ffi/^7Z7

labor&oto de Sistemas Integrvnis Tecnolgico

vww.lsilec.ofg.b<

miamn
Laboratrio de Sistemas Integrveis Tecnolgico

PROJETO SREI

Sistema de Registro Eletrnico Imobilirio

PA1.10.6 - Roteiro para auditoria operacional de T.l.

Ttulo

Verso

Classificao

Pgina

PROJETO SREI: Requisitos para o ambiente

operacional do SREI

v1.0.r.3

LSITEC:Restrito

1 /23

zot

Laboratrio de Sistemas Inregrveis Tecnolgico

www.lsitec.org ;-r

Sumrio

Introduo

Escopo

Fase 1 -Analise de documentaes

Fase 2 -Auditoria presencial

4.1

Segurana fsica

4.2

Suprimento de energia eltrica

4.3

Alarme contra intruso

4.4

Preveno contra incndio

10

4.5

Ventilao e climatizao

11

4.6

Cofre para mdias de backup

11

4.7

Outros controles de segurana de infraestrutura

12

4.8

Segurana de tecnologia de informao e comunicao

12

4.8.1

Redes de comunicao de dados

12

4.8.2

Configurao segura de sistemas

14

4.8.3

Rastreabilidade de eventos

15

4.8.4

Atualizaes de segurana dos sistemas

15

4.8.5

Software de antivrus

16

4.8.6

Avaliao de vulnerabilidades

16

4.8.7

Controles computacionais

16

4.8.8

Disponibilidade do servio

17

4.8.9

Armazenamento e salvaguarda dos dados

18

4.8.10

Privacidade

18

4.8.11

Treinamento e conscientizao

19

4.9

Gesto das operaes

19

Ttulo

Verso

Classificao

Pgina

PROJETO SREI: Requisitos para o ambiente

operacional do SREI

v1.0.r.3

LSITEC:Restrito

2/23

Prnr.ftsaa/^7 ffff/

Folha:

2%L

Func:
Laboratrio de Sistemas Integrveis Tecnolgico

VVWvV.lsilC.-.'. '

. -

4.9.1

Manual e poltica de segurana da informao

19

4.9.2

Definio e segregao de funes

19

4.9.3

Gesto de ativos de TI

19

4.9.4

Gesto de usurios do sistema

19

4.9.5

Gesto de mudanas

20

4.9.6

Gesto de incidentes

20

4.9.7

Gesto de riscos

21

4.9.8

Gesto de contratos com fornecedores

21

4.9.9

Continuidade dos negcios

21

4.9.10

Gerenciamento da capacidade

Coleta e guarda de evidncias

Referncias

22

23
Erro! Indicador no definido.

Ttulo

Verso

Classificao

Pgina

PROJETO SREI: Requisitos para o ambiente

operacional do SREI

v1.0.r.3

LSITEC:Restrito

3/23

(L^Z7

Laboratrio de Sistemas Integrveis Tecnolgica

WAW.isi:-

Introduo

Este documento descreve os procedimentos para a auditoria dos requisitos do

Ambiente operacional de T.l. O auditor deve utilizar os procedimentos descritos
neste documento para a anlise dos ambientes que necessitam atender os

requisitos descritos no documento citado anteriormente para a certificao

SREI.

O processo de auditoria contempla duas etapas, sendo a primeira de anlise

de documentaes, consiste na avaliao dos requisitos que se apoiam nas
documentaes para a sua implementao. Sucessivamente realizada a

segunda fase da auditoria que demanda a presena do auditor para avaliar

localmente a conformidade dos requisitos.

Ttulo

PROJETO SREI: Requisitos para o ambiente

operacional do SREI

Verso

Classificao

Pgina

v1.0.r.3

LSITEC:Restrito

4/23

Processo: ,3^7 g<?/

I/Z0L7

Folha._
Func:

Laboratrio de Sistemas Integrveis Tecnolgico

^Xi?

>J

2 Escopo
Este documento deve ser utilizado pelo auditor para a avaliao dos requisitos
operacionais de TI dos sistemas do SREI. Os procedimentos so diferenciados
de acordo com um dos quatros tipos de ambiente contemplados na arquitetura
do SREI, conforme descrito a seguir:
Tipo ambiente

Descrio

Cartrio

Cartrio de Registro de Imveis

Cartrio com restries

Cartrio de Registro de Imveis com restries de

recursos operacionais e de recursos financeiros

Provedor de servio

Provedor de servio contratado que abriga parte

das operaes do cartrio.
Servio de Atendimento Eletrnico Compartilhado

SAEC

Ttulo

Verso

Classificao

Pgina

PROJETO SREI: Requisitos para o ambiente

operacional do SREI

v1.0.r.3

LSITEC:Restrito

5/23

Momo

laboratrio de Sistemas Integrveis Tecnolgico

.v .-. ,1 '-

j bf

Fase 1 - Analise de documentaes

Consiste no levantamento e na sucessiva anlise das documentaes dos

ambientes e dos processos de T.l. utilizados pelo SREI. So assim verificados

as polticas, os procedimentos operacionais e a configurao dos sistemas de

T.l. para verificar a conformidade com os requisitos operacional do SREI. Esta
fase realizada antes da visita local por parte dos auditores e que poder em
caso de presena de no conformidades graves ser impeditivo para a

realizao da etapa sucessiva de avaliao presencial.

A seguir so relacionados os principais documentos que devem ser fornecidos

para o auditor. importante evidenciar que na relao a seguir existem

documentos que so obrigatrios somente para determinados ambientes,
conforme descritos no documento de Requisitos operacionais. Desta forma o
auditor deve ajustar a relao de documentos abaixo conforme o ambiente
avaliado.

Documento

Poltica de segurana da informao

Laudo de vistoria (Geradores)
Registro de manuteno (Geradores)
Documentao da rede de comunicao de dados

Arquivos de configurao dos ns de rede

Arquivos de configurao dos equipamentos de proteo de permetro (Firewalls)

Documentao de configurao segura (Hardening)

Registros de eventos de sistemas crticos

Relatrio da ltima anlise interna de vulnerabilidades
Relatrio da ltima anlise externa de vulnerabilidades

Poltica ou Procedimento de gerenciamento de usurios

Procedimento de cpias de segurana

ltimos 3(Trs) registros de cpias de segurana

Ttulo

Verso

Classificao

Pgina

PROJETO SREI: Requisitos para o ambiente

operacional do SREI

v1.0.r.3

LSITEC.Restrito

6/23

Processo.

ZI0Z7

M.9 mi

Folha:
Func:

laboratrio de Salema Integrveis Tecnolgica

W
rir

tec.org br

Termo ou Acordo de confidencialidade

Termo ou Acordo de utilizao

Poltica de classificao da informao

Poltica de uso da internet.

Formulrio de atribuio de acesso

Documentos

formulrios

utilizados para

requisio,

aprovao

documentao de mudanas
Procedimento de gesto de incidentes
Resultados e relatrios da ltima avaliao de riscos
Contratos com parceiros crticos para a prestao de servios (e.g. Datacenters,
fornecedores de sofware, enlaces dedicados, etc)

Plano de continuidade de negcios

Relatrios e resultados da gesto de capacidade
Plano de ao para a gesto de capacidade

Eventualmente, pode ser necessria a solicitao de outras documentaes,

alm destas citadas conforme a necessidade do auditor.

Aps o recebimento de todos os documentos, a auditoria deve analis-los em

um prazo mximo de 5 dias teis. Terminada esta anlise e a concluso do
resultado parcial a auditoria, caso o numero de no conformidades seja
elevado ao ponto de recomendar o adiamento da continuidade do processo de
auditoria, possvel para a fase 2 de auditoria presencial.

Ttulo

Verso

Classificao

Pgina

PROJETO SREI: Requisitos para o ambiente

operacional do SREI

v1.0.r.3

LSITEC:Restrito

7/23

(ZMZ7

laboratrio de Sistemas Integrveis Tecnolgico

'.V.V.V.!-;: :; org \y

4 Fase 2 - Auditoria presencial

A primeira fase da auditoria presencial consiste na averiguao das
informaes presentes nos documentos analisados, ou seja, necessrio
constatar se os processos executados no cartrio efetivamente refletem o que
est documentado.

Para os demais requisitos que no dependem de documentao, devem ser

utilizados os procedimentos relacionados abaixo.

4.1

Segurana fsica

Descrio

Verificar a presena da descrio das caractersticas dos nveis de segurana

na poltica de segurana da informao. A poltica de segurana da
informao deve conter:
Ilustrao simblica representando os 3(trs) nveis de segurana
exigidos;
O nvel que apresenta maior criticidade deve estar contido no nvel de
menor criticidade, sendo assim, o nvel 3(trs) deve estar contido no nvel
(dois) e ambos os nveis contidos no nvel 1(um). Ilustrando, deste modo,
a presena de controles de acesso cumulativos entre os nveis;

Descrio das medidas para o controle de acesso s reas crticas.

b) Inspecionar fisicamente o ambiente auditado para verificar a presena das
barreiras fsicas entre nveis exigidas.
se h componentes oriundos dos nveis 2(dois) e 3(trs) instalados
Verificar
c)
fisicamente no nvel 1(um).

a) Verificar a presena de barreira fsica entre os nveis 2(dois) e 3(trs). A

forma de acesso entre estes nveis deve utilizar:

Porta com tranca atravs de chave, carto de acesso ou biometria.

b) Verificar a utilizao de alguma forma de controle de acesso de visitantes s

reas de nvel 2(dois). Esta medida deve possibilitar a identificao do
visitante e constar a permisso do colaborador.
c) Verificar os mtodos de controle de conexo de equipamentos de terceiros
(visitantes, fornecedores, manuteno, etc).

a) As reas de nvel 3(trs) no devem conter nenhum tipo de sistema oriundos

dos nveis 1(um) e dois(dois).
b) Verificar os acessos concedidos a estas reas. Nenhum indivduo, fora
aqueles necessrios ao funcionamento do sistema como, por exemplo, a rea
de suporte, deve possuir acesso s reas de nvel 3(trs).
c) O controle de acesso a esta rea deve ser:
Atravs de porta com tranca manual ou eletrnica; ou
Delimitado por racks com tranca.
Ttulo

Verso

Classificao

Pgina

PROJETO SREI: Requisitos para o ambiente

operacional do SREI

v1.0.r.3

LSITEC:Restrito

8/23

Processo.

laboratrio de Sistemas Integrveis Tecnolgico

&u

Folha:

hPt

Func:

M
' C -" . !

Verificar se h a presena de equipamentos que contenham ou gerenciam

sistemas de segurana predial na mesma delimitao fsica das reas crticas
de nvel 3(trs). Caso sejam utilizados racks com tranca, deve ser verificada a
presena destes equipamentos num mesmo rack.

4.2

Suprimento de energia eltrica

Descrio

a) Verificar a presena de no-breaks e se estes alimentam os seguintes itens:

Servidores crticos; e
Componentes de rede que viabilizam a disponibilidade do servio.
b) Outros equipamentos como, por exemplo, sistemas de segurana devem
estar conectados em estabilizadores de energia.

Verificar a presena de geradores. Os seguintes cuidados devem ser

observados:

Os geradores devem estar instalados em locais afastados da

operao e das reas crticas.
Possuir laudo de vistoria do corpo de bombeiros.
Possuir registros de manuteno em dia.

Verificar se o sistema de CFTV permite:

Permitir a gravao mesmo em ambientes sem iluminao;
Habilitar a gravao quando detectado movimento;

Permitir monitoramento e gerenciamento centralizado de todo o

conjunto de cmeras instalado.

Verificar a presena de imagens gravadas no servidor de CFTV com perodo

mnimo de criao de 90 dias anteriores auditoria.
Verificar, atravs do estudo das imagens geradas ou monitoramento em
tempo real, se as cmeras contemplam:
Visualizao geral do ambiente de nvel 1(um);
Os acessos aos ambientes de nveis 2(dois) e 3(trs) possibilitando,
sobretudo, a identificao facial de quem acessa; e
Visualizao geral do ambiente de nvel 3(trs).

4.3

Alarme contra intruso

Descrio

a) Verificar a presena de alarmes de intruso implementados. O sistema de

alarme deve contemplar:

Todos os pontos de acesso e, principalmente, todos os pontos de

acesso aos ambientes de nvel 2(dois) e 3(trs);
b) O sistema deve possuir as seguintes caractersticas:
Em ambientes internos o sensor pode ser passivo, micro-ondas ou
Ttulo

Verso

Classificao

Pgina

PROJETO SREI: Requisitos para o ambiente

operacional do SREI

v1.0.r.3

LSITEC:Restrito

9/23

MS

laboratrio do Sistemas Integrveis Tecnolgico

'.v.vv-.-.lsi:

disc; e

Em ambientes externos devem ser implementados sensores

infravermelho capaz de suportar intempries e de diferenciar
movimentos humanos de chuva, vegetao, pssaros e outros
animais.

Possuir modulo de comunicao alternativa por Radio Frequency(

RF), General Packet Radio Service (GPRS) ou Transmission Control

Protocol/lnternet Protocol (TCP/IP) em caso de falha no sistema
comum transmitido via telefonia fixa.

a) Verificar se os sistemas de alarme esto configurados para ativar fora do

perodo de funcionamento do ambiente.
b) Verificar se os sistemas de alarme esto configurados para enviar avisos aos
responsveis pelo permetro e para o responsvel pela segurana predial.

4.4

Preveno contra incndio

Descrio

a) Os sistemas de combate a incndio podem ser divididos em duas categorias

de acordo com o cenrio de aplicao:
Para pequenos cartrios com baixa disponibilidade de recursos,
devem ser utilizados extintores adequados e de fcil acesso na
ocorrncia de incndio. Para esta categoria, deve ser considerado:
i. Extintores adequados ao tipo de material combustvel
armazenado na sala. Extintores de gua pressurizada para
incndio de classe A (papel, madeira, etc); extintores de Co2

para incndios de classe C (equipamento eltrico energizado)

ou extintores para incndios de classe B (lquidos inflamveis)
que tambm podem ser utilizados para incndios de classes A
eC;

ii. Verificar o prazo de validade dos extintores;

iii. Verificar se no h obstruo para a utilizao dos extintores
(mesas, racks, armrios, etc);
Para grandes cartrios, datacenter e outras entidades de grande porte
deve ser utilizado sistema de supresso por agente limpo (NFPA2001) acionados por sistemas eletrnicos de deteco de incndios.
Adicionalmente, a entidade deve disponibilizar extintores obedecendo
s mesmas regras citadas acima.

a) Todos os ambientes passveis de incndio devem ser verificados para

identificar a presena de sensores de fumaa. Estes alarmes podem atender
os seguintes tipos:
Fotoeltrico;
Trmico;
Ultravioleta;
lnico;

ptico;
Termovelocimtrico;

Para CPDs
Programvel.

podem

ser

utilizado

sensores

Ttulo

Verso

PROJETO SREI: Requisitos para o ambiente

operacional do SREI

v1.0.r.3

de

temperatura

Classificao

Pgina

LSITEC:Restrito I 10/23

Processo. 2rtn

Mimo

laboratrio de Sistema* Integrveis Tecnalg

Folha:

&

Func:

4*r
wwvv.lsitec

b) Os seguintes itens devem ser verificados:

rea de abrangncia do sensor versus a rea total do ambiente;

Funcionamento da sirene (embutida no sensor ou alto falantes
separados);

Sensibilidade dos sensores.

Estes testes podem ser realizados atravs de acionamento da funo de

testes do sensor, caso exista, ou atravs da simulao de incndio por
fumaa ou chama.
a) Verificar se o volume sonoro das sirenes audvel em todos os ambientes.
b) Verificar se o sistema de alarmes possui funo remota de aviso.

4.5

Ventilao e climatizao

Descrio

a) Verificar se o ambiente de operaes possui sistema de condicionamento de

ar capaz de executar a renovao do ar ambiente;
b) Caso no haja sistema de condicionamento de ar, verificar se o ambiente
possui janelas adequadas ao nmero de colaboradores e dimenses do
permetro;

a) Verificar se os ambientes possuem sistema de climatizao de ar. As

seguintes caractersticas devem ser verificadas:

Para as operaes, a temperatura ideal deve variar entre 21C a

26C.

Para CPDs, a temperatura ideal deve ser analisada por empresa

especializada em contrapartida com as indicaes do fabricante e

quantidade de equipamentos quando da instalao do sistema
(verificar laudo, nota ou relatrio disponibilizado pela empresa de
sistema de condicionamento de ar);

4.6

Cofre para mdias de backup

Descrio

a) Verificar se existe cofre para o armazenamento de mdias de cpias de

segurana. Verificar, atravs do manual disponibilizado pelo fabricante ou
atravs de etiquetas e adesivos indicadores no chassi no cofre, o
atendimento aos seguintes requisitos:

Ser de ao ou material de resistncia equivalente e resistente ao fogo;

Oferecer resistncia contra fogo por minimamente 60 minutos, classe

S 60 DS da norma EN 1047-2 [3] ou equivalente ANSI/UL 263 [4];

Oferecer resistncia contra arrombamento/abertura WG Classe II

(segurana 50/80 RU) da norma EN 1143-1 [5];

Possuir prateleiras ou gavetas internas para acomodao das mdias

de backup;

Possuir tranca com chave manual ou eletrnica.

a) Caso o requisito acima no possa ser atendido. As seguintes medidas devem

ser verificadas:
Ttulo

Verso

Classificao

Pgina

PROJETO SREI: Requisitos para o ambiente

operacional do SREI

v1.0.r.3

LSITEC:Restrito

11 /23

mmo

laboratrio do Sistemas Integrveis Tecnolgico

Verificar, atravs de contato com fabricante ou manual de

informaes, se o cofre utilizado para armazenar mdias estanque
contra gua;

Requisitar os controles compensatrios para o risco de inundao. As

seguintes medidas devem ser planejadas:
i. Retomada das operaes;

ii. Salvaguarda das informaes de proprietrio de direito.

4.7

Outros controles de segurana de infraestrutura

Descrio

b) Requisitar aos oficiais ou responsveis por guiar a auditoria pelo ambiente

auditado o clculo comprovando os seguintes requisitos:
A uma altura 30% superior da amplitude da ltima cheia do rio mais
prximo (Altura = 0,3*AmplitudeCheia + AmplitudeCheia +
AlturaNormalRio); e
A uma altura 30% superior da amplitude da ltima cheia das ruas
prximas (Altura = 0,3*AmplitudeCheia + AmplitudeCheia +
AlturaNormalVia); e
Em um local sem risco de inundao decorrente de vazamentos de
encanamentos; e

Em um local sem risco de inundao por gua da chuva.

a) Verificar se os armrios utilizados para

telecomunicaes sejam protegidos por chave.

abrigar

equipamentos

de

a) Verificar se a infraestrutura predial possui proteo contra raios homologada

conforme a Norma NBR5419/93.

4.8

Segurana de tecnologia de informao e comunicao

4.8.1 Redes de comunicao de dados

Descrio
a)

Requisitar aos responsveis pelo ambiente auditado a documentao

referente infraestrutura de comunicao de dados. Esta documentao
deve incluir:

Topologia fsica da rede e equipamentos de comunicao (roteador,

switch, firewall, modens, access point de redes wireless, etc);
Topologia lgica da rede, informando as subredes e as tabelas de
roteamento;

a)

A relao de equipamentos (servidor, desktop, roteador, switch, etc) e

suas configuraes de rede;
A relao dos sistemas em cada servidor.

Verificar atravs do cadastro de ativos e, tambm, da anlise uma amostra

Ttulo

Verso

Classificao

Pgina

PROJETO SREI: Requisitos para o ambiente

operacional do SREI

v1.0.r.3

LSITEC:Restrito

12/23

[Processo: 3Hl

amn

LL

!Folha:

Laboratrio deSistemas Integrveis Tecnolgico

523
&

Func:
vwv kli cora b-

significativa dos equipamentos a presena de identificadores repetidos.

a) Requisitar documentao de rede que possibilite verificar a segregao entre
as redes.

b) Verificar, adicionalmente, os arquivos de configurao dos switchs que

validam a documentao fornecida no requisito anterior.
c) Os seguintes requisitos devem ser validados:
a) Existncia de DMZ contemplando todos os servidores com acesso via
internet;
b) Todos os servidores;
c) Rede de operao (Estaes de trabalho), caso necessrio, devido a
quantidade de equipamentos, a rede de operao pode ser
simplificada;
d) Estaes disponibilizadas para clientes;
e) Todo ponto de acesso de rede sem fio.

d) Todas estas redes devem, impreterivelmente, serem segregadas.

e) NO DEVE haver dados do SREI armazenados em servidores contemplados

pela DMZ.

Requisitar a configurao dos sistemas de proteo de permetro utilizados

pelo ambiente. Os seguintes requisitos devem ser verificados:
As regras definidas nos equipamentos devem seguir o princpio de
'deny ali', ou seja, todo acesso deve ser negado a princpio e somente
acessos conhecidos liberados;

Todos os protocolos liberados devem ser conhecidos e, quando

possvel, liberados somente para as entidades que necessitam;
Toda regra de firewall deve estar formalmente documentada;
A necessidade de anlise crticas das regras de firewall devem estar
formalmente declaradas na poltica de segurana da informao ou
documento de igual valor.

a) Levantar e verificar os registros dos procedimentos de gesto de mudana

aplicados em alteraes do ambiente realizadas anteriormente.

a) Verificar, atravs das configuraes de switchs, roteadores ou sistemas de

proteo de permetro a efetividade do isolamento da rede sem fio.
b) Identificar qual o sistema de autenticao utilizado. Conforme o mtodo de
implementao utilizado, as seguintes caractersticas devem ser verificadas:
802.11i (WPA2): A senha padro, fornecida com o equipamento, deve
ser trocada antes da sua implementao no ambiente de produo.

Integrado com 802.1x: Verificar se, somente as pessoas autorizadas

tenham acesso.

c) Nenhum protocolo, alm daqueles referidos nesta seo, devem ser

utilizados para o controle de acesso s redes sem fio.

a) Buscar as configuraes de roteadores, switchs e sistemas de permetro pela

implementao de um canal criptografado entre sites.

a) Constatar a presena de softwares e configuraes de teste no ambiente

operacional.

Ttulo

Verso

Classificao

Pgina

PROJETO SREI: Requisitos para o ambiente

operacional do SREI

v1.0.r.3

LSITEC:Restrito

13/23

Mamj

laboratrio de Sistemas Integrveis Tecnolgico

V.-.v.v.i

Y.

'::

4.8.2 Configurao segura de sistemas

Descrio

Requisitar os documentos de configurao segura (hardening) referentes a

todos os sistemas e componentes de sistemas crticos. Os seguintes itens
devem ser verificados:

Excluso de usurios e senhas padro, quando possvel;

Utilizao de parmetros de operao seguros;
Habilitao somente dos servios, portas, processos e protocolos
necessrios para o funcionamento correto do servidor, em funo da sua
finalidade;
Utilizao de tecnologias e protocolos seguros como SSH, SSL, SFTP,
entre outros, ao invs de outros inseguros como NetBIOS, FTP, Telnet,
etc.

Utilizao de protocolos de segurana no acesso com privilgio

administrativo, que no seja realizado atravs do console, utilizando
protocolos seguros como, por exemplo, SSH, VPN, ou SSL/TLS;

Habilitao de controles de senhas seguras e uso de hash para

codificao de senhas armazenadas.

b) Adicionalmente, devem utilizados documentos de configurao segurana

desenvolvidos por entidades confiveis, respeitando as especificidades de

cada aplicao. Caso este tipo de documento seja utilizado, requisitar os
documentos ao responsvel pela entidade e confirmar sua validade.

Ttulo

Verso

Classificao

Pgina

PROJETO SREI: Requisitos para o ambiente

operacional do SREI

v1.0.r.3

LSITEC:Restrito

14/23

Processo:

3*f %{

I/20Z7

Folha:

bHO

Laboratrio de Sistemas Integrveis Tecnolgico

Func:

bJ
VAVw.l$tcOffJ br

4.8.3 Rastreabilidade de eventos

Descrio

a) Levantar os logs de NAT e verificar se constam os endereos IPs dos

sistemas da rede interna.

a) Requisitar uma amostra dos registros de eventos dos sistemas crticos.

b) Verificar se todos os pontos requisitados so atendidos. So eles:
Seo de comunicao com a identificao do endereo IP de origem;
Tentativas de acesso e de login (sucesso e falha);
Tentativas de acesso aos servios (WEB, correio eletrnico, etc);
Aes de cada usurio;
Atividades relevantes dos sistemas.; e
c) Verificar se todos os sistemas crticos esto contemplados.

a) Verificar se utilizado um servidor de centralizao dos registros de auditoria

gerados pelos sistemas.
b) Constatar se todos os sistemas crticos direcionam seus registros a este
servidor.

Verificar a data de criao e, adicionalmente, as datas inclusas nos registros.

O registro mais antigo, para cada sistema, deve constar, no mnimo, 3(trs)
anos anteriores a data da auditoria atual, aplicvel somente a servidores que
estejam em operao h, no mnimo, 3 anos.

4.8.4 Atualizaes de segurana dos sistemas

Descrio

Verificar, atravs de amostra significativa das estaes de trabalho, se estas

esto configuradas para realizar atualizaes automaticamente atravs do
repositrio do fabricante.
Verificar atravs da verso de sistema o estado de atualizao de servidores.
Adicionalmente, certificar de que nenhum servidor esteja configurado para
atualizaes automticas.

a) Verificar, atravs das informaes disponibilizadas pelo fabricante e o estado

de atualizao dos equipamentos se h novas atualizaes com mais de 7
(sete) dias de publicao pelo prprio fabricante.

Ttulo

Verso

Classificao

Pgina

PROJETO SREI: Requisitos para o ambiente

operacional do SREI

v1.0.r.3

LSITEC:Restrito

15/23

^am

laboratrio de Sistemas Integrveis Tecnolgica

vav.v Ise-c

4.8.5 Software de antivrus

Descrio

Constatar para estaes, atravs de amostra significativa do ambiente, e para

servidores, todos, se possuem software antivrus instalado e configurado.
Verificar se existe bloqueio para a modificao de configuraes do software
antivrus atravs da tentativa de acesso com usurio atribudo com um perfil
sem direitos administrativos.

Verificar, atravs da configurao do software antivrus, se est configurado

para atualizar a base de infeces de forma automtica e imediata
liberao pelo fabricante.

4.8.6 Avaliao de vulnerabilidades

Descrio

a) Requisitar os relatrios oriundos da ltima anlise de vulnerabilidades

realizada internamente.

b) Verificar se todos os sistemas crticos esto contemplados.

c) O ltimo relatrio deve ser datado, no mximo, de 6(seis) meses anteriores
auditoria atual.

a) Requisitar os relatrios oriundos da ltima anlise de vulnerabilidades

realizada por entidade externa.

b) Verificar a credibilidade e independncia da entidade externa contrata.

c) O ltimo relatrio deve ser datado, no mximo, de 1(um) ano anterior
auditoria atual.

d) Este relatrio deve contemplar, no mnimo:

Uso de senhas imprprias;
Mapeamento de portas abertas e servios ativos;

Anlise de vulnerabilidades dos sistemas ativos;

Falhas de injeo, particularmente SQL injection;

Buffer overflow;

Comunicaes inseguras;
Tratamento de erros inapropriado;
Cross-site scripting (XSS);
Controle de acesso inapropriado

4.8.7 Controles computacionais

Descrio

a) Requisitar poltica que conste a complexidade das senhas. Uma senha deve
ser considerada complexa quando:
Possui 7(sete) caracteres ou mais; e
Mescla caracteres alfanumricos com caracteres especiais; e

Caracteres em caixa alta e caixa baixa.

b) Verificar se estas reqras esto implementadas nos sistemas de controle de

Ttulo

Verso

Classificao

Pgina

PROJETO SREI: Requisitos para o ambiente

operacional do SREI

v1.0.r.3

LSITEC:Restrito

16/23

Processo:32Z_22/-_____

Mnmn

Folha:^

5?/2""

Func:

Laboratrio de Sis'emas Integrveis Tecnolgico

k/p
www.citec.0r9.br

domnio (LDAP, Active Directory, etc).

a) Verificar existem sistemas de controle de domnio implementados (LDAP,

Active Directory, etc).
a) Verificar as polticas de senha configuradas. Estas devem atender os
seguintes requisitos:

Devem ser redefinidas de forma automtica a cada 180 dias; e

No devem ser repetidas as trs senhas anteriores.

a) Requisitar procedimento ou poltica que possua o processo de redefinio de

senhas.

a) Requisitar o procedimento ou poltica de gerenciamento de usurios.

Adicionalmente, verificar as polticas configuradas no sistema. A seguinte
poltica deve estar definida:
Usurios inativos por mais de 60(sessenta) devem ser
bloqueados;

a) Requisitar o procedimento ou poltica de gerenciamento de usurios.

Adicionalmente, verificar as polticas configuradas no sistema. A seguinte
poltica deve estar definida:

Usurios que digitem suas senhas de forma incorreta por 6 vezes

devem ter sua conta bloqueada.

a) Requisitar o procedimento ou poltica de gerenciamento de usurios.

Adicionalmente, verificar as polticas configuradas no sistema.

a) Verificar se os sistemas possuem o servio ntp instalado e se os servidores

corretos esto listados no arquivo de configurao.

b) O servio ntp nativo de servidores Windows a partir da verso 2000 server

no deve ser considerada.

4.8.8 Disponibilidade do servio

Descrio

a) Verificar a existncia de redundncia para sistemas crticos como, por

exemplo, aplicaes web e armazenamento.

a) Verificar a existncia de site de contingncia atravs de contratos, caso seja

terceirizado.

b) Caso o site de contingncia seja de propriedade da prpria entidade,

requisitar as configuraes de sistemas e roteadores que permitem a troca de
sites na ocorrncia de eventos.

a) Constatar, atravs da configurao dos roteadores ou, tambm, atravs dos

contratos com operadoras a implementao de enlaces redundantes

Ttulo

Verso

Classificao

Pgina

PROJETO SREI: Requisitos para 0 ambiente

v1.0.r.3

LSITEC:Restrito

17/23

operacional do SREI

laboratrio de Sistemas Integrveis Tecnolgico

www.tsii

4.8.9 Armazenamento e salvaguarda dos dados

Descrio

Verificar as caractersticas de implementao

armazenamento utilizados pela entidade.

dos

dispositivos

de

Requisitar procedimento de cpias de segurana. Este procedimento deve

incluir:

b)

Passos para realizao do backup;

Passos para verificao do backup;
Passos para armazenamento e controle do contedo dos backups;
Passos para recuperao do backup;
Periodicidade do backup;
Periodicidade de teste de recuperao do contedo do backup.

a) Requisitar a declarao formal do processo de realizao de testes de

verificao de integridade.
b) Requisitar a documentao das aplicaes utilizadas para a verificao de
integridade.
c) Adicionalmente, verificar, atravs da restaurao dos dados, se todos os
atributos so mantidos, incluindo, principalmente, os atributos de permisso
de acesso.

a) Requisitar declarao formal do processo de realizao de cpias de

segurana.

b) Requisitar a apresentao do backup referente ao dia anterior.

a) Constatar, fisicamente, a utilizao de cofres para as mdias de backup.

b) No devem existir mdias de backup em outros locais seno o cofre.
Requisitar declarao formal do processo de verificao das condies
fsicas das mdias de backup.
Requisitar declarao formal da existncia de anlise crtica do procedimento
de restaurao de backup.
a) Verificar a efetividade do controle de acesso ao cofre.

a) Requisitar 3(trs) registros de cpias de segurana.

4.8.10

Privacidade

Descrio

a) Requisitar Acordo de confidencialidade utilizado pela entidade. Este termo

deve contemplar:
Durabilidade de 5(cinco) anos aps desligamento;
Penalidades quando da ocorrncia de quebra de acordo.

Ttulo

Verso

Classificao

Pgina

PROJETO SREI: Requisitos para o ambiente

operacional do SREI

v1.0.r.3

LSITEC:Restrito

18/23

Processo

/Z0Z7

PK1 scu

Folha:

laboratrio do Sistemas Inlsqrveis Tecnol

oigico

Func:

2ZI
sc.org b

4.8.11

Treinamento e conscientizao

Descrio

a) Para todos os controles desta seo, requisitara declarao formal acerca do

treinamento e conscientizao dos colaboradores.

4.9

Gesto das operaes

4.9.1 Manual e poltica de segurana da informao

Descrio
a)

Para todos os controles desta seo, requisitar uma cpia das seguintes
polticas:
Poltica de segurana da informao;
Poltica de classificao da informao;

Poltica de uso da internet.

4.9.2 Definio e segregao de funes

Descrio

a) Requisitar cpia dos Acordos de utilizao ou outro documento corresponde

que descreva os papeis e funes dos colaboradores.
4.9.3 Gesto de ativos de TI

Descrio

a) Requisitar o inventrio de ativos da informao seja este eletrnico ou em

papel.

a) Requisitar registro de entrada e sada de equipamentos, dispositivos e

mdias.

4.9.4 Gesto de usurios do sistema

Descrio

a) Requisitar procedimento de gesto de usurios contemplando:

Responsabilidades pela autorizao, incluso, remoo e alterao
dos perfis.

b) Requisitar formulrio utilizado para a atribuio de acesso, contendo:

Sistemas e servio cujo colaborador tem acesso;

Assinatura do responsvel pela atribuio;
Assinatura do usurio, reconhecendo suas responsabilidades e
Ttulo

Verso

Classificao

Pgina

PROJETO SREI: Requisitos para o ambiente

operacional do SREI

v1.0.r.3

LSITEC:Restrito

19/23

A/208

laboratrio de Sisemas Integrveis Tecnolgico

WWW.ki!

atribuies.

a) Requisitar termo de utilizao.

a) Verificar, no controlador de domnio, se existe identificadores pessoais de

usurio com privilgios administrativos.

a) Requisitar procedimentos de definio e redefinio de senhas.

a) Identificar na poltica de segurana se a entidade possui formalmente
declarada a remoo de privilgios e identificadores de usurios de
colaboradores quando do desligamento dos mesmos.
Identificar na poltica de segurana da informao se a redefinio de senhas
administrativas de usurios compartilhados, equipamentos e sistemas que
possibilitam a utilizao de somente 1(um) usurio administrativo so
trocadas quando do desligamento de um colaborador com privilgios
administrativos.

a) Identificar, na poltica de segurana da informao, a declarao formal do

principio do privilegio mnimo necessrio.
b) Requisitar a relao de privilgios formalmente documentada.
a) Identificar, na poltica de segurana da informao, a declarao foral da
reviso de direitos de acesso de forma anual contemplando os requisitos
necessrios referidos neste controle.

4.9.5 Gesto de mudanas

Descrio

a) Identificar, na poltica de segurana ou poltica ou, tambm, procedimento

para a gesto de mudanas, a declarao formal do processo de requisio,
aprovao e documentao das mudanas significativas.

a) Requisitar procedimento para a gesto de mudanas.

b) Caso exista, requisitar os templates para formulrios que devem ser
preenchidos quando do momento da requisio, aprovao e documentao
da mudana.
4.9.6 Gesto de incidentes

Descrio

a) Identificar, na poltica de segurana da informao ou procedimento

relacionado a gesto de incidentes, se esta formalmente declarada as
responsabilidades para a conscientizao dos colaboradores.

a) Requisitar procedimento de gesto de incidentes.

a) Requisitar procedimento de gesto de incidentes.

a) Requisitar procedimento de gesto de incidentes.

Ttulo

Verso

Classificao

Pgina

PROJETO SREI: Requisitos para o ambiente

operacional do SREI

v1.0.r.3

LSITEC:Restrito

20/23

Processo: ^ D $1[

IZZ0Z7

Fcjha:

BB

Func^

laboratrio do Sistemas Integrveis Tecnolgica

tyS
www.lsiiac.ora br

a) Requisitar procedimento de gesto de incidentes.

b) Requisitar poltica de segurana da informao.
4.9.7 Gesto de riscos

Descrio

a)

Identificar, na poltica de segurana da informao, se esta formalmente

declarada a necessidade de avaliaes de riscos peridicas.
b) Requisitar o resultado da ultima a avaliao de riscos.

a) Requisitar o documento da poltica de segurana da informao ou

documento equivalente que contenha o escopo das avaliaes de riscos a
serem realizadas.

4.9.8 Gesto de contratos com fornecedores

Descrio

Identificar, na poltica de segurana da informao, a existncia de uma

declarao formal acerca das necessidades para a formalizao de contratos
com terceiros.

Identificar, na poltica de segurana da informao, a existncia de uma

declarao formal acerca dos requisitos e gatilhos para a reviso de
contratos; e

b) Adicionalmente, requisitar um contrato recente, firmado com parceiro critico

para a prestao dos servi;os relacionados ao SREI e verificar a

conformidade com todos os requisitos declarados neste controle.

4.9.9 Continuidade dos negcios

Descrio

a) Identificar, na poltica de segurana da informao ou documento com a

mesma funo, a declarao da necessidade e existncia de um plano de
continuidade dos negcios (PCN); O plano deve contemplar os seguintes
tpicos:

Objetivos e estratgias organizacionais para a gesto da

continuidade do negcio;

Definir responsabilidades pela coordenao das atividades de

gesto da continuidade do negcio;
Identificar e priorizar os processos e ativos crticos para a
continuidade das operaes do SREI;
Identificar os recursos - financeiros, organizacionais,

tecnolgicos, humanos, ambientais necessrios para a gesto

da continuidade do negcio;
Detalhar e documentar as atividades e procedimentos que

compem o plano de continuidade do negcio;

b) Definir as modalidades para validao do plano, contemplando os testes a
Ttulo

Verso

Classificao

Pgina

PROJETO SREI: Requisitos para o ambiente

operacional do SREI

v1.0.r.3

LSITEC:Restrito

21 /23

(Hfl0I7

laboratrio de Sistemas Integrveis Tecnolgica

WWW i- :

serem realizados, sua freqncia e os recursos envolvidos;

a) Requisitar o plano de continuidade dos negcios (PCN) e verificar se este

atende a todos os requisitos presentes neste controle.
Indisponibilidade da instalao predial, incluindo seus
equipamentos e documentos armazenados;
Destruio da instalao predial, incluindo seus equipamentos
e documentos armazenados;

Indisponibilidade dos enlaces de comunicao;

Indisponibilidade de pessoal.

Gerenciamento da capacidade

4.9.10

Descrio

a) Identificar, na poltica de segurana da informao ou documento de mesmo

valor, a existncia da declarao da necessidade da gesto de capacidade e
os recursos analisados. Os recursos analisados devem ser, no mnimo:

Uso de CPU;

Uso de memria;

Uso de espao de armazenamento persistente;

Uso dos enlaces da comunicao.

b) A anlise de recursos pode ser varivel de acordo com as especificidades da
aplicao e do hardware utilizado, portanto, caso seja necessrio utilizar
outras mtricas ou, tambm, caso no seja necessrio utilizar as mtricas
apresentadas acima, esta deciso deve ser justificada.
a) Requisitar resultados e relatrios para a gesto de capacidade.
a) Requisitar plano de ao para a gesto de capacidade, caso exista. Os
seguintes itens devem ser considerados:

Planejamento das aes para melhora da capacidade futura,

contendo a previso (data) para a realizao das aes;

Provisionamento de recursos financeiros para a melhora;

Resultados esperados das aes.

Ttulo

Verso

Classificao

Pgina

PROJETO SREI: Requisitos para o ambiente

operacional do SREI

v1.0.r.3

LSITEC:Restrito

22/23

Processo:J ^
IFolha:
'Func:

laboratrio de Sistemas Integrveis Tecnolgico

WWW.lslteC.org br

5 Coleta e guarda de evidncias

O peso de uma evidncia depende criticamente de sua integridade para
proteger contra desafios jurdicos afirmando que a evidencia pode ter sido
modificada ou adulterada do ponto inicial de coleta at o armazenamento e
processamento e analise para a apresentao. A anlise somente DEVE ser
realizada em cpias primrias da evidncia, obtida sob a superviso de pessoal

confivel. Detalhes de quando e onde o processo de cpia foi executado, quem

executou e quais ferramentas e programas foram utilizados, tudo registrado.
Os requisitos para esta atividade so:

Documentos em papel: o original mantido seguro com o registro do

indivduo que encontrou o documento, onde o documento foi achado,
quando foi achado e quem testemunhou a descoberta; qualquer anlise
faz o uso de cpias, mantendo a original armazenada seguramente;

Dados computacionais: Imagens espelhadas ou cpias de qualquer

mdia removvel, informaes em discos rgidos e em memrias
coletadas; todas as aes durante o processo de coleta e cpia so
registradas e o processo deve ser testemunhado; a mdia original e o
registro ou (se isto no possvel), no mnimo, uma cpia de imagem
deve ser armazenada seguramente.

Ttulo

Verso

Classificao

Pgina

PROJETO SREI: Requisitos para 0 ambiente

operacional do SREI

v1.0.r.3

LSITEC:Restrito

23/23