SINJ-DF

RESOLUÇÃO Nº 02, DE 29 DE ABRIL DE 2024

Aprova a Política de Backup e Recuperação de Dados do Governo do Distrito Federal.

O COMITÊ GESTOR DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO DO DISTRITO FEDERAL-CGTIC-DF, no uso de suas competências dispostas no Decreto Distrital nº 42.486, de 08 de setembro de 2021, resolve:

Art. 1º Aprovar a Política de Backup e Recuperação de Dados do Governo do Distrito Federal, na forma do Anexo Único desta Resolução, de observância obrigatória para todos os órgãos e entidades do GDF que fazem uso e possuem serviços providos pelo Centro de Dados Corporativo Privado do Distrito Federal (CeTIC-DF), na forma do Decreto Distrital nº 40.015, de 14 de agosto de 2019.

Art. 2º A Política de Backup e Recuperação de Dados será revisada a cada 2 (dois) anos, ou extraordinariamente, mediante deliberação do CGTIC, quando houver mudanças significativas que afetem o contexto organizacional da Administração Pública do Distrito Federal.

Art. 3º A íntegra do documento referente à Política de de Backup e Recuperação de Dados ficará disponível em endereço eletrônico oficial do Governo do Distrito Federal, na página da Secretaria de Estado de Economia do Distrito Federal.

Art. 4º Esta Resolução entra em vigor na data de sua publicação.

NEY FERRAZ JÚNIOR

Secretário de Estado de Economia do Distrito Federal

Presidente do Comitê Gestor de Tecnologia da Informação e Comunicação do DF

ANEXO ÚNICO

POLÍTICA DE BACKUP E RECUPERAÇÃO DE DADOS DO DISTRITO FEDERAL

1. INTRODUÇÃO

Atualmente, por força do Decreto nº 40.015, de 14 de agosto de 2019, a Secretaria de Estado de Economia do Distrito Federal - SEEC é a unidade responsável pela gestão, sustentação e operação do CeTIC-DF, Centro de Dados Corporativo Privado do Distrito Federal, consistindo num ambiente com soluções integradas de hardware e software, que provê serviços de nuvem corporativa privada, armazenamento de dados, hospedagem de aplicações e sistemas a todos os órgãos e entidades da Administração Direta e Indireta do Distrito Federal, compreendendo os sistemas estruturantes, bases de dados e os serviços corporativos de tecnologia da informação e comunicação.

Nesse contexto, a SEEC, com infraestrutura própria ou contratada de terceiros, coleta, recebe, acessa, processa, modifica, produz, extrai, valida, armazena, distribui e transmite informações confidenciais e públicas para apoiar a entrega de produtos e serviços essenciais de diversos órgãos, informações estas que são frequentemente fornecidas ou compartilhadas, obedecidos os requisitos legais, com entidades como governos federal, estaduais e municipais, empresas públicas e privadas, faculdades e universidades, organizações de pesquisa independentes ou públicas e organizações do terceiro setor.

A proteção dessas informações pelo Governo, enquanto agente de tratamento, está designada no art. 46 da Lei Geral de Proteção de Dados, sancionada em 14 de agosto de 2018:

“Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”

Importante ressaltar que a adoção desta política não afasta a obrigação de alinhamento com as diretrizes gerais estabelecidas para implementação da Política de Segurança da Informação e Comunicação do Distrito Federal – POSIC, a qual dispõe sobre os processos relacionados à gestão de segurança da informação nos órgãos e nas entidades da administração pública distrital.

Esta Política de Backup e Recuperação de Dados foi elaborada com base no “Modelo de Política de Backup” de autoria da Secretaria de Governo Digital (SGD) do Ministério da Gestão e da Inovação em Serviços Públicos, disponibilizado no endereço: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/ppsi/modelo_politica_backup.pdf.

2. PROPÓSITO

A Política de Backup e Recuperação de Dados objetiva instituir diretrizes, responsabilidades e competências que visam à segurança, proteção e disponibilidade dos dados digitais custodiados pela SEEC/DF, por intermédio da sua Secretaria Executiva de Tecnologia da Informação e Comunicação – SETIC, formalmente definidos como de necessária salvaguarda, para se manter a continuidade do negócio. É fundamental que sejam estabelecidos mecanismos que permitam a guarda dos dados e sua eventual restauração em casos de indisponibilidades ou perdas por erro humano, ataques, catástrofes naturais ou outras ameaças. O presente documento apresenta a Política de Backup e Recuperação de Dados, na qual se estabelecem o modo e a periodicidade de cópia dos dados armazenados pelos sistemas computacionais.

Do mesmo modo, a implantação desta política busca minimizar os impactos decorrentes da perda de dados, seja por falha humana ou por falha de equipamentos tecnológicos, bem como reduzir ao máximo o tempo de parada dos serviços de Tecnologia da Informação e Comunicação.

3. ESCOPO E ABRANGÊNCIA

A presente Política aplica-se a todos os órgãos e entidades da Administração Direta, Autárquica e Fundacional do Distrito Federal, que fazem uso e possuem serviços providos pelo Centro de Dados Corporativo Privado do Distrito Federal (CeTIC-DF), na forma do Decreto Distrital nº 40.015, de 14 de agosto de 2019.

Além disso, abrange todos os dados trafegados e hospedados no âmbito do GDF, incluindo dados fora do ambiente tecnológico do CeTIC-DF, armazenados em serviços de nuvem Pública ou Privada. “Dados críticos”, neste contexto, incluem e-mail, bancos de dados, conteúdo da web específicos e sistemas operacionais. A definição de dados críticos e o escopo desta política de backup serão revisados a cada 2 anos.

Os serviços de TIC críticos do GDF devem ser formalmente elencados pelo Comitê Gestor de Tecnologia da Informação e Comunicação do Distrito Federal - CGTIC.

Ficam previamente estabelecidos os sistemas SITAF, SIGGO, SIGRH, SEI, Nota Legal, SIGEST, E-SOCIAL, PPAWEB, SISCONEP, SIAPMED, SIGER, E-COMPRAS, AGENDA-DF, EGOV, SISPE, RECAD, SPP, PROAMIS, E-SUPRI, PARTICIPA-DF, PORTAL DA TRANSPARÊNCIA, DODF, DFLEGIS, TRACKCARE, E-SUS e SAMU, como serviços críticos da GDF, ressaltando-se que não consiste num rol taxativo.

Esta política se aplica aos agentes públicos que podem ser administradores e/ou usuários dos dados acima mencionados. A política também se aplica a terceiros que acessam e usam, no ambiente gerido pela SEEC/DF ou remotamente, sistemas e equipamentos de TIC ou que criam, processam ou armazenam dados de propriedade do GDF.

Os backups dos ativos de TIC são classificados de acordo com a natureza dos dados conforme a seguir:

I - Arquivos de Sistemas Operacionais;

II - Arquivos de sistemas;

III - Bancos de Dados;

IV - Arquivos de logs;

V - Caixas de E-mail;

VI - Máquinas Virtuais;

VII - Active Directory;

VIII - Arquivos de configuração;

IX - Arquivos do drive público (arquivos de rede).

Os ativos de TIC que, por motivos técnicos definidos pela SEEC/SETIC e aprovados pelo CGTIC, não possam seguir por completo o padrão definido nesta Política, devem atender as diretrizes no que couber.

Todo sistema/serviço desenvolvido ou internalizado pela SEEC e demais órgãos distritais deve ter sua estratégia de backup e periodicidade definida no momento que for entrar em produção.

Não serão salvaguardados nem recuperados dados armazenados localmente, nos microcomputadores dos usuários ou em quaisquer outros dispositivos fora dos centros de processamento de dados mantidos pelas unidades de TIC, ficando sob a responsabilidade do próprio usuário.

A salvaguarda dos dados em formato digital pertencentes a serviços de TIC do GDF, mas custodiados por outras entidades, públicas ou privadas, como nos casos de serviços em nuvem, deve estar garantida nos acordos ou contratos que formalizam a relação entre os envolvidos.

4. TERMOS E DEFINIÇÕES

Administrador de backup – setor ou servidor do quadro SEEC responsável pelos procedimentos de configuração, execução, monitoramento e testes dos procedimentos de backup e restore;

Administrador do recurso – setor ou servidor do quadro do GDF responsável pela operação de serviços ou equipamentos;

Backup ou Cópia de Segurança - Conjunto de procedimentos que permitem salvaguardar os dados de um sistema computacional, garantindo guarda, proteção e recuperação. Tem a fidelidade ao original assegurada. Esse termo também é utilizado para identificar a mídia em que a cópia é realizada;

Backup full ou completo: modalidade de backup na qual todos os dados são copiados integralmente;

Backup incremental: modalidade de backup na qual somente os arquivos novos ou modificados desde o último backup são copiados;

Backup Diferencial: modalidade de backup na qual somente os arquivos novos ou modificados desde o último backup completo (full) são copiados;

Custodiante da Informação - servidor ou setor da estrutura de órgão ou entidade da Administração Pública do Distrito Federal, direta e indireta, que tenha responsabilidade formal de proteger a informação e aplicar os níveis de controles de segurança em conformidade com as exigências de Segurança da Informação comunicadas pelo proprietário da informação;

Eliminação - Exclusão de dado ou conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

Infraestrutura Crítica – instalações, serviços, bens e sistemas, virtuais ou físicos, que se forem incapacitados, destruídos ou tiverem desempenho extremamente degradado, provocarão sério impacto social, econômico, político, internacional ou à segurança;

Mídia - Mecanismos em que dados podem ser armazenados. Além da forma e da tecnologia utilizada para a comunicação - inclui discos ópticos, magnéticos, CDs, fitas e papel, entre outros. Um recurso multimídia combina sons, imagens e vídeos;

Proprietário da Informação – servidor ou setor área negocial da estrutura de órgão ou entidade da Administração Pública do Distrito Federal, direta e indireta, que atua como gestora dos serviços de TIC, sendo responsável pelas informações a eles relacionados e pela autorização de acesso às mesmas;

Recovery Point Objective (RPO): ponto no tempo em que os dados dos serviços de TI devem ser recuperados após uma situação de parada ou perda, correspondendo ao prazo máximo em que se admite perder dados no caso de um incidente;

Recovery Time Objective (RTO): tempo estimado para restaurar os dados e tornar os serviços de TI novamente operacionais, correspondendo ao prazo máximo em que se admite manter os serviços de TI inoperantes até a restauração de seus dados, após um incidente;

Serviços de TIC do GDF hospedados no CeTIC-DF: serviços e recursos de infraestrutura tecnológica de Datacenter disponibilizados aos órgãos do GDF por parte da SEEC-DF, cuja gestão e administração permanecem sob responsabilidade do órgão solicitante

Serviços de TIC do GDF sustentados no CeTIC-DF: serviços e recursos de infraestrutura tecnológica de Datacenter disponibilizados aos órgãos do GDF por parte da SEEC-DF, cuja gestão e administração são de responsabilidade da própria SEEC-DF;

5.REFERÊNCIAS LEGAIS E BOAS PRÁTICAS

Framework Cobit, conjunto de boas práticas a serem aplicadas à governança da TI;

v4.1: DS11: Gerenciar Dados

v5: DSS01.01, DSS04.08;

DSS06.04, DSS04.08, DSS05.06;

DSS06.05-06, DSS04.08,

DSS001.01; DSS05.02-05;

DSS06.03; DSS06.06

Guia do Framework de Privacidade e Segurança da Informação

Controle 11

Framework Information Technology Infrastructure Library – ITIL, v. 4, conjunto de boas práticas a serem aplicadas na infraestrutura, operação e gerenciamento de serviços de TI;

Gestão da Segurança da Informação

Lei nº 13.709/2018 – Lei Geral de Proteção de Dados

CAPÍTULO VII - Seção I – Art. 46, Seção II Art. 50

Lei nº 12.527/2011 – Lei de Acesso à Informação (LAI)

Em sua íntegra

Lei Distrital nº 4.990/2012 – Regula o Acesso a Informações no Distrito Federal

Em sua íntegra

Norma ABNT NBR ISO/IEC 27001:2022 Tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação - Requisitos;

A.12.3 Cópias de segurança

Norma ABNT NBR ISO/IEC 27002:2022 Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação;

12.3 Cópias de segurança

Decreto Distrital nº 40.015, de 14 de agosto de 2019.

Art. 2º, §1º; Art. 3º, §1º, §2º; Art. 4º, I, III, IV, V e parágrafo único; Art. 5º; Art. 7º e Art. 8º

Modelo de Política de Backup” de autoria da Secretaria de Governo Digital (SGD) do Ministério da Gestão e da Inovação em Serviços Públicos

Versão disponível no site do Ministério

Política de Segurança da Informação do GDF - POSIC

Inteiro teor

6. PRINCÍPIOS GERAIS

• A Política de Backup e Restauração de Dados deve estar alinhada à Política de Segurança da Informação e Comunicação do GDF - POSIC.

• A Política de Backup e Restauração de Dados deve estar alinhada com uma gestão de continuidade de negócios em nível organizacional.

• As rotinas de backup devem ser orientadas para a restauração dos dados no menor tempo possível, principalmente quando da indisponibilidade de serviços de TIC.

• As rotinas de backup devem utilizar soluções próprias e especializadas para este fim, preferencialmente de forma automatizada.

• As rotinas de backup devem possuir requisitos mínimos diferenciados de acordo com o tipo de serviço de TIC ou dado salvaguardado, dando prioridade aos serviços de TIC críticos da organização.

• O armazenamento de backup, se possível, deve ser realizado em um local distinto da infraestrutura crítica. É desejável que se tenha um sítio de backup em um local remoto ao da sede da organização para armazenar cópias extras dos principais backups, a exemplo dos backups de dados de serviços críticos.

• A infraestrutura de rede de backup deve ser apartada, lógica e fisicamente, dos sistemas críticos da organização.

• Manter reserva de recursos (físicos e lógicos) de infraestrutura para realização de teste de restauração de backup.

• Em situações em que a confidencialidade é importante, convém que cópias de segurança sejam protegidas através de encriptação.

7. FREQUÊNCIA E RETENÇÃO DOS DADOS

Os backups dos serviços de TIC dos serviços hospedados e sustentados no Datacenter Corporativo (CeTIC-DF) devem ser realizados utilizando-se as seguintes frequências temporais: diária; semanal; mensal; anual.

Os serviços de TIC do GDF hospedados e sustentados no Datacenter Corporativo CeTIC-DF devem ser resguardados sob um padrão mínimo, que será solicitado via plataforma própria ou outro meio oficial disponibilizado, o qual deve observar a retenção de dados estabelecida a seguir:

• 30 dias;

• 60 dias;

• 90 dias;

• 6 meses;

• 1 ano;

• 3 anos;

• 5 anos.

No caso de serviços de TIC hospedados no CeTIC-DF, a responsabilidade de informar os parâmetros acima definidos (tipo/frequência de backup e tempo de retenção dos dados) é da área negocial gestora do serviço de TIC hospedado no CeTIC-DF (proprietário da informação), conforme procedimento estabelecido neste item.

Se algum serviço de TIC necessitar de frequência ou tempo de retenção maior que o pré-estabelecido nesta política, o órgão interessado (proprietário ou custodiante da informação) deverá apresentar justificativa técnica ou legal para tanto.

Já no caso de serviços de TIC sustentados no CeTIC-DF, a área negocial gestora do serviço de TIC hospedado no Datacenter Corporativo CeTIC-DF (proprietário da informação) poderá informar os parâmetros (tipo/frequência de backup e tempo de retenção dos dados), porém a SEEC, por intermédio da SETIC (Administrador de Backup) pode avaliar e revisar tecnicamente os parâmetros de backup e retenção, aplicando os que julgar mais adequados ao respectivo serviço.

Os ativos envolvidos no processo de backup são considerados ativos críticos para a organização.

A solicitação de salvaguarda dos dados referentes aos serviços de TIC deve ser realizada por meio de plataforma própria disponibilizada para este fim e, na falta desta, via formulário elaborado no Sistema Eletrônico de Informações - SEI, refletindo os requisitos de negócio da organização, bem como os requisitos de segurança da informação e proteção de dados envolvidos e a criticidade da informação para a continuidade da operação da organização, e deve explicitar, no mínimo, os seguintes requisitos técnicos:

I – Escopo (dados digitais a serem salvaguardados);

II – Tipo de Aplicação (sistema operacional, arquivos de sistemas, banco de dados, etc);

III – Ambiente (desenvolvimento, homologação, teste ou produção);

IV – Criticidade (baixa, média ou alta);

V – Tipo de backup (completo, incremental, diferencial);

VI – Frequência temporal de realização do backup (diária, semanal, mensal, anual);

VII – Retenção;

VIII – RPO;

IX – RTO.

Se não houver solicitação de salvaguarda de dados, por padrão o backup das máquinas virtuais dos serviços de TIC será realizado diariamente (snapshot) e retidas por 30 dias. Mesmo se houver arquivos de sistemas, logs, banco de dados, ou qualquer outro tipo de dado crítico hospedado na máquina virtual, não será possível reter por período maior de tempo se não houver solicitação formal pelas vias indicadas acima.

A alteração das frequências e tempos de retenção definidos nesta seção deve ser precedida de solicitação e justificativa formais submetidas pela plataforma de gestão ou SEI.

Todo sistema/serviço a ser descontinuado deverá ser submetido a um backup full e sua retenção deverá ser de, no mínimo, 1 (um) ano.

Os arquivos e documentos corporativos gerados pelos usuários e que necessitem integrar a rotina de backup deverão ser armazenados no servidor de arquivos, na pasta corporativa da área que ficará armazenada no servidor ou na plataforma de nuvem contratada pela SEEC.

No caso de desligamento do usuário (de forma permanente ou temporária), o backup de seus arquivos em nuvem ou localmente deverá ser mantido por, no mínimo, 30 dias. Após esse período os arquivos poderão ser excluídos a qualquer tempo.

7.1. Tipos de Backup

As estratégias de backup podem ser:

I – Completo (full);

II – Incremental;

III – Diferencial.

Salvo indicação em contrário, o backup dos dados dos sistemas será feito de acordo com a seguinte programação padrão:

• Backup incremental diário (diariamente), armazenado em disco.

• Backup completo semanal (sábado ou domingo), armazenado em fita de backup.

Os backups completos, preferencialmente, devem ser iniciados às 08h da manhã de sábado para permitir mais tempo durante o fim de semana para realizar o backup e tempo suficiente para lidar com quaisquer problemas que possam surgir durante o processo de backup.

Sempre que possível, os backups dos dados críticos devem perseguir a estratégia 3-2-1. Assim, serão geradas 3 (três) cópias de um único backup, com 2 (duas) cópias locais em 2 (dois) tipos de mídias diferentes (por exemplo, disco rígido e fita de backup) e 1 (uma) cópia armazenada em localidade distinta.

7.2. Uso da rede e recursos computacionais

O administrador de backup deve considerar o impacto da execução das rotinas de backup sobre o desempenho da rede de dados e dos recursos computacionais do GDF, gerido pela SEEC/SETIC, garantindo que o tráfego necessário às suas atividades não ocasione indisponibilidade dos demais serviços de TIC providos pelo Datacenter Corporativo (CeTIC-DF).

A execução dos backups também deve ser orientada para que seus trabalhos respeitem as janelas (período de tempo) para execução, inclusive realizando previsão para a ampliação da capacidade dos dispositivos envolvidos no armazenamento.

Por padrão, os procedimentos de backup serão realizados, diariamente, preferencialmente durante o período noturno, entre 19:00 (dezenove horas) e 06:00 (seis horas) do dia seguinte.

A execução do backup deve concentrar-se, preferencialmente, no período de janela de backup.

Em casos específicos e justificados, o período de janela de backup pode ser determinado pelo administrador de backup em conjunto com a área técnica responsável pela administração da rede de dados e dos recursos computacionais da SEEC/SETIC.

7.3. Transporte e armazenamento

O armazenamento dos backups poderá ser feito em fita, discos ou na plataforma de nuvem contratada pela SEEC.

As unidades de armazenamento utilizadas na salvaguarda dos dados digitais devem considerar as seguintes características dos dados resguardados:

I – A criticidade do dado salvaguardado;

II – O tempo de retenção do dado;

III – A probabilidade de necessidade de restauração;

IV – O tempo esperado para restauração;

V – O custo de aquisição da unidade de armazenamento de backup;

VI – A vida útil da unidade de armazenamento de backup.

O administrador de backup deve identificar a viabilidade de utilização de diferentes tecnologias na realização das cópias de segurança, propondo a melhor solução para cada caso.

Deverão ser implementados controles criptográficos aos arquivos armazenados (data at rest), e aos arquivos que trafegam na rede da organização ou na Internet (data in transit), contanto que o acréscimo no tempo de restauração dos dados seja considerado aceitável pelos proprietários das informações.

A execução das rotinas de backup deve envolver a previsão de ampliação da capacidade dos dispositivos envolvidos no armazenamento.

As unidades de armazenamento dos backups devem ser acondicionadas em locais apropriados, com controle de fatores ambientais sensíveis, como umidade, temperatura, poeira e pressão, e com acesso restrito a pessoas autorizadas pelo administrador de backup. Além disso, as condições de temperatura, umidade e pressão devem ser aquelas descritas pelo fabricante das unidades de armazenamento.

Para os serviços de TIC críticos, ao menos uma cópia dos arquivos de backup dos sistemas/serviços críticos deverá ser armazenada e mantida de modo off-line, isto é, não acessível pela rede da organização, seja por meio de chamadas de sistema operacional, de chamadas de API (Application Programming Interface) ou por qualquer outro meio de acesso remoto.

As mídias devem ficar guardadas preferencialmente em cofre com segredo e chave. Caso não seja possível armazenar em cofre, poderá ser guardado em armário reforçado que contenha chave.

• O segredo do cofre, quando houver, só será de conhecimento da equipe técnica da SEEC/SETIC;

• Uma cópia da chave deverá ficar em poder da pessoa que irá efetuar o backup e a outra no quadro de chaves da unidade organizacional responsável pelo procedimento de backup;

• As mídias devem ser guardadas em condições de temperatura, umidade e pressão descritas pelo fabricante da mesma;

• As mídias devem ser etiquetadas, contendo o código de identificação e outras informações relacionadas a esse ativo como data e hora do backup e tipo de backup efetuado.

As mídias a serem descartadas (devido à obsolescência tecnológica, ou defeito irrecuperável) devem ser eliminadas de forma segura e protegida, por meio de incineração, trituração, quebra, execução de procedimentos de sobrescrita de dados remanescentes (disco rígido) ou outro procedimento que impossibilite a recuperação dos dados por terceiros, atentando-se ao descarte sustentável e ambientalmente correto.

7.4. Testes de Backup

A realização dos backups será verificada periodicamente:

• Diariamente, os logs de backup serão revisados em busca de erros, durações anormais e em busca de oportunidades para melhorar o desempenho do backup.

• Ações corretivas serão tomadas quando os problemas de backup forem identificados, a fim de reduzir os riscos associados a backups com falha.

• A SEEC/SETIC manterá registros de backups e testes de restauração para demonstrar conformidade com esta política.

• Os testes devem ser realizados em todos os backups de sistemas críticos produzidos, independente do ambiente.

Cabe aos administradores de backup, em conjunto com os administradores de sistemas e infraestrutura, a realização de testes periódicos de restauração, no intuito de averiguar os processos de backup e estabelecer melhorias.

• As políticas de backup devem ser testadas ao menos anualmente, para garantir sua confiabilidade.

• Para sistemas/serviços críticos, os testes referentes as suas respectivas políticas de backup deverão ser realizados trimestralmente.

• Os testes de restore devem ser adequadamente documentados informando, minimamente, o tipo de sistema/serviço que teve o seu reestabelecimento testado, a data da realização do teste de restore, o tempo gasto para o retorno do backup e se o restore foi concluído com sucesso.

Os testes de restauração dos backups devem ser realizados, por amostragem, uma vez por mês, em equipamentos servidores diferentes dos equipamentos que atendem os ambientes de produção, observados os recursos humanos de TIC e tecnologias disponíveis, a fim de verificar backups bem sucedidos.

Sempre que realizado, os testes de recuperação devem verificar se foi atendido os níveis de serviço pactuados, tais como os Recovery Time Objective – RTOs.

Os registros deverão conter, no mínimo, o tipo de sistema/serviço que teve o seu reestabelecimento testado, a data da realização do teste, o tempo gasto para o retorno do backup e se o procedimento foi concluído com sucesso

Quaisquer exceções a esta política serão totalmente documentadas e deverão ser aprovadas pelo CGTIC-GDF.

7.5. Procedimentos de restauração de backup

O atendimento de solicitações de restauração de arquivos, e-mails e demais formas de dados deverá obedecer às seguintes orientações:

• A solicitação de restauração de objetos deverá sempre partir do custodiante da informação, por meio de chamado técnico.

• A restauração de objetos somente será possível nos casos em que este tenha sido atingido pela estratégia de backup.

• A solicitação de restauração de dados que tenham sido salvaguardados depende de prévia e formal autorização dos respectivos proprietários das informações.

• O operador de backup terá a prerrogativa de negar a restauração de dados cujo conteúdo não seja condizente com a atividade institucional, cabendo recurso da negativa ao gestor da unidade do demandante.

O cronograma de restauração de dados:

• O tempo de restauração, preferencialmente definido em Acordo de Nível de Serviço entre as áreas de negócio e de TIC, é proporcional ao volume de dados necessários para o restore.

7.6. Responsabilidades

O administrador de backup e o operador de backup devem ser capacitados para as tecnologias, procedimentos e soluções utilizadas nas rotinas de backup.

São atribuições do administrador de backup:

I – Propor soluções de cópia de segurança das informações digitais corporativas produzidas ou custodiadas pela organização;

II – Providenciar a criação e manutenção dos backups;

III – Configurar as soluções de backup;

IV – Manter as unidades de armazenamento de backups preservadas, funcionais e seguras;

V – Definir os procedimentos de restauração e neles auxiliar.

7.7.Não conformidades e sanções

Em caso de violação desta política poderão ser aplicadas sanções previstas na Lei Complementar nº 840/2011 e outras legislações cabíveis.

As sanções por descumprimento podem incluir, mas não se limitam a um ou mais dos seguintes:

• Sindicância ou Processo Administrativo Disciplinar;

• Exoneração ou Demissão;

• Ação judicial de acordo com as leis aplicáveis e acordos contratuais;

• Rescisão contratual ao bem do serviço público.

Este texto não substitui o publicado no DODF nº 95, seção 1, 2 e 3 de 20/05/2024 p. 58, col. 2