Manual de Procedimentos backup e restore de dados São Paulo, Janeiro de 2012 Versão 02.0
SUMÁRIO 1. Apresentação... 1 1.1. Considerações Gerais...1 1.2. Objetivo...1 1.3. Conceitos...1 1.4. Definições...1 2. Diretrizes... 2 2.1. Gerais e específicas...2 2.2. Responsáveis pelos dados...2 3. Procedimentos detalhados... 3 3.1. Procedimentos de Backup...3 3.2. Programação de backup, retenção e armazenamento de dados...3 3.3. Backup dos escritórios procedimentos...4 3.4. Backup Externo procedimentos na Sede...4 3.5. Procedimentos de restore solicitações e testes de integridade...5 4. Suplementos... 6
1. Apresentação 1.1. Considerações Gerais 1.1.1. Este manual de procedimentos contém as diretrizes a serem seguidas pelos colaboradores da Cnac, terceiros contratados, trabalhadores temporários e estagiários, para prover e garantir: Disponibilidade; Integridade; Salvaguarda; Confidencialidade; Armazenamento; Restauração dos dados, quando necessário; Imunidade dos dados a eventuais perdas. 1.1.2. Este manual descreve os procedimentos a serem seguidos para assegurar que as informações críticas para a continuidade dos negócios, assim como para atendimento das legislações específicas as quais a Cnac esteja submetida sejam devidamente armazenadas. Os procedimentos serão detalhados dentre os seguintes grupos: Auditores; Escritórios Cnac; Sede - São Paulo. 1.2. Objetivo 1.2.1. Estabelecer as diretrizes, responsabilidades e procedimentos a serem adotados para correta execução das atividades de backup, restore dos dados, e armazenamento das mídias de backup (Hard Disks) dos servidores da Cnac, em local seguro e diferente, permitindo a sua recuperação completa em caso de incidentes. Este processo cobre dados que pertença aos escritórios regionais e Sede. 1.3. Conceitos 1.3.1. Possuir a informação certa no momento certo pode fazer a diferença entre o sucesso e o fracasso no desempenho das atividades. O roubo, a perda, o uso incorreto, a falta de precisão ou a modificação não intencional da informação, a falta de disponibilidade ou a revelação da informação seriamente podem prejudicar a empresa, incluindo sua reputação. Todos os colaboradores manipulam informações que podem ser essenciais para a eficiência e eficácia da Cnac, sendo assim devem seguir as regulamentações e normativos internos de segurança da informação. 1.4. Definições 1.4.1. As definições abaixo são utilizadas no contexto do presente manual: Backup cópia de segurança é a cópia de dados de um dispositivo de armazenamento a outro para que possam ser restaurados em caso da perda dos dados originais, o que pode envolver apagamentos acidentais ou corrupção de dados. Restore ato de restaurar dados de um determinado backup. 1
2. Diretrizes 2.1. Gerais e específicas 2.1.1. As diretrizes gerais e específicas do Manual de Procedimentos backup e restore de dados são: Os dados, as informações e os sistemas de informação da Cnac (incluindo o ACDAuditor), são protegidos contra ameaças e ações não autorizadas, acidentais ou não, de modo a reduzir riscos e garantir a integridade, sigilo e disponibilidade; Os mecanismos e recursos utilizados pela Cnac asseguram a capacidade de recuperação nos prazos e condições definidas em situações de contingência; A cópia de segurança (backup) é testada e mantida atualizada; O acesso à base de backup, na Sede e com terceiros, é controlado. As autorizações junto a terceiros são revistas, confirmadas e registradas. Os responsáveis pela autorização ou confirmação da autorização para realização de restore de dados estão claramente definidos e registrados; Os servidores dos escritórios estão configurados para realizar os backups diários; Proteção lógica adicional (criptografia) é adotada, no software ACDAuditor, para evitar o acesso não-autorizado às informações; A versão do Sistema Operacional, assim como outros softwares básicos instalados em máquinas servidoras, são mantidos atualizados, em conformidade com as recomendações dos fabricantes; São utilizados somente softwares autorizados pela própria Cnac nos seus equipamentos, devendo ser realizado o controle da distribuição e instalação dos mesmos. 2.2. Responsáveis pelos dados 2.2.1. Escritórios Regionais: os gerentes seniores dos escritórios são responsáveis pelo cumprimento dos prazos de envio dos backups à Sede e pelas solicitações eventuais de recuperação de dados. Também são responsáveis pela abrangência, ao definirem as pastas que devem ser armazenadas no backup. Sendo que devem observar o prazo legal, mínimo de 05 (cinco) anos, para manutenção dos dados referentes às auditorias realizadas. 2.2.2. Sede: a gerência de qualidade é responsável pelo recebimento e processamento dos backups dos escritórios, e das seguintes atividades: Revisar, anualmente, o Manual de procedimentos backup e restore de dados e informar aos escritórios qualquer mudança realizada; Realizar testes de recuperabilidade (restore de dados), a cada dois meses; Acompanhar o envio do backup externo para empresa terceirizada responsável. 2
3. Procedimentos detalhados 3.1. Procedimentos de Backup 3.1.1. As fases necessárias para assegurar a realização do backups que produzam eficácia frente a uma possível perda de dados incluem: Cópia de segurança, diária, do trabalho em campo; Realização do backup no encerramento do trabalho em campo; Armazenamento dos dados no servidor do escritório; Realização de backup diário no servidor dos escritórios; Envio de backup, semanal, para a Sede; Armazenamento dos backups dos escritórios na Sede; Envio de backup, semanal, à empresa terceirizada; Testes de restore, bimestral. 3.2. Programação de backup, retenção e armazenamento de dados 3.2.1. Trabalho em campo (auditor): os auditores deverão realizar backups diários de seus trabalhos executados no sistema de auditoria ACDAuditor e de suas informações suporte. Este backup deverá ser realizado em uma mídia (CD ou DVD), diariamente, e deixado aos cuidados de um responsável na cooperativa, não necessitando formalização de entrega, que deverá ocorrer somente em decorrência da saída de campo. 3.2.2. Saída de campo (auditor): no ultimo dia em campo, o auditor deverá realizar backup de seus trabalhos executados no sistema ACDAuditor e de suas informações suporte em uma mídia (CD ou DVD). Os arquivos armazenados (pasta ACDAuditor) deverão ser compactados através de programas específicos e as senhas utilizadas deverão ser previamente estabelecidas pelos escritórios regionais. Um termo de conhecimento (formalização) deve ser assinado pela pessoa da cooperativa responsável pela guarda da mídia e pelo auditor, em duas vias, uma ficando em poder do auditor, a ser arquivado junto aos papéis de trabalho da cooperativa. 3.2.3. Chegada ao escritório (auditor): ao retornar ao seu escritório base, os auditores deverão armazenar as informações das cooperativas auditadas no servidor de dados da Cnac, em sua pasta de trabalho específica. Após o término da transferência da base de dados para o servidor, o auditor deverá excluí-la de seu computador. Poderá existir uma biblioteca com cópia das mídias enviadas aos escritórios para os casos específicos em que o auditor não possui rotina de retornar ao escritório com frequência. 3.2.4. Escritórios Regionais Cnac: as mídias de backup deverão ser enviadas semanalmente à Sede da Cnac para armazenamento em conjunto. As mídias deverão ser enviadas através do malote semanal existente, conforme rotinas definidas no anexo 01 deste manual de procedimentos. A responsabilidade pela correta geração e monitoramento dos backups é do gerente sênior do escritório. 3.2.5. Sede São Paulo: responsável por armazenar em seu servidor de dados as informações recebidas e devolver as mídias de backup para os escritórios regionais. A devolução deverá ocorrer através do malote semanal existente. Semanalmente a Sede deverá enviar a mídia de backup para guarda em local externo à Cnac, conforme rotina definida no anexo 02 deste manual de procedimentos. 3
3.2.6. Check list do processo de backup: os escritórios deverão implementar rotinas para execução diária do backup das informações armazenadas no servidor de dados, validando diariamente a sua realização. A mídia (HD Externo) utilizada pelo escritório para armazenamento de seu backup diário deverá ser guardada em local seguro, que apresente restrições com relação aos acessos. 3.3. Backup dos escritórios procedimentos 3.3.1. Com o objetivo de preservar a integridade dos arquivos pelo período legal, de cinco anos, há necessidade de separação do backup dos trabalhos em andamento (exercício corrente) e dos trabalhos encerrados (exercícios anteriores). 3.3.2. Definido no item 3.2.4 o envio dos backup s dos escritórios regionais à Sede por meio do malote semanal, sendo a responsabilidade atribuída ao gerente sênior do escritório. Este procedimento refere-se ao backup dos trabalhos do exercício corrente. 3.3.3. O backup dos trabalhos de exercício encerrado deverá ocorrer anualmente por ocasião do fechamento do exercício de auditoria. Em observância ao prazo de 60 (sessenta) dias da data da emissão do relatório de auditoria sobre as demonstrações contábeis para a finalização dos papéis de trabalho de auditoria e considerando a capacidade e as necessidades operacionais da Cnac, o prazo para envio do backup dos trabalhos encerrados é o dia 15/06 do exercício subsequente. 3.3.4. A realização e envio do backup dos trabalhos de exercício encerrado deverá ocorrer uma única vez, e sua guarda será mantida separada do backup dos trabalhos do exercício corrente. Cada escritório é responsável por manter a organização dos arquivos eletrônicos em pastas segregadas por exercício, por periodicidade de backup, por cooperativa e por trabalho executado. 3.4. Backup Externo procedimentos na Sede 3.4.1. Ao receber os HD s externos dos escritórios, o funcionário da Sede deverá espetá-los no servidor e verificar seu conteúdo, para dar início à transferência do backup. Concluído com sucesso o backup dos dados, o responsável deve retirar o HD backup do servidor. 3.4.2. O responsável via site da empresa contratada, com seu respectivo login e senha, solicita a coleta. 3.4.3. Quando retirados do servidor, para transporte, os HD s devem ser armazenados em caixas (fornecidas pela empresa contratada), sendo que esta caixa deve ser lacrada e o número do lacre inserido no documento de recebimento da mídia. 3.4.4. O funcionário responsável deve certificar e documentar que a mídia foi recebida pela empresa contratada, conforme confirmação disponibilizada no site da empresa. 3.4.5. Semanalmente, à quinta-feira, a empresa contratada, atendendo ao pedido realizado via site, traz o HD Backup 1 e leva o HD Backup 2 e assim sucessivamente. 3.4.6. Em dias referentes a feriados, sábados e domingos, o HD Backup permanece na Cnac, sendo transferido no próximo dia útil. 4
3.5. Procedimentos de restore solicitações e testes de integridade 3.5.1. O usuário final deve solicitar o restore dos dados, por meio do envio de email com as seguintes informações: Localização e nome do arquivo; Data próxima ou exata da perda do arquivo; Motivo da perda do arquivo. 3.5.2. Após preenchimento do formulário, o gerente sênior do escritório deverá enviá-lo à Sede para solicitação do restore. 3.5.3. O prazo para realização do restore será de 72 horas. 3.5.4. O teste de restore é iniciado por um chamado ao prestador de serviços de informática contratado, executado a cada 02 (dois) meses, realizado através de acesso remoto ao servidor da Sede. Esse processo assegura que todas as informações salvas são plenamente válidas e prontas para o uso em caso de contingência. 3.5.5. Os testes devem ser documentados através de relatório de restore devidamente formalizado. 5
4. Suplementos 4.1.1. Este Manual de Procedimentos se inter-relaciona com outras políticas e manuais implementados pela Cnac. Em especial quanto ao entendimento da extensão das responsabilidades, confidencialidade, sigilo das informações, conduta profissional, avaliações e não cumprimento, com os seguintes documentos: Código de Conduta Profissional. Manual de Controle de Qualidade. 6
Procedimento Semanal de Backup ESCRITÓRIOS BH E POA ESCRTIRÓ RIO SP Manual de Procedimentos backup e restore de dados Anexo 01 PROCEDIMENTOS DE BACKUP Backup periódico do servidor Escritórios Regionais Segunda-Feira Terça-Feira Quarta-Feira Quinta-Feira Sexta-Feira Escritório SP) a partir das 20h20min Escritório SP) a partir das 20h20min Escritório SP) a partir das 20h20min Escritório SP) a partir das 20h20min Escritório SP) a partir das 20h20min - Recebem HD externo enviado através do malote. - Conectam HD externo em seu respectivo servidor, para realização do backup automático. - Confirmam o processamento do Backup. - Enviam HD externo para SP através do malote semanal. 7
Procedimento Semanal de Backup SEDE Manual de Procedimentos backup e restore de dados Anexo 02 PROCEDIEMENTOS DE BACKUP Backup periódico do servidor Sede SP Segunda-Feira Terça-Feira Quarta-Feira Quinta-Feira Sexta-Feira - Confirma o processamento do Backup do escritório de BH. - Desconecta HD externo do escritório de BH do servidor da Sede. - Conecta HD externo do escritório de POA e inicia Backup na pasta específica (Z:\Backup POA) procedimento Copiar/Colar. - Confirma o processamento do backup do escritório de POA. - Desconecta HD externo do escritório de POA do servidor da Sede. - Envia os HD s externos para os respectivos escritórios através do malote semanal. - Solicita pelo portal (www.recall.com.br.) a coleta do HD backup. - Será realizado um rodízio de HDs: Backup 1 e 2. A cada semana um ficará externo a Cnac. - Desconectar HD backup 1 do servidor (procedimento para remoção de Pen Drive). - Recall realiza coleta do HD Backup 1. -Conecta HD Backup 2 no servidor da Sede (não é necessário logar o servidor). - Recebe HD s externo enviado através de malote. - Conecta HD externo do escritório de BH e inicia backup na pasta específica (Z:\Backup BH) procedimento: Copiar/Colar. Escritório SP) a partir das 20h20min. Escritório SP) a partir das 20h20min. Escritório SP) a partir das 20h20min. Escritório SP) a partir das 20h20min. Escritório SP) a partir das 20h20min. 8