Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 15/06/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023061500072
72
Nº 112, quinta-feira, 15 de junho de 2023
ISSN 1677-7042
Seção 1
5.2.6. Os backups dos servidores e sistemas críticos deverão ser realizados ao
menos semanalmente, tendo em vista que uma periodicidade superior a essa (realização
menos frequente do que uma vez por semana) pode ocasionar impacto significativo no
negócio em caso de materialização de algum problema que implique necessidade de
recuperação/restauração do backup.
5.3 PROCEDIMENTOS DE BACKUP
5.3.1. O responsável pelo produto,
sistema ou serviço deve solicitar
formalmente à CGTI a inserção de dados ao sistema de backup, previamente à entrada em
operação de tais soluções.
5.3.1.1. Cabe ao responsável pelo produto, sistema, ou serviço, definir, com
apoio da CGTI, os requisitos para realização do backup, tais como os dados que devem
estar contemplados no backup, tempo de retenção, dentre outros.
5.3.1.2. Em caso de alteração dos requisitos para realização do backup, o
responsável deverá atualizar a CGTI sobre as novas demandas, para correta salvaguarda
das informações.
5.3.2. Os procedimentos de backup realizados pela CGTI serão executados por
soluções automatizadas, seguindo especificações técnicas definidas pela equipe técnica
responsável, em conformidade com a presente Política, abrangendo os dados armazenados
no ambiente tecnológico disponibilizado pelo Ministério do Meio Ambiente e Mudança do
Clima.
5.3.3. Os dados armazenados no disco rígido de estações de trabalho, ou de
notebooks, não serão objeto de backup de dados, sendo que sua recuperação não é
garantida em casos de indisponibilidade causadas por erros de hardware no disco rígido,
apagados acidentalmente, ou intencionalmente, falhas no sistema operacional, ação de
códigos maliciosos, dentre outros.
5.3.4. No caso de serviços armazenados na nuvem, a responsabilidade pelo
backup será da prestadora de serviços, assegurado um prazo de retenção de, no mínimo,
30 (trinta) dias.
5.3.5 As rotinas de backup serão realizadas em horário fora do expediente
comercial e em finais de semana, iniciando-se às 19 (dezenove) horas e terminando às 7
(sete) horas do dia seguinte.
5.3.5.1 Caso algum backup não termine na janela indicada, ele continuará em
execução e só será cancelado mediante ação explícita do administrador do backup.
5.3.6 As janelas de backup são o tempo necessário para realizar a cópia dos
arquivos sem prejudicar o desempenho das aplicações, sendo que o Ministério do Meio
Ambiente e Mudança do Clima dispõe de janelas de backup conforme tabela abaixo:
Janelas de Backup:
. Janela
Início da Janela
Limite da Janela
Total de Janela (em horas)
. 1
Segunda
19h
Terça
07h
12 horas
. 2
Terça
19h
Quarta
07h
12 horas
. 3
Quarta
19h
Quinta
07h
12 horas
. 4
Quinta
19h
Sexta
07h
12 horas
. 5
Sexta
19h
Segunda
07h
60 horas
5.3.7 Os backups serão realizados com as seguintes frequências:
. Agendamentos
Janela
. Diário
1, 2, 3 e 4
. Semanal
5
. Mensal
Última ocorrência da janela 5 no mês
. Anual
Última ocorrência da janela 5 no ano
5.3.8 Os backups serão, preferencialmente, do seguinte tipo em relação a cada
tipo de agendamento:
. Agendamentos
Janela
. Diário
Incremental
. Semanal
Full
. Mensal
Full
. Anual
Full
5.3.9 O tempo de retenção é aquele cujas versões ficarão armazenadas antes
de serem substituídas por uma versão mais nova, conforme tabela abaixo:
Tabela de Retenção
. Cronograma
Retenção
. Diário
30 dias
. Semanal
90 dias
. Mensal
1 ano
. Anual
5 anos
5.4 RECUPERAÇÃO DE DADOS
5.4.1. A recuperação de dados e arquivos, sempre que não puder ser realizada
pelo próprio usuário, será solicitada á CGTI por meio da abertura de Ordem de Serviço
(OS).
5.4.2. A recuperação de backups deverá obedecer às seguintes orientações:
I - A solicitação de recuperação de objetos deverá sempre partir do responsável
pelo recurso, através de chamado técnico, utilizando a ferramenta de controle de
atendimentos;
II - O chamado técnico deve conter, ao menos, o nome e setor do usuário, o(s)
objeto(s) a ser(em) recuperado(s), localização em que se encontra(m), a data da versão
que deseja recuperar, local alternativo para o armazenamento do(s) objeto(s)
recuperado(s), se for o caso, e a justificativa para a recuperação;
III - Este chamado será encaminhado ao Administrador de Backup, que, após a
conclusão da tarefa, realizará o fechamento do chamado indicando a restauração dos
objetos;
IV - A restauração dos objetos somente será possível nos casos em que este
tenha sido inserido nos procedimentos de backup.
5.4.3. Os testes de restauração (restore) dos backups deverão ser realizados
mensalmente.
6. MONITORAMENTO E AUDITORIAS
6.1. As auditorias ordinárias, ou extraordinárias, serão coordenadas pelo Gestor
de Tecnologia da Informação (GSIN) e os relatórios serão encaminhados ao Comitê de
Segurança da Informação (CSIN) e ao Comitê de Governança Digital (CGD).
6.2. As auditorias extraordinárias deverão ser precedidas de autorização do
CSIN.
7. ATUALIZAÇÃO DA NORMA
7.1. O disposto na presente norma será atualizado sempre que alterados os
procedimentos de backup, observada, ainda, a periodicidade prevista para a revisão da
POSIN.
ANEXO V
NORMA DE SEGURANÇA DA INFORMAÇÃO - NSI 005/2023
GESTÃO DE RISCOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÕES
. Classificação do Risco
Valores do "PSR"
. Muito baixo
1 a 6
. Baixo
8 a 16
. Médio
18 a 30
. Alto
32 a 50
. Muito Alto
60 a 125
9.6. O tratamento dos riscos será definido de acordo com as necessidades
levantadas pelas partes interessadas, regulamentações e legislações vigentes, avaliação
técnica e análise custo/benefício.
9.7. O processo de GRSIC é composto pelas etapas descritas a seguir:
9.7.1 Contextualização: compreende a definição e aprovação do contexto de
análise e avaliação de riscos a ser realizada, com a identificação de seu propósito, escopo,
limites e partes interessadas;
9.7.2 Análise e Avaliação dos Riscos: compreende o mapeamento dos ativos,
identificação, análise e avaliação dos riscos, bem como a elaboração e aprovação do Plano
de Tratamento dos Riscos;
9.7.3 Tratamento dos Riscos: compreende a implementação das ações do Plano
de Trabalho de Riscos, seu monitoramento e a apresentação dos resultados;
9.7.4 Melhoria contínua: compreende a realização da análise crítica pela
Administração, com avaliação dos resultados e das propostas de melhoria apresentadas.
9.8. O desenho do processo de GRSIC, a descrição das atividades, respectivos
papéis e responsabilidades dos envolvidos no processo, bem como demais documentos
relacionados, serão publicados no Portal de Governança de TI, após aprovação pelo Comitê
de Segurança da Informação (CSIN).
9.9. O processo será revisto anualmente, ou em menor prazo, quando
necessário, e eventuais alterações propostas nos documentos acima indicados serão, após
aprovação do CSIN, objeto de imediata divulgação, na forma do item anterior.
10. MONITORAMENTO E AUDITORIAS
10.1. As auditorias ordinárias ou extraordinárias serão coordenadas pelo Gestor
de Segurança da Informação (GSIN) e os relatórios serão encaminhados ao CSIN e ao
Comitê de Governança Digital (CGD).
10.2. As auditorias extraordinárias deverão ser precedidas de autorização do
CSIN.
10.3. Os procedimentos constantes desta norma deverão ter monitoramento
contínuo da CGTI, visando à melhoria contínua.
11. ATUALIZAÇÃO DA NORMA
11.1. O disposto na presente norma será atualizado sempre que alterados os
procedimentos de Gestão de Riscos de TIC, observada, ainda, a periodicidade prevista para
a revisão da POSIN.
ANEXO VI
NORMA DE SEGURANÇA DA INFORMAÇÃO - NSI 006/2023
GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
1. OBJETIVO
1.1. Estabelecer diretrizes e padrões para a Gestão de Incidentes de Segurança
da Informação no âmbito do Ministério do Meio Ambiente e Mudança do Clima.
2. MOTIVAÇÕES
2.1. Alinhamento às normas, regulamentações e melhores práticas relacionadas
à matéria.
2.2. Necessidade de tratar os incidentes de segurança da informação (SI) com
resposta rápida e eficiente.
2.3. Correto direcionamento e dimensionamento de recursos tecnológicos e
humanos para prover uma Gestão de Incidentes de Segurança da Informação com menor
custo e maior qualidade.
2.4. Formalização de um processo sistemático para gerenciamento dos
incidentes de segurança da informação, provendo insumos para minimizar e/ou evitar
eventos futuros.
3. REFERÊNCIAS NORMATIVAS
3.1. Instrução Normativa nº 1, de 27 de maio de 2020, do GSI/PR, que dispõe
sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da
administração pública federal.
3.2. Norma Complementar nº 05/IN01/DSIC/GSIPR, de 14 de agosto de 2009,
que disciplina a criação de Equipe de Tratamento e Resposta a Incidentes em Redes
Computacionais - ETIR, nos órgãos e entidades da Administração Pública Federal, direta e
indireta - APF.
3.3. Norma Complementar nº 08/IN01/DSIC/GSIPR, de 14 de agosto de 2010,
que estabelece as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais
nos órgãos e entidades da APF.
3.4. Norma Complementar nº 21/IN01/DSIC/GSIPR, de 08 de outubro de 2014,
que estabelece as Diretrizes para o Registro de Eventos, Coleta e Preservação de
Evidências de Incidentes de Segurança em Redes nos órgãos e entidades da Administração
Pública Federal, direta e indireta.
3.5. Norma Técnica ABNT NBR ISO/IEC 27001:2013, que especifica os requisitos
para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão
da segurança da informação dentro do contexto da organização.
3.6. Norma Técnica ABNT NBR ISO/IEC 27002:2013, que fornece diretrizes para
práticas de gestão de segurança da informação.
3.7. Norma Técnica ISO/IEC 27000:2018, que especifica conceitos e definições
relacionados às normas de segurança da informação.
3.8. Instrução Normativa nº 1, de 04 de abril de 2019, que dispõe sobre o
processo de contratação de soluções de Tecnologia da Informação e Comunicação (TIC)
pelos órgãos e entidades integrantes do Sistema de Administração dos Recursos de
Tecnologia da Informação - SISP do Poder Executivo Federal.
4. CONCEITOS E DEFINIÇÕES
4.1. Para os fins desta Norma, adota-se os conceitos e definições constantes do
Glossário de Segurança da Informação, conforme Portaria GSI/PR nº 93, de 18 de outubro
de 2021.
5. DIRETRIZES
5.1. A gestão de Incidentes de SI tem como principal objetivo assegurar que
sejam identificados, registrados e avaliados em tempo hábil, com a tomada de medidas de
contenção e/ou solução adequadas.
5.2. Estão abrangidos por esta norma os eventos, confirmados ou suspeitos,
relacionados à segurança de sistemas, ou de redes computacionais, que comprometam o
ambiente tecnológico do Ministério do Meio ambiente e Mudança do Clima, seus ativos,
informações e processos de negócio, bem como aqueles que contrariem a Política de
Segurança da Informação (POSIN) e dos quais decorram interrupção, parcial ou total, de
serviço essencial, ou desempenho das atividades, vulnerabilidades de segurança,
divulgação, alteração, ou destruição de informações e/ou prática de ato definido como
crime, ou infração administrativa.
5.3. A infraestrutura de tecnologia da informação (TI) do Ministério do Meio
ambiente e Mudança do Clima deverá ser provida de dispositivos de monitoramento e por
ferramentas de SI contínuos e aplicados na implementação e operação do Sistema de
Gestão de Segurança da Informação.
6. PROCESSO DE GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
6.1. O processo de Gestão de Incidentes de Segurança da Informação é
contínuo e aplicado na implementação e operação do Sistema de Gestão de Segurança da
Informação (SGSI).
6.2. O processo de Gestão de Incidentes de Segurança da Informação é
composto pelas seguintes etapas:
6.2.1. Detecção e registro: compreende o recebimento, registro e autorizações
necessárias para o encaminhamento da investigação;
6.2.2. Investigação e contenção: compreende a investigação e tratamento do
incidente, coleta de dados, comunicação as áreas afetadas, proposição e aplicação de
ações de contenção, quando necessárias;
6.2.3. Encerramento: compreende a análise do incidente, com verificação da
necessidade de outras ações, providências ou comunicações, e após seu cumprimento, o
encerramento do incidente;
6.2.4. Avaliação de incidentes: compreende a avaliação do histórico de
incidentes, com consolidação das informações e indicadores e verificação das
oportunidades de melhoria e lições aprendidas.
6.3. Os incidentes, notificados ou detectados, devem ser objeto de registro,
com a finalidade de assegurar a manutenção do histórico e auxiliar na geração de
indicadores.

Fechar