5.1 - Cópias de segurançaAs cópias de segurança têm por objetivo prevenir a perda de informações e garantir a disponibilidade do sistema. Os procedimentos de backup devem ser feitos regularmente e pelo menos uma cópia deve ser armazenada, preferencialmente off-site (em outro lugar físico longe dos servidores/computadores que armazenam os dados do SIGAD). Podem-se distinguir vários tipos de informação necessários ao funcionamento de um SIGAD. Essas informações compreendem os documentos digitais, metadados e informações de controle associadas às camadas de software relacionadas ao SIGAD (sistema operacional, gerenciador de bancos de dados, software aplicativo). Todas essas informações devem ser incluídas nos procedimentos de cópias de segurança.
5.2 - Controle de acessoEsta seção trata dos requisitos de identificação e autenticação de usuários, controle de acesso baseado em grupos de usuários e em papeis de usuários, bem como dos requisitos comuns a qualquer tipo de controle de acesso (veja mais detalhes do documento do e-Arq).
5.2.1 - Identificação e autenticação de usuários5.2.2 - Controle de acesso por grupos de usuários5.2.3 - Controle de acesso por papéis de usuários
Os requisitos desta seção tratam do mapeamento da identidade do usuário legítimo e das permissões concedidas a ele, imediatamente após sua autenticação.
Usuários acessam dados, metadados e funções via interface do programa. A associação entre identidade do usuário e autorizações de acesso é feita durante a fase de identificação e autenticação do usuário por meio da interface do programa, com base nas credenciais de autenticação.
Os requisitos dessa seção respondem às seguintes perguntas de segurança:
• Esse usuário pode acessar o sistema SIGAD?X
• Como os usuários estão organizados em grupos de usuários e/ou perfis de acesso?
• Quais funcionalidades o usuário pode ter acesso?
• Quais documentos e processos o usuário pode ter acesso?
• Quando há informações restritas, esse usuário pode acessá-las?
Grupos são conjuntos de usuários (possivelmente com papéis diferentes) reunidos para a realização de alguma atividade em comum, por tempo determinado.
Exemplo hipotético de grupo: “equipe de projeto do sistema XPTO”, que estarão trabalhando juntos apenas enquanto esse projeto estiver acontecendo.
XPapéis são funções ou cargos com responsabilidades e autoridades bem definidas. Operações correspondem a tarefas executadas nos documentos, dossiês/processos e classes. Atribuições de usuários são as associações entre usuários e papéis. Um usuário pode estar associado a um ou mais papéis e vice-versa. Permissões constituem garantias aprovadas para realização de operações em documentos arquivísticos.
Exemplo hipotético de papéis: “equipe do arquivo”, “equipe de digitalização”, “equipe de vendas” etc.
X