^Z7laboratrio de Sistemas Integrveis TecnolgicoA/ZProcesso: >5 \ 2 %7.a^.Folha: O^Func: CfiS*- ' lecorabrLaboratrio de Sistemas Infegrveis TecnolgicoPROJETO SREISistema de Registro Eletrnico ImobilirioPA2.7.2 - Procedimentos operacionais de T.l,Ttulo Verso Classificao PginaPROJETO SREI: Procedimentos operacionais deT.l. v1.0.r.2 LSITEC:Restrito 1/21^amnlaboratrio de Sistemas Imegrveis TecnolgicoSumrio1 Introduo 52 Procedimentos operacionais de T.l 63 Procedimento de backup 73.1 Objetivo 73.2 Responsabilidades 73.3 Realizao do backup 73.3.1 Definio do escopo de backup 73.3.2 Periodicidade do backup 83.3.3 Realizao 83.3.4 Registros debackup 83.3.5 Verificao de integridade de contedo dobackup 93.4 Salvaguarda dos backups 93.4.1 Backups lgicos 93.4.2 Copias emmdias fsicas 93.5 Restaurao do backup 103.5.1 Teste de Restaurao 103.5.2 Restaurao do backup 104 Procedimento de gesto de mudanas 114.1 Objetivo 114.2 Escopo e Aplicao 114.3 Procedimento operacional 114.3.1 Registro 114.3.2 Plano de implementao 12Ttulo Verso Classificao PginaPROJETOSREI: Procedimentos operacionais de T.l. v1.0.r.2 LSITEC:Restrito 2/21@bamnlobaraioiio de Sistemas Integrveis Tecnolgicowww.lsilecorg.bi4.3.3 Avaliao de risco 124.3.4 Efetivao da mudana 124.3.5 RevisoPs-lmplementao 134.3.6 Procedimento deRoll Back 134.3.7 Cpias de segurana 135 Procedimento de gerenciamento de patches 155.1 Objetivo 155.2 Escopo eAplicao 155.2.1 Estaes de trabalho 155.2.2 Servidores eoutros equipamentos de rede 155.3 Procedimento operacional 155.3.1 Planejamento 155.3.2 Validao da necessidade de atualizao 155.3.3 Homologao daatualizao 165.3.4 Medidas compensatrias 165.3.5 Efetivao damudana 165.3.6 RevisoPs-lmplementao 165.3.7 Procedimento deRoll Back 175.3.8 Cpias de segurana 176 Procedimento de sincronismo derelgio 186.1 Objetivo 186.2 Aplicabilidade 186.3 Definies 186.4 Procedimentos 186.4.1 Servidor Mster 18Ttulo Verso Classificao PginaPROJETO SREI: Procedimentos operacionais de T.l. v1.0.r.2 LSITEC:Restrito 3/21laboratrio de Sistemas InfegrveisTecnolgicowww6.4.2 Sincronizao derelgios: 197 Controle contra cdigosmaliciosos 207.1 Software Antivrus 207.2 Procedimentos complementares 21Ttulo Verso Classificao PginaPROJETO SREI: Procedimentos operacionais deT.l. v1.0.r.2 LSITEC:Restrito 4/21laboratrio do Sistemas lntegrvc''sTi^cnolqico-.v.v-.v Isx.- ora.br1 IntroduoEstedocumentodescreve oconjuntomnimode procedimentos operacionaisdeT.l. necessriosparasuportar deformasegurae confivel a operao dossistemas SREI.Ano aplicao ou falhas na implementao dos seguintes procedimentospodemgerar gravesprejuzoss operaes de T.l. docartrio, podendo gerarperdas oucomprometer aintegridades dos dados de registros.Ttulo Verso Classificao PginaPROJETO SREI: Procedimentos operacionais de T.l. v1.0.r.2 LSITEC:Restrito 5/21mjlaboratrio do Sistemas integrveis Tecnolgico2 Procedimentos operacionais de T.l.Aseguir so relacionados os procedimentos operacionais mnimos a seremcumpridos afimgarantir a seguranae a integridadedosdadosderegistrosSREI: Procedimento de backup; Procedimento de gerenciamento demudanas; Procedimento de gerenciamento de patches; Procedimento de sincronismo derelgios; Controle contra cdigos maliciosos.Ttulo Verso Classificao PginaPROJETOSREI: Procedimentos operacionais deT.l. v1.0.r.2 LSITEC:Restrito 6/21/MZ7laboratrio dts Sistemas Integrveis TecnolgicoProcesso:p7H2 ^T'\Folha: OIFunc:3 Procedimento de backup3.1 ObjetivoO objetivo da gerao de cpias de segurana consiste em manter aintegridade e a disponibilidade da informao e dos recursos deprocessamento de informao, principalmente, aqueles que consistem naoperao doSREI. Assim3.2 ResponsabilidadesTodos os usurios tm responsabilidades individuais pelas cpias desegurana, as quaisDEVEMser identificadas em seus acordos de utilizao.Todas as entidades envolvidas na operaodo SREI soresponsveis porassegurarqueosdispositivosdebackupeasinstruesdetrabalhoestejamemconformidadecomos requisitosgerais aplicveis definidos nodocumentoderequisitos gerais doSREI.Cada entidade responsvel por assegurar quea equipedeTI executeosbackups identificados conforme necessrio e ainda identifique erelate todos ospossveis defeitos, falhas ouerros.OSuporte responsvel por documentar, testar e manter o processo derestaurao de acordo com osrequisitos.3.3 Realizao do backup3.3.1 Definio do escopo debackupTodos os itens inclusos na realizao do backup devemser formalmentedocumentados dentro de um escopo.Este escopodeve conter todos os sistemas contemplados e os respectivosdados que devempossuir salvaguarda.TODOSosdados relativos aos proprietrios de direitoe outras informaescriticas paraa operao doSREI devem estar inclusos.Ttulo Verso Classificao PginaPROJETO SREI: Procedimentos operacionais deT.l. v1.0.r.2LSITEC:Restrito 7/21^amnlaboratrio de Sistemas Infegrveis Tecnolgico:. :. | ' C.Offl :3.3.2 Periodicidade dobackupOs backups devem ser realizados a intervalos DIRIOS de formaINCREMENTAI..3.3.3 RealizaoPreferencialmente, o backup deve ser realizado de forma automatizada porferramenta. Todos os horrios de realizao de backup devem serdocumentados junto ao escopo.Os backups automatizados devemser programados para seremrealizadosdurante operodo de menor atividade da entidade.Aferramenta de automatizao de backups deve verificar a integridade econdies de restaurao dos backups logo aps sua realizao.Caso, porinviabilidadeoperacional, osbackupsnopossam ser realizados deformaautomticapor ferramenta, estesdevemserrealizadossobasmesmascondies, poremcomo acompanhamento deumcolaborador responsvel.Asfunesdestecolaboradorparaa realizaodos backupstambmdevemestar documentadas.3.3.4 Registros de backupRegistrosdebackupdevemser gerados de formaautomticaapsageraode cadabackup.Estes registros devem conter TODOS os itens copiados e, tambm, ahierarquia exata entre os diretrios copiados.Estes registros devemser verificados manualmente emcontrapartida aosdados originais.Estes registros devemser mantidos de forma organizada e consideradosarquivos confidenciais.Ttulo Verso Classificao PginaPROJETO SREI: Procedimentos operacionais de T.l. v1.0.r.2 LSITEC:Restrito 8/21' i Hn. pbMamnProcesso:JMjl 9C((JVLaboratrio de Sistemas Infegrveis TecnolgicoFolha:_(Func._3.3.5 Verificao de integridade de contedo do backup: 'A verificao de integridade do contedo dos backups realizados somentepode ser realizada atravs de ferramenta automatizada.Estaverificao deve ocorrer atravs daprpria ferramenta que gerou osbackups ou atravs de ferramenta terceirizada aprovada edocumentadapelaentidade.Manualmente, devem ser verificadas ascondies dos atributos de acesso docontedo. Paraisso, o seguinteprocedimento deve ser realizado: Realizar a copia de uma amostra de arquivos, atravs dosprocedimentos utilizadosnormalmente; Realizar testedecomparaoatravs davisualizao daspropriedadesdos arquivos originais e das copias; Os atributos devem estar impreterivelmente, idnticos.3.4 Salvaguarda dos backups3.4.1 Backups lgicosO Servidor quearmazena osdadosdebackup deve estar alocado emreadesegurana de nvel 3.Somente os colaboradores autorizados devem possuir acesso a estesservidores.Osdiscos dearmazenamento destes servidoresdevemestar configurados emredundncia(RAID 1 ouRAID 5).3.4.2 Copias em mdiasfsicasAs copias em mdias fsicas devem ser realizadas somente em mdiashomologadas para finsde backup.Todo manuseio e transporte destas mdias devem ser realizado porcolaborador autorizado. Esta autorizao deve estar documentada.As mdias devem ser armazenadas em local especifico obedecendo asespecificaes dos fabricantes(ver 4.5).Ttulo Verso Classificao PginaPROJETO SREI: Procedimentos operacionais de T.l. v1.0.r.2 LSITEC: Restrito 9/21bJlZZOTLaboratrio de Sistemas Infegrveis Tecnolgico.:;...As condies das mdias fsicas devemser testadas a intervalos anuais,visando integridade e funcionalidade completa das mdias.3.5 Restaurao do backup3.5.1Teste deRestauraoO processo de restaurao deve ser testado mensalmente visando scondies de restauro das mdias ea abrangncia eeficincia doprocesso.Ostestes devemser realizados atravs da restauraodeuma amostra debackups em servidores de teste ehomologao.Devesergarantidoquetodosositensdocumentadosdaamostradebackuputilizada sejam restaurado com sucesso, incluindo seus atributos.3.5.2Restaurao do backupArestauraodeveocorrer sempre quandodoacontecimento deumincidentede segurana que afete aintegridade dos dados deproduo.A restaurao deve ser realizada atravs de ferramenta automatizada ouatravs doprprio software de banco de dados, quando vivel.Todo o processo de restaurao deve ser acompanhado por colaboradorresponsvel.Aps restaurao, todoocontedodeveserverificadoatravsdaverificaodos registros gerados quando da gerao das copias de segurana.Ttulo Verso Classificao PginaPROJETOSREI: Procedimentos operacionais de T.l. v1.0.r.2 LSITEC:Restrito 10/21Laboratiio de Sistemas Infegrveis Tecnolgico.vv.v. 4 Procedimento de gesto de mudanas4.1 ObjetivoDescrever e suportar o processo de gerenciamento de mudanas paraalteraesno ambiente de T.l.4.2 Escopo eAplicaoOpresenteprocedimento se aplicaatodas reas de tecnologia daInformaodoambienteSREI quenecessitamrealizar qualquer mudananaconfiguraodo ambiente oudosseus componentes. Soassimincludos noescopodopresenteprocedimentoa instalao, aatualizaoeasubstituio de qualquersistemas de hardware ou software. Ainda so escopo do procedimentoquaisquer alteraes na configurao do ambiente de T.l., alteraes naconfigurao dos sistemas de hardware esoftware. excludo da aplicao do presente procedimento o processo degerenciamento de pacthes, pelo qual DEVE ser utilizado o especificoprocedimento.4.3 Procedimento operacionalQualquer mudana em sistemas de T.l. DEVE ser planejada, aprovada, testadae documentada de forma apropriada complexidade e sensibilidade dossistemas afetados.No mnimo o procedimento de gesto de mudana DEVE incluir osprocedimentos descritos aseguir.4.3.1 RegistroDEVEser mantido um registro completo de todas as mudanas realizadascontendo os seguintes elementos: Descrio das alteraes, configuraes, instalaes e atualizaesrealizadas;Ttulo Verso Classificao PginaPROJETOSREI: Procedimentos operacionais de T.l. v1.0.r.2 LSITEC: Restrito 11/21amnLaboratrio de Sistemas Infegrveis TecnolgicoI Nome dosresponsveis edos executores da correo; Data; Propsito; Qualquer observao feitadurante amudana.4.3.2 Plano deimplementaoOs responsveisdareadeT.l. devempreparar o planodeimplementaodetalhando as solues tcnicasdefinidas, ocronograma eosplano de teste ederoll back.Oplanodeimplementaodetalhatodos os estgios que sorequeridosparagerenciar as alteraes comsucesso, isso inclui o plano de testes e aestratgiade"Roll back". Paraalteraes mais complexas podetambmserincluda uma agenda eo cronograma doprojeto.Para mudanas crticas que implicam em modificaes significativas recomendado que a mudana seja previamente testada e avaliada emambiente de homologao.4.3.3 Avaliao de riscoSucessivamente o plano de implementao DEVE ser aprovado pelosresponsveis de cada rea de negocio afetadapela mudana.DEVEMassimser levantadas junto comas partes interessadas todos ossistemas e processos afetados pela alterao proposta e listar todos osimpactose osrelativos riscos identificados. A AvaliaodeRisco utilizadapara criar a recomendao de mudana, garantindo que os riscos para onegcio tinham sido identificados e tratados.4.3.4 Efetivao da mudanaOresponsvel de T.l. DEVE dar inicio ao processo na data e horrio quepossuir omenor efeito possvel nosservioseDEVEacompanhar oprocessode mudana ateofinal verificandoque oplanoseja executadoconforme aespecificao.Ttulo Verso Classificao PginaPROJETO SREI: Procedimentos operacionais deT.l. v1.0.r.2 LSITEC: Restrito 12/21Laboratrio de Sistemas InfegrveisTecnolgico&TFolha:Func:.:: IltKOresponsvel de TI antes de dar inicio aoprocesso de mudana deve verificarque todos os requisitos depessoaleprojeto estejam atendidos.Ele tambm responsvel por decidir o adiamento ou cancelamento doprocessocasoalgumrequisito nosejaatendido. Emcasodeadiamentoaspartes envolvidas so interpeladas para definir onovoplanejamento4.3.5 Reviso Ps-lmplementaoAofinal daimplementaoDEVEMseraplicadososprocedimentosdefinidospara validar a efetividadeda mudana e para detectar eventuais problemasconseqentes das operaes realizadas.Casonosejapossvel resolverosproblemasdetectadosna janeladetempodefinidaDEVE ser disparado o procedimento deRoll Back.4.3.6 Procedimento deRoll BackO procedimento de Roll Back deve restaurar o ambiente na configuraoanterior ao procedimento demudana.Desta forma todas as alteraes, instalaes e configuraes realizadasduranteoprocessodemudanaDEVEMserdesfeitasdeformaa restauraroestado anterior.Devido adificuldade de restaurar o estado anterior muito importante que cadaprocedimentoaplicadodurantea mudanatinhasidodocumentadoduranteasua execuo de formaque oprocesso deRoll Back possa ser executado comomaior nvelde sucessopossvel.Emcaso denecessidade deRoll Back, aultimaverso dacpia de seguranapoder ser utilizadas para arestaurao dosistema.4.3.7 Cpias de seguranaAntes de realizar qualquer operaode mudana DEVEser realizada umacopia de segurana doambiente.Apsa realizaobemsucedidado processodemudana DEVEsergeradauma copia de segurana do ambiente.Ttulo Verso Classificao PginaPROJETO SREI: Procedimentos operacionais deT.l. v1.0.r.2 LSITEC:Restrito 13/21Laboratrio de Sistemas Infegrveis Tecnolgico.A copia desegurana gerada antesdo processo demudanaNODEVEserapagada, devendoestaser guardadanomnimopor umtempovarivel entreuma semana eumms para finsde RollBack.TtuloVerso Classificao PginaPROJETOSREI: Procedimentos operacionais de T.l. v1.0.r.2 LSITEC:Restrito 14/21(hnmiLaboratrio de Sistemas Infegrveis TecnolgicoProcesso: C(2 g^(Folha: