TRIBUNAL REGIONAL ELEITORAL DO PARANÁ
INSTRUÇÃO NORMATIVA Nº 07/2018
Dispõe sobre as regras e os procedimentos para a realização de Cópias de Segurança (backup) de dados e de sistemas de informação no âmbito da Justiça Eleitoral do Paraná.
A DIRETORA-GERAL DA SECRETARIA DO TRIBUNAL REGIONAL ELEITORAL DO PARANÁ, no uso das atribuições que lhe são conferidas pelo art. 30 do Regulamento da Secretaria,
CONSIDERANDO a necessidade de garantir a disponibilidade dos dados e dos sistemas de informação;
CONSIDERANDO a necessidade de definir processos para a realização de cópias de segurança de dados e sistemas de informação administrados e armazenados no TRE/PR;
CONSIDERANDO que a segurança da informação é condição essencial para a prestação dos serviços jurisdicionais e administrativos do TRE/PR;
CONSIDERANDO que esta norma é parte integrante da regulamentação da Política de Segurança da Informação (PSI) da Justiça Eleitoral, conforme art. 6º da Resolução nº 23.501/2016 do TSE e o contido no PAD nº 3463/2018,
RESOLVE
Art. 1º Ficam estabelecidas as diretrizes para a realização de cópias de segurança de dados e sistemas de segurança de informação no TRE/PR.
Art. 2º Os efeitos desta normativa se estendem a todos os usuários dos recursos de tecnologia da informação da Justiça Eleitoral do Paraná.
Art. 3º Não estão cobertos por esta política os dados armazenados em microcomputadores, notebooks e dispositivos móveis, para os quais eventuais cópias de segurança são de responsabilidade do usuário.
Art. 4º Cabe à Secretaria de Tecnologia da Informação (SECTI) aplicar esforços para garantir a disponibilidade dos dados armazenados no ambiente tecnológico do TRE/PR.
Art. 5º Para efeitos desta norma consideram-se as seguintes definições:
I – Backup ou Cópia de Segurança: cópia de dados e sistemas armazenados em recursos de tecnologia da informação;
II - Mídia de backup: meio onde são armazenados os backups;
III - Cópia Off-line: cópia de segurança realizada em mídias de backup que ficarão armazenadas em ambiente sem conexão permanente com a rede de computadores da Justiça Eleitoral;
IV – Ativo de informação: sistema de informação, banco de dados ou conjunto de arquivos eletrônicos utilizados ou armazenados pela Justiça Eleitoral do Paraná;
V – Planos de Backup: documento onde constará a metodologia operacional para execução das cópias de segurança;
VI – Ativos de informação em produção: são todos aqueles de uso corrente dos usuários, ou seja, excluem-se os ativos em uso nos ambientes de testes e homologação.
Art. 6º O tempo de retenção das cópias de segurança obedecerá os seguintes prazos:
I - 1 (um) ano para os registros de acesso à internet e a sistemas de informação (logs);
II – 1 (um) ano para registros de acesso à internet (logs) feito por visitantes;
III – 90 (noventa) dias para os documentos de usuários em servidores de arquivos;
IV – 90 (noventa) dias para as mensagens e os dados de usuários em servidores de e-mail;
V – 180 (cento e oitenta) dias para os bancos de dados de produção;
VI – 30 (trinta) dias para os dados de máquinas virtuais;
VII - 30 (trinta) dias para os demais ativos de informação.
Art. 7º Todos os ativos de informação em produção deverão ser protegidos por cópias off-line periódicas, cujo tempo de retenção cumprirá o previsto no art. 6º.
Art. 8º As cópias off-line deverão ser armazenadas em local diverso de onde estão armazenados os dados e sistemas a serem protegidos.
Art. 9º A SECTI deverá apresentar à Comissão de Segurança da Informação planos de backup que englobem todos os ativos de informação, detalhados de acordo com o tipo de dado a ser protegido, especialmente os seguintes:
I - Registros de acesso à internet e aos sistemas de informação;
II – Dados em servidores de arquivos;
III – Dados em servidores de e-mail;
IV – Dados armazenados em bancos de dados;
V - Máquinas servidoras virtuais;
VI – Máquinas servidoras físicas;
VII – Equipamentos de rede de telecomunicações.
Art. 10. Nos planos de backup deverão constar, no mínimo, as seguintes informações:
I – Nome ou número do plano;
II – Ativos a serem protegidos;
III – Periodicidade dos testes de restauração;
IV - Periodicidade do backup;
V - Tipo de backup (completo, incremental ou diferencial);
VI – Periodicidade de cópias off-line;
VII – Nível de criticidade do ativo (caso tenha sido classificado);
VIII – Ferramenta utilizada;
IX – Prazo previsto para restauração parcial e total dos dados ou sistemas;
X – Se o ativo faz parte do Plano de Continuidade de Negócios;
XI – Informações complementares sobre a restauração dos dados;
XII – Nome do gestor da unidade organizacional responsável pela execução do plano;
XIII – Tempo de retenção das cópias;
XIV – Prazo de início de execução do plano.
Art. 11. A SECTI tem o prazo de 120 (cento e vinte) dias para apresentar os planos de backup para todos os ativos de informação que contenham dados a serem preservados.
Parágrafo único. Os prazos previstos no art. 6º serão contados a partir do início da execução do respectivo plano.
Art. 12. A Comissão de Segurança da Informação poderá solicitar ajustes nos planos de backup apresentados, de acordo com a análise de riscos ou com o Plano de Continuidade de Negócios.
Art. 13. Os planos de backup, sempre que necessário, deverão ser atualizados para contemplar o Plano de Continuidade de Negócios.
Art. 14. Qualquer dúvida sobre a aplicação desta norma deverá ser encaminhada à SECTI, que irá dirimi-la ou apresentá-la à Comissão de Segurança da Informação.
Art. 15. Esta Instrução Normativa entrará em vigor na data da sua publicação.
Curitiba, 26 de abril de 2018.
DANIELA BORGES DE CARVALHO
Diretora-Geral