Conv Conven enio io ABNT ABNT
Sist Sistem em
Conf Confea ea/C /Cre rea/ a/Mu Mutu tu
NORMA BRASILEIRA
ISO/lEe 27005 Prim Primei eira ra edlc edlcao ao 07.07.2008
07.08.2008
In In
a.
informacao
de seguran~a
da
management
::::i
::2: UJ
_J
riscos. UJ
Descr Descrip ipto tors rs Info Inform rmat atio io IG
tech techno nolo logy gy Secu Securi rity ty tech techni niqu ques es Risk Risk mana manage geme ment nt
35.0 35.040 40
:::J
ISB
978-85 978-85-07 -07-00 -00811 811-8 -8
ASSOCIA~AO
BRASILEIRA DE NORMA
TECNICAS
NOme NOmero ro de refe refere renc ncla la 55 paqi paqina na
o nv nv en en i
BN
S is is te te m
o nf nf ea ea /C /C re re a/ a/ M t u
In In
a.
::::i
::2: UJ
_J
te
t er er r t o
ro
UJ
ABNT :::J
Fax: Fax: 5521 552122 2220 20-1 -176 76
[email protected] www.abnt.org.br
ii
I S / IE IE G 0 0
BN
20
o do do s o s d irir e t o
r es es er er va va do do s
Conv Conven enio io ABNT ABNT
Sist Sistem em
Conf Confea ea/C /Cre rea/ a/Mu Mutu tu
IS lE
2700 27005: 5:20 2008 08
Sumario
Pagina
In In
c.
op
2
eg
er
es
al
C o p
o de de r
a da da i
s d i~ 2 1
ra
a d is /a li
ro
o d 2
tnformacao
ri
A l
o d
R
::::i
o d
::2: UJ
ea
er a d em
...J
Anex Anex
(info (inform rmat ativ ivo) o)
efin efinin indo do
es s d
ai eg
li it
er ta
is
ra
UJ
is
apncavets
ta
:::J
ev
a e
ea
s d
ev
I S / IE IE G 2 00 00 8
BN
00
T od od o
d irir ei ei to to s r es es er er v d o
iii
Co ve io
NT
SistemaConfea/Crea/Mutua
ISOllE
27005:2008
....................................................................................................................................................................... -E er es al o 1 s p
47
consequsnclas
e a
o r
In In
c.
::::i
::2: UJ
...J
UJ
:::J
iv
IS /I
2 00 8
A BN T
00
T od o o s d ir ei to s r e e rv a o s
ConvenioABNT SistemaConfea/Crea/Mutua
ABNT NB
ISOllE
27005:2008
Prefaclo Nacional Assoclaeao Brasileira de Normas Tecnlcas (ABNT) Foro Nacional de Normallzacao As Normas Brasileiras, cujo conteudo resp sm ri sp ci (A sa s6 Estudo (CE) formadas pa representantes do setare envolvidos dela fazend parte: produtores consumidores neutro (universidade, laborat6ri outros). Os Docume to
ecnico
BN
sa elaborados confor
as regras da
iret as ABNT Part 2.
In In
c.
respons8ve pela ldentlflcacao de quaisque direitos de patentes
Consulta Nacional conforme Edital nO03 de 13.03.2008
11.04.2008 co
Esta Norm elaborad pelo Technical Committee Information technolog (ISO/IEC JT Escopo dest Norm Brasileira em ingles
nurner de Projet 21:027.00-017. O/IE 27005:2008 qu fo 1) conforme ISO/IE Guid 21-1:2005.
seguinte:
Scope
This Internationa Standard provides guidelines fo informatio
security risk management
Th In erna iona andard suppor he genera concepts specifie OIIE 2700 an is designed to assist the satisfactory implementation of informatio security base on risk management approach.
::::i
Knowledge of th concepts models processe an terminologie describe is importan fo complete understanding of thi Internationa Standard. Th
::2: UJ
nt rnat onal
tandar
is applicab
aI type of organization
information security.
...J
UJ
:::J
IS /I
20
NT
00
T o o s o s d ir ei to s r e e rv a o s
in ISOIIE
2700 an ISOIIE
2700
(e.g commercial enterprises, government
Convenio ABNT
Sistem
ABNT NB
Confea/Crea/Mutu
ISOllE
27005:2008
lntroducao
27001. In In
c.
po
exemplo,
st
or
::::i
::2: UJ
...J
UJ
:::J
vi
IS /I
00
AB
20
o do s
d ir e t o
r es er v d o
Convenio ABNT
Sistem
Confea/Crea/Mutu
e 2
Tecnicas
seguranc;a da lnformacao
In In
c.
correcoes),
is
Tecnices
seguranr; da i n to r m e ci i ::::i
Requisitos
gestao da seguranr;a da informar;a
::2:
defini~oes
UJ
...J
UJ
:::J
3.1 impacto
riscos de sequranea da informa~ao
I S I IE G 0 0
BN
00
od
d ir ei to s r es er v d o
ce
Convenio ABNT
Sistem
Confea/Crea/Mutu
ISOllE
!;
[ABN
it
ri
ISO/lE
comunleaca
27005:2008
GUIA 73:2005]
do risc
troc ou compartilhamento de lnformacao sobr [ABN In In
c.
ISO/lE
risc entr
tomado de decisa
outras partes interessadas
GUIA 73:2005]
3.5 estimativ
de risco
processo utilizad [ABN
ISO/lE
para atribuir valore
probabilidad
term
de risco
processo para localizar, listar [ABN
de um risc
GUIA 73:2005] termo "atividade"
identifica!;a
consequencia
ISO/lE
usad no luga do er
probabilidade
usad
para
"pro esso pa
es im ti
de riscos
estimativa de riscos
caracterizar elemento do risc
GUIA 73:2005] termo, "atividade"
usad no luga do term "processo" para
identificat;:a de riscos
3.7 redu!;8o do risc
::::i
acoe tomada
para reduzi
[ABN
GUIA 73:2005]
ISO/lE
probabilidade, as consequencla
term
probabilidade
usad
negativas, ou ambas, associadas
para
um risc
estimativa de riscos
::2: UJ
reten!;a
...J
do risco
acei acao do onus da perd ou do bene icio do ganh associad [ABN
ISO/lE
:::J
para
retencao do risco.
transferenci
do risc
co part lhamen [ABN
ISO/lE
co
um outr
soment
ntidad do onus da perd ou
consequencia
be ef ci
negativa
(perdas) sa consideradas
do ganh associad
um risc
GUIA 73:2005] tntorrnacao,
para
risc
GUIA 73:2005] tntormacao,
UJ
um de er inad
transferencl
do risco.
soment
consequencla
I S / IE G 0 0
negativa
BN
20
(perdas) sa consideradas
o do s o s d ir e t o
r es er va do s
Convenio ABNT
Sistem
Confea/Crea/Mutu
ABNT NB
ISOllE
27005:2008
atividades.
secao 6. seguinte
secoes
secao 7, In In
c.
secao 9,
Restricoes
relativa
secao forma:
id
::::i
::2: UJ
apropriadas. id
...J
nt
tu liza
UJ
:::J
lmplernentacao
on
aceltavel,
I S I IE G 0 0
BN
00
od
d ir ei to s r es er v d o
quan
Convenio ABNT
Sistem
ABNT NB
Confea/Crea/Mutu
ISOllE
Conver qu
27005:2008
gestao de riscos de se uranca da ln or acao contribu
ldentltlcaca
de risco
Anallse/avallaca Cornunlcacao Estabeleciment Priorizaca
para
de riscos em funcao da consequencla entendimento da probabilidad da orde
prioritari
da acoe para reduzi
ao neg6ci
da consequsncla
da probabilidad
de su ocorrencia
destes riscos
para tratamento do risc ocorrencia do riscos
In In
c.
nfor adas so re
si uaca
Eficacia do monitorament on tora en
do tratamento do risc
an lise cr tica regula de riscos
Co et de in ormaco Tr inamen
gestao de riscos
de form
gestores
pessoa
sc um area especffica da orqanizaca (po exemplo:
me hora
(p
do processo de gestao do
esmo
aborda em da gestao de risc
resp it do riscos
da acoe para rnitlqa-lo
ca orqanlzaca co exemplo: um epartame to um loca idade, um serv co),
um odo, sistem
plan de continuidade de neg6cios).
sequranca da lnformacao
::::i
anatlse/avallaca de riscos (Secao ), tratamento do risc (secao 9) acei acao do risc (Secao do risc (Secao 11 onitoramento an lise crltic de riscos (Secao 12).
0) cornunicacao
::2: UJ
...J
UJ
:::J
I S / IE G 0 0
BN
20
o do s o s d ir e t o
r es er va do s
ConvenioABNT SistemaConfea/Crea/Mutua
In In
c.
Avaliac;a
satisfat6ria
Nao
::::i
::2: UJ
Tratamento satisfat6rio
Nao
...J
UJ
:::J
seguran~a da informa~ao
an lise avaliaca de risc e/ou de rata en do risc send realizadas ai de um ez Um nfoq iter ti execucao da an lise avaliaca de riscos orna possivel apro unda de al ar avaliaca em cada re et ca en oque iterat vo permit in miza aind assim, assegura qu riscos de alto impact ou de alta probabilidad possam se adequadament avaliados.
I S I IE G 0 0
BN
00
od
d ir ei to s r es er v d o
ConvenioABNT SistemaConfea/Crea/Mutua
ABNT NB
ISOllE
27005:2008
Primeiramente, contexto el fornecer lnforrnacoes su icientes para qu se eter in
ou
mpacto), possivelment
de or
ef ca as acoe necessarla
em partes imitadas do escopo (ver Figura 1, Pont de Declsa
para reduzi
1) poss ve
(por exemplo: os criterlo para anallse/ vallaeao de riscos de acel acao do risc fase adicio al de ratame to do risc (ver igur 1, onto de Declsa 2) In In
c.
mp cto) seguid
ca ra gestores da orqanizacao, Isso especialmente importante em um situaeao em qu omitid ou adiada po exemplo, devido ao custos
aj da
reduzi
ossiveis prej izos
so dais pontos de declsa na Figura 1) seja
conscientizaca
sp ci ca sc satisfazer esse requisito. Ha arie rnetodos atrave para cada aplicaca
so do quai
especffica do processo se
::::i
tratamen
do risco. Na fase "ver ficar"
sa executadas incluind ::2: UJ
reaplicaca
SI
do gestores
gestores
(representadas pelo
sc
xt
processo pode se implemen ad su co
r"
sm
pessoa no qu di respei
tratamento do risc
documentados
po um
implernentacao de controle
ro de inci ente
ue
desenvolviment
do plan
co
sucess ci
de tratamento ro
eterrn nara
necessidad re sa da avaliaca se sari do processo de gestao de riscos de sequranc da lnformacao
Tabe resu as at idades rele an es de esta de riscos do processo do SGSI
sequra ca da lnformacao para as uatr
ases
...J
riscos de seguran~a da lnformacao
UJ
:::J
Processo do SGSI
rocess
de risc
seguran~a da lnformacao
Definica do contexte Anallse/avallaca de riscos De lnicao do plan de tratamento do risc Aceltaea do risc
Planejar
lmplementaca
Executar
Agir
esta
Manter
melhorar
do plan de tratamento do risc
processo de esta de Riscos de sequranc da lnforrnacao
I S / IE G 0 0
BN
20
o do s o s d ir e t o
r es er va do s
Convenio ABNT
Sistem
Confea/Crea/Mutu
od 7.1 Considera~oes de seguranc;:
gerais
da lnformacao le
Diretrizes In In
qu
envolv
para implementacao:
essencia
determinar
ois
processo
c.
li de riscos [4.2.1.c)] especificado
7.
Criterio
na ABNT NB
er "c nt xto" No en an o, li SGSI [4.2.1.b)] ISO/IE 27001.
egao efere-se ao equi itos "definir "definir rnetod de anallse/avaliaeao
baslcos
::::i
::2: UJ
Monitora
controle
...J
provisao de recursos para
lrnplernentaca
operacao de um GS UJ
Criterio
para
avalia~ao de riscos
:::J
id
da integridad
tratamento do risco.
I S I IE G 0 0
BN
00
od
d ir ei to s r es er v d o
Convenio ABNT
Criterio
Sistem
Confea/Crea/Mutu
de impact
seguinte:
Ocorrsnclas da confidencialidade
Operacoes
e/ou da integridade)
nao In In
Dano
reputacao is
c.
identlflcaea em relaca
Criterio
perd da confidencialidade, da integridad
para
do crlterio
de impact
e/ou da disponibilidade.
aceltacao do risc
interessadas. desenvolvimento:
qu
so
lrcuns an la
de inid risc
estimado
acoes ::::i
c::: ::2:
po exemplo:
UJ
...J
c::: UJ
:::J
ri erio eqocio sp ctos le ai requla orlo Operacoes Tecnologia Financas Fatore ocia is hu anitario it aceltave do mesmos especificado
na ABNT NB
ISO/IE
2700
Seca 4.2.1.c) 2)
secao
I S / IE G 0 0
reconhecimento
BN
20
o do s o s d ir e t o
r es er va do s
Convenio ABNT
Sistem
Confea/Crea/Mutu
ABNT NB
ISO/lE
27005:2008
ambiente
Ao defini lf ro es os
de neg6 io orqanlzacao
ti os de lnformacao In In
c.
xpec ativas da pa te Ambiente sociocultura
iz intere sada ambiente)
NOTA es op limi es da gestao de is os de se uram :ada in or do SGSI conforme requerid na ABNT NB ISO/IE 2700 4.2.1.a)
7.4 Organiza~io
ca
es ao elacionado
ao es op
ao li it
seguran~a da lnformacao
orqanizacao: orqanizacao orqanlzacao,
::::i
::2: UJ
...J
UJ
implementar, operar monitorar, analisar criticamente manter melhorar um SGSI [5.2.1.a)] gestao de riscos pode er on iderad co um do ec rsos ne es aries, se undo ABNT
orqanlzaca da operacoe BR SO EC 27001.
sequranca da lnformacao :::J
8.1 Descri~io
eral
rocess
analise/avalia~io de isco tratad
Entrada: Crlterlo
Acao:
ba lcos
convern
I S I IE G 0 0
BN
00
od
d ir ei to s r es er v d o
seguran~a da lnfcrmacao
como processo na ABNT NB
ISO/IE
27001.
de
Convenio ABNT
Diretrizes
Sistem
Confea/Crea/Mutu
para implementacao:
ri co qu li ativam nt
ca acit
In In
c.
in
ic
risco,
Gabe
::::i
8.2.
ldentiflcaca de riscos
::2: UJ
.2 1.
n t o d c a it ldentlflcacao de riscos
...J
UJ
da metodologia aplicada.
8.2.1.
ldentiflcaca do ativos
Diretrizes
para implementacao:
:::J
ativ
hardware
10
I S / IE G 0 0
BN
20
software.
o do s o s d ir e t o
r es er va do s
Convenio ABNT
Sistem
Confea/Crea/Mutu
IS lE
27005:2008
8.2.2.2
In In
is
c.
suas relevanclas, de ti icac;a
8.2.1.3
da
amea as
ameacas, secao Diretrizes
27001,
). para implementacao: de
intencionais.
::::i
::2:
ai
UJ
8.2.2.2)
...J
UJ
:::J
I S I IE G 0 0
BN
00
od
d ir ei to s r es er v d o
Convenio ABNT
Sistem
ABNT NB
Confea/Crea/Mutu
ISOllE
27005:2008
8.2.1.
Identifica~a dos controles existente
Diretrizes
para implementacao:
In In
c.
existentes.
implementados.
on role
esteja
disponfveis;
seguranc;: prediais,
::::i
mesmo perman c;:a em igor
da lnforrnacao,
re ponsavel
el
se uranc;:a do is em
da ln or acao
gerent
da
lnstalacoe
::2: UJ
...J
8.2.1.
Identifica~a das vulnerabilidades
Diretrizes
para implementacao:
UJ
:::J
Orqanlzacao Processo procedimento otinas ge ta Recursos humano Am ient fl lc
12
I S / IE G 0 0
BN
20
o do s o s d ir e t o
r es er va do s
Convenio ABNT
Sistem
Confea/Crea/Mutu
IS lE
equipa ento
27005:2008
de or unlc ca
oi
In In
tiv
c.
ulnerabilidade
8.2.1.
qu
nao
ldentlflcaca
arneaca iden ificad
para analise.
da consequencla
neqoclo ll
Diretrizes
para implementacao:
::::i
::2: UJ
...J
lh
Convern
consequsnclas
UJ
:::J
Oportunidade
perdid
consequenclas
da
do neqoclo,
I S I IE G 0 0
BN
00
od
d ir ei to s r es er v d o
13
Convenio ABNT
Sistem
ABNT NB
8.2.2
Confea/Crea/Mutu
ISOllE
27005:2008
Estimativa de riscos
8.2.2.1
Metodologias para
esti ativ
de riscos
menos is In In
c.
da
efinicao
cont xto.
estao descrito a)
ti ativ
se uir:
uali ativa:
cornpreensao id
b)
ti ativ
quan itativ
::::i
::2: UJ
...J
ilus6rios.
consequenclas UJ
:::J
8.2.2.2
Avalia~ao
das consequenclas
impa to
obre
secao 4.2.
14
I S / IE G 0 0
BN
e)1)).
20
o do s o s d ir e t o
r es er va do s
Convenio ABNT
Sistem
Confea/Crea/Mutu
ABNT NB
Diretrizes
ISOIIE
27005:2008
para implementacao:
la
reposlcao do ativo:
In In
recuperacao
da reposlcao da lnforrnacao
c.
tiv
relacionada
au da os
as ad s.
::::i
ab rdagem
quan itativ
au qualitativa.
::2: UJ
consequenclas
cenarlo
...J
8.2.2.
Avalia!;80 da probabilidad
do incidentes
UJ
status de utilizacao :::J
Acao:
Convern
cenarios secao
Diretrizes
para implementacao:
seguinte: probabilidad
I S I IE G 0 0
BN
00
od
d ir ei to s r es er v d o
da
rneaca
15
Convenio ABNT
Sistem
Confea/Crea/Mutu
BR SO lE
27005:2008
au un ionament
de equipa en os
In In
c.
va
ve da
Diretrizes
para implementacao:
::::i
ri co esti ad
uma
o do s o s d ir e t o
r es er va do s
::2: UJ
...J
.3 Av li ~a
de isco
UJ
:::J
Diretrizes
16
para implementacao:
I S / IE G 0 0
BN
20
ConvenioABNT SistemaConfea/Crea/Mutua
contex
de in do ex erno
nter o, rela iv
gestao de riscos de seguranc :ada ln orrnacao
ci grau de confianc :ana iden ificacao
qu as conseq encias
probab lidade ode precis se tratad adequadamente.
significativ
Convem qu as seguinte
iten seja
em cont
de riscos tambern seja
considerados
Propriedades da seguran{:a da iniormeceo se ur criteria na In In
analis
leve
or re ev nt
ar
orqanizaca
(p
exempl
considerados irrelevantes
c.
so
rt
vo
co
ativos: se rocess si meno considerados do qu os riscos qu causam impactos em processo ou atividades mais importante co sabr acoe futuras. Convem qu as seguinte questoes seja Convem qu um atividad
regulat6rios tambern seja
decididas:
seja empreendid
considerados
rn
sc
associados ao cenarios de incidentes qu as provocam
seguran~a da lnformacao ::::i
::2:
associados ao cenarlos de incidentes qu as provocam
UJ
tratamento do risc seja definido ...J
Diretrize par implementacao: evitar
UJ
:::J
risc (ver .4 AA
transferencl
TN RI
7001
lnformaeao como apresentad
I S I IE G 0 0
BN
00
od
do risc (ver 9.5) .2 1.
2) usa
na Figura 1.
d ir ei to s r es er v d o
),
term "aceitacaodo risco"emvez de "retencaodo risco" ad
17
Convenio ABNT
Sistem
Confea/Crea/Mutu
In In
c.
Tratamento do risc OPCO
DE TRATAM NT
ISCO
::::i
::2: UJ
onto
...J
ecisao
UJ
:::J
conver qu as opcoes do tratamento do risc seja selecion da co base no resultad da anallse/avallaca riscos no cust esperado para lmplernentaeao dessas opcoes enos beneficios previstos.
essa opcoes se am impl me tadas. Ou ra opcoes para precis se feit para verifica suas justificativas
elhorias pode
se
ui
dispendiosas
de
um analis
independentement de quaisque crlterio absolutos. Conver qu os gestores considerem os riscos tmprovavels porern graves esse caso controle qu ao sa just fica ei do pont de vist estritamen economic po em precisar se implementado (por exemplo: controle de continuidade de neg6cios concebidos para tratar riscos de alt impact especlficos)
18
I S / IE G 0 0
BN
20
o do s o s d ir e t o
r es er va do s
Convenio ABNT
Sistem
Confea/Crea/Mutu
de
de responsabilidad orc;:amento.
In In
ln
c.
Como
risco
er ebid
pela
pa te
afetad
risc
para orqanlzaca
1550
se prosseguir Sec;:ao 0.3. ::::i
Saida: da orqanizacao,
9.2 Redu~ao ::2: UJ
...J
Diretrizes
para implementacao:
UJ
possivel :::J
di inui
is
le
I S I IE G 0 0
impo ta te
BN
00
od
es
d ir ei to s r es er v d o
us
da aqul lc o,
lm lern nt ca
ad nlnlstracao,
oper cao,
19
Convenio ABNT
pa
In In
c.
Sistem
Confea/Crea/Mutu
escrito)
Restrlcoes Restricoes Restrlcoes Restricoes Restrlcoes Restrlcoes Restrlcoes Restrlcoes
temporai financeira tecnlcas operacionais culturai etlcas ambientais legais
Restricoes
ligada
9.3 Reten~ao
ja
risc
satisfazendo as politica da orqanizaea Diretrizes
2700 4. .1 2) "aceltacao do risco, on ciente bjetiva, de de os crlterio para acsltaca do risco" descreve mesm atividade.
ue lara
nt
para implementacao:
::::i
Se
::2:
9.4 A~ao de evitar
risco
UJ
...J
Diretrizes
para implementacao: risc
ej
UJ
:::J
controle.
Diretrizes
20
para implementacao:
I S / IE G 0 0
BN
20
o do s o s d ir e t o
r es er va do s
Convenio ABNT
Sistem
Confea/Crea/Mutu
ABNT NB
ISOllE
27005:2008
de monitora
normal ment orqanizacao.
Aceita~ao In In
orqanizaca
sequranca da lnformacao
relativa
it
c.
4.2.1 Diretrizes
27001).
para implementacao:
7.2
importante das risco
ois
::::i
is
::2: UJ
...J
UJ
11 Comunica~ao
Acao: convern as ou ra pa te Diretrizes
seguran~a da lnformacao
intere sa as
para implementacao:
:::J
bidirecional.
I S I IE G 0 0
BN
00
od
d ir ei to s r es er v d o
21
Convenio ABNT
Sistem
Confea/Crea/Mutu
ja
oletar in or ac 5e In In
qu
acontec;:a
sobr
as riscos
devido
c.
im
Melhorar
consclentlzaea
realizada continuamente.
sequranca da tnformacao ::::i
::2: UJ
...J
Diretrizes
para implementacao:
estatlcos, lq
UJ
:::J
in
monitorament
constant
in
if
la
it
avaliadas
nova
22
ou ressurgentes
I S / IE G 0 0
BN
20
o do s o s d ir e t o
r es er va do s
Convenio ABNT
Sistem
Confea/Crea/Mutu
In In
c.
elecionada
pa
is
it Diretrizes
para implementacao: contexto,
::::i
ad quad
lr un ta clas
::2: UJ
...J
risco UJ
:::J
limitada ao(s))
Criterio
de impact
Cu to to al roprieda Recursos necessarie
I S I IE G 0 0
BN
00
od
d ir ei to s r es er v d o
23
Convenio ABNT
ABNT NB
Sistem
Confea/Crea/Mutu
ISOllE
27005:2008
ou vulnerabilidades nova ou alterada
para aconselhar
onitoramen da gestao de riscos pode resultar em ou ferramenta utilizadas dependendo Das mudancas identificada Da iteracao da anallse/avallaca de riscos cess st neqocios resilienci diante do incidentes In In
orqanizacao, unid de de neqoci s, conexa Internet)
c.
dlreca da melhor form
possivel
odlflcacao ou acresclrno da abor agem
etodologia
c; ad conformidade ca
su tmplernentacao
tecnica,
aplicacao
aida aran ia perman nt rele ancl do rocess de gestao de riscos de seguranc ad ln or acao para os objetivo de neqocios da orqanizaea ou atualizaca do processo
::::i
::2: UJ
...J
UJ
:::J
24
I S / IE G 0 0
BN
20
o do s o s d ir e t o
r es er va do s
Convenio ABNT
Sistem
Confea/Crea/Mutu
ABNT NB
ISOllE
27005:2008
(informativo) Oefinindo sequranca da inforrnacao
In In
c.
prop6sito, seu dese volvimen
(por ex mplo
ub on ra acao
orqanlzacao,
Po exemplo gestores de TIpod indica
ra se alta direr;ao ao ieze-to aos envolvimento da alta direr;ao no assuntos relativo seguranr; da iniormeceo.
know-how
li
especifico
io
::::i
Tomemos
exempl
de um
organizar;
cujo prop sito seja
serv ce publico, cu
neg6ci
seja
transporte
::2: UJ
pontualidade do servic
seguranr; durant
transporte.
...J
UJ
marketing etc.). :::J
Notas:
funcoe tipo
vice-versa
de estrutura.
ni el da lide an
I S I IE G 0 0
BN
00
od
coordena ao
d ir ei to s r es er v d o
ge enci
en o)
25
Convenio ABNT
Sistem
ABNT NB
Confea/Crea/Mutu
ISOllE
27005:2008
flux
A.2 Restri~oes
de lnformacao
organiza~ao
In In
c.
qu
as ornariam
provavel en e,
as mais importantes.
know-how com
ois
ic
::::i
c::: ::2: UJ
...J
c:::
Por exemplo, informatizar;a da informar;ao. es ri oe
de na urez
de nota fiscai ou de documentos administrativo
introduz quesioes de seguranr;a
es ra egic
UJ
orqanlzacao,
orqanlzacao,
:::J
Po exemplo, acordo sobr Restricoes
compartilhamento de i n t o r m e c o e s sensivei
pode de anda
territoriais
Exemplos inclue
26
coopereceo internaciona para troc segura de dados.
os services postais, embaixadas bancos subsidiarias de conglomerado
I S / IE G 0 0
BN
20
industriai etc.
o do s o s d ir e t o
r es er va do s
ConvenioABNT SistemaConfea/Crea/Mutua
ABNT NB
Restricoes advindas do ambiente econ6mic nacionais
ISOllE
27005:2008
politico
internacionais.
Po exemp/o, convem garantir
continuidade da prestar;ao de alguns services mesm em caso de crises
Restricoes estruturais
estrutura. In In
c.
Po exemp/o, convem qu um estrutur de cada pais
internaciona seja capa de concilia requisitos de seguranr;a especifico
Restricoes funcionais co sa gerais seja no especificos).
24
recursos estarao sempre disponiveis. Restricoe relativa ao recursos humano
aturez dessas restrico ar consid ravelmente stao associadas ao nive de responsabilida e, ip recrutamento qualificacao treinamento, conscientizacao em seguranc;:a,motivacao disponibilidade etc
de
Po exemp/o, convem qu todo os recursos humano de um organizar;ao de defesa do pais tenham autorizar;ao para manipula informar;oes altamente sigilosas. Restricoe advindas da agenda da organizaca ri internacionais qu imponham alguma data limites. Por exemplo, ::::i
::2: UJ
raca
ca
criar;ao de um area de seguranr;a
Restricoe relacionadas
metodo
Metodo apropriado para know-how da orqanizaca precisarao se mposto co re acao como planejamento especlflcaca desenvolviment de projetos entr outros or exemp/o, um restrir; dess tipo bastan serem incorporadas politica de seguranr;a.
co um
necessidad
lgun t6picos, ta
da obrigar;oe legais da organizar;ao
...J
Restricoe de natureza cultural especifica da orqanizacao,
qual pode se inco pa ivel co
estabeleciment
de controle
de seguranc;:a.Ess
UJ
:::J
aspectos incluind educacao lnstrucao, experlencl crenc;:as,status social etc.
profissional experiencl
fora do trabalho oplnioes filosofia,
Restricoes orcamentarias controle de seguranc;:ar come dado pode al um ezes te um al custo. pesa de na se sempre apropriado te apenas taxa de custo-benefici como base para os investimento em seguranc;:a,um justificativ econ6mic normalment necessaria para departamento financeir da orqanlzacao, Po exemp/o, no se or privado seguranr;a na exceda cust direr;ao avalie os riscos excessivos em seguranr;a.
I S I IE G 0 0
BN
00
od
em alguma organizar;oe publicas convem qu po encial da possivei conseanencies alta forma consciente calculada, para se evitar custos
d ir ei to s r es er v d o
27
Convenio ABNT
Sistem
ABNT NB
Confea/Crea/Mutu
ISOllE
27005:2008
A.3 Legisla~oe
regulamenta~oesaplicaveis
organiza~ao
lega ou regulat6ria.
A.4 Restri~oes qu
afetam
escopo
de pr ce os
preexi te te
In In
c.
as possibilidades. es ri oe
Restricoes
erivadas
tecnicas
es ri oe
ecnicas,
Arquivos
(requisito
ar uitetu
isic
software
elativas
hardware instalados
referentes tc.)
Software Software
software
Hardware id In ra-e trutur
::::i
c:::
predia
Restricoes
financeira
Restricoes
ambientais
(r quisitos
referentes
l,
::2: UJ
...J
c:::
ic
UJ
:::J
Restricoes
de olucoe
temporai
prio idad s.
know-how
28
planejamento,
I S / IE G 0 0
BN
20
o do s o s d ir e t o
r es er va do s
Convenio ABNT
Sistem
Confea/Crea/Mutu
ABNT NB
ISOllE
27005:2008
Restricoes organizacionais Varlas restrlcoes pode
.._
In In
c.
se causadas po requisitos de orde
organizacional
monitoramento, pianos em caso de ernerqencla, opsracao reduzida etc. Manutencao (requisito para lnvestlqaeao soluca de incidentes acoe preventivas, correcao raplda etc. Gestae de recursos hu an (req isitos re eren es ao reinamen de oper dore usuaries quallflcacao para cargos co ad in strado de sistem ou de dado etc. Gerenciament administrative (requisito referentes responsabilidade etc. Gerenciament do desenvolviment (requisito referentes ferramenta de desenvolvimento, engenharia de software assistid po computador cronograma de aceite orqanizaca se estabelecida etc. Gerenciament de relacionamento externos (requisito referentes orqanizaea da relaeoes co terceiros, contratos etc.)
"0 Q)
r..-'
LO LO
cx
..-
::::i
::2: UJ
...J
UJ
:::J ...J
·iii ::J
"0 Q)
In
::J
III
io
c. Q)
UJ
I S I IE G 0 0
BN
00
od
d ir ei to s r es er v d o
29
Convenio ABNT
Sistem
Confea/Crea/Mutu
(informativo) do impact
ldentlflcacao de ativos In In
ar
stabel ce in
c.
Ativos primaries:
ln or acao
tipos:
ln
prlmarlos
represente
ie
::::i
::2: UJ
no escopo ...J
UJ
Proc ssos
qu
odificad s,
pode
afetar signific ti amen
:::J
requlatorios -Informacao Ge ericamen e,
ln or acao
rirnaria
ompreende:
it privacidade
30
I S / IE G 0 0
BN
20
o do s o s d ir e t o
r es er va do s
Convenio ABNT
Sistem
Confea/Crea/Mutu
sensrveis
identificado
como sensfveis.
lnformaeao), In In
c.
Hardware tipo hardware
independente. quipamen
ovel
Computadores Exemplos: quipamen
Periferico
portatels,
laptops, agenda
eletronlca
(Persona Digita Assistants
PDA).
fi
de processament
::::i
::2:
iv
UJ
...J
Mfdi
eletronica
UJ
back-up, :::J
fita.
emplos
papel, slides, transparencies
docurnentacao,
fax.
Software tipo software
I S I IE G 0 0
BN
00
od
d ir ei to s r es er v d o
31
Convenio ABNT
Sistem
ABNT NB
Confea/Crea/Mutu
ISOllE
Sistem
27005:2008
operacional
os outros programa (servic; os pllcaeoes) sa exec tados. Ne encontramo um nucleo ("kernef as uncoes ou serv ce baslcos. Dependendo de su arqu te ura, um sistem operaciona od se mo olitic "micro-kernef' sistem oper cional sa os services de gere ciamento do quipamen (C U, emoria disc in erface de usuarlo, Software de servico, manutencao ou administraca Software
In In
n c ia I
at mesm lndispensa el para
c.
Software de paco
operacao do sistem de ln or acao como um odo)
de prateleira
Software
software-padrao
serv ce para usuaries de neqocl sao.
plicacoes,
Exemplos: software para "groupware" (software de gerenciament
as na
personal za
especifico co o, po exemplo, aplicaeoes
software de ensagens eletronlcas, de flux de trabalho), software de diretorio servidore web etc.
Aplicacoes de negoci Aplicacoes de negoci
padronizadas software
atua
tnformacao, dam profissionalmente. Existe um gama enorme teoricamente ilimitada, de campos de atuacao,
Exemplos: software de contabilidade, software para contrale de rnaquinario, software para software do recurso humanos, software adrninistrativ etc. ::::i
Aplicacoes de negoci especifica
c:::
software (principalmente
suporte,
rnanutenca
::2: UJ
enorme teoricamente ilimitada, de area em qu esse tipo de software ...J
c:::
ss
atuallzaca
encontrado
Exempl s: drninistraca da no as fiscai de clientes para as operadoras de telecornun caca apllcaca para monitorament em temp real do lanc;:ament de foguetes Rede
UJ
quaisque outros elemento :::J
ei
isic
remoto de um sistem de lnforrnaeao.
nfra-estrutura
as equipa en os de comu icacao ou de elecomunicaeao sa dentificados principalmen caract "broadcast') mo el
elas
ca adas).
Exemplos Rede telefonica public comutada ("Public Switchin Telephon Network" ou TN), "Ethernef', GigabitEthernef ("Asymmetric Digital Subscriber Line ou DSL) especl icacoe de protocol para co unicacao se fi (por exemplo, WiFi 802.11), "Bluetooth", "FireWire"
32
I S / IE G 0 0
BN
20
o do s o s d ir e t o
r es er va do s
Conv Conven enio io ABNT ABNT
Sist Sistem em
Conf Confea ea/C /Cre rea/ a/Mu Mutu tu
ABNT ABNT NB
ISOl ISOllE lE
2700 27005: 5:20 2008 08
Pontes ("relays") pass passiv ivas as ou ativ ativas as re
sp
), traf trafeq eqo, o, Pont Pontes es S8 cara caract cter eriz izad adas as pelo pelo prot protoc ocol olos os de comu comuni nica caca ca
corn cornun unic icac acao ao repa repass ssan ando do elas elas requ requen en emen emente te
80 do adas adas
capa capaci cida da
ro ea ento ento e/ou de serv servic ices es de iltr iltrag agem em ("switches")
gera gera arqu arquiv ivos os de audi audito tori ri ("logs"). Exem Exempl plos os pont pontes es ("bridges"), roteadores, "hubs", comutadores ("switches"), centra centrais is telefO telefOnic nicas as autornaticas.
In In
c.
Interf Interface ace de comuni comunicaC caC80 80 cara caract ct
ra
requ requis isit itos os de admi admini nist stra raca ca
remo remota ta ("Ge ("Gene nera ra
adaptador "Ethernef'.
acke acke Radi Radi
ervi ervice ce
Recurs Recursos os humano humano tipo tipo recu recurs rsos os huma humano no comp compre reen ende de toda toda as clas classe se de pess pessoa oa envo envolv lvid idas as co
os sist sistem emas as de info inform rmac acao ao
Toma Tomado do de deci decis8 s8 Toma Tomado dore re de deci decisa sa S8 aque aquele le resp respon onsa save vels ls pelo pelo ativ ativos os prim primar arie ie (lnf (lnfor orma maca ca os gest gestor ores es orqa orqani niza zaca ca ou se fo caso caso de um proj proj to espe especi ci ico. ico.
proc proces esso sos) s)
Exem Exempl plos os alta alta dlre dlreca cao, o, lide lidere re de proj projet eto. o. Usuarios ::::i
curs curs que, que, port portan anto to poss possue ue um resp resp nsab nsabil il dade dade espe especi cial al esse esse cont contex ex o. le pode pode er dire dire to espe especi ciai ai de aces acesso so ao sist sistem emas as de lnfo lnform rmae aeao ao para para dese desemp mpen enha ha suas suas ativ ativid idad ades es roti rotine neir iras as
::2:
Exem Exempl plos os gest gestor ores es da area area de recu recurs rsos os huma humano nos, s, gere gerent ntes es fina financ ncei eiro ros, s, gest gestor ores es do risc riscos os
UJ
Pessoa Pessoa de produc produc80/ 80/man manute utenc8 nc8
...J
dese desemp mpen enha ha suas suas ativ ativid idad ades es roti rotine neir iras as Help Help Desk Desk
UJ
ss
de lnst lnstal alaca aca de apli aplica cati tivo vos; s; espec especia iali list stas as em segu segura ranc nc;: ;:a. a.
back-up,
Desenvolvedores :::J
Dese Desenv nvol olve vedo dore re inte interf rfer erem em co
S8 resp respon onsa save veis is pelo pelo dese desenv nvol olvi vime ment nt
do sist sistem emas as apli aplica cati tivo vo
da orqa orqani niza zaca cao, o,
os dado dado de prod produc ucao ao
Exem Exempl plos os Dese Desenv nvol olve vedo dore re
de apli aplica caco coes es de neg6 neg6ci ci
Instal Instalaco acoes es fisica fisica nece necess ssar arie ie
I S I IE IE G 0 0
para para as oper operac acoe oe
BN
00
od
nele nele cont contid idas as
d irir ei ei to to s r es es er er v d o
33
Conv Conven enio io ABNT ABNT
ABNT ABNT NB
Sist Sistem em
Conf Confea ea/C /Cre rea/ a/Mu Mutu tu
ISOl ISOllE lE
2700 27005: 5:20 2008 08
Localidade Ambi Ambien ente te
exte extern rn
se apli aplica cada das. s.
Edificacoes Esse Esse luga luga In In
io
c.
Exem Exempl plos os
es abel abelec ecim imen en os
pr dios dios
orqanizacao,
norm normal al ment mente. e. Comunicacao
::::i
Serv Servic icos os de Infr Infraa-es estr trut utur ur ::2: UJ
...J
Fo
UJ
:::J
Organizacao
34
I S / IE IE G 0 0
BN
20
o do do s o s d irir e t o
r es es er er va va do do s
Conv Conven enio io ABNT ABNT
Sist Sistem em
Conf Confea ea/C /Cre rea/ a/Mu Mutu tu
ABNT ABNT NB
ISOl ISOllE lE
2700 27005: 5:20 2008 08
Autoridades
1550
lrnp lrnpoe oe
rest restri rico coes es
lo es rutu rutu
In In
da orga organi niza zaca ca
gere gerenc ncia ia
c.
nt
da audi audi oria oria
de lnfo lnform rmac acao ao Subcontratados
Fornecedores
erce erceir iriz izad ad s,
B.2 Valora~ao do
empr empres es
Fabricantes
cons cons ltor ltoria ia
Ativ Ativos os id
::::i
::2:
ativo.
UJ
...J
aspe aspe os espe espe ffic ffic
da or anlz anlz ca
Criterios UJ
seu
:::J
po exem exempl plo: o:
I S I IE IE G 0 0
lz
BN
00
od
d irir ei ei to to s r es es er er v d o
Convenio ABNT
Sistem
ABNT NB
Confea/Crea/Mutu
ISOllE
Muitos ativos durant
27005:2008
curs
da aval acao pode
ra um competidor Provavelmente, as valore
s, atribufdos sera
part do processo de deterr inacao do recursos Definica
c.
sere
consideravelment
or exemplo: um plan de
cord se diferentes valo atribufd
pode
iad valo fina atribu do fara in es idos na protecao do ativo.
de um denominado comu so
In In
acabar recebe do ar es alores
sa
ss
se
consequencla resultante da perd de confidencialidade, integridade, disponibilidade, assi como da capacidade de garantir nao-repudio, rasponsabilizacao, autenticidade, confiabilidade sa os seguintes: vlolacao da legislacao e/ou das reqularnentacoes Reduca do desempenho do neqoci Perd de al de mercado/efei negati sobr imagem Vlolacao de sequranc relacionad lnformacoe pessoais perigo ocasionad sequranc ffsica da pessoa
reputa ao
Efeito negativos relacionados execucao da le Violacao de confidencialidade Violacao da orde public Perda financeir lnterrupca de atividades do neqoci perigo ocasionad sequranca ambienta Um outr
et da para avalia as consequencla
poderi
evar
co ta
seguin e:
lnterrupca do services incapacidade de pres ar as serv ce Perd da confianc do client perd da credibil dade sistem in erno de nf rmacao reputaeao lnterrupca de operacao intern descontinuidad dentro da propri orqanizaca cust in erno adicio al lnterrupca da operacao de terceiros: descontinuidad da transacoes entr orqanlzaca terceiro
::::i
::2: UJ
lnfracao de leis requlamentacoes: incapacidade de cumpri obriqacoes legais violacao de clausula contratuai incapacidade de cumpri obriqacoes contratuai Perigo ocasionad sequranc ffsica do recursos humano usuaries: perigo para os recursos um no usuaries da orqanizaca Ataque vida privad de usuarlos Perda financeir Custos financeiro para ernerqenclas reposlca consertos:
...J
UJ
:::J
em ermo de eq ipamen os em ermo de es udo, rela orio de especialista Perda de bens/fundos/ativos Perd de clientes perd de fornecedores Procedimento penalidade judiciai Perd de vantagem competitiv Perd da lideranc tecnoloqic tecnica Perd de eflcacia confianca Perd da reputaca tecnic
36
I S / IE G 0 0
BN
20
o do s o s d ir e t o
r es er va do s
Convenio ABNT
Sistem
Confea/Crea/Mutu
RejeiCao Dana material
sequranca,
1550
lista.
In In
c.
10
anatlse/avallacao
perigo ocasionado
um
orqanizacoes),
consequencla,
grande orqanlzacao,
Dependencias
::::i
::2: UJ
hardware
hardware
software
...J
atri uido
de sa or
in ican
UJ
ivel de protecao ap op iado
software),
:::J
software), grau de dependenci
software ou
falt
I S I IE G 0 0
BN
00
od
d ir ei to s r es er v d o
de disponibilidade.
37
Convenio ABNT
ABNT NB
Sistem
Confea/Crea/Mutu
ISOllE
27005:2008
informar :6es (preservac conf dencialidade), odificar;:6e autenticidade, nao-repudi responsablllzacao) su disponibilidad confiabilidade), ao cust de su reposlcao,
na
dl ul acao indevida de au orizadas (garanti de integridade,
B.3 Avalia~ao do Impact Um incident In In
c.
envolvendo
diferenr;:a important aspectos financeiro
seguranr;:ada lnforrnaea pode trazer consequsncla
entre raci de mercado.
co
impact
varies ativos ou apenas
resultante do incidente. Considera-se qu ci
impact
part te cl
impact imediato (operacional pode se direto ou indireto
st
back-up servlc
restaurado. d)
Consequencla
prestado pelo ativos afetados seja
resultante de violar;:6esda seguranr;:ada lnformaeao
Indireto: a) Cust de oportunidade (recurso utilizados para outr fim) ::::i
c::: ::2:
b)
inanceir
necessarie
para repo ou repara um ativ poderiam es ar send
cust da operar 6e nterro pida
c)
Ma us da in or ar;:6esobtida atra es
iolaca
d)
vlotacao de obrigar;:6esestatutarias ou regulat6rias
da se uranr;
UJ
...J
c::: UJ
Dess or a, primeira avallaca (sem co trol de qual ue tipo resultar um es imat va do impact muit pr6xim ao alores (combinados) do at os afetados ar qualquer utra it raca ue se ae rela iv esse ativos, sera lme eflcacla do controle implementados.
:::J
38
I S / IE G 0 0
BN
20
o do s o s d ir e t o
r es er va do s
Convenio ABNT
Sistem
Confea/Crea/Mutu
ABNT NB
ISOllE
27005:2008
(informativo) ameacas comuns
In In
Ta el conter xemp os de arneacas tipicas. list na Tabela pode se usad durant processo da arneacas Arneacas pode se intencionais acidentais au de origem natura (ambiental pode exempl no comprometi en au na paralisaca de servlcos essencia s. list ambs ndica, ar ca ra utilizad
c.
de avaliaea resultar pa cada ip de para indica
utilizad na sa apresentados em orde
para
de prioridade
Tipo
Origem
Ameacas Fogo Agua
A, A,
Destrulcao de equlparnento au midi
A,
Dan fisico
Eventos naturais
Parallsaca de servlcos essenciais ::::i
Dlsturbi causad radlacao
o d a do e
o d
pa lnterceptaca de sinais de lnterferencl Espionagem distancia Escuta na autorizada Furt de midi au documentos
::2: UJ
...J
lnforrnacao
Recuperaca
UJ
Alteraea Alteraea
de midi
do hardware do software
comprometedore
reciclad au descartada
A,I
:::J
I S I IE G 0 0
BN
00
od
d ir ei to s r es er v d o
39
Convenio ABNT
Sistem
ABNT NB
Confea/Crea/Mutu
ISOllE
27005:2008
Tipo
Origem
Amea~as
saturacao
Falhas tecnlcas
software Vlolacao possibilitam
Ae6e
In In
na
su
software software
autorizada
A,I
manutencao
u i
c.
Erro durant
funcoes
Repudlo de Ae6e
"0
e r
Q)
, I
Ll
Origem da
Ll Ll
Hacker cracker
cx
Possiveis Consequencias
Motiva~ao
Amea~as Desafio
Hackin
Ego
Engenharia social
Rebeldia
lnvasa de sistemas infiltra.;:oes entradas nac-autcrlzadas
Status
......
Acesso na autorizado ao Sistem
Dinheiro Destrulca
::::i
de informacoes
Crim digita (por exemplo: persequlca no mund digital)
Dlvulqacao ilegal de tntormacoe Ganh
::2: UJ
Alteraca Criminos
At fraudulent (par exemplo: rsutlllzacao indevida de credenciais dado transmitidos fazer-se passar po um outr pessoa lnterceptacao)
moneta ri de dado na autorizada
digita
...J
Suborn
po lnformaeao
Spoofing (fazer-s outro)
UJ
lnvasa :::J
de sistemas
Chantagem
BombalTerrorismo
Destrulcao
Guerra de lntormacao
Terrorista
ataque distribuid service).
Vingan.;:a Ganho politico Cobertur
40
passar po
lnvasa
da midi
Alteraca
I S / IE G 0 0
BN
20
de nega.;:aode
de sistem do sistem
o do s o s d ir e t o
r es er va do s
o nv en i
BN
S is te m
o nf ea /C re a/ M t u
Origem da Amea!;as
s C Vantagem
competitiv
Espionagem
posicionamento
econernlca
Exploracao Espionagem
In In
inteligencia
industrial
F ur t
defensiv
economlc
d e l nf or m e a
empresas
governos
estrangeiros,
pessoas
c.
governo)
te
propriedad
exclusiva,
e/ou relativa
tecnologia) Curiosidade
g re ss a
Ego
Chantagem
inteligencia
propriedad
exclusiv
computacional
Vinganca Pessoa
f un c o n r i
intern ro
(funclonarios
ra
mal treinados insatisfeitos, ::::i
corrompidos
mal intencionados,
lnterceptaca
negligentes, to
::2: UJ
dispensados)
Troia)
...J
Defeitos
(bugs) no sistem te te
UJ
:::J
I S I IE G 0 0
BN
00
od
d ir ei to s r es er v d o
41
Convenio ABNT
ABNT NB
Sistem
Confea/Crea/Mutu
ISO/lE
27005:2008
(informativo) ln
0.
il
es
de
de vulnerabilidade
Exemplos de vulnerabilidades
In In
c.
s d
s d ameacas
armazenamento
possibilitam
su
rnanutenca
Sensibilidade Sensibilidade
Hardware
uso conflquracao
e m
u d
e m
u d
::::i
software inexistentes
::2:
software
UJ
"Iogouf' trabalho
...J
do UJ
desassistida
ados
Software
:::J
In erface de usua lo
omplicad
Erro durant o d
uso usa a u usc
42
I S / IE G 0 0
BN
20
o do s o s d ir e t o
r es er va do s
Convenio ABNT
Sistem
Confea/Crea/Mutu
ABNT NB
ISOllE
27005:2008
lf de usuaries
nh
Software
o d
software software
desenvolvedores
In In
software
c.
Download
software
software
(back-up)
la
software
la Rede im
telecomunicacao o u
o d
a d telecomunlcacao
receptor ::::i
a r
distancia Espionagem
dlstancla
::2: UJ
flexibilidad
de roteamento
...J
UJ
software :::J
hardware
Recursos humanos
da au de terceirizado
I S I IE G 0 0
BN
00
od
d ir ei to s r es er v d o
43
Convenio ABNT
Sistem
ABNT NB
Confea/Crea/Mutu
ISOllE
27005:2008
midia aposentos Localou instalacoes energia port
ja elas
In In
direitos de acesso
c.
Provisoe
supervis o)
(relativas e/ou terceiros
la ln xi te cl
ln de audi oria
an ll e/av ll ca
pe i6dica
(supervlsao)
de ri co
(logs) it
in
possibilitam
su
manutencao
possibilitam
su
rnanutenca
possibilitam
su
rnanutenca
Orqanizacao ::::i
::2: UJ
...J
da
ln ormaco
se uranca
disponivei lnfo
pu li arnent
ac
UJ
uso :::J
eletronlca
(e-mail) uso
software em sistemas operacionais (logs) administradore
operadores uso
lnformacoe
classificada
I S / IE G 0 0
BN
20
o do s o s d ir e t o
r es er va do s
Convenio ABNT
Sistem
Confea/Crea/Mutu
ABNT NB
ISOllE
27005:2008
uso Provisoe (relativas in xi te tes, em on rato incidentes
relacionados
ompu adores
do om un ionarios sequranc
da lnfo
acao
6vei Furt
de equipamentos
dependenclas In In
c.
Orqanizacao
(clear desk an clea
screen) inexistent processament
ou insuficiente
de inforrnaeoes
ln
is
ln fragilidades
le
ligada
software
::::i
Ferramen as
ut
atizad
de procur
po
ulne abilidad
::2: UJ
...J
protoc lo
"anonymous
"sendmaif'
UJ
rans ersn la
"sendmai relaying")
software de resultado
:::J
software
do hardware,
e/ou
mercado.
I S I IE G 0 0
BN
00
od
d ir ei to s r es er v d o
45
Convenio ABNT
ABNT NB
Sistem
Confea/Crea/Mutu
ISOllE
27005:2008
Testes de lnvasa pode se usados para complementar processo de analis critic do controle de sequranca, assegurando-se qu as diversas faceta do sistem de TI esta protegidas Testes de lnvasao, quando utilizados durante pr cess nallse aval aeao risc s, servem para avalia ca acidad do sistem de TI de resistir ri ca testar vist da font da arneaca, identificand possivei falhas no esquem de protecao do sistema.
vulnerabilidades. Os resultados desses tipo de testes de sequranc In In
c.
ajudam
identifica as vulnerabilidades de um sistema.
importante nota qu ferramenta tecnicas de invasa pode gera resultados falsos quando vulnerabilidad nao xplorada co sucesso. Para expl ra ul erabil dade especificas, exat confiquracao sistem da aplicaca da atualizacoes (patches) instal da no sistem testad precis se conh cida esse dado na co vulnerabilidad co sucess (por exemplo: cess "shelf' re erso); no en anto aind assi talvez conver qu
objeto testad
seja considerad
vulneravel
Entr os metodo existentes tem-se os seguintes: Entrevista co pessoa Ouestionarlos lnspecao fisica Analis de documentos
usuaries
::::i
::2: UJ
...J
UJ
:::J
46
I S / IE G 0 0
BN
20
o do s o s d ir e t o
r es er va do s
Convenio ABNT
Sistem
Confea/Crea/Mutu
(informativo) ifer
te
en
da inforrnacao
In In
c.
ois is ematic
da
am ar :as, vulner bilidade
ativos
relacionados
on eq sn la razoavel
completa
iI
::::i
::2: UJ
...J
nivel seguranr;:a (back-ups)
antivirus
UJ
:::J
is
de seguranr;:
I S I IE G 0 0
da tnformacao
BN
00
od
d ir ei to s r es er v d o
47
Convenio ABNT
Sistem
ABNT NB
Confea/Crea/Mutu
ISOllE
27005:2008
st fatore podem inclui os seguinte Os objetivo de neg6cios quanta
rq
itens:
sere
alcancados atrave de varies ativos de lnformacao ca ti
depend do ativos ou da confidencialidade, da integridade, da disponibilidade, da garantia do nao-repudio, da responsabilizacao, da autenticidad da confiabilidade da lnformacoe armazenada processada nesses ativos; ca ca reposlca do ativo, Os at os de ln orrnacao para cada um do quai orqanlzaca atribu um al r.
In In
c.
ou prob bilidade en ao conver ue um segund teracao, co um natise/a aliaca executad endo em st ativ de ln or acao especi ic (a part dele). cl ativos um segund de riscos potenciais
ca ca iteracao mais detalhada, da anallse/avallaca
E.2 Analise/avalia~ao ca Os resultados do risco. adeq ad ::::i
c::: ::2:
ct de alhada de riscos seja
de riscos sera necessaria para
ra identiflcaca
seguran~a da lnformacao
essa atividades sao, en ao
sado para avalia as riscos e, depois para iden ificar
tratamento
lm da para as sistemas de lnformacao de alto risco.
tapa fi al da anal se aval acao de alhada do riscos to al qu assunt dest anexo. conseque clas po em se aval adas de aria aneiras, ncluin abor agem uant ta iv (usa do-se, po exemplo, ma unidad onetaria), qualitat (que po em se base da no us de ad et vo qualificadores ai
UJ
...J
um arneaca, convem qu se estabeleea period no qual el precisar se pr tegido pr babilidade da correnci de um arneac itens:
especifica
afetad
pelo seguin es
esta send considerad
c::: UJ
quando um arneac intenciona de origem humana esta send considerad capaci acao tecn ca do agen da arneaca, aplicave rneaca in encionai de origem hu an
:::J
nao-tecnlcas ui os rnet do faze
us
de abelas
co bina
ed da
empirica
co
rned coes subjet vas.
resultados reproduziveis. Alguns exemplos de rnetodos baseados em tabela sa apresentados
2.
xe se
48
lo
Matr
co
sc
importante
seguir
va re pre-deflnldos ruca sa
si
).
ra
I S / IE G 0 0
BN
20
ss
o do s o s d ir e t o
r es er va do s
Convenio ABNT
Sistem
Confea/Crea/Mutu
ABNT NB
ISOllE
27005:2008
tipo software,
software apli ativ
In In
c.
ai da pa
iver
eu prop io
ua de truica
tais como lnfcrmacoe
Perd Orde
pessoais
financeira public
lnterrupca
de atividades
::::i
::2: UJ
...J
UJ
Tabela E.1 a)
:::J
Ameac;:a exploracao
B
M
1
2
B
M
1
2
B
M
ativo
I S I IE G 0 0
BN
00
od
d ir ei to s r es er v d o
49
Convenio ABNT
In In
Sistem
Confea/Crea/Mutu
tratados.
c.
neqoclo,
neqocio ::::i
Alto c:::
ui
::2:
lt
UJ
...J
c::: UJ
:::J
50
I S / IE G 0 0
BN
20
o do s o s d ir e t o
r es er va do s
ConvenioABNT SistemaConfea/Crea/Mutua
Tabela E. rd
a do r
(do ativo)
arneaca
md arneaca
arneaca
Ar eaca 15 In In
c.
Arneae Ar eaca
Como mostrado acima, esse procedimento permit associar valore monetarios as escala empirica
qu
diferentes arneacas co
consequencia
probabilidad
aqui utilizadas
consequenclas
os risc
se 1550
es imando-s
dois valore para cada pa de at vo
sistem esta submetid
risco, os quais, co binados, ra de ermina
pontuaca
feito para
pode enta se determinada.
Primeiramente, um valo designad para cada ativo. Esse valo refere-s as possivei consequsncla adversas qu pode surgir quando ativo arneacad alor (d at vo definido para cada arneac aplicave ao ativo. se
::::i
da probabilidad
ro
avaliada combinando-s
Tabela E.
UJ
Probabilidad
da
Nive da vulnerabilidade UJ
de ocorrencia
de um cenarl de incidente.
::2:
...J
probabilidad
B
M
B
M
B
M
Probabilidad do cenari de incident
:::J
Em se uida na Tabela A, ma pontuaca refere te ao pa at vo ameaca de inid pelo encontro da coluna co valo do at da li ha co probab lidade pontuacoes re eren es ao pare tl os arneac sa to al zada ar cada ti o, produz ndo-se ma pontuaca ot do ativo. ss alor pode se usad ar di erenciar os ativos qu faze part de um es sistema, ntre si
I S I IE G 0 0
BN
00
od
d ir ei to s r es er v d o
51
ConvenioABNT SistemaConfea/Crea/Mutua
ABNT NB
ISOllE
27005:2008
Tabela E. Valo do ativ Probabilidade
In In
c.
Na et pa in l, so am-s sa maior prioridade. No exemplos
aplica ei A3e4.
entao
as pontuacoes do
seguir todo os valore fora
ao sistem
ti os do sistema, estabelecend -s
pontuaca
do sistema. Isso
escolhidos aleatoriamente
estabelecido qu
T1, ro valo da probab lidade
valo do ti
ra (v
Tabe
3)
ativolameac;:a
valo ::::i
da vulnerabilidad
fo alta
result do sera ma pontuaca
ra
(referente
de 6, re eren ca
probabilidade).
valo assi
obtido
ao pa A1 T2 resultad
10
ontuac
tota do ativ
::2: UJ
...J
UJ
calculad
atra es
si para se estabelecere
adlcao A1
TA2
TA3, obtendo-se TS s,
as prioridades.
sa ao processo de neg6cio.
co
st
:::J
52
I S / IE G 0 0
BN
20
o do s o s d ir e t o
r es er va do s
Convenio ABNT
Sistem
Confea/Crea/Mutu
(informativo) Restri~oes
reducao
consideradas: In In
Restrit;oes temporais:
c.
se
Restrit;oes financeiras obriqatorla
alcancar
::::i
Restrit;oes iecnices:
::2: UJ
odem
deslocar
...J
produtividade.
Restrit;oes operacionais: UJ
back-ups, inicio.
:::J
Restrit;oes culturais:
ois
I S / IE G 0 0
BN
00
od
d ir ei to s r es er v d o
ConvenioABNT SistemaConfea/Crea/Mutua
ABNT NB
Restrir;oes
ISOllE
etices:
ss varr dura de correspondencl
po exem lo causar ai re governamenta Restrir;oe
In In
c.
ator
27005:2008
reocupacoe da saude.
emai
privacidad
scanning")
ses, da ln or acoe pode
em lgun se ores de at vidade econornlca do qu em ou ros, po exemplo:
setor
ambientais
mb en ais, ai
pode
eletronlca
co
disponibil dade de espaco condicoe
se necessarie em alguns parses, pore
Restrir;oe
climaticas ex re as xe st co desnecessarias em outros
mei geografic rova de terremot
legais
ator legais ta processa en
co provisoe rela ivas ln orrnacoes, pode afetar
co requlamentacoe
sequranca,
seleca xe
de contro es
ca ra do seto econornlco tarnbern pode
co formidad
afetar
le islaCa
normas
escolh de controles.
id
Um
nter ac de usuari
ma projetad
resu tara em erro huma
pode torn
contro
nutil, Co ve
qu os
neg6cio. Os controle de diffci utilizacao tern su eficacia prejudicada, ja qu os usuaries tentarao contorna-los ou si so ro usuaries achare algu metodo de acesso alternativ na autorizado
::::i
conver
qu
c:::
em condlcoe
seja
co siderado
adversas de operacao
ss conhecimento necessarlo para
lmplernentacao do controle planejados
::2: UJ
passaram po verlftcacoes ...J
de sequranca, pode
te grande irnpllcacoes para as politica
contrataca an es qu as erificacoe de sequranc finalizada ante contrataca pratic normal
se am co cluidas. Exigir qu ai segura
praticas de sequranca.
er ficaca
de sequranc
seja
c::: UJ
:::J
Restrir;oe
/igada
existentes:
nt graCao de controle no os um in ra-estru ur xisten ln erdependencl entr controle sa atores freql.ientemente ignorados. Controle novo pode na se facilmente implementado se houver incongruenci ou ca
ra
se
rnud nc do contro es exis en es para os planejados nclu ta bs conflito co
54
os iten
sere
adicio ados ao cust gera
os controle atuais
I S / IE G 0 0
BN
20
o do s o s d ir e t o
r es er va do s