Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOU 12/01/2024 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024011200011
11
Nº 9, sexta-feira, 12 de janeiro de 2024
ISSN 1677-7042
Seção 1
5.1.4. As rotinas de backup devem utilizar soluções próprias e especializadas para este fim, preferencialmente de forma automatizada.
5.1.5. As rotinas de backup devem possuir requisitos mínimos diferenciados de acordo com o tipo de serviço de TI ou dado salvaguardado, dando prioridade aos serviços
de TI críticos da organização.
5.1.6. O armazenamento do backup, deve ser realizado em local distinto da infraestrutura crítica e da sede do órgão, para armazenamento extra das principais cópias
de segurança, tendo como exemplo os dados de serviços críticos.
5.1.7. A infraestrutura da rede de backup deve ser apartada, de forma lógica e física, dos sistemas críticos da organização.
5.1.8. Dever ser mantida a reserva de recursos (físicos e lógicos) de infraestrutura, para realização de teste e restauração de backup.
5.1.9. Em situações em que a confidencialidade seja importante, convém proteger as cópias de segurança por meio de uso de mecanismos de criptografia.
5.2. Da frequência, retenção e testes de recuperação
5.2.1. A Tabela 3 apresenta a classificação dos sistemas, dados, arquivos e serviços, chamados de objetos de backup e abrangidos pela política de backup, sendo do menor
para o maior, cuja classificação 0 (zero) possui a maior prioridade e a 4 (quatro) com a menor prioridade.
.
Classificação
Prioridade
RPO
Retenção em Stage
Retenção em Fita
Teste de Restore
.
0
Crítico
1h
1 ano
5 anos
1 mês
.
1
Alto
12h
3 meses
1 ano
3 meses
.
2
Médio
24h
1 mês
1 ano
6 meses
.
3
Baixo
120h
1 mês
1 ano
6 meses
.
4
Legado
N/A
N/A
1 ano
N/A
(Tabela 3)
5.2.2. Classificação 0 - Crítico
a) Objetos de backup com prioridade crítica cuja indisponibilidade podem causar prejuízos para todo o Ministério;
b) Deverão ser realizados testes de recuperação (restore) para 100% dos objetos de backup com prioridade crítica; e
c) A classificação de objetos de backup com nível (0 - Crítico) deverá ser aprovada pelo Comitê de Governança Digital - CGD (ou equivalente).
5.2.3. Classificação 1 - Alto
a) Objetos de backup com prioridade alta cuja indisponibilidade podem causar prejuízos para parte do Ministério;
b) Deverão ser realizados testes de recuperação (restore) para 50% dos objetos de backup com prioridade alta; e
c) A classificação de objetos de backup com nível (1 - Alto) deverá ser aprovada pelo Diretor da Departamento de Tecnologia da Informação e Comunicação.
5.2.4. Classificação 2 - Médio
a) Objetos de backup com prioridade média cuja indisponibilidade podem causar prejuízos para parte do Ministério;
b) Deverão ser realizados testes de recuperação (restore) para 25% dos objetos de backup com prioridade média; e
c) A classificação de objetos de backup com nível (2 - Médio) deverá ser aprovada pelo Diretor do Departamento de Tecnologia da Informação e Comunicação.
5.2.5. Classificação 3 - Baixo
a) Objetos de backup com prioridade baixa cuja indisponibilidade podem causar pouco ou nenhum prejuízo para o Ministério;
b) Deverão ser realizados testes de recuperação (restore) para 10% dos objetos de backup com prioridade média; e
c) A classificação de objetos de backup com nível (3 - Baixo) deverá ser solicitada pelo gestor do objeto de backup, sendo essa a classificação padrão caso não seja
solicitado.
5.2.6. Classificação 4 - Legado
a) Objetos de backup com prioridade legada cuja indisponibilidade não causam prejuízo para o Ministério;
b) Não serão feitos testes de recuperação (restore); e
c) Deverão ser solicitados pelo gestor do objeto de backup.
5.2.7. A solicitação de salvaguarda dos dados referentes aos objetos de backup, deve ser realizada pelo custodiante técnico do serviço ou do sistema de informação,
com a anuência prévia e formal da Coordenação-Geral de Infraestrutura e Serviços (CGINF) e aprovada pela autoridade competente, refletindo os requisitos de negócio da
organização, bem como os requisitos de segurança da informação e proteção de dados envolvidos e a criticidade da informação para a continuidade da operação da
organização.
5.2.8. Os responsáveis pelos dados, devem ter ciência do tempo de retenção estabelecido para cada tipo de informação e os administradores de backup deverão zelar
pelo cumprimento das diretrizes estabelecidas.
5.3. Da modalidade de backup
a) Completo (full);
b) Incremental;
c) Diferencial;
d) Sintético; e
e) Forever.
5.4. Do Uso da Rede de Dados
5.4.1. O administrador de backup deve considerar o impacto da execução das rotinas sobre o desempenho da rede de dados do Ministério da Defesa, garantindo que
o tráfego necessário às suas atividades não ocasione indisponibilidade dos demais serviços de TI.
5.4.2. A execução das rotinas de backup deve se concentrar, preferencialmente, no período da janela de tempo previamente definido, minimizando o impacto no
desempenho da rede de comunicação da administração central do Ministério da Defesa ou, ainda, evitar uma possível indisponibilidade de algum ativo necessário para execução
de backup específico.
5.4.3. O período da janela de tempo para executar as rotinas deve ser determinado pelo administrador de backup, conforme acordo estabelecido com área técnica
responsável pela administração da rede de dados.
5.5. Do transporte e armazenamento
5.5.1. As unidades de armazenamento utilizadas na salvaguarda dos dados digitais devem considerar as seguintes características dos dados resguardados:
a) A criticidade do dado salvaguardado;
b) O tempo de retenção do dado;
c) A probabilidade de necessidade de restauração;
d) O tempo esperado para restauração;
e) O custo de aquisição da unidade de armazenamento de backup; e
f) A vida útil da unidade de armazenamento de backup.
5.5.2. O administrador de backup deve identificar a viabilidade de utilização de diferentes tecnologias na realização das cópias de segurança, propondo a melhor solução
para cada caso.
5.5.3. Poderão ser utilizadas técnicas de compressão de dados, contanto que o acréscimo no tempo de restauração dos dados seja considerado aceitável pelos gestores
das informações.
5.5.4. A execução das rotinas de backup deve envolver a previsão de ampliação da capacidade dos dispositivos envolvidos no armazenamento.
5.5.5. As unidades de armazenamento e demais hardwares (servidor de backup, robô de backup, discos, etc.) do Sistema de Backup estão acondicionadas no Centro de
Processamento de Dados (CPD) do Departamento de Tecnologia da Informação e Comunicação, com controle de fatores ambientais sensíveis como umidade, temperatura, poeira
e pressão, e com acesso restrito às pessoas autorizadas pela Coordenação-Geral de Infraestrutura e Serviços.
5.5.6. Em casos de necessidade de descarte de unidades de armazenamento de backups, tais mídias devem ser fisicamente destruídas de forma a inutilizá-las, atentando-
se à legislação vigente quanto ao descarte sustentável e ambientalmente correto.
5.5.7. As mídias de backup serão transportadas e armazenadas conforme descrito a seguir:
a) A mídia magnética (cartucho) deverá ser claramente identificada e armazenada em uma área segura, acessível apenas para a equipe de administração e operação do
sistema de backup e pessoa(s) autorizada(s);
b) A mídia não deverá ser desguarnecida de supervisão durante o transporte; e
c) As mídias magnéticas armazenadas em local seguro, em área externa ao Departamento de Tecnologia da Informação e Comunicação, poderão ser transportadas para
o CPD do Departamento após o término do prazo de retenção para reuso ou descarte, ou para restauração dos dados salvaguardados.
5.6. Dos testes de restauração (restore)
5.6.1. Os arquivos de backup serão verificados periodicamente.
5.6.2. Diariamente os logs de backup serão revisados em busca de erros, durações anormais e em busca de oportunidades para melhorar o desempenho do backup.
5.6.3. Ações corretivas serão tomadas quando os problemas de backup forem identificados, a fim de reduzir os riscos associados às possíveis falhas.
5.6.4. A equipe de administração de backup manterá os registros de backups e testes de restauração para demonstrar conformidade com esta política.
5.6.5. Os testes devem ser realizados em ambientes distintos, abrangendo ambientes de virtualização e sub-redes, para correta execução do backup.
5.6.6. Os serviços críticos deverão ser testados integralmente. Os testes de restauração para os serviços não críticos devem ser realizados por amostragem, a fim de
verificar o funcionamento, segurança e eficiência do sistema.
5.6.7. Os acordos de serviço de backup formalizados devem estar em conformidade, tais como RPO e tempo de retenção.
5.6.8. Os registros dos testes deverão conter, no mínimo, o tipo de sistema e ou serviço que teve o seu reestabelecimento testado, a data da realização do teste, o
tempo gasto para o retorno do backup e se o procedimento foi concluído com sucesso.
5.7. Dos procedimentos para inclusão de objetos de backup na política
5.7.1. O formulário para inclusão dos objetos de backup está presente no ANEXO II.
5.7.2. O atendimento de solicitações de inclusão de objetos de backup no Departamento de Tecnologia da Informação e Comunicação deve ser realizado conforme
abaixo:
5.7.2.1. O responsável pelo ativo ou o gestor técnico pode solicitar a inclusão no sistema de backup. Esta solicitação deve ser feita utilizando o Sistema de Registros
de Chamados do Departamento de Tecnologia da Informação e Comunicação ou e-mail.
5.7.2.2. O documento deverá conter as seguintes informações:
a) Dados do responsável (nome completo, ramal, e -mail, setor e vínculo); e
b) Dados do sistema (IP, nome descrição, severidade e justificativa).
5.8. Dos procedimentos para restauração de objetos de backup na política
5.8.1. O atendimento das solicitações de restauração de objetos de backup deverá obedecer às seguintes orientações:
a) A solicitação de restauração de objetos deverá sempre partir do responsável pelo recurso, através de chamado utilizando o Sistema de Registros de Chamados;
b) A restauração de objetos somente será possível nos casos em que este tenha sido atingido pela estratégia de backup definida na política; e
c) O operador de backup terá a prerrogativa de negar a restauração de dados cujo conteúdo não seja condizente com a atividade institucional, cabendo recurso da
negativa ao gestor da unidade do demandante.
5.9. Do cronograma para restauração dos objetos de backup na política
5.9.1. O tempo de restauração, preferencialmente definido em Acordo de Nível de Serviço (SLA) entre as áreas de negócio e o Departamento de Tecnologia da Informação
e Comunicação, é proporcional ao volume de dados necessários para a restauração.
5.9.2. A restauração de backup é realizada pela equipe de administração de backup da Coordenação de Banco de Dados.
5.10. Dos procedimentos para alteração da severidade dos objetos de backup na política
5.10.1. O formulário para alteração da severidade dos objetos de backup está presente no ANEXO II.
5.10.2. O atendimento de solicitações deve ser realizado conforme abaixo:

Fechar