Portaria 1/2021 

MINISTÉRIO DA INFRAESTRUTURA

AGÊNCIA NACIONAL DE TRANSPORTES TERRESTRES

SUPERINTENDÊNCIA DE TECNOLOGIA DA INFORMAÇÃO

PORTARIA Nº 1, DE 31 DE MARÇO DE 2021

O SUPERINTENDENTE DE TECNOLOGIA DA INFORMAÇÃO, considerando a Deliberação da 1ª Reunião Extraordinária do Comitê de Segurança da Informação e Comunicações (CSIC) da ANTT, realizada em 09 de março de 2021, e no que consta no processo nº 50500.018599/2021-16;

Considerando as obrigações estabelecidas no Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação;

Considerando as orientações para Gestão de Segurança da Informação e Comunicações, que deverão ser implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta, contidas na Instrução Normativa nº 01 do Gabinete de Segurança Institucional, de 21 de maio de 2020, e em suas Normas Complementares;

Considerando as recomendações constantes nas normas técnicas NBR ISO/IEC 27001:2006 - Sistema de Gestão de segurança da informação e NBR ISO/IEC 27002:2005 - Código de Práticas para a Gestão da Segurança da Informação;

Considerando a Deliberação nº 72/2019, que aprova a Metodologia de Avaliação e Tratamento de Riscos da Agência Nacional de Transportes Terrestres - ANTT;

Considerando a Portaria nº 1, de 31 de maio de 2019, que dispõe sobre a instituição da Metodologia de Gestão de Riscos de Segurança da Informação e Comunicações (MGRSIC); a Portaria nº 2, de 31 de maio de 2019, que dispõe sobre a instituição da Política de Classificação da Informação (PCINF); a Portaria nº 182, de 30 de maio de 2019, que institui o Comitê de Segurança da Informação e Comunicação (CSIC); e a Resolução nº 5854, de 10 de setembro de 2019, que institui a Política de Segurança da Informação e Comunicações (PoSIC) da Agência Nacional de Transportes Terrestres - ANTT, RESOLVE:

Art. 1º Instituir a Política de Cópia de Segurança (Backup) e Restauração de Dados (Restore) da Agência Nacional de Transportes Terrestres - ANTT, nos termos do anexo desta Portaria.

Parágrafo único. A presente Política se aplica no âmbito da Agência, alcançando todos os integrantes de seu Quadro Funcional e todos os recursos administrativos e tecnológicos relacionados, de modo permanente ou temporário, à ANTT.

Art. 2º Esta Portaria entra em vigor em 1º de maio de 2021.

ALEXANDRE MUÑOZ LOPES DE OLIVEIRA
Superintendente de Tecnologia da Informação

ANEXO I

POLÍTICA DE CÓPIA DE SEGURANÇA (BACKUP) E RESTAURAÇÃO DE DADOS (RESTORE) DA AGÊNCIA NACIONAL DE TRANSPORTES TERRESTRES - ANTT.

CAPÍTULO I

DAS DEFINIÇÕES

Art. 1º Para os fins desta Portaria, consideram-se:

1. Administrador de sistema: administradores de serviços ofertados ou hospedados pela ANTT (bancos de dados, sistemas operacionais, arquivos, ativos de redes etc) que podem requisitar a realização de backup ou a restauração de backup dos serviços por eles gerenciados em caso de incidentes ou desastres;

2. Administrador de backup: analistas técnicos da ANTT responsáveis e qualificados para as tarefas de configuração dos serviços de backup e também da restauração em casos de desastre ou solicitação dos responsáveis pelos dados ou administradores de sistemas;

3. Appliance de backup em disco: hardware especialmente desenvolvido para armazenar dados de backup em discos usualmente com deduplicação embutida;

4. Backup: cópia de dados de um dispositivo de armazenamento para outro para que possa ser restaurado em caso da perda dos dados originais;

5. Backup completo: todos os dados são copiados durante o procedimento do backup;

6. Backup incremental: somente os arquivos novos ou modificados desde a última execução do procedimento de backup são copiados;

7. Backup diferencial: backup em que os arquivos novos ou modificados da base de dados incremental são copiados;

8. Backup "off-site": localidade de armazenamento de backup diversa da origem dos dados;

9. Disaster recovery: estratégia de recuperação de dados motivada por sinistros de grave amplitude física ou lógica;

10. Downtime: tempo em que os dados ficam indisponíveis; X - IEC: International Electrotechnical Commission;

11. ISO: International Organization for Standardization;

12. Mídia: meio físico no qual efetivamente armazenam-se os dados de um backup;

13. NBR: normatização técnica brasileira elaborada pela Associação Brasileira de Normas Técnicas - ABNT;

14. PST: arquivo gerado pelo sistema de correio eletrônico para armazenamento de mensagens localmente na estação de trabalho do usuário;

15. Recovery: retorno de dados ou serviços ao estado original (anterior ao evento que origina a indisponibilidade de dados ou serviços);

16. Recovery Time Objective - RTO: tempo necessário para a restauração de cópias de segurança dos sistemas de informação;

17. Recovery Point Objective - RPO: quantidade de informação que poderá ser perdida no caso de uma situação de desastre;

18. Restauração: restauração de dados a partir de um backup funcional armazenado; e

19. Retenção: período de tempo em que o conteúdo da mídia de backup deve ser preservado;

CAPÍTULO II

DOS OBJETIVOS

Art. 2º Constituem objetivos desta Política:

1. estabelecer as diretrizes para a realização de cópia de segurança (Backup) e de restauração dos dados (Restore) corporativos ou que são custodiados pela ANTT, visando assegurar a segurança das informações, conforme as propriedades de confidencialidade, integridade e disponibilidade dos ativos de informação;

2. definir estratégias e orientações para a implementação de controles relativos a cópias de segurança e restauração de dados da rede computacional da ANTT; e

3. atribuir papéis e responsabilidades aos envolvidos nas ações de cópia e restauração de dados.

CAPÍTULO III

DA ESTRATÉGIA E DAS ORIENTAÇÕES

Art. 3º As ações de Tecnologia da Informação deverão alinhar-se à estratégia institucional e às melhores práticas, observada a seguinte estratégia geral de Backup e Restore:

1. o serviço de backup deverá ser orientado para a restauração das informações no menor tempo possível, principalmente nos casos de indisponibilidade de serviços que dependam da operação de Restore;

2. os recursos adequados para a geração dos backups precisam ser disponibilizados para assegurar que todos os dados e aplicações essenciais possam ser recuperados após um incidente/desastre;

3. o administrador de sistemas e o administrador de backup deverão estar sempre atualizados em relação às informações geradas pelo processo de backup e restauração;

Parágrafo único. A estratégia de que trata o caput basear-se-á em 3 (três) etapas:

1) catalogação dos servidores de dados (banco de dados / aplicações / serviços);

2) levantamento dos requisitos dos ambientes;

3) implementação do processo de Backup e Restore;

Art. 4º As ações de Tecnologia da Informação relativas ao Backup e Restore de dados deverão seguir as seguintes orientações:

1. a administração dos backups deverá ser orientada para que seus trabalhos respeitem as janelas de execução, inclusive prevendo a ampliação da capacidade dos dispositivos de armazenamento;

2. os dispositivos de armazenamento dos backups (appliance de backup em disco), dos sistemas classificados como críticos, deverão ser acondicionados em ambiente com estrutura obediente à norma ABNT NBR ISO/IEC 27002:2005, em localidade diversa da origem dos dados (backup "off- site");

3. a distância mínima desejável entre os ambientes de armazenamento dos dados e as cópias de segurança deverá ser suficiente para escapar dos danos de um desastre ocorrido no local principal;

4. as mídias defeituosas ou inservíveis serão encaminhadas para procedimentos de sobrescrita de dados remanescentes (disco rígido) ou outro procedimento que impossibilite a recuperação dos dados por terceiros;

5. Os backups deverão seguir políticas diferenciadas de acordo com o tipo de dado e o ambiente computacional, como disposto a seguir:

1) quanto ao período de realização do backup:

a) diário: deverá ser programado para execução no intervalo entre as 17:00h e as 08:00h do dia seguinte, de segunda a sexta;

b) semanal: deverá ser programado para execução no intervalo entre as 01:00h de sábado e as 23:59h do domingo;

c) mensal: deverá ser programado para execução no intervalo entre as 00h e as 23:59h do último domingo do mês.

2) quanto à aplicação e retenção do backup:

a) proveniente de sistemas de arquivos referentes à produção será diário, com retenção de sete dias; semanal, com retenção de três meses; e mensal, com retenção de um ano;

b) proveniente de sistema operacional referente à produção será diário, com retenção de sete dias; semanal, com retenção de três meses; e mensal, com retenção de um ano;

c) proveniente de bancos de dados referentes à produção será diário, com retenção de sete dias; semanal, com retenção de três meses; e mensal, com retenção de um ano;

d) proveniente de correio eletrônico referentes à produção será diário, com retenção de sete dias; semanal, com retenção de três meses; e mensal, com retenção de um ano.

6. os arquivos e documentos corporativos gerados pelos usuários e que necessitem integrar a rotina de backup deverão ser armazenados no servidor de arquivos, na pasta corporativa da área que ficará armazenada no servidor;

7. os administradores de sistemas em conjunto com os administradores de backup deverão realizar testes periódicos de restauração, no intuito de averiguar os processos de backup e estabelecer melhorias;

8. os arquivos armazenados nas estações de trabalho não integram o escopo do processo de backup e não estarão disponíveis para recuperação, em caso de perda temporária ou definitiva do arquivo;

9. o backup não englobará a cópia das caixas de mensagens eletrônicas armazenados em PST, em pastas do MS-Outlook (PST) na própria estação de trabalho, as quais não estarão disponíveis para recuperação, em caso de perda temporária ou definitiva do arquivo; e

10. as ações de Tecnologia de Informação que envolvam a geração de cópias de segurança e a restauração de dados deverão vincular-se às boas práticas derivadas da observância dos normativos internos e externos.

Parágrafo único: As estações de trabalho físicas da ANTT não serão contempladas na política de backup.

CAPÍTULO IV

DOS PAPÉIS E COMPETÊNCIAS

Art. 5º A execução da Política de Cópia de Segurança e Restauração de Dados da ANTT pautar-se-á na definição e distribuição de competência e responsabilidades entre as unidades organizacionais da Agência e será composto pelos seguintes agentes:

I. Comitê de Segurança da Informação e Comunicações (CSIC); e

II. Superintendência de Tecnologia da Informação (SUTEC).

Parágrafo único. Os processos de backup e Restore dos dados gerados ou sob a guarda da ANTT deverão envolver os gestores de soluções de Tecnologia da Informação e Comunicação - TIC.

Art. 6º O alinhamento da governança de TIC às estratégias e diretrizes relacionadas à cópia de segurança e restauração de dados da ANTT é de responsabilidade do Comitê de Segurança da Informação e Comunicações (CSIC) e operacionalizadas pela Superintendência de Tecnologia da Informação (SUTEC), que prestará todo o suporte necessário à tomada de decisão dos processos de backup e restauração objeto desta Portaria.

Art. 7º Compete ao Comitê de Segurança da Informação e Comunicações:

1. aprovar diretrizes referentes a ações e projetos de backup e Restore dos dados gerados ou sob a guarda da ANTT;

2. avaliar e decidir sobre questões de segurança vinculadas às cópias de segurança, respeitando o disposto na Política de Segurança da Informação e Comunicações - PoSIC; e

3. avaliar a aderência das ações do monitoramento com as diretrizes estabelecidas.

Art. 8º Compete à Superintendência de Tecnologia da Informação (SUTEC):

1. promover treinamentos e certificações necessárias para os servidores envolvidos nas atividades descritas nesta Política;

2. propor a alocação de recursos orçamentários destinados à gestão e prospecção de soluções debackup e Restore dos dados gerados ou sob a guarda da ANTT;

3. estabelecer, por meio de portaria, as regras para a gestão das cópias de segurança e restauração de dados;

4. prevenir contra divulgação não autorizada, modificação, remoção ou destruição dos dados armazenados nos backups;

5. elaborar e publicar o Plano de Comunicação de Falhas de Backup;

6. elaborar e publicar o Plano de Recuperação de Incidentes de Backup;

7. manter os ambientes de desenvolvimento, homologação e de produção disponíveis e atualizados para uso constante;

8. elaborar o catálogo dos servidores e aplicações de backup existentes, mediante levantamento detalhado do cenário atual da solução de backup, que inclua inventário dos ativos disponíveis para armazenamento, servidores envolvidos nos processos de backup e softwares utilizados, com a finalidade de se ter conhecimento dos riscos aos quais os dados estão sujeitos, os problemas e demais não conformidades encontradas;

9. relacionar todo e qualquer dispositivo que pertença à ANTT e que armazene dados a ser considerado para fins de realização de cópias de segurança;

10. identificar os responsáveis pelos dados de cada sistema de informação da ANTT;

11. projetar e aplicar proteção física contra incêndios, enchentes, explosões, perturbações da ordem pública e outras formas de desastres naturais ou que possam ser causados pelas pessoas;

12. assegurar que as informações recebam um nível adequado de proteção;

13. definir um período de retenção das cópias dos logs de auditoria das operações de backup, para fins de futuras investigações e monitoramento de controle de acesso das ferramentas de backup e restauração;

14. armazenar as cópias de segurança dos sistemas classificados como críticos em uma localidade remota a uma distância mínima, a ser definida em normas complementares, que seja segura para escapar dos danos de um desastre ocorrido no local principal;

15. estabelecer o perímetro de segurança do local escolhido para armazenamento das cópias de segurança;

16. mitigar os riscos de possíveis acessos às mídias descartadas;

17. manter as cópias de segurança em conformidade com os requisitos legais pertinentes;

18. respeitar todos os prazos e tipos de backup que tenham implicações legais para os negócios e para a imagem da ANTT;

19. manter as cópias dos arquivos corporativos que assegurem a continuidade das operações dos processos de trabalho de cada Unidade Organizacional;

20. disponibilizar uma área externa ao ambiente de armazenamento onde os dados estão instalados;

XXI. disponibilizar uma área para staging de dados, que seja externa ao ambiente de armazenamento (storage principal) para validação;

22. definir o processo para o descarte dos dispositivos de armazenamento que contenham dados fora do prazo de retenção;

23. mapear os servidores e as aplicações e registrar no inventário de ativos de informação;

24. definir o tempo máximo de recuperação (Recovery) dos serviços ofertados e hospedados, consonante aos Níveis Mínimos de Serviços Exigidos - NMSE do Catálogo de Serviços da ANTT firmados junto às empresas prestadoras de serviços;

25. realizar testes de restauração em periodicidade a ser definida, ou mediante solicitação no Portal de Serviços da ANTT; e

26. submeter ao CSIC, quando necessário, o cumprimento das diretrizes estabelecidas nesta Política.

Parágrafo único. A SUTEC designará administrador de sistemas e administrador de backup e restauração de dados no intuito de operacionalizar as orientações contidas nesta Política.

Art. 9º. Compete a todos os usuários reportar à SUTEC:

I. os incidentes na rede computacional da ANTT, que afetem a segurança das cópias de segurança; e

II. qualquer descumprimento desta Política.

Art. 10. As solicitações de restauração de dados deverão ser abertas pelo responsável pelos dados ou pelo administrador de sistema, em conformidade com os tempos de RTO acordados, através do Portal de Serviços da ANTT contendo os nomes e datas dos arquivos e as pastas que deverão ser recuperados.

Parágrafo único. Expirado o prazo de retenção dos dados armazenados, a mídia poderá ser reutilizada ou destruída, conforme políticas de armazenamento de dados e de descarte vigentes.

Art. 11. Os backups de histórico de sistemas (log) e bancos de dados dos demais aplicativos de infraestrutura deverão seguir a mesma política especificada para o backup do sistema de arquivos.

CAPÍTULO II

DAS ATUALIZAÇÕES

Art. 12. Esta política deve ser revisada e atualizada periodicamente, no máximo a cada 3 (três) anos, caso não ocorram eventos ou fatos relevantes que exijam uma revisão imediata.

CAPÍTULO IX

DAS DISPOSIÇÕES FINAIS

Art. 13. Em casos de quebra de segurança das cópias armazenadas ou no processo de execução, a SUTEC deverá ser imediatamente acionada para adotar as providências necessárias, podendo, inclusive, determinar a restrição temporária ao acesso aos recursos computacionais envolvidos no processo de cópias de segurança e restauração dos dados corporativos da ANTT.

Art. 14. Os casos omissos serão resolvidos pelo Comitê de Tecnologia da Informação e Comunicações apoiado pelo Comitê de Segurança da Informação e Comunicações da ANTT quando for necessário.

Publicado Internamente pela ANTT em 08/04/2021

Este texto não substitui a Publicação Oficial.