seguranÇa da informaÇÃo assinado eletronicamente …
TRANSCRIPT
MANUAL DE
CONTROLE DE
CÓPIA DE
SEGURANÇA DA
INFORMAÇÃO
ASSINADO ELETRONICAMENTE PELO USUÁRIO: Keytson Deny Gomes Portugal (Lei 11.419/2006)
EM 30/04/2021 16:15 (Hora Local) - Aut. Assinatura: F745E3341ABAC846.40958606E5E559B8.0D10B18076F7A11A.0185666C1D892A41
Nº do Protocolo: 2021/394273 Anexo/Sequencial: 12 Confira a autenticidade deste documento em https://www.sistemas.pa.gov.br/validacao-protocolo
Identificador de autenticação: 086EAB8.B54F.0B5.D566F3E246447BC69F
DIRETORIA EXECUTIVA
Presidente
Ilton Giussepp Stival Mendes da Rocha Lopes da Silva
Procuradora-Chefe
Ana Rita Dopazo Antônio José Lorenço
Diretor de Administração e Finanças
Franklin José Neves Contente
Diretora de Previdência
Camila Busarello
Belém - Pará
2021
ASSINADO ELETRONICAMENTE PELO USUÁRIO: Keytson Deny Gomes Portugal (Lei 11.419/2006)
EM 30/04/2021 16:15 (Hora Local) - Aut. Assinatura: F745E3341ABAC846.40958606E5E559B8.0D10B18076F7A11A.0185666C1D892A41
Nº do Protocolo: 2021/394273 Anexo/Sequencial: 12 Confira a autenticidade deste documento em https://www.sistemas.pa.gov.br/validacao-protocolo
Identificador de autenticação: 086EAB8.B54F.0B5.D566F3E246447BC69F
SUMÁRIO
1 APRESENTAÇÃO .............................................................................................................. 4
2 INFRAESTRUTURA DE PROTEÇÃO DE DADOS DO IGEPREV ............................ 6
2.1. Política de Backup do IGEPREV .............................................................................. 7
3 FLUXOGRAMA ................................................................................................................... 8
4 DESCRIÇÃO DAS ATIVIDADES ..................................................................................... 9
5 REFERÊNCIAS ................................................................................................................ 11
6 GLOSSÁRIO ..................................................................................................................... 12
7 TERMO DE VALIDAÇÃO ................................................................................................ 13
ASSINADO ELETRONICAMENTE PELO USUÁRIO: Keytson Deny Gomes Portugal (Lei 11.419/2006)
EM 30/04/2021 16:15 (Hora Local) - Aut. Assinatura: F745E3341ABAC846.40958606E5E559B8.0D10B18076F7A11A.0185666C1D892A41
Nº do Protocolo: 2021/394273 Anexo/Sequencial: 12 Confira a autenticidade deste documento em https://www.sistemas.pa.gov.br/validacao-protocolo
Identificador de autenticação: 086EAB8.B54F.0B5.D566F3E246447BC69F
4
1 APRESENTAÇÃO
A Coordenadoria de Tecnologia da Informação (CTIN) é parte integrante
da estrutura organizacional do IGEPREV - Instituto de Gestão Previdenciária
do Estado do Pará, instituído pelo Decreto 1751 de 30/08/2005 que ao dispor
sobre a estrutura organizacional desta Autarquia estabeleceu, em seu artigo 18
a Coordenadoria de Tecnologia da Informação compete:
I - planejar, controlar e supervisionar as atividades de desenvolvimento e
manutenção de sistemas, administração de rede, suporte, produção e
treinamento em informática;
II - desenvolver os trabalhos de análise, desenvolvimento, implantação e
manutenção de sistemas aplicativos;
III - acompanhar e controlar a instalação e a manutenção de aplicativos
e componentes da infra-estrutura de informática, bem como respectiva
documentação técnica, distribuição, remanejamento e desativação, no âmbito
interno do IGEPREV;
IV - administrar a rede de computadores do IGEPREV, identificando as
necessidades da integração de informações com outros órgãos da
Administração Pública Estadual;
V - desenvolver e manter uma política de segurança de redes e sub-
redes objetivando a proteção do usuário no âmbito do IGEPREV;
VI - acompanhar investigações sobre incidentes de segurança de rede,
emitindo relatório sobre as ações necessárias para o saneamento dos
problemas;
VII - executar a manutenção preventiva e corretiva dos computadores e
o controle da qualidade dos produtos obtidos;
VIII - acompanhar e avaliar os resultados produzidos pelos sistemas
implantados, verificando-os quanto à sua adequação às necessidades dos
usuários, bem como no que concerne às análises de performance;
IX - instalar e configurar, nos diversos equipamentos de informática do
IGEPREV, o software básico e os pacotes de software adquiridos;
X - acompanhar as atividades inerentes à operação dos equipamentos
de informática e, eventualmente, operá-los;
XI - implementar a política de treinamento ao usuário de informática;
XII - emitir parecer e fornecer subsídios e critérios técnicos de avaliação
orientados à aquisição de produtos na área de informática;
ASSINADO ELETRONICAMENTE PELO USUÁRIO: Keytson Deny Gomes Portugal (Lei 11.419/2006)
EM 30/04/2021 16:15 (Hora Local) - Aut. Assinatura: F745E3341ABAC846.40958606E5E559B8.0D10B18076F7A11A.0185666C1D892A41
Nº do Protocolo: 2021/394273 Anexo/Sequencial: 12 Confira a autenticidade deste documento em https://www.sistemas.pa.gov.br/validacao-protocolo
Identificador de autenticação: 086EAB8.B54F.0B5.D566F3E246447BC69F
5
XIII - gerenciar o processo de celebração de convênio com outras
entidades para fornecimento de informações;
XIV - executar os serviços de informática de sua competência, bem
como acompanhar os contratados com terceiros;
XV - executar a prospecção, a avaliação, a internalização e a
disseminação de novas tecnologias;
XVI - estabelecer normas e padrões para as atividades de construção e
manutenção de sistemas e projetos de rede;
XVII - administrar a rede corporativa de comunicação de dados do
IGEPREV, bem como os seus endereços;
XVIII - controlar as atividades relativas à administração e operação de
equipamentos de informática;
XIX - coordenar e propor a elaboração de projetos de rede de
comunicação de dados e sua instalação;
XX - especificar e homologar a infra-estrutura de hardware e software,
bem como zelar pela sua evolução e permanente adequação às necessidades
do IGEPREV;
XXI - planejar e propor a aquisição de equipamentos e programas de
informática;
XXII - autorizar e acompanhar projetos de manutenção ou de
desenvolvimento de sistemas de informação;
XXIII - adequar os produtos de informação e informática às
necessidades dos usuários, controlando os aspectos relativos à sua
disponibilidade, prazos, periodicidade de atendimento e avaliação da
qualidade.
ASSINADO ELETRONICAMENTE PELO USUÁRIO: Keytson Deny Gomes Portugal (Lei 11.419/2006)
EM 30/04/2021 16:15 (Hora Local) - Aut. Assinatura: F745E3341ABAC846.40958606E5E559B8.0D10B18076F7A11A.0185666C1D892A41
Nº do Protocolo: 2021/394273 Anexo/Sequencial: 12 Confira a autenticidade deste documento em https://www.sistemas.pa.gov.br/validacao-protocolo
Identificador de autenticação: 086EAB8.B54F.0B5.D566F3E246447BC69F
6
2 INFRAESTRUTURA DE PROTEÇÃO DE DADOS DO IGEPREV
A infraestrutura de proteção de dados do IGEPREV é composta por
software de backup corporativo capaz de proteger todos os sistemas
operacionais e bases de dados e efetuar cópia destas de segurança das
informações de forma online.
O armazenamento das informações é efetuado em dois equipamentos
específicos para armazenamento de backups em disco, sendo um localizado
no prédio sede do instituto e sua réplica em site de contingência na PRODEPA
localizado a 17 km de distância.
O processo é totalmente automatizado e exige pouca intervenção
humana.
Figura 1- Diagrama de Infraestrutura de Backup
ASSINADO ELETRONICAMENTE PELO USUÁRIO: Keytson Deny Gomes Portugal (Lei 11.419/2006)
EM 30/04/2021 16:15 (Hora Local) - Aut. Assinatura: F745E3341ABAC846.40958606E5E559B8.0D10B18076F7A11A.0185666C1D892A41
Nº do Protocolo: 2021/394273 Anexo/Sequencial: 12 Confira a autenticidade deste documento em https://www.sistemas.pa.gov.br/validacao-protocolo
Identificador de autenticação: 086EAB8.B54F.0B5.D566F3E246447BC69F
7
2.1. Política de Backup do IGEPREV
A política de backup em vigor no Instituto encontra-se descrita de forma
resumida a seguir na tabela a seguir.
Ambiente Carga de Trabalho Tipo Frequência Retenção (dias)
Clone
Homologação AIX- Arquivos Incremental Diário 30 Não
Homologação AIX- Arquivos Completo Semanal 30 Não
Produção AIX- Arquivos Incremental Diário 30 Sim
Produção AIX- Arquivos Completo Semanal 30 Sim
Produção Banco de Dados Oracle
Completo Diário 30 Sim
Produção Logs transacionais Oracle
Completo A cada 6 hs 30 Sim
Homologação Banco de Dados Oracle
Completo Diário 30 Sim
Homologação Logs transacionais Oracle
Completo Diário 30 Sim
Homologação VMware Completo Semanal 7 Não
Homologação VMware Incremental Diário 7 Não
Produção VMware Incremental Diário 7 Sim
Produção VMware Completo Semanal 7 Sim
Produção Active Directory Incremental Diário 7 Sim
Produção Active Directory - Entradas
Incremental Diário 7 Sim
Produção Server Protection NMC Completo Diário 7 Sim
Produção Servidor de Backup Completo Diário 30 Sim
Produção Redhat – Arquivos Completo Diário 30 Sim
ASSINADO ELETRONICAMENTE PELO USUÁRIO: Keytson Deny Gomes Portugal (Lei 11.419/2006)
EM 30/04/2021 16:15 (Hora Local) - Aut. Assinatura: F745E3341ABAC846.40958606E5E559B8.0D10B18076F7A11A.0185666C1D892A41
Nº do Protocolo: 2021/394273 Anexo/Sequencial: 12 Confira a autenticidade deste documento em https://www.sistemas.pa.gov.br/validacao-protocolo
Identificador de autenticação: 086EAB8.B54F.0B5.D566F3E246447BC69F
8
3 FLUXOGRAMA
ASSINADO ELETRONICAMENTE PELO USUÁRIO: Keytson Deny Gomes Portugal (Lei 11.419/2006)
EM 30/04/2021 16:15 (Hora Local) - Aut. Assinatura: F745E3341ABAC846.40958606E5E559B8.0D10B18076F7A11A.0185666C1D892A41
Nº do Protocolo: 2021/394273 Anexo/Sequencial: 12 Confira a autenticidade deste documento em https://www.sistemas.pa.gov.br/validacao-protocolo
Identificador de autenticação: 086EAB8.B54F.0B5.D566F3E246447BC69F
9
4 DESCRIÇÃO DAS ATIVIDADES
Raia 1 – FORNECEDOR
Atividade: Validar Backups do dia anterior
Através da Aba “Monitoring” da console da solução de backup, deve-se
analisar o “Status” das tarefas de backups validando sua execução, conforme
descrito na figura abaixo:
Figura 2 – Status das tarefas de backup
Atividade: Validar Clones de Backups para Prodepa
Os clones são realizados em todos os backups de produção para
garantir uma segunda cópia em um ambiente separado do ambiente de
produção em equipamento de armazenamento idêntico. Para validar a
existência dos clones deve-se acessar o resumo de ações por grupo e verificar
o status das tarefas de Clone em busca de jobs bem sucedidos ou com falhas,
conforme mostra a figura abaixo: ASSINADO ELETRONICAMENTE PELO USUÁRIO: Keytson Deny Gomes Portugal (Lei 11.419/2006)
EM 30/04/2021 16:15 (Hora Local) - Aut. Assinatura: F745E3341ABAC846.40958606E5E559B8.0D10B18076F7A11A.0185666C1D892A41
Nº do Protocolo: 2021/394273 Anexo/Sequencial: 12 Confira a autenticidade deste documento em https://www.sistemas.pa.gov.br/validacao-protocolo
Identificador de autenticação: 086EAB8.B54F.0B5.D566F3E246447BC69F
10
Figura 3 – Resumo das ações por grupo
Atividade: Analisar e Corrigir
Em caso de falhas deve-se analisar quais os problemas que levaram ao
problema e deve-se tomar medidas imediatas para resolução. Caso seja
necessário o reinício das rotinas de backup, estas devem ocorrer fora do
horário comercial para não prejudicar o desempenho das aplicações.
Atividade: Acionar Suporte do Fabricante
Caso existam problemas relativos à infraestrutura de hardware ou
software da solução de proteção de dados, o fabricante deve ser acionado para
apoiar na resolução definitiva do problema.
Raia 2 - CTIN
Atividade: Notificar CTIN através de abertura de chamado
Caso sejam identificadas falhas nas rotinas de backup, a CTIN deve ser
notificada através da abertura de chamado na plataforma de gestão de
demandas.
Atividade: Atualizar Chamado com problema e solução
Durante a resolução dos problemas de backup o chamado aberto para
notificação da CTIN deve ser continuamente atualizado visando garantir a
criação de base de conhecimento sobre problemas e resoluções de questões
de backup.
ASSINADO ELETRONICAMENTE PELO USUÁRIO: Keytson Deny Gomes Portugal (Lei 11.419/2006)
EM 30/04/2021 16:15 (Hora Local) - Aut. Assinatura: F745E3341ABAC846.40958606E5E559B8.0D10B18076F7A11A.0185666C1D892A41
Nº do Protocolo: 2021/394273 Anexo/Sequencial: 12 Confira a autenticidade deste documento em https://www.sistemas.pa.gov.br/validacao-protocolo
Identificador de autenticação: 086EAB8.B54F.0B5.D566F3E246447BC69F
11
5 REFERÊNCIAS
Políticas de Segurança
AMPASS (Autarquia Municipal de Previdência e Assistência
Saúde dos Servidores do Recife/PE);
Associação dos Hospitais Universitários Federais;
Secretaria de Administração do Governo do Estado de
Pernambuco;
Fundo Previdenciário do Estado do Amazonas – AMAZONPREV;
Recomendações NBR
NBR ISO\IEC 27001:2013: Sistemas de Gestão da Segurança da
informação, Rio de Janeiro, 2013.
NBR ISO\IEC 27002:2013: Código de prática para controles de
segurança da informação, Rio de Janeiro, 2013.
NBR ISSO\IEC 27002:2005. Tecnologia da informação - Técnicas
de segurança – Código de Prática para a Gestão de Segurança da
Informação.
Decreto nº3505 de 13/06/2000, revogado pelo Decreto nº 9.637,
de 2018.
Instrução Normativa nº 01, de 13 de junho de 2008 - Gabinete de
Segurança Institucional da Presidência da Republica (GSI/PR) - que
disciplina a Gestão de Segurança da Informação e Comunicações na
Administração Pública Federal, direta e indireta, publicado no Diário Oficial
[da] União, Brasília, DF, 18 Jun. 2008.
ASSINADO ELETRONICAMENTE PELO USUÁRIO: Keytson Deny Gomes Portugal (Lei 11.419/2006)
EM 30/04/2021 16:15 (Hora Local) - Aut. Assinatura: F745E3341ABAC846.40958606E5E559B8.0D10B18076F7A11A.0185666C1D892A41
Nº do Protocolo: 2021/394273 Anexo/Sequencial: 12 Confira a autenticidade deste documento em https://www.sistemas.pa.gov.br/validacao-protocolo
Identificador de autenticação: 086EAB8.B54F.0B5.D566F3E246447BC69F
12
6 GLOSSÁRIO
Backup: é uma cópia de segurança de dados de um dispositivo de
armazenamento a outro para que possam ser restaurados em caso da perda
dos dados originais, o que pode envolver apagamentos acidentais ou
corrupção de dados.
Servidor: é um software ou computador, com sistema de computação
centralizada que fornece serviços a uma rede de computadores, chamada de
cliente. Esses serviços podem ser de naturezas distintas, como por exemplo,
arquivos e correio eletrônico.
Banco de Dados: são conjuntos de arquivos relacionados entre si com
registros sobre pessoas, lugares ou coisas. São coleções organizadas de
dados que se relacionam de forma a criar algum sentido (informação) e dar
mais eficiência durante uma pesquisa.
PRODEPA: Empresa de Tecnologia da Informação e Comunicação do
Estado do Pará está vinculada à Secretaria de Estado de Ciência, Tecnologia e
Educação Técnica e Tecnológica (SECTET).
VMware: um software/máquina virtual que permite a instalação e
utilização de um sistema operacional dentro de outro dando suporte real a
software de outros sistemas operativos.
Active Directory: é uma implementação de serviço de diretório que
armazena informações sobre objetos em rede de computadores e disponibiliza
essas informações a usuários e administradores desta rede.
ASSINADO ELETRONICAMENTE PELO USUÁRIO: Keytson Deny Gomes Portugal (Lei 11.419/2006)
EM 30/04/2021 16:15 (Hora Local) - Aut. Assinatura: F745E3341ABAC846.40958606E5E559B8.0D10B18076F7A11A.0185666C1D892A41
Nº do Protocolo: 2021/394273 Anexo/Sequencial: 12 Confira a autenticidade deste documento em https://www.sistemas.pa.gov.br/validacao-protocolo
Identificador de autenticação: 086EAB8.B54F.0B5.D566F3E246447BC69F
13
7 TERMO DE VALIDAÇÃO
Manual de Controle de Cópia de Segurança da Informação – CTIN
Emissão em: 08/01/2021 – V1
_________________________________________________________
Agente Público de Controle
_________________________________________________________
Agente Público de Controle
_________________________________________________________
Agente Público de Controle
_________________________________________________________
Núcleo de Controle Interno
_________________________________________________________
Coordenadoria de Tecnologia da Informação
_________________________________________________________
Diretoria de Administração e Finanças
_________________________________________________________
Presidência
ASSINADO ELETRONICAMENTE PELO USUÁRIO: Keytson Deny Gomes Portugal (Lei 11.419/2006)
EM 30/04/2021 16:15 (Hora Local) - Aut. Assinatura: F745E3341ABAC846.40958606E5E559B8.0D10B18076F7A11A.0185666C1D892A41
Nº do Protocolo: 2021/394273 Anexo/Sequencial: 12 Confira a autenticidade deste documento em https://www.sistemas.pa.gov.br/validacao-protocolo
Identificador de autenticação: 086EAB8.B54F.0B5.D566F3E246447BC69F