dados, da Secretaria de Tecnologia da Informação, realizará a administração dos backups, ficando responsável pela manutenção da Política de Cópia de Segurança, Armazenamento e Restauração e pelos procedimentos relativos aos serviços de cópia de segurança, armazenamento e restauração.

Art. 4º  São atribuições do Administrador de Backup:

I - Definir, documentar e manter os procedimentos operacionais para os serviços de cópia de segurança e restauração, incluindo:

a) Configurar a ferramenta de backup e os clientes de backup;

b) Elaborar e manter scripts avançados para realização de cópias de segurança;

c) Definir o agendamento das rotinas de backup e acompanhar sua execução;

d) Restaurar as cópias de segurança em caso de necessidade ou a pedido dos Administradores de Recursos.

II - Criar e manter as cópias de segurança, conforme prazos de retenção estabelecidos pelos Administradores de Recursos;

a) Criar cópias de segurança diferenciadas a pedido dos Administradores de Recursos.

III - Armazenar as mídias de backup em local seguro.

a) De acordo com a criticidade, devem ser providas 02 (duas) cópias de segurança, sendo uma armazenada em local externo;

b) O transporte das mídias para local externo deve ser acompanhado por pessoa designada pela Secretaria de Tecnologia da Informação.

i) O transporte das mídias deve ser autorizado pela Secretaria de Tecnologia da Informação e registrado pelo Administrador de Backup;

ii) O envio ao local externo de armazenagem da segunda cópia das mídias deve ser realizado em até 5 (cinco) dias úteis após sua geração, devendo ser acondicionada em embalagem lacrada sem identificação do seu conteúdo.

IV - Manter registro atualizado e versionado das solicitações de backup e restauração encaminhado pelos Administradores de Recursos;

V - Revisar trimestralmente as configurações das rotinas de cópia de segurança;

VI - Testar periodicamente a restauração das informações contidas nas mídias de backup, com o intuito de verificar a integridade dos dados gravados;

VII – Prever e manter quantidade suficiente de mídias para backup para atender a demanda do Tribunal Regional Eleitoral de São Paulo, acompanhando a tendência da volumetria das cópias de segurança;

VIII - Monitorar o processo de cópia de segurança;

IX - Zelar e manter em pleno funcionamento os dispositivos de backup;

X - Comunicar aos Administradores de Recursos os erros e ocorrências que impeçam a realização dos procedimentos relativos aos serviços de cópia de segurança e restauração;

XI - Informar mensalmente a volumetria das cópias de segurança;

XII - Propor modificações visando o aperfeiçoamento da Política de Cópia de Segurança, Armazenamento e Restauração.

Art. 5º  Os Administradores de Recursos serão responsáveis por solicitar cópias de segurança das informações sobre sua responsabilidade, conforme inciso VII do Art. 6º desta Portaria.

Art. 6º  São atribuições dos Administradores de Recursos:

I - Definir as informações que deverão ser incluídas nas rotinas de cópia de segurança, incluindo:

a) Os diretórios e os arquivos que serão copiados;

b) A prioridade das informações que serão copiadas;

c) A periodicidade para a realização dos procedimentos de cópia de segurança;

d) O tipo de cópia de segurança a ser realizado;

e) A necessidade de execução de scripts básicos, fornecendo-os;

f) O prazo de retenção para as informações;

g) A periodicidade da restauração das informações.

II - Garantir que somente as informações relevantes sejam incluídas nas rotinas de cópia de segurança;

III - Seguir recomendações sugeridas pelo desenvolvedor e/ou fabricante, quando houver;

IV - Verificar os erros e as ocorrências reportados pelo Administrador de Backup que impeçam a realização dos procedimentos relativos aos serviços de cópia de segurança e restauração;

V - Acompanhar a volumetria das cópias de segurança para as informações incluídas nas rotinas de backup;

VI - Solicitar exclusão de informações que não necessitem ser mantidas nas rotinas de cópia de segurança;

VII - Encaminhar ao Administrador de Backup, obrigatoriamente via Portal Service Desk, o documento de solicitação de backup, conforme modelo disponível na intranet do TRE-SP, no Portal de Governança de TIC;

VIII - Encaminhar ao Administrador de Backup, preferencialmente via Portal Service Desk, solicitação de recuperação de informações;

IX - Testar periodicamente a restauração das informações contidas nas mídias de backup, com o intuito de verificar a integridade dos dados gravados;

X - Solicitar cópias de segurança diferenciadas, destinadas a um fim específico, ou seja, as realizadas fora da rotina normal.

Art. 7º  A retenção das cópias de segurança deve observar os seguintes prazos: 

I - Diário: sete últimos dias;

II - Semanal: quatro últimas semanas;

III - Mensal: doze últimos meses;

IV - Anual: dois últimos anos;

V – Personalizado: de acordo com dispositivo legal, quando houver, ou por orientação do fornecedor da solução de Tecnologia da Informação e Comunicação.

§ 1º  As cópias de segurança deverão ser apagadas das mídias de backup após expiração do prazo de retenção, ficando a mídia de backup liberada para reutilização de novas cópias ou descarte, se for o caso.

§ 2º  As condições de armazenamento das mídias de backup, tais como temperatura e umidade, devem ser mantidas de acordo com as recomendações dos fabricantes.

Art. 8º  O prazo de retenção das cópias de segurança dos registros de log deverá acompanhar as definições das normas da Política de Segurança da Informação.

Art. 9º  As cópias de segurança mensais e anuais deverão ser testadas no prazo máximo de uma semana após a sua execução.

Parágrafo único.  Caso seja detectada falha na cópia de segurança, ou se a mesma estiver incompleta, o procedimento de cópia de segurança deverá ser realizado novamente, com urgência.

Art. 10.  As cópias de segurança realizadas em mídias de backup, visando utilização para Disaster Recovery, devem sempre ser providas de 02 (duas) cópias de segurança.

Art. 11.  Quaisquer procedimentos programados nos equipamentos servidores que impliquem riscos de falha de funcionamento, somente deverão ser executados após a realização do backup de suas informações.

Art. 12.  O descarte das mídias de backup inservíveis, inutilizáveis ou obsoletas deverá observar às seguintes orientações:

I - A troca das mídias utilizadas para realização de backup deve respeitar os critérios definidos pelo fabricante e pela Secretaria de Tecnologia da Informação;

a) Nos casos de substituição da solução de backup (hardware e software), as informações contidas nas mídias da antiga solução devem ser transferidas em sua totalidade para as mídias compatíveis com a nova solução;

b) A solução de backup obsoleta somente poderá ser desativada após a confirmação de que todas as informações do Tribunal Regional Eleitoral de São Paulo foram transferidas para a nova solução implementada.

II - O descarte das mídias utilizadas para cópia de segurança das informações do Tribunal Regional Eleitoral de São Paulo deve respeitar a temporalidade, a política, as normas, os procedimentos de segurança internos e a classificação das informações;

III - O descarte das mídias deve ser realizado de forma a impossibilitar sua recuperação total ou parcial;

IV - A coleta e o encaminhamento das mídias para o descarte devem ser previamente autorizados pela Secretaria de Tecnologia da Informação;

a) Sempre que possível, o processo de descarte das mídias deve ser realizado por empresa especializada que utilize procedimentos seguros, tais como incineração, trituração ou desmagnetização;

b) O transporte das mídias para descarte deve ser acompanhado por pessoa designada pela Secretaria de Tecnologia da Informação.

Art. 13.  Para a realização do processo de cópia de segurança, deverão ser observadas as seguintes orientações:

I - O processo de cópia de segurança deverá ser programado para execução automática em horários de menor ou nenhuma utilização dos sistemas e da rede;

II - As mídias utilizadas no processo de cópia de segurança das informações, armazenadas nos recursos de tecnologia da informação do Tribunal Regional Eleitoral de São Paulo devem possuir identificação única e permitir, através de próprio sistema ou de documentação, a extração das seguintes informações:

a) Tipo do backup realizado;

b) Número da mídia e quantidade de mídias utilizadas na realização do backup;

c) Periodicidade do backup (diário, semanal ou mensal);

d) Descrição do conteúdo;

e) Data de realização do backup;

f) Tempo de retenção.

III - As mídias utilizadas na realização de backups diferenciados, solicitados para um fim específico, ou seja, os realizados fora da rotina normal da Secretaria de Tecnologia da Informação devem conter identificação diferenciada das demais mídias, acrescentando a área solicitante, além das informações descritas no item anterior;

IV - As informações do Tribunal Regional Eleitoral de São Paulo contidas nas mídias de backup devem conter mecanismos de segurança de forma a preservar sua integridade física e lógica;

V - O Administrador de Backup deve manter as mídias de backup armazenadas de forma a permitir sua rápida localização e recuperação;

VI - O processo de cópia de segurança deverá ser monitorado pelo Administrador de Backup;

VII - Após execução do processo de cópia de segurança, deverá ser fornecido:

a) Extrato confirmando a execução do processo, em caso de sucesso. O extrato deverá ser mantido na Seção de Banco de Dados;

b) Relatório de acompanhamento de backup, em caso de falha, no qual deverá constar a data, os horários de início e término, os objetos e os clientes de backup, a causa da falha, a ação corretiva adotada e qual parte do backup ficou comprometida. O relatório deverá ser encaminhado aos Administradores de Recursos e uma cópia deverá ser mantida na Seção de Banco de Dados.

VIII - O processo de backup deverá ser realizado diariamente, em dispositivos para armazenamento de dados disponibilizados pela Secretaria de Tecnologia da Informação do Tribunal Regional Eleitoral de São Paulo, considerando que:

a) A cópia semanal ocorrerá na sexta-feira, referindo-se à semana que se encerra;

b) A cópia mensal ocorrerá na primeira sexta-feira de cada mês, referindo-se ao mês anterior;

c) A cópia anual ocorrerá na primeira sexta-feira do mês de janeiro, referindo-se ao ano anterior;

d) Os backups semanais, mensais e anuais devem ser realizados na modalidade full, de forma a poder recuperar integralmente todas as informações sem a necessidade de outros backups.

Art. 14.  Para a restauração da cópia de segurança, deverão ser observadas as seguintes orientações:

I - A restauração contida na mídia de backup deve ser feita somente nas seguintes situações:

a) Para verificação da integridade dos backups (testes);

b) Para recompor o funcionamento e/ou integridade do servidor de rede afetado;

c) Para restauração de informações, em que será obrigatória a solicitação formal dos Administradores de Recursos responsáveis pelas informações, preferencialmente através do Portal Service Desk, constando:

i. Os diretórios e arquivos que deverão ser restaurados, com o maior detalhamento possível;

ii. A data da cópia de segurança a ser restaurada;

iii. O local onde as informações deverão ser restauradas.

II - Deverá ser mantido registro no Portal Service Desk de todas as informações restauradas, juntamente com as informações relativas ao solicitante, com data e hora da solicitação, além de nome e caminho do arquivo restaurado e data da versão;

III - Somente será possível restaurar as informações que passaram pelo processo de cópia de segurança.

Art. 15.  Em caso de falha crítica que impeça a realização do procedimento de cópia de segurança, ou restauração, o Administrador de Backup deverá:

I - Informar aos Administradores de Recursos, no sentido de salvaguardar as informações através de outros mecanismos, visando a integridade e segurança das informações;

II - Informar à Coordenadoria de Infraestrutura e Desenvolvimento e à Secretaria de Tecnologia da Informação o problema ocorrido e previsão de retorno;

III - Providenciar os ajustes necessários para o rápido restabelecimento dos serviços de cópia de segurança e restauração.

Art. 16.  A implantação de novos serviços e sistemas deverá vir acompanhado de orientações detalhadas para realização da cópia de segurança, com prazos de retenção, e para restauração.

Art. 17.  Esta Política de Cópia de Segurança, Armazenamento e Restauração e demais normas, procedimentos, planos e/ou processos deverão ser publicados na Intranet do Tribunal Regional Eleitoral de São Paulo.

Art. 18.  O descumprimento desta Política de Cópia de Segurança, Armazenamento e Restauração será objeto de apuração e poderá acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.

Art. 19.  Os casos omissos desta Política de Segurança da Informação serão resolvidos pela Presidência deste Tribunal Regional Eleitoral de São Paulo.

Art. 20.  Esta portaria entra em vigor na data de sua publicação.

Secretaria do Tribunal Regional Eleitoral de São Paulo, em julho de 2018.

CARLOS EDUARDO CAUDURO PADIN

PRESIDENTE