26
maâ Processo: ^L(Q- S91 Folha:_ Íc Func: £>£- laboratório de Sistemas integráveis Tecnológico PROJETO SREl Sistema de Registro Eletrônico Imobiliário PA 1.9.2 - Processo de Certificação de Software SREl Título PROJETO SREl: PA 1.9.2 - Processo de Certificação de Software SREl Versão Versão 1.2 release 3 Data da liberação 15/02/2012 Classificação LSI-TEC.Restrito Autores Gislaine Bueno, Volnys Bernal Propriedade LSI-TEC Restrições de acesso LSI-TEC

sREI - 306-318 - Processo de Certificação de Software SREl.pdf

Embed Size (px)

Citation preview

maProcesso: ^L(Q- S91Folha:_ cFunc:>-laboratrio de Sistemas integrveis TecnolgicoPROJETO SRElSistema de Registro Eletrnico ImobilirioPA 1.9.2 - Processo de Certificao de Software SRElTtulo PROJETO SREl: PA1.9.2 - Processo de Certificao deSoftware SRElVerso Verso1.2 release3Data daliberao 15/02/2012Classificao LSI-TEC.RestritoAutores Gislaine Bueno, VolnysBernalPropriedade LSI-TECRestries de acesso LSI-TEC. Func:fAElaborao de termos de responsabilidade e confidencialidade, almdeguarda econtrole de todos os documentos formaisque apoiam o processo deauditoria;Definir questes relativasaoambientedeauditoria, assimcomoa guardaemanuseio dos indcios ou evidncias coletadas durante o processo deavaliaopelos auditores;Definir a estruturaa serdisponibilizada pelaentidadeou ComitGestor doSREl, caso as auditorias sejam realizadas em seu ambiente;Definir como as evidncias da avaliao devem ser coletadas earmazenadas. Por exemplo, a captura de informaes comprovando aadernciadosistemaeagravaodeimagemouudiodoambiente(comoocorre noProcesso de Certificao SBIS/CFM);Averiguar seos resultados doprocesso de certificao estodeacordocomos princpios adotados para acertificao;Emcasos que a auditoria avaliou o SREl como no-conforme, caber aoComitGestor doSREl verificar osresultados, informar aoauditadoe definiro prazo e a taxa para o segundo ciclo de auditoria, caso o processo decertificao SRElcontemple essa etapa.Caber entidade ouComit Gestor doSREl, definir questes relacionadas divulgao eemisso do certificado de conformidade doSREl;Sugere-se queaaprovaoeadivulgaodoManual deCertificaosejamde responsabilidade dessacomisso;As sugestesdealteraes, atualizaesouelaboraodenovaversodoManual tambm deve ser de responsabilidade desta comisso;Orientar o solicitante quanto as documentaes necessrias para osProcessos de Certificao, tantode sistema como operacional;Divulgar aosolicitantea importnciadeleitura, entendimentodo documentode requisitos e, tambm, a realizaodeensaios prvios, que podemserrealizados internamente comopreparao para a etapa de auditoria formal;Assegurar quetodas asquestesrelativasvalidadeeextensodoselo decertificao esto sendo cumpridas pela auditada.Ttulo Verso Classificao PginaPROJETO SREl: Processo deCertificao deSoftwareSRElv1.2.r.3 LSITEC:Restrito 9/266.6.3FluxodaCertificaoA Figura 2 apresenta uma proposta do fluxo de certificao. Para facilitar avisualizaodasetapasdoprocessode certificao, ascoresda Figura1 foramutilizadas para distinguir as aes tomadas pelas partes:Figura1 - Aes marcadas por coresParte Interessada (PI)Parte Interessada(PI) eEntidade Auditora(EC)Entidade Auditora(EC)Parte Interessada (PI) eComit Gestor do SREl(CG)Comit Gestor do SREl(CG)DesviosTtulo Verso Classificao PginaPROJETO SREl: Processo de Certificao deSoftwareSRElv1.2.r.3 LSITEC:Restrito 10/26^NAO yPI oEA negociam prazo coirtrato do prestao daserviosPI o EAfirmam data c contratopara realizao da auditoriaPI submosj documentao doSRElEAroallza aauditoria do SRElde acordo com orequisitojrCGgora a taxa deInscrioPI envia aficha deinscrio, relatrio deconformidade (EC)odocumentaopara COCG avalia asdocumorrtaes eorelatrio de eonformldadodo SRElEAemite relatrio contendoo* no-conformldades eestabeloce prazo para acorroaoCG emite tolatrlodesaprovaoPI avalia relatrio dedesaprovaoEA analisa parecer eemite novo relatrioTFigura 2 - FluxodoProcesso de Certificao SREl|Prnr.fSSO: . DYZIFolha:_ .Func:WlMA.LTtulo Verso Classificao PginaPROJETO SREl:Processo de Certificao deSoftwareSRElv1.2.r.3 LSITEORestrito 11 /262.7 Documentos utilizados noprocesso de certificaoParaguiaraexecuodasavaliaescontempladaspeloProcessodeCertificaonota-seanecessidade daelaborao de documentos formaisonde sejamdescritosos fluxos do processo de certificao, os requisitos de avaliao e os ensaiosexecutados para avaliao de conformidade de cadarequisito.Oprocesso decertificao descritopeloManualdeCertificao, quecontmtrspartes (ou volumes)principais: Descriodoprocessodecertificao: descriodesde comodeveserrealizadaasolicitao de submisso doSREl aoprocesso decertificao atapublicao do selo de certificao; Requisitos tcnicos:conjunto de requisitos aserem avaliados/auditados; Descriodos ensaios: descrio dos ensaios considerandoos testes eferramentas necessrias para acomprovao da conformidade.O documento deve contemplar: o objetivo do processo de certificao, asmotivaes e princpios da certificao, informaes sobre a Entidade Auditora,questesrelacionadasconformidadeeinfraestruturautilizadaparaa avaliao,as referncias utilizadas, os requisitos, os ensaios, os testes e as ferramentasutilizadas para avaliao da conformidade. Sugere-se ainda que o documentocontemple comoos sistemas de registros eletrnicos e componentes devemserenquadrados noprocesso de certificao.2.8 Resultado de conformidadeCombaseno nvel deconformidadeavaliado, o fornecedor dosoftwarederivaasseguintes aes: Conforme: Ofornecedor encaminhao resultadodaauditoriadosistemaao Comit Gestor do SREl; No conforme: O fornecedor do software deve solucionar as noconformidades e requisitar a realizaodoSegundo CiclodeAuditoria,devendo ser pela mesma entidade auditora. NoSegundo Ciclo, seroTtulo Verso Classificao PginaPROJETO SREl: Processo deCertificao deSoftwareSRElv1.2.r.3 LSITEORestrito 12/26Processo: W) ^//Folha: 3d*LFunc: &Lreavaliados todos os itens conformes e no-conformes apontados noPrimeiro Ciclo. O segundo ciclo visa minimizar os investimentosfinanceirosfeitos pela parteinteressada. PormsenoSegundoCiclo, aparte interessada no conseguir atender completamente a todos osrequisitos, a parte interessadadeversesubmeter a novo processodeauditoria.ParaumsoftwareSREl receberoestadodecertificado(aprovado), osistemadeveatender todos os requisitos considerados obrigatrios.Paraocaso deumSREl noaprovadoouparcialmenteconforme, sugere-sequeaPI tenhaumprazo de 90diaspara correo das no-conformidades.Caso o Oficial do Cartrio noconcorde comos resultados da auditoria, deversolicitar aoComitGestor doSREl a revisodosresultados, emumprazomximode 15 dias da emisso dorelatrio.2.9 Restries doprocesso de auditoriaUmaveziniciadooprocessodeauditoriacomumaentidadeauditoracredenciadadeve ser completado comamesma empresa.2.10 Estimativa de esforoA estimativa de esforoparaarealizaoparaarealizaodaauditoria doSistemadeRegistro Imobilirio aproximadamente40horas. OQuadro 1apresenta umaestimativa de esforo:Quadro 1 - Estimativa de esforo pararealizao da auditoria operacional de TIC.Cenrio Auditores Execuo Relatrio TotalSistema de RegistroImobilirio 3 32 horas 8 horas 120 horas2.11 VersesdoManualde CertificaoOs Manuais de Certificao SREl possuemindicao de verso. Os ajustes ecorrees entre verses devemestar explanadas de forma clara e precisa nodocumento que descreveoProcesso de Certificao.Ttulo Verso Classificao PginaPROJETO SREl: Processo deCertificao deSoftwareSRElv1.2.r.3 LSITEC:Restrito 13/26Recomenda-se que os procedimentos e requisitos necessrios relacionados salteraes estejam documentados noManual doProcesso de Certificao.2.12 Validade da certificaoPara atender s demandas de mercado, surgimento de novas tecnologias emelhoramentos doSREl edoManual de Certificao, recomenda queacertificaoseja vlida por 24 ou36 meses.Quando ocorreremalteraes ou lanamento de novas verses emum SREScertificado, a necessidade de uma nova certificao ou extenso da certificaodeve ser avaliadapelo Comit Gestor doSREl.Nocasodelanamentodeumnovo Manual deCertificao, oselodecertificaodentro doprazo de validade concedido ao SREl noperde sua validade. No entanto,apsotrminodavalidade dacertificaoosoftwareSREl dever ser submetidonova verso do Manual de Certificao.2.13 InstrumentosformaisO Comit Gestor do SREl responsvel por definir, elaborar e controlar osinstrumentos formaisutilizados nos Processo de Certificao.Os instrumentos devem ser utilizados para documentar todas as atividadesadministrativas, desdeafichadeinscriodosistemaataemissodadeclaraode certificao.Dentre os documentos sugeridos esto: Ficha de inscrio de Certificao: a ser preenchida pelo solicitante eenviada aoComit Gestor do SREl para anlise; ContratodeCertificaopadro: contmtodas asclusulasecondiesaserem atendidas pelas duas partes, solicitante e comisso certificadora; Relatrio emitido pela Entidade Auditora: remete o estado deconformidadedo SRESe deveser apresentado Comit Gestor do SREljunto s demais documentao, para obteno do diploma e selo deCertificao;Ttulo Verso Classificao PginaPROJETO SREl: Processo deCertificao deSoftwareSRElv1.2.r.3 LSITEORestrito 14/26Processo.Folha:Vilm1MFunc:So Declarao de Certificao: dever informar a conformidade do SREl,evidenciando os dadosdosolicitante, adata de emisso, a verso doSREl edoManual de Certificaoutilizadonoprocesso; Selo decertificao:pode ser divulgadonositeoficialdoCNJ, contendo osdados do solicitantee o nomee a verso do SREl em conformidade. Fichade inscrioparaextensodavalidadedoselo: utilizada quandohouver necessidade, e relacionadatroca de verso doSRElou adequaodo sistema aumnovo Manual de Certificao. Contrato de extenso de certificao: deve conter todos os detalhesnecessrios para atender o processo de extenso da certificao, ondeambasaspartesdevemtercinciado cumprimentodasclusulasparaqueseja efetivado oprocesso. Termodeextenso: aps a conclusodaconformidadedeve-seemitir umtermo de extenso de certificao doSREl.A elaboraoeguardados documentosutilizadosentrea ParteInteressadae aEntidade Auditoracomo, por exemplo, contratos eficha deinscrio(sehouver),so de responsabilidade daEntidade Auditora.2.14 Preo dacertificaoAlguns processos de certificao tendem a se tornar onerosos devido profundidade daavaliao. Este processosemelhante aoprocesso decertificaode sistemas da rea de sade (S-RES) que possui nvel de profundidade deavaliaomdio.Nessa fase do projeto no possvel estimar de formaprecisa o custo total para aPIdeumprocesso decertificao, jque existemalgumas questesindefinidas como,por exemplo, aformao deumComit Gestor doSREl, infraestruturautilizadaparaa realizaoda auditoria e os custos de treinamento e aprovaodas entidadesauditora.Estima-sequeo processodecertificaoparaSREl ter umcustototal para a PIentre R$ 10.000,00 eR$30.000,00.Ttulo Verso Classificao PginaPROJETO SREl: Processo deCertificao deSoftwareSRElv1.2.r.3 LSITEC:Restrito 15/263 Credenciamento de entidades auditorase de auditoresA auditoriadoSistema deRegistroImobilirio realizadaporuma entidade auditoracredenciada pelo Comit Gestor do SREl. Os auditores da entidade auditoracredenciada tambm so credenciados pelo Comit Gestor do SREl.Somenteauditores credenciadosou emfasedecapacitaopodemparticipar dasatividades de auditoria SREl. Oenvolvimentode pessoas no credenciadas nasatividades de auditoria levaperda do credenciamento da entidade auditora.3.1 Requisitospara credenciamento de entidade auditoraPara credenciamentocomoentidade auditora do SREl, a entidade auditora deveatender aos seguintes requisitos: Atuao na rea de auditoria ou anlise de segurana: Aentidade devecomprovar atuao na rea de auditoriaouanlise de segurana:o Comprovar execuode servios de auditoria h, no mnimo, trsanos;o Apresentar trs referncias de clientes auditados nos ltimos seismeses; Auditores credenciados: A entidade deve possuir, no mnimo, doisprofissionais credenciados para realizao de auditoria operacional. Deveexistir um vnculo formalde prestao de servio de auditoria entre aentidadeauditoraeos auditores; Indicaode responsvel tcnico: Aentidadedeveindicar umresponsveltcnico pelas auditorias realizadas. O responsvel tcnico deve ser umauditor credenciado; Adernciaaocdigodecondutadeentidadeauditora: Ocdigodecondutadeentidadeauditoraestabeleceprticasdeconfidencialidade daauditoriaedaindependncia da entidade auditora.Ttulo Verso Classificao PginaPROJETO SREl:Processo deCertificao deSoftwareSRElv1.2.r.3 LSITEORestrito 16/26Processo:Folha:v/,2 mWiFunc: MNo processode credenciamento, a entidade auditora deve indicar o responsveltcnico pelas atividades de auditoria, que deve obrigatoriamente ser umauditorcredenciado.3.2 Requisitos para credenciamento de auditorParacredenciamentocomoauditordoSREl, oauditordeveatender aosseguintesrequisitos: Possuir umcontrato de colaborao formal com uma entidade auditora; Possuir certificao emsegurana da informao: CISSP, CISM, CISAouequivalente; Comprovar experincia de 5 anos emauditorias de sistemas; Passar notreinamento de capacitao emauditoria operacionalSREl.3.3 Processo de credenciamentoOprocesso de credenciamento dividido nas seguintes etapas: Elegibilidade para credenciamento da entidade auditora; Elegibilidade para credenciamento de auditor; Capacitao doauditor; Estgio do auditor; Credenciamento doauditor; Credenciamento da entidade auditora.3.3.1 Elegibilidadepara credenciamento da entidade auditoraA entidade quepretende ser credenciada deve submeter aoComit Gestor doSREla documentao suficiente a comprovar o atendimento dos requisitos paracredenciamento de entidade auditora, exceto em relao aos auditorescredenciados.OComitGestor doSREl aps validar adocumentao declaraaempresaelegvelpara credenciamento, podendo passar paraa fase de credenciamento dos auditores.Ttulo Verso Classificao PginaPROJETO SREl:Processo deCertificao deSoftwareSRElv1.2.r.3 LSITEC:Restrito 17/263.3.2 Elegibilidadepara credenciamento de auditorAentidadeauditoradevesubmeteradocumentaoquecomproveoatendimentodosrequisitos para credenciamento de cadaum de seus auditores.OComit Gestor do SREl, aps avaliar a documentao, declara o profissionalelegvel a ser habilitado como auditor SREl e pode passar para a etapa decapacitao do auditor eestgio.3.3.3 Capacitao do auditorSucessivamente o aspirante auditor precisa passar para um treinamento dequalificao SREl, durante oqual so apresentados os critrios de certificaoSREleametodologia de auditoriaadotada. Ao finaldo treinamento realizadaumaprovapara avaliao do aproveitamento(aprovado oureprovado).Casooresultadoavaliaodeaproveitamentosejasatisfatrio, oauditor estaptopara a etapa de estgio.3.3.4 EstgioOestgioconsistenaparticipaoemdoiscicloscompletosde auditoriaSREl navestedeauditortrainee. Oauditortraineedever realizar o processodeauditoriasob a superviso do auditor responsvel o qual dever acompanhar, verificar evalidar osresultadosdaauditoriarealizadapelotraineeapontandoeventuais falhasnas atividades de auditoria.Orelatriodeauditoriaelaboradopelotraineee a avaliao doauditorresponsvelso encaminhados ao Comit Gestor do SREl que, aps validar o resultado,credenciaoauditorouestendeoperododeestgio. Casohajaextensodo prazode habilitao o Comit Gestor do SREl deve justificar os motivos.3.3.5 Credenciamento do auditorCasoo auditor sejaaprovadono estgio, credenciadocomoauditor de SistemaRegistroEletrnico Imobilirio, estandoaptoarealizar auditoriasSREl nocontextoda entidade auditora.TtuloVerso Classificao PginaPROJETO SREl: Processo de Certificao deSoftwareSRElv1.2.r.3 LSITEORestrito 18/26Processo: *tf1 %cf(!FcJha:_, I3.iFunc: gd-3.3.6 Credenciamento de entidade auditoraAps o credenciamento de dois auditores, a entidade auditora recebe seucredenciamento para realizao de auditoria de sistema SREl.Ttulo Verso Classificao PginaPROJETO SREl:Processo de Certificao de SoftwareSRElv1.2.r.3 LSITEORestrito 19/264 Fiscalizao econtrole da qualidade da auditoriaOComit Gestor do SREl, a qualquer momento, pode requisitar que uma outraEntidade Auditora Credenciada refaa uma auditoria do sistema para efeito decomparao para garantia da qualidade.Ttulo Verso Classificao PginaPROJETO SREl:Processo de Certificao de SoftwareSRElv1.2.r.3 LSITEORestrito 20/26:3^^f .processoIFolha:_iFunc:5 Prticas de conduta do auditorOSREl estabelece queoauditor deveaderir s seguintesprticas de condutaparaas atividades relacionadas auditoriaSREl: Cdigo de ticaprofissional de auditoria; Prticas de confidencialidade; Prticas de independncia do auditor.Aaderncia formalizada atravs de assinatura, pelo auditor, de termos quereferenciam estasprticas.5.1 Cdigo de ticaprofissional de auditoriaPara asatividadesrelacionadasauditoriaSREl, oauditor deveaderir aocdigo detica profissional do Information SystemsAudit and Control Association (ISACA),que possui os seguintes termos:Nas atividades de auditoriaSREl, o auditor compromete-se a: Apoiar aimplementaode, eencorajar aaderncia aosmodelos, procedimentosecontroles para os sistemas de informao; Desempenhar suas atividades comobjetividade, dedicaoeprofissionalismo, deacordo com modelos profissionais e as melhores prticas; Servir aos interesses das partes interessada forma honesta e legal, mantendo altospadres de conduta e carter e no se relacionando ematos desonrosos profisso; Manter aprivacidadee aconfidencialidadede informaes obtidasnocursodesuas atividades,exceto quanto divulgao for solicitada por autoridade legal. Taisinformaes nodevemserusadas embenefcioprpriooudisponibilizadas aterceiros; Manter competnciaemseurespectivocampode atuaoe concordar ematuarapenas comas atividades onde tenha razovel expectativa de conclusocomcompetncia profissional; Informars partes competentes dos resultados obtidos no trabalho, revelandoTtulo Verso Classificao PginaPROJETO SREl:ProcessodeCertificao deSoftwareSRElv1.2.r.3 LSITEORestrito 21/26todos os fatos significativos.5.2 Prticas de confidencialidadePrticas de confidencialidade para as atividadesrelacionadas auditoriaSREl:Nas atividades de auditoria SREl, o auditor compromete-se a: Mantero sigilo e segurana das informaes e artefatos obtidos ou geradosdurante as atividades da auditoria, divulgando as informaes eartefatos somenteequipe de auditoria e parte contratante; Mantero sigilodoresultadodas atividadesdeauditoria, divulgandooresultadosomente equipe de auditoriae parte contratante; Comunicar imediatamente entidade auditora a suspeita ou ocorrncia dequalquer evento de comprometimento do sigilo das informaes ou artefatos.5.3 Prticas deindependncia do auditorPrticas de independnciado auditor paraas atividades relacionadas auditoriaSREl:Nas atividades de auditoria SREl, oauditor compromete-se a: Antes doinciodequalquer atividade deauditoria, informar entidadeauditoraaocorrncia de qualquer relacionamento pessoal ou profissional prvio comaentidade cliente a ser auditada ou com algum de seus membros; Comunicar imediatamentesuaentidadeauditorase, duranteo desenvolvimentodos trabalhos, surgir algo que ameace a independncia das atividades da auditoria; Serindependente emrelaoentidade auditadatantoematitude quanto emaparncia(Aatitude deindependnciarefere-se real independnciadoauditor.Porm, importante que o auditorno somente aja deformaindependentecomotambmexpresse essaindependncia. Seumauditor de fatoindependente,pormumoumais fatoressugeremo contrrio, istopoderiapotencialmenteconduziraopblicoconcluir queorelatrio de auditoria noexpressaaimagemverdadeira eapropriada dos fatos). Comunicar alta direo qualquerconflito emrelao independncia dasTtulo Verso Classificao PginaPROJETO SREl:Processo deCertificao deSoftwareSRElv1.2.r.3 LSITEORestrito 22/26Processo: "^Lj/2. 9*(Lcolha:Func: iaatividades de auditoria. Casoo conflito no seja resolvidopela alta direo, oauditor compromete-se a comunicar o Comit Gestor doSREl.Ttulo Verso Classificao PginaPROJETO SREl:Processo de Certificao de SoftwareSRElv1.2.r.3 LSITEORestrito 23/266 Prticas de conduta da entidade auditoraOSREl estabelecequea entidadeauditoradeveaderir sseguintes prticas deconduta para as atividades relacionadas auditoriaSREl: Prticas de confidencialidade; Prticas de independncia da entidade de auditoria.Aaderncia formalizada atravs de assinatura, pela entidade, de termos quereferenciam estas prticas.6.1 Prticas de confidencialidadePara as atividades deauditoria SREl, a entidade auditora compromete-se a: Manter contratos de confidencialidade com cada auditor; Manter processos erecursosquepossibiliteamanutenodosigiloeseguranadas informaes eartefatos obtidos ou gerados durante as atividades da auditoria; Zelar pelo sigilo dos resultados das atividades deauditoria, divulgando oresultadosomente equipe de auditoria e parte contratante; Manter processos e recursos que possibilite o suporte dosigilo; Comunicar imediatamente parte contratante a suspeita ou ocorrncia de qualquerevento de comprometimento do sigilo das informaes ou artefatos.6.2 Prticas de independncia da entidade auditoraNas atividades de auditoria SREl, a entidade auditora compromete-se a: Antesdoestabelecimentodeumcontratodeauditoria, verificara ocorrnciadequalquer relacionamento anterior com a entidade auditada; Antes doestabelecimentodeumcontratodeauditoria, requisitar dosauditoresdeclarao sobre ocorrncia de qualquer relacionamento pessoal ou profissionalTtulo Verso Classificao PginaPROJETO SREl:Processo deCertificao deSoftwareSRElv1.2.r.3 LSITEORestrito 24/26Processo:3^2%-LL577Folha:Func: Lanterior do auditor coma entidade cliente auditada ou comalgumde seusmembros. A entidade auditora avalia algumeventual conflito de independnciae,quandonecessrio, toma asaes necessrias para garantia daindependnciadas atividades de auditoria;Garantir aoauditor condies necessrias aodesenvolvimento dasatividadesdeforma independente.Ttulo Verso Classificao PginaPROJETO SREl:Processo de Certificao de SoftwareSRElv1.2.r.3 LSITEORestrito 25/267 RefernciasSBIS, 2009a. Sociedade Brasileira de Informtica em Sade e ConselhoFederal de Medicina Manual de Certificao para Sistemas de RegistrosEletrnicos de Sade(SRES) verso 3.3. So Paulo.2009.SBIS, 2009b Sociedade Brasileira de Informtica em Sade e ConselhoFederal de Medicina. Manual de Operacional de Ensaios e Anlises paraSistemasdeRegistrosEletrnicosdeSade(SRES) verso1.2. SoPaulo.2009.ABNT Associao Brasileira de Normas Tcnicas. NBR ISO/IEC17025: Requisitosgerais paraacompetnciadelaboratrios deensaioecalibrao. Rio de Janeiro. 2006ICP-BRASIL. COMIT GESTOR DA ICP-BRASIL.NORMATIVADA ICP-BRASIL. Verso 3.4. Braslia. 2010.ESTRUTURATtulo Verso Classificao PginaPROJETO SREl: Processo de Certificao deSoftwareSRElv1.2.r.3 LSITEORestrito 26/26