RESOLUÇÃO NORMATIVA Nº 01/2021-CGRC, de 02 de junho de 2021.
Institui a Política de Backup da Universidade Federal do Rio Grande do Norte - UFRN.
O COMITÊ DE GOVERNANÇA, RISCOS E CONTROLE DA UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE, usando das competências previstas no artigo 23, §2º, incisos II, VII e XII, da Instrução Normativa Conjunta MP/CGU nº 01/2016, que dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo federal,
CONSIDERANDO o Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação e dispõe sobre a governança da segurança da informação;
CONSIDERANDO o Decreto nº 10.332, de 28 de abril de 2020, que institui a estratégia de Governo Digital para o período de 2020 a 2022, no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional;
CONSIDERANDO as recomendações sobre cópias de segurança feitas na norma ABNT NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação (ABNT, 2013);
CONSIDERANDO a Resolução nº 070/2017-CONSAD, de 07 de dezembro de 2017, que institui a Política de Segurança da Informação e Comunicação – POSIC, da Universidade Federal do Rio Grande do Norte – UFRN, publicada no Boletim de Serviço nº 231/2017, de 11 de dezembro de 2017; e
CONSIDERANDO o inciso XIV do art. 10, da Resolução 016/2017 o qual assinala que compete ao Comitê de Governança, Riscos e Controles aprovar propostas de políticas e diretrizes elaboradas pelo Comitê Gestor de Tecnologia da Informação (CGTI) e pelo Comitê Permanente de Segurança da Informação (CPSI);
RESOLVE:
Art. 1o Instituir a Política de Backup da Universidade Federal do Rio Grande do Norte – UFRN.
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Seção I
Dos objetivos
Art. 2º Esta política de backup tem por objetivo estabelecer diretrizes para o processo de cópia e armazenamento de dados nos Data Centers da UFRN, visando garantir a sua integridade e disponibilidade, bem como evitar que informações sejam permanentemente perdidas em caso de algum incidente físico, lógico ou ambiental.
Parágrafo único. O mero procedimento de backup não pode ser confundido ou utilizado como uma estratégia de temporalidade – guarda ou preservação de longo prazo – mas para a recuperação de desastres, perda de dados originados por apagamentos acidentais ou corrupção de dados.
Seção II
Dos conceitos
Art. 3º Para o disposto nesta Resolução, considera-se:
I - administrador de backup: servidor responsável pelos procedimentos de configuração, execução, monitoramento e testes dos procedimentos de backup e restore;
II - ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistemas, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas;
III - ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;
IV - backup: cópia de dados de um dispositivo de armazenamento a outro para que possam ser restaurados em caso da perda dos dados originais;
V - backup full ou completo: modalidade de backup na qual todos os dados são copiados;
VI - backup incremental: modalidade de backup na qual somente os arquivos modificados desde o último backup são copiados;
VII - gestor de ativo de informação: proprietário ou custodiante de ativo de informação;
VIII - log: histórico de avisos, erros e mensagens de aplicativos e sistemas;
IX - mídia: meio físico no qual efetivamente se armazena o backup;
X - restore: recuperação dos arquivos existentes em um backup;
XI - retenção: período de tempo em que o conteúdo da mídia de backup deve ser preservado; e
X - sistemas críticos: sistemas, incluindo seus dados, cuja indisponibilidade afetem a execução das principais atividades acadêmicas e administrativas da UFRN, como por exemplo, os sistemas SIG-UFRN.
Seção III
Das responsabilidades
Art. 4º As unidades responsáveis pelos Data Centers ficam encarregadas de indicar os administradores de backup, servidores responsáveis pela administração dos procedimentos relativos aos serviços de backup e restore.
Art. 5º São atribuições dos administradores de backup:
I - propor modificações visando o aperfeiçoamento da política de backup;
II - criar e manter os backups;
III - configurar a ferramenta de backup, com no mínimo, periodicidade, conteúdo e relatórios;
IV - preservar as mídias de backup;
V - testar os procedimentos de backup e restore;
VI - executar procedimentos de restore;
VII - gerenciar mensagens e logs diários dos backups, através dos relatórios, fazendo o tratamento dos erros de forma que o procedimento de backup tenha sequência e os erros na sua execução sejam eliminados;
VIII - realizar manutenções periódicas dos dispositivos de backup;
IX - comunicar o gestor sobre os erros e ocorrências nos backups dos ativos de informação e de software sob sua responsabilidade;
X - documentar os procedimentos dos incisos II a IX deste artigo; e
XI - registrar a execução dos procedimentos elencados neste artigo, visando a manutenção de histórico de ocorrências.
CAPÍTULO II
DOS PROCEDIMENTOS DE BACKUP
Art. 6º Todo e qualquer ativo de informação ou de software deverá ter sua inclusão nos procedimentos de backup avaliada.
§ 1º O gestor de cada ativo de informação, em conjunto com os administradores de backup, deverá definir e registrar formalmente, através de documento ou sistema, o que será incluído no backup, bem como a periodicidade e o período de retenção.
§ 2º A disponibilização do serviço de backup para um dado ativo, e em quais termos, fica condicionada tanto a necessidade da preservação do ativo quanto a disponibilidade de recursos na infraestrutura para atender a demanda.
§ 3º A oferta do serviço de backup deve ser garantida para os serviços críticos da instituição.
§ 4º Os procedimentos de backup devem ser atualizados sempre que necessário.
Art. 7º A periodicidade e a retenção dos backups deverão observar os seguintes prazos:
I - periodicidade diária - retenção: sete últimos dias;
II - periodicidade semanal - retenção: quatro últimas semanas;
III - periodicidade mensal - retenção: doze últimos meses; e
IV - periodicidade anual: cinco últimos anos;
§ 1º Em casos especiais, o gestor do ativo de informação poderá definir, em conjunto com os administradores de backup, prazos diferenciados para retenção dos backups.
§ 2º Expirado o prazo de retenção dos dados armazenados, a mídia poderá ser reutilizada.
Art. 8º A criação e operação de backups deverão obedecer às seguintes diretrizes:
I - o backup deverá ser programado para execução automática em horários de menor ou nenhuma utilização dos sistemas e da rede;
II - os administradores de backups deverão certificar-se da conclusão bem sucedida dos backups, analisando, se for o caso, os arquivos de log, para garantir o resultado da operação;
III - em caso de problemas na operação de backups, as causas deverão ser analisadas, reparadas e, quando necessário, um novo backup deverá ser imediatamente realizado;
IV – as mídias utilizadas no processo de realização do backup deverão possuir identificação suficiente para permitir, direta ou indiretamente, a localização e extração das informações nelas armazenadas;
V - os backups deverão ser armazenados em pelo menos duas cópias, em mídias diferentes;
VI - os backups dos sistemas críticos, deverão ter cópias mantidas em locais fisicamente distintos, bem como deverá ser mantida uma cópia offline, em dispositivo de proteção de mídia.
VII - quando as cópias de segurança forem armazenadas em mais de um local físico, a distância entre os dois locais deve ser suficiente para escapar dos danos decorrentes de desastre ocorrido em um deles;
VIII - nas situações em que a confidencialidade é importante, convém que cópias de segurança sejam protegidas através de encriptação; e
IX - as cópias de segurança deverão ser armazenadas em um local diferente do servidor físico onde são utilizadas em produção.
Art. 9º O backup deverá ser realizado com base nas seguintes disposições:
I - os backups quinzenais, mensais e anuais deverão ser realizados, preferencialmente, na modalidade full, de forma a poderem recuperar integralmente todas as informações sem a necessidade de outros backups;
II - o backup semanal ocorrerá, preferencialmente, aos sábados, referindo-se à semana que se encerra;
III - o backup mensal ocorrerá, preferencialmente, no primeiro dia de cada mês, referindo-se ao mês anterior;
IV - o backup diário ocorrerá, preferencialmente, fora do horário de expediente, na modalidade full+incremental de forma a poder reverter os dados recentes de forma mais rápida;
V - em caso de falha em algum procedimento de backup ou impossibilidade da sua execução, os administradores de backup deverão adotar as providências no sentido de salvaguardar as informações através de outro mecanismo, como por exemplo, cópia dos dados para outro servidor ou execução do backup em horário de produção; e
VI - as bases de dados dos sistemas críticos deverão ser realizadas pelo menos uma vez ao dia, na modalidade incremental, para reduzir a perda de transações.
CAPÍTULO III
DOS PROCEDIMENTS DE RESTORE
Art. 10. O procedimento de restore deverá obedecer ao seguinte processo:
I - o gestor do ativo de informação que precise recuperar informações deverá solicitar formalmente, por meio definido pela unidade responsável pelo Data Center onde o ativo se encontra, justificando o motivo da solicitação; e
II - a solicitação prevista no inciso anterior será encaminhada aos administradores de backup para que realizem a recuperação e comuniquem o resultado do procedimento.
Parágrafo único. É vedado o restore diretamente nos ambientes de produção, exceto em situações de recuperação de desastre ou plano de contingência.
CAPÍTULO IV
DOS TESTES DE BACKUP E RESTORE
Art. 11. Os procedimentos de backup e restore deverão ser testados sempre que necessário.
Art. 12. Os backups mensais e anuais deverão ser testados no prazo máximo de uma semana após a sua execução e, caso seja detectada falha no backup, ou se este estiver incompleto, novo backup deverá ser executado com vistas ao seu armazenamento.
Art. 13. Os backups mensais e anuais deverão ser testados regularmente a fim de verificar a integridade da mídia.
CAPÍTULO V
DO DESCARTE E SUBSTITUIÇÃO DAS MÍDIAS DE BACKUP
Art. 14. Os administradores de backup deverão respeitar os critérios definidos pelos fabricantes para assegurar a validade e a qualidade das mídias utilizadas na realização de backups.
Art. 15. No caso de substituição da solução utilizada nos backups, as informações contidas nas mídias da antiga solução deverão ser transferidas em sua totalidade para as mídias da nova solução.
Parágrafo Único. A solução antiga somente poderá ser completamente desativada após a confirmação, através de teste de restore, de que todas as informações foram transferidas para a nova solução implementada.
Art. 16. O descarte das mídias utilizadas para backup deve ser realizado de forma a impossibilitar a recuperação total ou parcial das informações.
CAPÍTULO VI
DAS DISPOSIÇÕES FINAIS
Art. 17. A revisão desta política de backup ocorrerá sempre que se fizer necessário ou conveniente para as unidades responsáveis pelos Data Centers, não excedendo o período máximo de 2 (dois) anos.
Art. 18. Revoga-se a Resolução 01/2020-CGRC, de 9 de novembro de 2020.
Art. 19. Esta Resolução entra em vigor em 2 de junho de 2021.
Reitoria, em Natal, 02 de junho de 2021.
JOSÉ DANIEL DINIZ MELO
Presidente