SEGURANÇA DA INFORMAÇÃO ASSINADO ELETRONICAMENTE …

MANUAL DE

CONTROLE DE

CÓPIA DE

SEGURANÇA DA

INFORMAÇÃO

ASSINADO ELETRONICAMENTE PELO USUÁRIO: Keytson Deny Gomes Portugal (Lei 11.419/2006)

EM 30/04/2021 16:15 (Hora Local) - Aut. Assinatura: F745E3341ABAC846.40958606E5E559B8.0D10B18076F7A11A.0185666C1D892A41

Nº do Protocolo: 2021/394273 Anexo/Sequencial: 12 Confira a autenticidade deste documento em https://www.sistemas.pa.gov.br/validacao-protocolo

Identificador de autenticação: 086EAB8.B54F.0B5.D566F3E246447BC69F

DIRETORIA EXECUTIVA

Presidente

Ilton Giussepp Stival Mendes da Rocha Lopes da Silva

Procuradora-Chefe

Ana Rita Dopazo Antônio José Lorenço

Diretor de Administração e Finanças

Franklin José Neves Contente

Diretora de Previdência

Camila Busarello

Belém - Pará

2021





SUMÁRIO

1 APRESENTAÇÃO .............................................................................................................. 4

2 INFRAESTRUTURA DE PROTEÇÃO DE DADOS DO IGEPREV ............................ 6

2.1. Política de Backup do IGEPREV .............................................................................. 7

3 FLUXOGRAMA ................................................................................................................... 8

4 DESCRIÇÃO DAS ATIVIDADES ..................................................................................... 9

5 REFERÊNCIAS ................................................................................................................ 11

6 GLOSSÁRIO ..................................................................................................................... 12

7 TERMO DE VALIDAÇÃO ................................................................................................ 13





4

1 APRESENTAÇÃO

A Coordenadoria de Tecnologia da Informação (CTIN) é parte integrante

da estrutura organizacional do IGEPREV - Instituto de Gestão Previdenciária

do Estado do Pará, instituído pelo Decreto 1751 de 30/08/2005 que ao dispor

sobre a estrutura organizacional desta Autarquia estabeleceu, em seu artigo 18

a Coordenadoria de Tecnologia da Informação compete:

I - planejar, controlar e supervisionar as atividades de desenvolvimento e

manutenção de sistemas, administração de rede, suporte, produção e

treinamento em informática;

II - desenvolver os trabalhos de análise, desenvolvimento, implantação e

manutenção de sistemas aplicativos;

III - acompanhar e controlar a instalação e a manutenção de aplicativos

e componentes da infra-estrutura de informática, bem como respectiva

documentação técnica, distribuição, remanejamento e desativação, no âmbito

interno do IGEPREV;

IV - administrar a rede de computadores do IGEPREV, identificando as

necessidades da integração de informações com outros órgãos da

Administração Pública Estadual;

V - desenvolver e manter uma política de segurança de redes e sub-

redes objetivando a proteção do usuário no âmbito do IGEPREV;

VI - acompanhar investigações sobre incidentes de segurança de rede,

emitindo relatório sobre as ações necessárias para o saneamento dos

problemas;

VII - executar a manutenção preventiva e corretiva dos computadores e

o controle da qualidade dos produtos obtidos;

VIII - acompanhar e avaliar os resultados produzidos pelos sistemas

implantados, verificando-os quanto à sua adequação às necessidades dos

usuários, bem como no que concerne às análises de performance;

IX - instalar e configurar, nos diversos equipamentos de informática do

IGEPREV, o software básico e os pacotes de software adquiridos;

X - acompanhar as atividades inerentes à operação dos equipamentos

de informática e, eventualmente, operá-los;

XI - implementar a política de treinamento ao usuário de informática;

XII - emitir parecer e fornecer subsídios e critérios técnicos de avaliação

orientados à aquisição de produtos na área de informática;





5

XIII - gerenciar o processo de celebração de convênio com outras

entidades para fornecimento de informações;

XIV - executar os serviços de informática de sua competência, bem

como acompanhar os contratados com terceiros;

XV - executar a prospecção, a avaliação, a internalização e a

disseminação de novas tecnologias;

XVI - estabelecer normas e padrões para as atividades de construção e

manutenção de sistemas e projetos de rede;

XVII - administrar a rede corporativa de comunicação de dados do

IGEPREV, bem como os seus endereços;

XVIII - controlar as atividades relativas à administração e operação de

equipamentos de informática;

XIX - coordenar e propor a elaboração de projetos de rede de

comunicação de dados e sua instalação;

XX - especificar e homologar a infra-estrutura de hardware e software,

bem como zelar pela sua evolução e permanente adequação às necessidades

do IGEPREV;

XXI - planejar e propor a aquisição de equipamentos e programas de

informática;

XXII - autorizar e acompanhar projetos de manutenção ou de

desenvolvimento de sistemas de informação;

XXIII - adequar os produtos de informação e informática às

necessidades dos usuários, controlando os aspectos relativos à sua

disponibilidade, prazos, periodicidade de atendimento e avaliação da

qualidade.





6

2 INFRAESTRUTURA DE PROTEÇÃO DE DADOS DO IGEPREV

A infraestrutura de proteção de dados do IGEPREV é composta por

software de backup corporativo capaz de proteger todos os sistemas

operacionais e bases de dados e efetuar cópia destas de segurança das

informações de forma online.

O armazenamento das informações é efetuado em dois equipamentos

específicos para armazenamento de backups em disco, sendo um localizado

no prédio sede do instituto e sua réplica em site de contingência na PRODEPA

localizado a 17 km de distância.

O processo é totalmente automatizado e exige pouca intervenção

humana.

Figura 1- Diagrama de Infraestrutura de Backup





7

2.1. Política de Backup do IGEPREV

A política de backup em vigor no Instituto encontra-se descrita de forma

resumida a seguir na tabela a seguir.

Ambiente Carga de Trabalho Tipo Frequência Retenção (dias)

Clone

Homologação AIX- Arquivos Incremental Diário 30 Não

Homologação AIX- Arquivos Completo Semanal 30 Não

Produção AIX- Arquivos Incremental Diário 30 Sim

Produção AIX- Arquivos Completo Semanal 30 Sim

Produção Banco de Dados Oracle

Completo Diário 30 Sim

Produção Logs transacionais Oracle

Completo A cada 6 hs 30 Sim

Homologação Banco de Dados Oracle


Homologação Logs transacionais Oracle


Homologação VMware Completo Semanal 7 Não

Homologação VMware Incremental Diário 7 Não

Produção VMware Incremental Diário 7 Sim

Produção VMware Completo Semanal 7 Sim

Produção Active Directory Incremental Diário 7 Sim

Produção Active Directory - Entradas

Incremental Diário 7 Sim

Produção Server Protection NMC Completo Diário 7 Sim

Produção Servidor de Backup Completo Diário 30 Sim

Produção Redhat – Arquivos Completo Diário 30 Sim





8

3 FLUXOGRAMA





9

4 DESCRIÇÃO DAS ATIVIDADES

Raia 1 – FORNECEDOR

Atividade: Validar Backups do dia anterior

Através da Aba “Monitoring” da console da solução de backup, deve-se

analisar o “Status” das tarefas de backups validando sua execução, conforme

descrito na figura abaixo:

Figura 2 – Status das tarefas de backup

Atividade: Validar Clones de Backups para Prodepa

Os clones são realizados em todos os backups de produção para

garantir uma segunda cópia em um ambiente separado do ambiente de

produção em equipamento de armazenamento idêntico. Para validar a

existência dos clones deve-se acessar o resumo de ações por grupo e verificar

o status das tarefas de Clone em busca de jobs bem sucedidos ou com falhas,

conforme mostra a figura abaixo: ASSINADO ELETRONICAMENTE PELO USUÁRIO: Keytson Deny Gomes Portugal (Lei 11.419/2006)




10

Figura 3 – Resumo das ações por grupo

Atividade: Analisar e Corrigir

Em caso de falhas deve-se analisar quais os problemas que levaram ao

problema e deve-se tomar medidas imediatas para resolução. Caso seja

necessário o reinício das rotinas de backup, estas devem ocorrer fora do

horário comercial para não prejudicar o desempenho das aplicações.

Atividade: Acionar Suporte do Fabricante

Caso existam problemas relativos à infraestrutura de hardware ou

software da solução de proteção de dados, o fabricante deve ser acionado para

apoiar na resolução definitiva do problema.

Raia 2 - CTIN

Atividade: Notificar CTIN através de abertura de chamado

Caso sejam identificadas falhas nas rotinas de backup, a CTIN deve ser

notificada através da abertura de chamado na plataforma de gestão de

demandas.

Atividade: Atualizar Chamado com problema e solução

Durante a resolução dos problemas de backup o chamado aberto para

notificação da CTIN deve ser continuamente atualizado visando garantir a

criação de base de conhecimento sobre problemas e resoluções de questões

de backup.





11

5 REFERÊNCIAS

Políticas de Segurança

AMPASS (Autarquia Municipal de Previdência e Assistência

Saúde dos Servidores do Recife/PE);

Associação dos Hospitais Universitários Federais;

Secretaria de Administração do Governo do Estado de

Pernambuco;

Fundo Previdenciário do Estado do Amazonas – AMAZONPREV;

Recomendações NBR

NBR ISO\IEC 27001:2013: Sistemas de Gestão da Segurança da

informação, Rio de Janeiro, 2013.

NBR ISO\IEC 27002:2013: Código de prática para controles de

segurança da informação, Rio de Janeiro, 2013.

NBR ISSO\IEC 27002:2005. Tecnologia da informação - Técnicas

de segurança – Código de Prática para a Gestão de Segurança da

Informação.

Decreto nº3505 de 13/06/2000, revogado pelo Decreto nº 9.637,

de 2018.

Instrução Normativa nº 01, de 13 de junho de 2008 - Gabinete de

Segurança Institucional da Presidência da Republica (GSI/PR) - que

disciplina a Gestão de Segurança da Informação e Comunicações na

Administração Pública Federal, direta e indireta, publicado no Diário Oficial

[da] União, Brasília, DF, 18 Jun. 2008.





12

6 GLOSSÁRIO

Backup: é uma cópia de segurança de dados de um dispositivo de

armazenamento a outro para que possam ser restaurados em caso da perda

dos dados originais, o que pode envolver apagamentos acidentais ou

corrupção de dados.

Servidor: é um software ou computador, com sistema de computação

centralizada que fornece serviços a uma rede de computadores, chamada de

cliente. Esses serviços podem ser de naturezas distintas, como por exemplo,

arquivos e correio eletrônico.

Banco de Dados: são conjuntos de arquivos relacionados entre si com

registros sobre pessoas, lugares ou coisas. São coleções organizadas de

dados que se relacionam de forma a criar algum sentido (informação) e dar

mais eficiência durante uma pesquisa.

PRODEPA: Empresa de Tecnologia da Informação e Comunicação do

Estado do Pará está vinculada à Secretaria de Estado de Ciência, Tecnologia e

Educação Técnica e Tecnológica (SECTET).

VMware: um software/máquina virtual que permite a instalação e

utilização de um sistema operacional dentro de outro dando suporte real a

software de outros sistemas operativos.

Active Directory: é uma implementação de serviço de diretório que

armazena informações sobre objetos em rede de computadores e disponibiliza

essas informações a usuários e administradores desta rede.





13

7 TERMO DE VALIDAÇÃO

Manual de Controle de Cópia de Segurança da Informação – CTIN

Emissão em: 08/01/2021 – V1

_________________________________________________________

Agente Público de Controle

_________________________________________________________


_________________________________________________________


_________________________________________________________

Núcleo de Controle Interno

_________________________________________________________

Coordenadoria de Tecnologia da Informação

_________________________________________________________

Diretoria de Administração e Finanças

_________________________________________________________

Presidência





SEGURANÇA DA INFORMAÇÃO ASSINADO ELETRONICAMENTE …

Documents

Transcript of SEGURANÇA DA INFORMAÇÃO ASSINADO ELETRONICAMENTE …