N m e r o d a N o r m a C o m p l e m e n t a r R e v i s o E m i s s o F o l h a

06/IN01/DSIC/GSIPR 01 11/NOV/09 1/7

PRESIDNCIA DA REPBLICA Gabinete de Segurana Institucional

Departamento de Segurana da Informao e Comunicaes

ORIGEM Departamento de Segurana da Informao e Comunicaes

REFERNCIA NORMATIVA Art. 6 da Lei n 10.683, de 28 de maio de 2003. Art. 8 do Anexo I do Decreto n 6.931, de 11 de agosto de 2009. Decreto n 3.505, de 13 de junho de 2000. Instruo Normativa n 01 do Gabinete de Segurana Institucional, de 13 de junho de 2008. NBR 15999-1: 2007 Gesto de Continuidade de Negcios. NBR ISO/IEC 27002 (17799:2005) Cobit 4.1 DS4 Ensure Continuous Service

CAMPO DE APLICAO Esta Norma Complementar se aplica no mbito da Administrao Pblica Federal, direta e indireta.

SUMRIO 1. Objetivo 2. Consideraes Iniciais 3. Fundamento Legal da Norma Complementar 4. Conceitos e Definies 5. Procedimentos 6. Responsabilidades 7. Vigncia

INFORMAES ADICIONAIS No h

APROVAO

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurana da Informao e Comunicaes

GESTO DE CONTINUIDADE DE NEGCIOS EM SEGURANA DA INFORMAO E COMUNICAES

N m e r o d a N o r m a C o m p l e m e n t a r R e v i s o E m i s s o F o l h a

06/IN01/DSIC/GSIPR 01 11/NOV/09 2/7

1 OBJETIVO

Estabelecer diretrizes para Gesto de Continuidade de Negcios, nos aspectos relacionados Segurana da Informao e Comunicaes, nos rgos e entidades da Administrao Pblica Federal, direta e indireta APF.

2 CONSIDERAES INICIAIS

A implantao do processo de Gesto de Continuidade de Negcios busca minimizar os impactos decorrentes de falhas, desastres ou indisponibilidades significativas sobre as atividades do rgo ou entidade, alm de recuperar perdas de ativos de informao a um nvel aceitvel, por intermdio de aes de preveno, resposta e recuperao.

A Gesto de Continuidade de Negcios pode envolver aes mais abrangentes do que as definidas no mbito da Gesto de Segurana da Informao e Comunicaes, especialmente devido aos requisitos estratgicos de continuidade relativos s pessoas, infraestrutura, aos processos e s atividades operacionais.

A Gesto de Continuidade de Negcios, objeto desta norma complementar, est limitada ao escopo das aes de Segurana da Informao e Comunicaes implementadas nos rgos ou entidades da APF.

3 FUNDAMENTO LEGAL DA NORMA COMPLEMENTAR

Conforme disposto no inciso II do art. 3 da Instruo Normativa n 01, de 13 de Junho de 2008, do Gabinete de Segurana Institucional, compete ao Departamento de Segurana da Informao e Comunicaes DSIC, estabelecer normas definindo os requisitos metodolgicos para implementao da Gesto de Segurana da Informao e Comunicaes pelos rgos e entidades da Administrao Pblica Federal, direta e indireta.

4 CONCEITOS E DEFINIES

Para os efeitos desta Norma Complementar, aplicam-se os seguintes conceitos e definies:

4.1 Atividade: processo ou conjunto de processos executados por um rgo ou entidade, ou em seu nome, que produzem ou suportem um ou mais produtos ou servios;

4.2 Atividades Crticas: atividades que devem ser executadas de forma a garantir a consecuo dos produtos e servios fundamentais do rgo ou entidade de tal forma que permitam atingir os seus objetivos mais importantes e sensveis ao tempo.

4.3 Anlise de Impacto nos Negcios (AIN): visa estimar os impactos resultantes da interrupo de servios e de cenrios de desastres que possam afetar o desempenho dos rgos

N m e r o d a N o r m a C o m p l e m e n t a r R e v i s o E m i s s o F o l h a

06/IN01/DSIC/GSIPR 01 11/NOV/09 3/7

ou entidades da APF, bem como as tcnicas para quantificar e qualificar esses impactos. Define tambm a criticidade dos processos de negcio, suas prioridades de recuperao, interdependncias e os requisitos de segurana da informao e comunicaes para que os objetivos de recuperao sejam atendidos nos prazos estabelecidos

4.4 Ativos de informao: os meios de armazenamento, transmisso e processamento, os sistemas de informao, bem como os locais onde se encontram esses meios e as pessoas que a eles tm acesso;

4.5 Continuidade de Negcios: capacidade estratgica e ttica de um rgo ou entidade de se planejar e responder a incidentes e interrupes de negcios, minimizando seus impactos e recuperando perdas de ativos da informao das atividades crticas, de forma a manter suas operaes em um nvel aceitvel, previamente definido;

4.6 Desastre: Evento repentino e no planejado que causa perda para toda ou parte da organizao e gera srios impactos em sua capacidade de entregar servios essenciais ou crticos por um perodo de tempo superior ao tempo objetivo de recuperao;

4.7 Estratgia de Continuidade de Negcios: abordagem de um rgo ou entidade que garante a recuperao dos ativos de informao e a continuidade das atividades crticas ao se defrontar com um desastre, uma interrupo ou outro incidente maior;

4.8 Gesto de Continuidade: processo abrangente de gesto que identifica ameaas potenciais para uma organizao e os possveis impactos nas operaes de negcio, caso estas ameaas se concretizem. Este processo fornece uma estrutura para que se desenvolva uma resilincia organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das partes interessadas, a reputao e a marca da organizao, e suas atividades de valor agregado;

4.9 Incidente: evento que tenha causado algum dano, colocado em risco, algum ativo de informao crtico ou interrompido a execuo de alguma atividade crtica por um perodo de tempo inferior ao tempo objetivo de recuperao;

4.10 Plano de Continuidade de Negcios: documentao dos procedimentos e informaes necessrias para que os rgos ou entidades da APF mantenham seus ativos de informao crticos e a continuidade de suas atividades crticas em local alternativo num nvel previamente definido, em casos de incidentes;

4.11 Plano de Gerenciamento de Incidentes: plano de ao claramente definido e documentado, para ser usado quando ocorrer um incidente que basicamente cubra as principais pessoas, recursos, servios e outras aes que sejam necessrias para implementar o processo de gerenciamento de incidentes;

4.12 Plano de Recuperao de Negcios: documentao dos procedimentos e informaes necessrias para que o rgo ou entidade da APF operacionalize o retorno das atividades crticas a normalidade;

N m e r o d a N o r m a C o m p l e m e n t a r R e v i s o E m i s s o F o l h a

06/IN01/DSIC/GSIPR 01 11/NOV/09 4/7

4.13 Programa de Gesto da Continuidade de Negcios: processo contnuo de gesto e governana suportado pela alta direo e que recebe recursos apropriados para garantir que os passos necessrios esto sendo tomados de forma a identificar o impacto de perdas em potencial, manter estratgias e planos de recuperao viveis e garantir a continuidade de fornecimento de produtos e servios por intermdio anlises crticas, testes, treinamentos e manuteno;

4.14 Tempo Objetivo de Recuperao: o tempo pr-definido no qual uma atividade dever estar disponvel aps uma interrupo ou incidente;

4.15 Resilincia: poder de recuperao ou capacidade de uma organizao resistir aos efeitos de um desastre.

5 PROCEDIMENTOS

5.1 A elaborao do Programa de Gesto da Continuidade de Negcios envolve os seguintes procedimentos:

5.1.1 desenvolver documento com as diretrizes do Programa de Continuidade;

5.1.2 definir as atividades crticas do rgo ou entidade;

5.1.3 avaliar os riscos a que estas atividades crticas esto expostas;

5.1.4 definir as estratgias de continuidade para as atividades crticas;

5.1.5 desenvolver e implementar os Planos previstos no Programa de Gesto da Continuidade de Negcios para respostas tempestivas a interrupes;

5.1.6 realizar exerccios, testes e manuteno peridica dos Planos, promovendo as revises necessrias;

5.1.7 desenvolver a cultura de continuidade de negcios no rgo ou entidade;

5.2 Os procedimentos previstos no Programa de Gesto da Continuidade de Negcios so executados em conformidade com os requisitos de segurana da informao e comunicaes necessrios proteo dos ativos de informao crticos, tratando as atividades de forma abrangente, o que inclui as pessoas, os processos, a infraestrutura e os recursos de tecnologia da informao e comunicaes;

5.3 Recomenda-se que o Programa de Gesto de Continuidade de Negcios de um rgo ou entidade da APF seja composto, no mnimo, pelos seguintes Planos, de acordo com as suas necessidades especficas, de forma a assegurar a disponibilidade dos ativos de informao e a recuperao das atividades crticas:

5.3.1 Plano de Gerenciamento de Incidentes - PGI;

N m e r o d a N o r m a C o m p l e m e n t a r R e v i s o E m i s s o F o l h a

06/IN01/DSIC/GSIPR 01 11/NOV/09 5/7

5.3.2 Plano de Continuidade de Negcios - PCN; 5.3.3 Plano de Recuperao de Negcios - PRN.

5.4 Cada um dos Planos contm, no mnimo:

5.4.1 Plano de Gerenciamento de Incidentes: a) Objetivo e escopo; b) Papis e responsabilidades; c) Condies para a ativao de Planos; d) Autoridade responsvel; e) Detalhes de contato; f) Lista de tarefas e aes; g) Atividades das pessoas; h) Comunicao mdia; i) Localizao para o gerenciamento de incidentes.

5.4.2 Plano de Continuidade de Negcios: a) Objetivo e escopo; b) Papis e responsabilidades; c) Autoridade responsvel; d) Detalhes de contato; e) Lista de tarefas; f) Recursos necessrios.

5.4.3 Plano de Recuperao de Negcios: a) Objetivo e escopo; b) Papis e responsabilidades; c) Autoridade responsvel; d) Detalhes de contato; e) Lista de tarefas; f) Recursos necessrios.

5.5 Os Planos so exercitados e testados periodicamente, bem assim os resultados documentados de forma a garantir a sua efetividade.

5.6 A reviso dos Planos realizada nas seguintes situaes:

5.6.1 No mnimo, uma vez por ano;

5.6.2 Em funo dos resultados dos testes realizados; ou

5.6.3 Aps alguma mudana significativa nos ativos de informao, nas atividades ou em algum de seus componentes.

5.7 Sugere-se que os contratos firmados com empresas terceirizadas que suportem atividades crticas contenham clusula segundo a qual as referidas empresas possuam Planos de Continuidade dos seus Negcios, bem como as evidncias dos testes realizados.

N m e r o d a N o r m a C o m p l e m e n t a r R e v i s o E m i s s o F o l h a

06/IN01/DSIC/GSIPR 01 11/NOV/09 6/7

6 RESPONSABILIDADES

6.1 Para a Alta Administrao do rgo ou entidade da APF, no mbito de suas atribuies, recomenda-se que sejam adotadas as seguintes responsabilidades:

6.1.1 aprovar as diretrizes estratgicas que norteiam a elaborao do Programa de Gesto de Continuidade de Negcios;

6.1.2 avaliar a relao custo / benefcio das estratgias de continuidade propostas e dos Planos que compem o Programa de Gesto da Continuidade de Negcios e decida sobre sua implementao;

6.1.3 garantir os recursos necessrios para estabelecer, implementar, operar e manter o Programa de Gesto da Continuidade de Negcios.

6.2 As seguintes atribuies devem ser conferidas ao responsvel pela Gesto da Continuidade de Negcios, ou ao Gestor de Segurana da Informao e Comunicaes, no caso do rgo ou entidade no possuir o Gestor de Continuidade de Negcios;

6.2.1 Propor as diretrizes estratgicas do Programa de Gesto da Continuidade de Negcios;

6.2.2 Avaliar o plano de tratamento de riscos;

6.2.3 Realizar, periodicamente, a Anlise de Impacto nos Negcios (AIN);

6.2.4 Propor melhorias na implantao de novos controles relativos ao Programa de Gesto de Continuidade de Negcios;

6.2.5 Supervisionar a elaborao, implementao, testes e atualizao dos Planos;

6.2.6 Desenvolver a cultura de Gesto de Continuidade de Negcios.

6.3 As seguintes atribuies devem ser conferidas aos responsveis pelos setores ou processos onde foram identificadas atividades crticas para o rgo ou entidade da APF:

6.3.1 Elaborar os Planos previstos no Programa de Gesto da Continuidade de Negcios relacionados s atividades crticas;

6.3.2 Realizar os testes e exerccios dos Planos;

6.3.3 Avaliar e aprimorar os Planos a partir dos resultados dos testes e exerccios;

6.3.4 Administrar a contingncia quando da interrupo de atividades, com base nos Planos desenvolvidos;

N m e r o d a N o r m a C o m p l e m e n t a r R e v i s o E m i s s o F o l h a

06/IN01/DSIC/GSIPR 01 11/NOV/09 7/7

6.3.5 Propor os recursos necessrios para a implantao e o desenvolvimento das aes relacionadas continuidade das atividades, bem como para a realizao dos testes e dos exerccios dos Planos.

7 VIGNCIA

Esta Norma entra em vigor na data de sua publicao, gerando seus efeitos a partir de 17 de maio de 2010.