NBR ISO27005 ConsultaABNT

ABNT/CB-21 PROJETO 21:027.
00-017 MARO:2008
Tecnologia da informao Tcnicas de segurana Gesto de riscos de segurana da informao

APRESENTAO
1) Este 1 Projeto foi elaborado pela Comisso de Estudo de Tecnologia da Informao - CE21:027 do Comit Brasileiro de Computadores e Processamento de Dados - ABNT/CB-21, nas reunies de:
25.07.2008
13.12.2008
03.03.2008
2) Previsto para ser equivalente ISO/IEC 27005:2008; 3) No tem valor normativo; 4) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta informao em seus comentrios, com documentao comprobatria 5) Tomaram parte na elaborao deste Projeto: Participante Modulo Representante Alberto Bastos Edison Bastos Geraldo Ferreira Helcio Tonnera Marcelo Gherman Nlio Gaspar Rafael Roseira Rosangela Caubit CQSI Banco do Nordeste CEMIG PETROBRAS Ariosto Farias Junior Francisco Jos Lucas Lanna Jos Luiz Murilo Felix UNISYS Marcelo Martins
NO TEM VALOR NORMATIVO
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008
Tecnologia da informao Tcnicas de segurana Gesto de riscos de segurana da informao

Information technology Security techniques Information security risk management
Palavras-chave: Descriptors:
Sumrio
Introduo 2 1 Escopo 2 2 Referncias normativas 2 3 Termos e definies 3 4 Organizao da Norma 4 5 Contextualizao 5 6 Viso geral do processo de gesto de riscos de segurana da informao 6 7 Definio do contexto 8 7.1 Consideraes Gerais 8 7.2 Critrios bsicos 9 7.3 Escopo e limites 11 7.4 Organizao para gesto de riscos de segurana da informao 11 8 Anlise/avaliao de riscos de segurana da informao 12 8.1 Descrio geral do processo de anlise/avaliao de riscos de segurana da informao 12 8.2 Anlise de riscos 13 8.3 Avaliao de riscos 20 9 Tratamento do risco de segurana da informao 21 9.1 Descrio geral do processo de tratamento do risco 21 9.2 Reduo do risco 22 9.3 Reteno do risco 24 9.4 Ao de evitar o risco 24 9.5 Transferncia do risco 24 10 Aceitao do risco de segurana da informao 24 11 Comunicao do risco de segurana da informao 25 12 Monitoramento e anlise crtica de riscos de segurana da informao 26 12.1 Monitoramento e anlise crtica dos fatores de risco 26 12.2 Monitoramento, anlise crtica e melhoria do processo de gesto de riscos 27 Anexo A (informativo) Definindo o escopo e os limites do processo de gesto de riscos de segurana da informao 29 Anexo B (informativo) Identificao e valorao dos ativos e avaliao do impacto 34 Anexo C (informativo) Exemplos de ameaas comuns 45 Anexo D (informativo) Vulnerabilidades e mtodos de avaliao de vulnerabilidades 48 Anexo E (informativo) Diferentes abordagens para anlise/avaliao de riscos de segurana da informao 54 Anexo F (informativo) Restries que afetam a reduo do risco 61 Bibliografia 63
NO TEM VALOR NORMATIVO 1/63
Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional de Normalizao. As Normas Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais (ABNT/CEE), so elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros). Os Documentos Tcnicos ABNT so elaborados conforme as regras das Diretivas ABNT, Parte 2. A Associao Brasileira de Normas Tcnicas (ABNT) chama ateno para a possibilidade de que alguns dos elementos deste documento podem ser objeto de direito de patente. A ABNT no deve ser considerada responsvel pela identificao de quaisquer direitos de patentes. A ABNT NBR ISO/IEC 27005 foi elaborada no Comit Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21), pela Comisso de Estudo de Tecnologia da Informao (CE-21:027.00). Esta Norma uma adoo idntica, em contedo tcnico, estrutura e redao, ISO IEC 27005: 2008, que foi elaborada pelo Comit Tcnico Information technology (ISO/IEC JTC 1), conforme ISO/IEC Guide 21-1:2005.
Introduo
Esta Norma Internacional fornece diretrizes para o processo de Gesto de Riscos de Segurana da Informao de uma organizao, atendendo particularmente aos requisitos de um SGSI de acordo com a ABNT NBR ISO/IEC 27001. Entretanto, esta Norma Internacional no inclui uma metodologia especfica para a gesto de riscos de segurana da informao. Cabe organizao definir sua abordagem ao processo de gesto de riscos, levando em conta, por exemplo, o escopo do seu SGSI, o contexto da gesto de riscos e o seu setor de atividade econmica. H vrias metodologias que podem ser utilizadas de acordo com a estrutura descrita nesta Norma Internacional para implementar os requisitos de um SGSI. Esta Norma Internacional do interesse de gestores e pessoal envolvidos com a gesto de riscos de segurana da informao em uma organizao e, quando aplicvel, em entidades externas que do suporte a essas atividades.
Escopo
Esta Norma Internacional fornece diretrizes para o processo de gesto de riscos de segurana da informao. Esta Norma est de acordo com os conceitos especificados na ABNT NBR ISO/IEC 27001 e foi elaborada para facilitar uma implementao satisfatria da segurana da informao tendo como base a gesto de riscos. O conhecimento dos conceitos, modelos, processos e terminologias descritos na ABNT NBR ISO/IEC 27001 e na ABNT NBR ISO/IEC 27002 importante para um entendimento completo desta Norma Internacional. Esta Norma Internacional se aplica a todos os tipos de organizao (por exemplo: empreendimentos comerciais, agncias governamentais, organizaes sem fins lucrativos), que pretendam gerir os riscos que poderiam comprometer a segurana da informao da organizao.
Referncias normativas
Os documentos citados a seguir so indispensveis para a correta aplicao desta Norma. Para as referncias com datas, apenas a edio citada vlida. Para as referncias sem data especfica, vale apenas a verso oficial mais recente do referido documento (incluindo possveis correes).
2/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 ABNT NBR ISO/IEC 27001:2006, Tecnologia da Informao Tcnicas de segurana Sistemas de gesto de segurana da informao Requisitos. ABNT NBR ISO/IEC 27002:2005, Tecnologia da Informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao.
Termos e definies
Para os efeitos desta Norma, aplicam-se os termos e definies da ABNT NBR ISO/IEC 27001 e da ABNT ISO/IEC 27002 e os seguintes. 3.1 impacto mudana adversa no nvel obtido dos objetivos de negcios 3.2 riscos de segurana da informao a possibilidade de uma determinada ameaa explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organizao
NOTA medido em funo da combinao da probabilidade de um evento e de sua conseqncia.
3.3 ao de evitar o risco deciso de no se envolver ou agir de forma a se retirar de uma situao de risco [ABNT ISO/IEC GUIA 73:2005] 3.4 comunicao do risco troca ou compartilhamento de informao sobre o risco entre o tomador de deciso e outras partes interessadas [ABNT ISO/IEC GUIA 73:2005] 3.5 estimativa de riscos processo utilizado para atribuir valores probabilidade e conseqncias de um risco [ABNT ISO/IEC GUIA 73:2005]
NOTA 1 NOTA 2 No contexto desta Norma o termo "atividade" usado no lugar do termo "processo" para a estimativa de riscos. No contexto desta Norma o termo probabilidade usado para a estimativa de riscos.
3.6 identificao de riscos processo para localizar, listar e caracterizar elementos do risco [ABNT ISO/IEC GUIA 73:2005]
NOTA No contexto desta Norma o termo "atividade" usado no lugar do termo "processo" para a identificao de riscos.
3.7 reduo do risco aes tomadas para reduzir a probabilidade, as conseqncias negativas, ou ambas, associadas a um risco [ABNT ISO/IEC GUIA 73:2005] NO TEM VALOR NORMATIVO 3/63

NOTA: No contexto desta Norma o termo probabilidade usado para a estimativa de riscos.
3.8 reteno do risco aceitao do nus da perda ou do benefcio do ganho associado a um determinado risco [ABNT ISO/IEC GUIA 73:2005]
NOTA No contexto dos riscos de segurana da informao, somente conseqncias negativas (perdas) so consideradas para a reteno do risco.
3.9 transferncia do risco compartilhamento com uma outra entidade do nus da perda ou do benefcio do ganho associado a um risco [ABNT ISO/IEC GUIA 73:2005]
NOTA No contexto dos riscos de segurana da informao, somente conseqncias negativas (perdas) so consideradas para a transferncia do risco.
Organizao da Norma
Esta Norma contm a descrio do processo de gesto de riscos de segurana da informao e das suas atividades. As informaes sobre o contexto histrico so apresentadas na Seo 5. Uma viso geral do processo de gesto de riscos de segurana da informao apresentada na Seo 6. As atividades de gesto de riscos de segurana da informao, apresentadas na Seo 6, so descritas nas seguintes sees: Definio do contexto na Seo 7, Anlise/avaliao de riscos na Seo 8, Tratamento do risco na Seo 9, Aceitao do risco na Seo 10, Comunicao do risco na Seo 11, Monitoramento e anlise crtica de riscos na Seo 12. Alm disso, informaes adicionais para as atividades de gesto de riscos de segurana da informao so apresentadas nos anexos. A definio do contexto detalhada no Anexo A (Definindo o escopo e os limites do processo de gesto de riscos de segurana da informao). A identificao e valorao dos ativos e a avaliao do impacto so discutidas no Anexo B (exemplos de ativos), Anexo C (exemplos de ameaas comuns) e Anexo D (exemplos de vulnerabilidades comuns). Exemplos de diferentes abordagens de anlise/avaliao de riscos de segurana da informao so apresentados no Anexo E. Restries relativas reduo do risco so apresentadas no Anexo F. As atividades de gesto de riscos, como apresentadas da Seo 7 at a Seo 12, esto estruturadas da seguinte forma: NO TEM VALOR NORMATIVO 4/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Entrada: Identifica as informaes necessrias para o desempenho da atividade. Ao: Descreve a atividade. Diretrizes para implementao: Fornece diretrizes para a execuo da ao. Algumas destas diretrizes podem no ser adequadas em todos os casos. Assim sendo, outras maneiras de se executar a ao podem ser mais apropriadas. Sada: Identifica as informaes resultantes da execuo da atividade.
Contextualizao
Uma abordagem sistemtica de gesto de riscos de segurana da informao necessria para se identificar as necessidades da organizao em relao aos requisitos de segurana da informao e para criar um sistema de gesto de segurana da informao (SGSI) que seja eficaz. Convm que essa abordagem seja adequada ao ambiente da organizao e em particular esteja alinhada com o processo maior de gesto de riscos corporativos. Convm que os esforos de segurana lidem com riscos de maneira efetiva e no tempo apropriado, onde e quando forem necessrios. Convm que a gesto de riscos de segurana da informao seja parte integrante das atividades de gesto da segurana da informao e aplicada tanto implementao quanto operao cotidiana de um SGSI. Convm que a gesto de riscos de segurana da informao seja um processo contnuo. Convm que o processo defina o contexto, avalie os riscos e trate os riscos usando um plano de tratamento a fim de implementar as recomendaes e decises. Convm que a gesto de riscos analise os possveis acontecimentos e suas conseqncias, antes de decidir o que ser feito e quando ser feito, a fim de reduzir os riscos a um nvel aceitvel. Convm que a gesto de riscos de segurana da informao contribua para: Identificao de riscos Anlise/avaliao de riscos em funo das conseqncias ao negcio e da probabilidade de sua ocorrncia Comunicao e entendimento da probabilidade e das conseqncias destes riscos Estabelecimento da ordem prioritria para tratamento do risco Priorizao das aes para reduzir a ocorrncia dos riscos Envolvimento das partes interessadas quando as decises de gesto de riscos so tomadas e mantidas informadas sobre a situao da gesto de riscos Eficcia do monitoramento do tratamento do risco Monitoramento e a anlise crtica regular de riscos e do processo de gesto dos mesmos Coleta de informaes de forma a melhorar a abordagem da gesto de riscos Treinamento de gestores e pessoal a respeito dos riscos e das aes para mitig-los

O processo de gesto de riscos de segurana da informao pode ser aplicado organizao como um todo, a uma rea especfica da organizao (por exemplo: um departamento, uma localidade, um servio), a um sistema de informaes, a controles j existentes, planejados ou apenas a aspectos particulares de um controle (por exemplo: o plano de continuidade de negcios).
5/63
Viso geral do processo de gesto de riscos de segurana da informao
O processo de gesto de riscos de segurana da informao consiste na definio do contexto (Seo 7), anlise/avaliao de riscos (Seo 8), tratamento do risco (Seo 9), aceitao do risco (Seo 10), comunicao do risco (Seo 11) e monitoramento e anlise crtica de riscos (Seo 12).
Figura 1 - Processo de gesto de riscos de segurana da informao Como mostra a Figura 1, o processo de gesto de riscos de segurana da informao pode ter as atividades de anlise/avaliao de riscos e/ou de tratamento do risco sendo realizadas mais de uma vez. Um enfoque iterativo na execuo da anlise/avaliao de riscos torna possvel aprofundar e detalhar a avaliao em cada repetio. O enfoque iterativo permite minimizar o tempo e o esforo despendidos na identificao de controles e, ainda assim, assegura que riscos de alto impacto ou de alta probabilidade possam ser adequadamente avaliados. Primeiramente, o contexto estabelecido. Em seguida, executa-se uma anlise/avaliao de riscos. Se ela fornecer informaes suficientes para que se determine de forma eficaz as aes necessrias para reduzir os riscos a um nvel aceitvel, ento a tarefa est completa e o tratamento do risco pode suceder-se. Por outro lado, se as informaes forem insuficientes, executa-se uma outra iterao da anlise/avaliao de riscos, revisando-se o contexto (por exemplo: os critrios de avaliao de riscos, de aceitao do risco ou de impacto), possivelmente em partes limitadas do escopo (ver Figura 1, Ponto de Deciso 1). A eficcia do tratamento do risco depende dos resultados da anlise/avaliao de riscos. possvel que o tratamento do risco no resulte em um nvel de risco residual que seja aceitvel. Nesta situao, pode ser necessria uma outra iterao da anlise/avaliao de riscos, com mudanas nas variveis do contexto (por NO TEM VALOR NORMATIVO 6/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 exemplo: os critrios para a anlise/avaliao de riscos, de aceitao do risco e de impacto), seguida por uma fase adicional de tratamento do risco (veja Figura 1, Ponto de Deciso 2). A atividade de aceitao do risco tem de assegurar que os riscos residuais sejam explicitamente aceitos pelos gestores da organizao. Isso especialmente importante em uma situao em que a implementao de controles omitida ou adiada, por exemplo, devido aos custos. Durante o processo de gesto de riscos de segurana da informao, importante que os riscos e a forma com que so tratados sejam comunicados ao pessoal das reas operacionais e gestores apropriados. Mesmo antes do tratamento do risco, informaes sobre riscos identificados podem ser muito teis para o gerenciamento de incidentes e ajudar a reduzir possveis prejuzos. A conscientizao dos gestores e pessoal no que diz respeito aos riscos, natureza dos controles aplicados para mitig-los e as reas definidas como de interesse pela organizao, auxiliam a lidar com os incidentes e eventos no previstos da maneira mais efetiva. Convm que os resultados detalhados de cada atividade do processo de gesto de riscos de segurana da informao, assim como as decises sobre a anlise/avaliao de riscos e sobre o tratamento do risco (representadas pelos dois pontos de deciso na Figura 1), sejam documentados. A ABNT NBR ISO/IEC 27001 especifica que os controles implementados no escopo, limites e contexto do SGSI devem ser baseados no risco. A aplicao de um processo de gesto de riscos de segurana da informao pode satisfazer esse requisito. H vrios mtodos atravs dos quais o processo pode ser implementado com sucesso em uma organizao. Convm que a organizao use o mtodo que melhor se adeque a suas circunstncias, para cada aplicao especfica do processo. Em um SGSI, a definio do contexto, a anlise/avaliao de riscos, o desenvolvimento do plano de tratamento do risco e a aceitao do risco, fazem parte da fase "planejar". Na fase "executar" do SGSI, as aes e controles necessrios para reduzir os riscos para um nvel aceitvel so implementados de acordo com o plano de tratamento do risco. Na fase verificar do SGSI, os gestores determinaro a necessidade de reviso das avaliaes e tratamento do risco luz dos incidentes e mudanas nas circunstncias. Na fase agir, as aes necessrias so executadas, incluindo a reaplicao do processo de gesto de riscos de segurana da informao. A Tabela 1 resume as atividades relevantes de gesto de riscos de segurana da informao para as quatro fases do processo do SGSI:
7/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Tabela 1 Alinhamento do processo do SGSI e do processo de gesto de riscos de segurana da informao Processo do SGSI Processo de gesto de riscos de segurana da informao Definio do contexto Anlise/avaliao de riscos Planejar Plano de tratamento do risco Aceitao do risco Executar Verificar Agir Implementao do plano de tratamento do risco Monitoramento contnuo e anlise crtica de riscos Manter e melhorar o processo de Gesto de Riscos de Segurana da Informao
Definio do contexto
7.1 Consideraes Gerais

Entrada: Todas as informaes sobre a organizao relevantes para a definio do contexto da gesto de riscos de segurana da informao. Ao: Convm que o contexto para gesto de riscos de segurana da informao seja estabelecido, o que envolve a definio dos critrios bsicos necessrios para a gesto de riscos de segurana da informao (7.2), a definio do escopo e dos limites (7.3) e o estabelecimento de uma organizao apropriada para operar a gesto de riscos de segurana da informao (7.4). Diretrizes para implementao: essencial determinar o propsito da gesto de riscos de segurana da informao, pois ele afeta o processo em geral e a definio do contexto em particular. Esse propsito pode ser: Suporte a um SGSI Conformidade legal e a evidncia da realizao dos procedimentos corretos Preparao de um plano de continuidade de negcios Preparao de um plano de resposta a incidentes Descrio dos requisitos de segurana da informao para um produto, um servio ou um mecanismo
As diretrizes para implementao dos elementos da definio do contexto necessrios para dar suporte a um SGSI so discutidas detalhadamente nas Sees 7.2, 7.3 e 7.4 a seguir.
NOTA A ABNT NBR ISO/IEC 27001 no usa o termo contexto. No entanto, a Seo 7 refere-se aos requisitos definir o escopo e limites do SGSI [(4.2.1.a)], definir uma poltica para o SGSI [4.2.1.b)] e definir o mtodo de anlise/avaliao de riscos [4.2.1.c)], especificados na ABNT NBR ISO/IEC 27001.
8/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Sada: A especificao dos critrios bsicos; o escopo e os limites do processo de gesto de riscos de segurana da informao; e a organizao responsvel pelo processo.
7.2 Critrios bsicos

Dependendo do escopo e dos objetivos da gesto de riscos, diferentes mtodos podem ser aplicados. O mtodo tambm pode ser diferente para cada iterao do processo. Convm que um mtodo de gesto de riscos apropriado seja selecionado ou desenvolvido e leve em conta critrios bsicos, tais como: critrios de avaliao de riscos, critrios de impacto e critrios de aceitao do risco. Alm disso, convm que a organizao avalie se os recursos necessrios esto disponveis para: Executar a anlise/avaliao de riscos e estabelecer um plano de tratamento dos mesmos Definir e implementar polticas e procedimentos, incluindo implementao dos controles selecionados Monitorar controles Monitorar o processo de gesto de riscos de segurana da informao
NOTA Ver tambm a ABNT NBR ISO/IEC 27001 (Seo 5.2.1) com relao proviso de recursos para a implementao e operao de um SGSI.
Critrios para a avaliao de riscos Convm que os critrios para a avaliao de riscos sejam desenvolvidos para avaliar os riscos de segurana da informao na organizao, considerando os seguintes itens: O valor estratgico do processo que trata as informaes de negcio A criticidade dos ativos de informao envolvidos Requisitos legais e regulatrios, bem como as obrigaes contratuais Importncia do ponto de vista operacional e dos negcios, da disponibilidade, da confidencialidade e da integridade Expectativas e percepes das partes interessadas e conseqncias negativas para o valor de mercado (em especial, no que se refere aos fatores intangveis desse valor), a imagem e a reputao Alm disso, critrios para avaliao de riscos podem ser usados para especificar as prioridades para o tratamento do risco. Critrios de impacto Convm que os critrios de impacto sejam desenvolvidos e especificados em funo do montante dos danos ou custos organizao causados por um evento relacionado com a segurana da informao, considerando o seguinte: Nvel de classificao do ativo de informao afetado Ocorrncias de violao da segurana da informao (por exemplo: perda da disponibilidade, da confidencialidade e/ou da integridade) Operaes comprometidas (internas ou de terceiros) NO TEM VALOR NORMATIVO 9/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Perda de oportunidades de negcio e de valor financeiro Interrupo de planos e o no cumprimento de prazos Dano reputao Violaes de requisitos legais, regulatrios ou contratuais
NOTA Veja tambm a ABNT NBR ISO/IEC 27001 [Seo 4.2.1 d) 4] com relao identificao dos critrios de impacto em relao perda da confidencialidade, da integridade e/ou da disponibilidade.
Critrios para a aceitao do risco Convm que os critrios para a aceitao do risco sejam desenvolvidos e especificados e dependam freqentemente das polticas, metas e objetivos da organizao, assim como dos interesses das partes interessadas. Convm que a organizao defina sua prpria escala de nveis de aceitao do risco. Convm que os seguintes tpicos sejam considerados durante o desenvolvimento: Critrios para a aceitao do risco podem incluir mais de um limite, representando um nvel desejvel de risco, porm precaues podem ser tomadas por gestores seniores para aceitar riscos acima desse nvel desde que sob circunstncias definidas Critrios para a aceitao do risco podem ser expressos como a razo entre o lucro estimado (ou outro benefcio ao negcio) e o risco estimado Diferentes critrios para a aceitao do risco podem ser aplicados a diferentes classes de risco, por exemplo: riscos que podem resultar em no conformidade com regulamentaes ou leis podem no ser aceitos, enquanto riscos de alto impacto podero ser aceitos se isto for especificado como um requisito contratual Critrios para a aceitao do risco podem incluir requisitos para um tratamento adicional futuro, por exemplo: um risco poder ser aceito se for aprovado e houver o compromisso de que aes para reduzi-lo a um nvel aceitvel sero tomadas dentro de um determinado perodo de tempo Critrios para a aceitao do risco podem ser diferenciados de acordo com o tempo de existncia previsto do risco, por exemplo: o risco pode estar associado a uma atividade temporria ou de curto prazo. Convm que os critrios para a aceitao do risco sejam estabelecidos, considerando os seguintes itens: Critrios de negcio Aspectos legais e regulatrios Operaes Tecnologia Finanas Fatores sociais e humanitrios
NOTA Os critrios para a aceitao do risco correspondem aos critrios para aceitao do risco e identificao do nvel aceitvel dos mesmos especificados na ABNT NBR ISO/IEC 27001 Seo 4.2.1.c) 2).
Mais informaes podem ser encontradas no Anexo A.
10/63
7.3 Escopo e limites

Convm que a organizao defina o escopo e os limites da gesto de riscos de segurana da informao. O escopo do processo de gesto de riscos de segurana da informao precisa ser definido para assegurar que todos os ativos relevantes sejam considerados na anlise/avaliao de riscos. Alm disso, os limites precisam ser identificados [ver tambm a ABNT NBR ISO/IEC 27001 Seo 4.2.1.a)] para permitir o reconhecimento dos riscos que possam transpor esses limites. Convm que as informaes sobre a organizao sejam reunidas para que seja possvel determinar o ambiente em que ela opera e a relevncia desse ambiente para o processo de gesto de riscos de segurana da informao. Ao definir o escopo e os limites, convm que a organizao considere as seguintes informaes: Os objetivos estratgicos, polticas e estratgias da organizao Processos de negcio As funes e estrutura da organizao Requisitos legais, regulatrios e contratuais aplicveis organizao A poltica de segurana da informao da organizao A abordagem da organizao gesto de riscos Ativos de informao Localidades em que a organizao se encontra e suas caractersticas geogrficas Restries que afetam a organizao Expectativas das partes interessadas Ambiente sociocultural Interfaces (ou seja: a troca de informao com o ambiente)
Alm disso, convm que a organizao fornea justificativa para quaisquer excluses do escopo. Exemplos do escopo da gesto de riscos podem ser: uma aplicao de TI, a infra-estrutura de TI, um processo de negcios ou uma parte definida da organizao.
NOTA O escopo e os limites da gesto de riscos de segurana da informao esto relacionados ao escopo e aos limites do SGSI, conforme requerido na ABNT NBR ISO/IEC 27001 4.2.1.a).
Informaes adicionais podem ser encontradas no Anexo A.
7.4 Organizao para gesto de riscos de segurana da informao

Convm que a organizao e as responsabilidades para o processo de gesto de riscos de segurana da informao sejam estabelecidas e mantidas. A seguir esto os principais papis e responsabilidades dessa organizao: NO TEM VALOR NORMATIVO 11/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Desenvolvimento do processo de gesto de riscos de segurana da informao adequado organizao Identificao e anlise das partes interessadas Definio dos papis e responsabilidades de todas as partes, internas e externas organizao. Estabelecimento das relaes necessrias entre a organizao e as partes interessadas, das interfaces com as funes de alto nvel de gesto de riscos da organizao (por exemplo: a gesto de riscos operacionais), assim como das interfaces com outros projetos ou atividades relevantes Definio de aladas para a tomada de decises Especificao dos registros a serem mantidos Convm que essa organizao seja aprovada pelos gestores apropriados.
NOTA A ABNT NBR ISO/IEC 27001 requer a identificao e a proviso dos recursos necessrios para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI [5.2.1.a)]. A organizao das operaes de gesto de riscos pode ser considerada como um dos recursos necessrios, segundo a ABNT NBR ISO/IEC 27001.
Anlise/avaliao de riscos de segurana da informao
8.1 Descrio geral do processo de anlise/avaliao de riscos de segurana da informao

NOTA A atividade de anlise/avaliao de riscos tratada como processo na ABNT NBR ISO/IEC 27001.
Entrada: Critrios bsicos, o escopo e os limites, e a organizao do processo de gesto de riscos de segurana da informao que se est definindo. Ao: Convm que os riscos sejam identificados, quantificados ou descritos qualitativamente, priorizados em funo dos critrios de avaliao de riscos e dos objetivos relevantes da organizao. Diretrizes para implementao: Um risco a combinao das conseqncias advindas da ocorrncia de um evento indesejado e da probabilidade da ocorrncia do mesmo. A anlise/avaliao de riscos quantifica ou descreve o risco qualitativamente e capacita os gestores a priorizar os riscos de acordo com a sua gravidade percebida ou com outros critrios estabelecidos. A anlise/avaliao de riscos consiste nas seguintes atividades: Anlise de riscos (Seo 8.2) compreende: Identificao de riscos (Seo 8.2.1) Estimativa de riscos (Seo 8.2.2) Avaliao de riscos (Seo 8.3) A anlise/avaliao de riscos determina o valor dos ativos de informao, identifica as ameaas e vulnerabilidades aplicveis existentes (ou que poderiam existir), identifica os controles existentes e seus efeitos no risco identificado, determina as conseqncias possveis e, finalmente, prioriza os riscos derivados e ordena-os de acordo com os critrios de avaliao de riscos estabelecidos na definio do contexto. A anlise/avaliao de riscos executada freqentemente em duas (ou mais) iteraes. Primeiramente, uma avaliao de alto nvel realizada para identificar os riscos com potencial de alto impacto, os quais merecem uma avaliao mais aprofundada. A segunda iterao pode considerar com mais profundidade os riscos de alto impacto potencial revelados na primeira iterao. Se ela no fornecer informaes suficientes para avaliar o risco, NO TEM VALOR NORMATIVO 12/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 ento anlises adicionais detalhadas precisaro ser executadas, provavelmente em apenas partes do escopo total e possivelmente usando um outro mtodo. Cabe organizao selecionar seu prprio mtodo para a anlise/avaliao de riscos baseado nos objetivos e na meta da anlise/avaliao de riscos. Uma discusso sobre mtodos de anlise/avaliao de riscos de segurana da informao pode ser encontrada no Anexo E. Sada: Uma lista de riscos avaliados, ordenados por prioridade de acordo com os critrios de avaliao de riscos.
8.2 Anlise de riscos

8.2.1 8.2.1.1 Identificao de riscos Introduo identificao de riscos
O propsito da identificao de riscos determinar eventos que possam causar uma perda potencial e deixar claro como, onde e por que a perda pode acontecer. As etapas descritas nas prximas subsees de 8.2.1 servem para coletar dados de entrada para a atividade de estimativa de riscos.
NOTA Atividades descritas nas sees subseqentes podem ser executadas em uma ordem diferente dependendo da metodologia aplicada.
8.2.1.2
Identificao dos ativos
Entrada: Escopo e limites para a anlise/avaliao de riscos a ser executada; lista de componentes com responsveis, localidade, funo etc. Ao: Convm que os ativos dentro do ABNT NBR ISO/IEC 27001, Seo 4.2.1.d) 1)). Diretrizes para implementao: Um ativo algo que tem valor para a organizao e que, portanto, requer proteo. Para a identificao dos ativos convm que se tenha em mente que um sistema de informao compreende mais do que hardware e software. Convm que a identificao dos ativos seja executada com um detalhamento adequado que fornea informaes suficientes para a anlise/avaliao de riscos. O nvel de detalhe usado na identificao dos ativos influenciar na quantidade geral de informaes reunidas durante a anlise/avaliao de riscos. O detalhamento pode ser aprofundado em cada iterao da anlise/avaliao de riscos. Convm que um responsvel seja identificado para cada ativo, a fim de oficializar sua responsabilidade e garantir a possibilidade da respectiva prestao de contas. O responsvel pelo ativo pode no ter direitos de propriedade sobre o mesmo, mas tem responsabilidade sobre sua produo, desenvolvimento, manuteno, utilizao e segurana, conforme apropriado. O responsvel pelo ativo freqentemente a pessoa mais adequada para determinar o valor do mesmo para a organizao (ver 8.2.2.2 sobre a valorao dos ativos). O limite da anlise crtica o permetro dos ativos da organizao a serem considerados pelo processo de gesto de riscos de segurana da informao. Mais informaes sobre a identificao e valorao dos ativos, sob a perspectiva da segurana da informao, podem ser encontradas no Anexo B. Sada: Uma lista de ativos cujos riscos-controlados, e uma lista de processos do negcio relacionados aos ativos e suas relevncias. escopo estabelecido sejam identificados (refere-se
13/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 8.2.1.3 Identificao das ameaas
Entrada: Informaes sobre ameaas obtidas a partir da anlise crtica de incidentes, dos responsveis pelos ativos, de usurios e de outras fontes, incluindo catlogos externos de ameaas. Ao: Convm que as ameaas e suas fontes sejam identificadas (refere-se ABNT NBR ISO/IEC 27001, Seo 4.2.1 d) 2)). Diretrizes para implementao: Uma ameaa tem o potencial de comprometer ativos (tais como, informaes, processos e sistemas) e, por isso, tambm as organizaes. Ameaas podem ser de origem natural ou humana e podem ser acidentais ou intencionais. Convm que tanto as fontes das ameaas acidentais, quanto as intencionais, sejam identificadas. Uma ameaa pode surgir de dentro ou de fora da organizao. Convm que as ameaas sejam identificadas genericamente e por classe (por exemplo: aes no autorizadas, danos fsicos, falhas tcnicas) e, quando apropriado, ameaas especficas identificadas dentro das classes genricas. Isso significa que, nenhuma ameaa ignorada, incluindo as no previstas, mas que o volume de trabalho exigido limitado. Algumas ameaas podem afetar mais de um ativo. Nesses casos, elas podem provocar impactos diferentes, dependendo de quais ativos so afetados. Dados de entrada para a identificao das ameaas e estimativa da probabilidade de ocorrncia (ver 8.2.2.2) podem ser obtidos dos responsveis pelos ativos ou dos usurios, do pessoal, dos administradores das instalaes e dos especialistas em segurana da informao, de peritos em segurana fsica, do departamento jurdico e de outras organizaes, incluindo organismos legais, autoridades climticas, companhias de seguros e autoridades governamentais nacionais. Aspectos culturais e relacionados ao ambiente precisam ser considerados quando se examina as ameaas. Convm que experincias internas de incidentes e avaliaes anteriores das ameaas sejam consideradas na avaliao atual. Pode ser til a consulta a outros catlogos de ameaas (talvez mais especfico a uma organizao ou negcio) a fim de completar a lista de ameaas genricas, quando relevante. Catlogos de ameaas e estatsticas so disponibilizados por organismos setoriais, governos nacionais, organismos legais, companhias de seguro etc. Quando forem usados catlogos de ameaas ou os resultados de uma avaliao anterior das ameaas, convm que se tenha conscincia de que as ameaas relevantes esto sempre mudando, especialmente se o ambiente de negcio ou se os sistemas de informaes mudarem. Mais informaes sobre tipos de ameaas podem ser encontradas no Anexo C. Sada: Uma lista de ameaas com a identificao do tipo e da fonte das ameaas. 8.2.1.4 Identificao dos controles existentes
Entrada: Documentao dos controles, planos de implementao do tratamento do risco. Ao: Convm que os controles existentes e os planejados sejam identificados. Diretrizes para implementao: Convm que a identificao dos controles existentes seja realizada para evitar custos e trabalho desnecessrios, por exemplo: na duplicao de controles. Alm disso, enquanto os controles existentes esto sendo identificados, convm que seja feita uma verificao para assegurar que eles esto funcionando corretamente - uma referncia aos relatrios j existentes de auditoria do SGSI pode reduzir o tempo gasto nesta tarefa. Um controle que no funcione como esperado pode provocar o surgimento de vulnerabilidades. Convm que seja levada em considerao a possibilidade de um controle selecionado (ou estratgia) falhar durante sua operao. Sendo NO TEM VALOR NORMATIVO 14/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 assim, controles complementares so necessrios para tratar efetivamente o risco identificado. Em um SGSI, de acordo com a ABNT NBR ISO/IEC 27001, isso auxiliado pela medio da eficcia dos controles. Uma maneira para estimar o efeito do controle ver o quanto ele reduz, por um lado, a probabilidade da ameaa e a facilidade com que uma vulnerabilidade pode ser explorada ou, por outro lado, o impacto do incidente. A anlise crtica pela direo e relatrios de auditoria tambm fornecem informaes sobre a eficcia dos controles existentes. Convm que os controles que esto planejados para serem implementados de acordo com os planos de implementao de tratamento do risco tambm sejam considerados, juntamente com aqueles que j esto implementados. Controles existentes ou planejados podem ser considerados ineficazes, insuficientes ou no-justificados. Convm que um controle insuficiente ou no justificado seja verificado para determinar se convm que o mesmo seja removido, substitudo por outro controle mais adequado ou se convm que o controle permanea em vigor, por exemplo, em funo dos custos. Para a identificao dos controles existentes ou planejados, as seguintes atividades podem ser teis: Analisar de forma crtica os documentos contendo informaes sobre os controles (por exemplo: os planos de implementao de tratamento do risco). Se os processos de gesto da segurana da informao esto bem documentados, convm que todos os controles existentes ou planejados e a situao de sua implementao estejam disponveis; Verificar com as pessoas responsveis pela segurana da informao (por exemplo: o responsvel pela segurana da informao, o responsvel pela segurana do sistema da informao, o gerente das instalaes prediais, o gerente de operaes) e com os usurios quais controles, relacionados ao processo de informao ou ao sistema de informao sob considerao, esto realmente implementados; Revisar, no local, os controles fsicos, comparando os controles implementados com a lista de quais convm que estejam presentes; e verificar se aqueles implementados esto funcionando efetiva e corretamente, ou Analisar criticamente os resultados de auditorias internas Sada: Uma lista de todos os controles existentes e planejados, sua implementao e status de utilizao. 8.2.1.5 Identificao das vulnerabilidades
Entrada: Uma lista de ameaas conhecidas, listas de ativos e controles existentes. Ao: Convm que as vulnerabilidades que podem se exploradas por ameaas para comprometer os ativos ou a organizao sejam identificadas (refere-se ABNT NBR ISO/IEC 27001, Seo 4.2.1 d) 3)). Diretrizes para implementao: Vulnerabilidades podem ser identificadas nas seguintes reas: Organizao Processos e procedimentos Rotinas de gesto Recursos humanos Ambiente fsico Configurao do sistema de informao NO TEM VALOR NORMATIVO 15/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Hardware, software ou equipamentos de comunicao Dependncia de entidades externas
A presena de uma vulnerabilidade no causa prejuzo por si s, pois precisa haver uma ameaa presente para explor-la. Uma vulnerabilidade que no tem uma ameaa correspondente pode no requerer a implementao de um controle no presente momento, mas convm que ela seja reconhecida como tal e monitorada, no caso de haver mudanas. Note-se que um controle implementado, funcionando incorretamente ou sendo usado incorretamente, pode, por si s, representar uma vulnerabilidade. Um controle pode ser eficaz ou no, dependendo do ambiente no qual ele opera. Inversamente, uma ameaa que no tenha uma vulnerabilidade correspondente pode no resultar em um risco. Vulnerabilidades podem estar ligadas a propriedades do ativo, as quais podem ser usadas de uma forma ou para um propsito diferente daquele para o qual o ativo foi adquirido ou desenvolvido. Vulnerabilidades decorrentes de diferentes fontes precisam ser consideradas, por exemplo: as intrnsecas ao ativo e as extrnsecas. Exemplos de vulnerabilidades e mtodos para avaliao de vulnerabilidades podem ser encontrados no Anexo D. Sada: Uma lista de vulnerabilidades associadas aos ativos, s ameaas e aos controles; uma lista de vulnerabilidades que no se refere a nenhuma ameaa identificada para anlise. 8.2.1.6 Identificao das conseqncias
Entrada: Uma lista de ativos, uma lista de processos do negcio e uma lista de ameaas e vulnerabilidades, quando aplicvel, relacionadas aos ativos e sua relevncia. Ao: Convm que as conseqncias que a perda de confidencialidade, de integridade e de disponibilidade podem ter sobre os ativos sejam identificadas (ver a ABNT NBR ISO/IEC 27001 4.2.1 d)4)). Diretrizes para implementao: Uma conseqncia pode ser, por exemplo, a perda da eficcia, condies adversas de operao, a perda de oportunidades de negcio, reputao afetada, prejuzo etc. Essa atividade identifica o prejuzo ou as conseqncias para a organizao que podem decorrer de um cenrio de incidente. Um cenrio de incidente a descrio de uma ameaa explorando uma certa vulnerabilidade ou um conjunto delas em um incidente de segurana da informao (ver ABNT NBR ISO/IEC 27002, Seo 13). O impacto dos cenrios de incidentes determinado considerando-se os critrios de impacto definidos durante a atividade de definio do contexto. Ele pode afetar um ou mais ativos ou apenas parte de um ativo. Assim, aos ativos podem ser atribudos valores correspondendo tanto aos seus custos financeiros, quanto s conseqncias ao negcio se forem danificados ou comprometidos. Conseqncias podem ser de natureza temporria ou permanente como no caso da destruio de um ativo.
NOTA A ABNT NBR ISO/IEC 27001 descreve a ocorrncia de cenrios de incidentes como falhas de segurana.
Convm que as organizaes identifiquem as conseqncias operacionais de cenrios de incidentes em funo de (mas no limitado a): Investigao e tempo de reparo Tempo (de trabalho) perdido Oportunidade perdida Sade e Segurana Custo financeiro das competncias especficas necessrias para reparar o prejuzo NO TEM VALOR NORMATIVO 16/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Imagem, reputao e valor de mercado
Detalhes sobre a avaliao de vulnerabilidades tcnicas podem ser encontrados em B.3 - Avaliao do Impacto. Sada: Uma lista de cenrios de incidentes com suas conseqncias associadas aos ativos e processos do negcio. 8.2.2 8.2.2.1 Estimativa de riscos Metodologias para a estimativa de riscos
A anlise de riscos pode ser empreendida com diferentes graus de detalhamento, dependendo da criticidade dos ativos, da extenso das vulnerabilidades conhecidas e dos incidentes anteriores envolvendo a organizao. Uma metodologia para a estimativa pode ser qualitativa ou quantitativa ou uma combinao de ambos, dependendo das circunstncias. Na prtica, a estimativa qualitativa freqentemente utilizada em primeiro lugar para obter uma indicao geral do nvel de risco e para revelar os grandes riscos. Depois, poder ser necessrio efetuar uma anlise quantitativa ou mais especfica, nos grandes riscos. Isso ocorre porque normalmente menos complexo e menos oneroso realizar anlises qualitativas do que quantitativas. Convm que a forma da anlise seja coerente com o critrio de avaliao de riscos desenvolvida como parte da definio do contexto. Detalhes adicionais a respeito das metodologias para a estimativa esto descritos a seguir: a) Estimativa qualitativa:
A estimativa qualitativa utiliza uma escala com atributos qualificadores que descrevem a magnitude das conseqncias potenciais (por exemplo: Pequena, Mdia e Grande) e a probabilidade dessas conseqncias ocorrerem. Uma vantagem da estimativa qualitativa sua facilidade de compreenso por todas as pessoas envolvidas. Por outro lado, uma desvantagem a dependncia escolha subjetiva da escala. Essas escalas podem ser adaptadas ou ajustadas para se adequarem s circunstncias e descries diferentes podem ser usadas para riscos diferentes. A estimativa qualitativa pode ser utilizada: Como uma verificao inicial a fim de identificar riscos que exigiro uma anlise mais detalhada Quando esse tipo de anlise suficiente para a tomada de decises Quando os dados numricos ou recursos so insuficientes para uma estimativa quantitativa
Convm que a anlise qualitativa utilize informaes e dados factuais quando disponveis. b) Estimativa quantitativa:
A estimativa quantitativa utiliza uma escala com valores numricos (e no as escalas descritivas usadas na estimativa qualitativa) tanto para conseqncias quanto para a probabilidade, usando dados de diversas fontes. A qualidade da anlise depende da exatido e da integralidade dos valores numricos e da validade dos modelos utilizados. A estimativa quantitativa, na maioria dos casos, utiliza dados histricos dos incidentes, proporcionando a vantagem de poder ser relacionada diretamente aos objetivos da segurana da informao e interesses da organizao. Uma desvantagem a falta de tais dados sobre novos riscos ou sobre fragilidades da segurana da informao. Uma desvantagem da abordagem quantitativa ocorre quando dados factuais e auditveis no esto disponveis. Nesse caso, a exatido da anlise/avaliao de riscos e os valores associados tornam-se ilusrios. A forma na qual as conseqncias e a probabilidade so expressas e a forma em que elas so combinadas para fornecer um nvel de risco ir variar de acordo com o tipo de risco e do propsito para o qual os resultados da anlise/avaliao de riscos sero usados. Convm que a incerteza e a variabilidade tanto das conseqncias, quanto da probabilidade, sejam consideradas na anlise e comunicadas de forma eficaz. NO TEM VALOR NORMATIVO 17/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 8.2.2.2 Avaliao das conseqncias
Entrada: Uma lista de cenrios de incidentes identificados como relevantes, incluindo a identificao de ameaas, vulnerabilidades, ativos afetados e conseqncias para os ativos e processos do negcio. Ao: Convm que o impacto sobre o negcio da organizao, que pode ser causado por incidentes (possveis ou reais) relacionados segurana da informao, seja avaliado levando-se em conta as conseqncias de uma violao da segurana da informao, como por exemplo: a perda da confidencialidade, da integridade ou da disponibilidade dos ativos (refere-se ABNT NBR ISO/IEC 27001, Seo 4.2.1 e)1)). Diretrizes para implementao: Depois de identificar todos os ativos relevantes, convm que os valores atribudos a esses ativos sejam levados em considerao durante a avaliao das conseqncias. O valor do impacto ao negcio pode ser expresso de forma qualitativa ou quantitativa, porm um mtodo para designar valores monetrios geralmente pode fornecer mais informaes teis para a tomada de decises e, conseqentemente, permitir que o processo de tomada de deciso seja mais eficiente. A valorao dos ativos comea com a classificao dos mesmos de acordo com sua criticidade, em funo da importncia dos ativos para a realizao dos objetivos de negcios da organizao. A valorao ento determinada de duas maneiras: o valor de reposio do ativo: o custo da recuperao e da reposio da informao (se for possvel) e as conseqncias ao negcio relacionadas perda ou ao comprometimento do ativo, tais como as possveis conseqncias adversas de carter empresarial, legal ou regulatrias causadas pela divulgao indevida, modificao, indisponibilidade e/ou destruio de informaes ou de outros ativos de informao
Essa valorao pode ser determinada a partir de uma anlise de impacto no negcio. O valor, determinado em funo da conseqncia para o negcio, normalmente significativamente mais elevado do que o simples custo de reposio, dependendo da importncia do ativo para a organizao na realizao dos objetivos de negcios. A valorao dos ativos representa um dos aspectos mais importantes na avaliao do impacto de um cenrio de incidente, pois o incidente pode afetar mais de um ativo (por exemplo: os ativos dependentes) ou somente parte de um ativo. Diferentes ameaas e vulnerabilidades causaro diferentes impactos sobre os ativos, tais como perda da confidencialidade, da integridade ou da disponibilidade. A avaliao das conseqncias est, portanto, relacionada valorao dos ativos baseada na anlise de impacto no negcio. As conseqncias ou o impacto ao negcio podem ser determinados por meio da criao de modelos com os resultados de um evento, um conjunto de eventos ou atravs da extrapolao a partir de estudos experimentais ou dados passados. As conseqncias podem ser expressas em funo dos critrios monetrios, tcnicos ou humanos, de impacto ou de outro critrio relevante para a organizao. Em alguns casos, mais de um valor numrico necessrio para especificar as conseqncias tendo em vista os diferentes momentos, lugares, grupos ou situaes. Convm que as conseqncias expressas em tempo e valor financeiro sejam medidas com a mesma abordagem utilizada para a probabilidade da ameaa e as vulnerabilidades. A consistncia deve ser mantida com respeito abordagem quantitativa ou qualitativa. Mais informaes sobre valorao dos ativos e sobre a avaliao do impacto podem ser encontradas no Anexo B. Sada: Uma lista de conseqncias avaliadas referentes a um cenrio de incidente, relacionadas aos ativos e critrios de impacto.
18/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 8.2.2.3 Avaliao da probabilidade dos incidentes
Entrada: Uma lista de cenrios de incidentes identificados como relevantes, incluindo a identificao de ameaas, ativos afetados, vulnerabilidades exploradas e conseqncias para os ativos e processos do negcio. Alm disso, listas com todos os controles existentes e planejados, sua eficcia, implementao e status de utilizao. Ao: Convm que a probabilidade dos cenrios de incidentes seja avaliada (refere-se ABNT NBR ISO/IEC 27001, Seo 4.2.1 e) 2)). Diretrizes para implementao: Depois de identificar os cenrios de incidentes, necessrio avaliar a probabilidade de cada cenrio e do impacto correspondente, usando tcnicas de estimativa qualitativas ou quantitativas. Convm levar em conta a freqncia da ocorrncia das ameaas e a facilidade com que as vulnerabilidades podem ser exploradas, considerando o seguinte: a experincia passada e estatsticas aplicveis referentes probabilidade da ameaa para fontes de ameaas intencionais: a motivao e as competncias, que mudam ao longo do tempo, os recursos disponveis para possveis atacantes, bem como a percepo da vulnerabilidade e o poder da atrao dos ativos para um possvel atacante para fontes de ameaas acidentais: fatores geogrficos (como por exemplo: proximidade a fbricas e refinarias de produtos qumicos e petrleo), a possibilidade de eventos climticos extremos e fatores que poderiam acarretar erros humanos e o mau funcionamento de equipamentos vulnerabilidades, tanto individualmente como em conjunto os controles existentes e a eficcia com que eles reduzem as vulnerabilidades
Por exemplo, um sistema de informao pode ter uma vulnerabilidade relacionada s ameaas de se forjar a identidade de um usurio e de se fazer mau uso de recursos. A vulnerabilidade relacionada ao uso forjado da identidade de um usurio pode ser alta devido, por exemplo, falta de um mecanismo de autenticao de usurio. Por outro lado, a probabilidade de utilizao indevida dos recursos pode ser baixa, apesar da falta de auteticao, pois os meios disponveis para que isso pudesse acontecer so limitados. Dependendo da necessidade de exatido, ativos podem ser agrupados ou pode ser necessrio dividir um ativo em seus componentes e relacionar estes aos cenrios. Por exemplo: conforme a localidade geogrfica, a natureza das ameaas a um mesmo tipo de ativo ou a eficcia dos controles existentes podem variar. Sada: Probabilidade dos cenrios de incidentes (no mtodo quantitativo ou no qualitativo). 8.2.2.4 Estimativa do nvel de risco
Entrada: Uma lista de cenrios de incidentes com suas conseqncias associadas aos ativos, processos de negcio e suas probabilidades (no mtodo quantitativo ou no qualitativo). Ao: Convm que o nvel de risco seja estimado para todos os cenrios de incidentes considerados relevantes (refere-se ABNT NBR ISO/IEC 27001, Seo 4.2.1 e) 4)). Diretrizes para implementao: A estimativa de riscos designa valores para a probabilidade e para as conseqncias de um risco. Esses valores podem ser de natureza quantitativa ou qualitativa. A estimativa de riscos baseada nas conseqncias e na probabilidade estimadas. Alm disso, ela pode considerar o custo-benefcio, as preocupaes das partes interessadas e outras variveis, conforme apropriado para a avaliao de riscos. O risco estimado uma combinao entre a probabilidade de um cenrio de incidente e suas conseqncias. NO TEM VALOR NORMATIVO 19/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Exemplos de diferentes abordagens ou mtodos para estimativa de riscos de segurana da informao podem ser encontrados no Anexo E. Sada: Uma lista de riscos com nveis de valores designados.
8.3 Avaliao de riscos

Entrada: Uma lista de riscos com nveis de valores designados e critrios para a avaliao de riscos. Ao: Convm que o nvel dos riscos seja comparado com os critrios de avaliao de riscos e com os critrios para a aceitao do risco (refere-se ABNT NBR ISO/IEC 27001, Seo 4.2.1 e) 4)). Diretrizes para implementao: A natureza das decises relativas avaliao de riscos e os critrios de avaliao de riscos que iro ser usados para tomar essas decises teriam sido decididos durante a definio do contexto. Convm que essas decises e o contexto sejam revisados detalhadamente nesse estgio em que se conhece mais sobre os riscos identificados. Para avaliar os riscos, convm que as organizaes comparem os riscos estimados (usando os mtodos ou abordagens selecionadas como abordado no Anexo E) com os critrios de avaliao de riscos definidos durante a definio do contexto. Convm que os critrios de avaliao de riscos utilizados na tomada de decises sejam consistentes com o contexto definido, externo e interno, relativo gesto de riscos de segurana da informao e levem em conta os objetivos da organizao, o ponto de vista das partes interessadas etc. As decises tomadas durante a atividade de avaliao de riscos so baseadas principalmente no nvel de risco aceitvel. No entanto, convm que as conseqncias, a probabilidade e o grau de confiana na identificao e anlise de riscos tambm sejam considerados. A agregao de vrios pequenos ou mdios riscos pode resultar em um risco total bem mais significativo e precisa ser tratada adequadamente. Convm que os seguintes itens sejam considerados: Propriedades da segurana da informao: se um critrio no for relevante para a organizao (por exemplo: a perda da confidencialidade), logo, todos os riscos que provocam esse tipo de impacto podem ser considerados irrelevantes A importncia do processo de negcios ou da atividade suportada por um determinado ativo ou conjunto de ativos: se o processo tiver sido julgado de baixa importncia, convm que os riscos associados a ele sejam menos considerados do que os riscos que causam impactos em processos ou atividades mais importantes
A avaliao de riscos usa o entendimento do risco obtido atravs da anlise de riscos para a tomada de decises sobre aes futuras. Convm que as seguintes questes sejam decididas: Convm que uma atividade seja empreendida As prioridades para o tratamento do risco, levando-se em conta os nveis estimados de risco
Durante a etapa de avaliao de riscos, alm dos riscos estimados, convm que requisitos contratuais, legais e regulatrios tambm sejam considerados. Sada: Uma lista de riscos ordenados por prioridade (de acordo com os critrios de avaliao de riscos) e associados aos cenrios de incidentes que os provocam.
20/63
Tratamento do risco de segurana da informao
9.1 Descrio geral do processo de tratamento do risco

Entrada: Uma lista de riscos ordenados por prioridade (de acordo com os critrios de avaliao de riscos) e associados aos cenrios de incidentes que os provocam. Ao: Convm que controles para reduzir, reter, evitar ou transferir os riscos sejam selecionados e o plano de tratamento do risco seja definido. Diretrizes para implementao: H quatro opes disponveis para o tratamento do risco: reduo do risco (ver 9.2), reteno do risco (ver 9.3), evitar o risco (ver 9.4) e transferncia do risco (ver 9.5).
NOTA A ABNT NBR ISO/IEC 27001 4.2.1.f) 2) usa o termo aceitao do risco em vez de reteno do risco.
A Figura 2 ilustra a atividade de tratamento do risco dentro do processo de gesto de riscos de segurana da informao como apresentado na Figura 1.
RESULTADOS DA AVALIAO DE RISCOS
AVALIAO SATISFATRIA Ponto de Deciso 1
Tratamento do risco OPES DE TRATAMENTO DO RISCO
REDUO DO RISCO
RETENO DO RISCO
AO DE EVITAR O RISCO
TRANSFERNCIA DO RISCO
RISCOS RESIDUAIS
TRATAMENTO SATISFATRIO
Ponto de Deciso 2
Figura 2 A atividade de tratamento do risco NO TEM VALOR NORMATIVO 21/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Convm que as opes do tratamento do risco sejam selecionadas com base no resultado da anlise/avaliao de riscos, no custo esperado para implementao dessas opes e nos benefcios previstos. Quando uma grande reduo do risco pode ser obtida com uma despesa relativamente pequena, convm que essas opes sejam implementadas. Outras opes para melhorias podem ser muito dispendiosas e uma anlise precisa ser feita para verificar suas justificativas. Em geral, convm que as conseqncias adversas do risco sejam reduzidas ao mnimo possvel, independentemente de quaisquer critrios absolutos. Convm que os gestores considerem os riscos improvveis porm graves. Nesse caso, controles que no so justificveis do ponto de vista estritamente econmico podem precisar ser implementados (por exemplo: controles de continuidade de negcios concebidos para tratar riscos de alto impacto especficos). As quatro opes para o tratamento do risco no so mutuamente exclusivas. s vezes, a organizao pode beneficiar-se substancialmente de uma combinao de opes, tais como a reduo da probabilidade do risco, a reduo de suas conseqncias e a transferncia ou reteno dos riscos residuais. Algumas formas de tratamento do risco podem lidar com mais de um risco de forma efetiva (por exemplo: o treinamento e a conscientizao em segurana da informao). Convm que um plano de tratamento do risco seja definido, identificando claramente a ordem de prioridade em que as formas especficas de tratamento do risco convm ser implementadas, assim como os seus prazos de execuo. Prioridades podem ser estabelecidas usando vrias tcnicas, incluindo a ordenao dos riscos e a anlise de custo-benefcio. de responsabilidade dos gestores da organizao equilibrar os custos da implementao dos controles e o oramento. A identificao de controles existentes pode nos fazer concluir que os mesmos excedem as necessidades atuais em funo da comparao de custos, incluindo a manuteno. Se a remoo de controles redundantes e desnecessrios tiver que ser considerada (especialmente se os controles tm altos custos de manuteno), convm que a segurana da informao e os fatores de custo sejam levados em conta. Devido influncia que os controles exercem uns sobres os outros, a remoo de controles redundantes pode reduzir a segurana em vigor como um todo. Alm disso, talvez seja menos dispendioso deixar controles redundantes ou desnecessrios em vigor do que remov-los. Convm que as opes de tratamento do risco sejam consideradas levando-se em conta: Como o risco percebido pelas partes afetadas As formas mais apropriadas de comunicao com as partes
A definio do contexto (ver 7.2 - Critrios de avaliao de riscos) fornece informaes sobre requisitos legais e regulatrios com os quais a organizao precisa estar em conformidade. Nesse caso, o risco para organizao no estar em conformidade e convm que sejam implementadas opes de tratamento para limitar essa possibilidade. Convm que todas as restries - organizacionais, tcnicas, estruturais etc.- identificadas durante a atividade de definio do contexto, sejam levadas em conta durante o tratamento do risco. Uma vez que o plano de tratamento do risco tenha sido definido, os riscos residuais precisam ser determinados. Isso envolve uma atualizao ou uma repetio da anlise/avaliao de riscos, considerando-se os efeitos previstos do tratamento do risco que foi proposto. Caso o risco residual ainda no satisfaa os critrios para a aceitao do risco da organizao, uma nova iterao do tratamento do risco pode ser necessria antes de se prosseguir aceitao do risco. Mais informaes podem ser encontradas na ABNT NBR ISO/IEC 27002, Seo 0.3. Sada: O plano de tratamento do risco e os riscos residuais, sujeitos deciso de aceitao por parte dos gestores da organizao.
9.2 Reduo do risco

Ao: Convm que o nvel de risco seja reduzido atravs da seleo de controles, para que o risco residual possa ser reavaliado e ento considerado aceitvel. NO TEM VALOR NORMATIVO 22/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Diretrizes para implementao: Convm que controles apropriados e devidamente justificados sejam selecionados para satisfazer os requisitos identificados atravs da anlise/avaliao de riscos e do tratamento dos mesmos. Convm que essa escolha leve em conta os critrios para a aceitao do risco assim como requisitos legais, regulatrios e contratuais. Convm que essa seleo tambm leve em conta custos e prazos para a implementao de controles, alm de aspectos tcnicos, culturais e ambientais. Com freqncia, possvel diminuir o custo total de propriedade de um sistema por meio de controles de segurana da informao apropriadamente selecionados. Em geral, os controles podem fornecer um ou mais dos seguintes tipos de proteo: correo, eliminao, preveno, minimizao do impacto, dissuaso, deteco, recuperao, monitoramento e conscientizao. Durante a seleo de controles, importante pesar o custo da aquisio, implementao, administrao, operao, monitoramento e manuteno dos controles em relao ao valor dos ativos sendo protegidos. Alm disso, convm que o retorno do investimento, na forma da reduo do risco e da possibilidade de se explorar novas oportunidades de negcio em funo da existncia de certos controles, tambm seja considerado. Adicionalmente, convm considerar as competncias especializadas que possam ser necessrias para definir e implementar novos controles ou modificar os existentes. A ABNT NBR ISO/IEC 27002 fornece informaes detalhadas sobre controles. H muitas restries que podem afetar a seleo de controles. Restries tcnicas, tais como requisitos de desempenho, capacidade de gerenciamento (requisitos de apoio operacional) e questes de compatibilidade, podem dificultar a utilizao de certos controles ou induzir erros humanos, chegando mesmo a anular o controle, a dar uma falsa sensao de segurana ou a tornar o risco ainda maior do que seria se o controle no existisse (por exemplo: exigir senhas complexas sem treinamento adequado leva os usurios a anotar as senhas por escrito). importante lembrar tambm que um controle pode vir a afetar o desempenho sobremaneira. Convm que os gestores tentem encontrar uma soluo que satisfaa os requisitos de desempenho e que possa, ao mesmo tempo, garantir um nvel suficiente de segurana da informao. O resultado dessa etapa uma lista de controles possveis, com seu custo, benefcio e prioridade de implementao. Convm que vrias restries sejam levadas em considerao durante a escolha e a implementao de controles. Normalmente, so consideradas as seguintes: Restries temporais Restries financeiras Restries tcnicas Restries operacionais Restries culturais Restries ticas Restries ambientais Restries legais Facilidade de uso Restries de recursos humanos Restries ligadas integrao dos controles novos aos j existentes.
Mais informaes sobre as restries que dizem respeito reduo do risco podem ser encontradas no Anexo F. NO TEM VALOR NORMATIVO 23/63
9.3 Reteno do risco

Ao: Convm que as decises sobre a reteno do risco, sem outras aes adicionais, sejam tomadas tendo como base a avaliao de riscos.
NOTA O tpico ABNT NBR ISO/IEC 27001 4.2.1 f 2) "aceitao do risco, consciente e objetiva, desde que claramente satisfazendo as polticas da organizao e os critrios para aceitao do risco descreve a mesma atividade.
Diretrizes para implementao: Se o nvel de risco atende aos critrios para a aceitao do risco, no h necessidade de se implementar controles adicionais e pode haver a reteno do risco.
9.4 Ao de evitar o risco

Ao: Convm que a atividade ou condio que d origem a um determinado risco seja evitada. Diretrizes para implementao: Quando os riscos identificados so considerados demasiadamente elevados e quando os custos da implementao de outras opes de tratamento do risco excederem os benefcios, pode-se decidir que o risco seja evitado completamente, seja atravs da eliminao de uma atividade planejada ou existente (ou de um conjunto de atividades), seja atravs de mudanas nas condies em que a operao da atividade ocorre. Por exemplo: para riscos causados por fenmenos naturais, pode ser uma alternativa mais rentvel mover fisicamente as instalaes de processamento de informaes para um local onde o risco no existe ou est sob controle.
9.5 Transferncia do risco

Ao: Convm que um determinado risco seja transferido para outra entidade que possa gerenci-lo de forma mais eficaz, dependendo da avaliao de riscos. Diretrizes para implementao: A transferncia do risco envolve a deciso de se compartilhar certos riscos com entidades externas. A transferncia do risco pode tambm criar novos riscos ou modificar riscos existentes e j identificados. Portanto, um novo tratamento do risco pode vir a ser necessrio. A transferncia pode ser feita por um seguro que cubra as conseqncias ou atravs da subcontratao de um parceiro cujo papel seria o de monitorar o sistema de informao e tomar medidas imediatas que impeam um ataque antes que ele possa causar um determinado nvel de dano ou prejuzo. Note-se que, apesar de ser possvel transferir a responsabilidade pelo gerenciamento do risco, no normalmente possvel transferir a responsabilidade legal pelas conseqncias. Os clientes provavelmente iro atribuir a culpa por um efeito adverso organizao.
10 Aceitao do risco de segurana da informao

Entrada: O plano de tratamento do risco e a anlise/avaliao do risco residual sujeito deciso dos gestores da organizao relativa aceitao do mesmo. Ao: Convm que a deciso de aceitar os riscos seja feita e formalmente registrada, juntamente com a responsabilidade pela deciso (isso se refere ao pargrafo 4.2.1 h) da ABNT NBR ISO/IEC 27001). Diretrizes para implementao: Convm que os planos de tratamento do risco descrevam como os riscos avaliados sero tratados para que os critrios de aceitao do risco sejam atendidos (veja Seo 7.2 Critrios para a aceitao do risco). importante NO TEM VALOR NORMATIVO 24/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 que gestores responsveis faam uma anlise crtica e aprovem, se for o caso, os planos propostos de tratamento do risco, os riscos residuais resultantes e que registrem as condies associadas a essa aprovao. Os critrios para a aceitao do risco podem ser mais complexos do que somente a determinao se o risco residual est, ou no, abaixo ou acima de um limite bem definido. Em alguns casos, o nvel de risco residual pode no satisfazer os critrios de aceitao do risco, pois os critrios aplicados no esto levando em conta as circunstncias predominantes no momento. Por exemplo, pode ser vlido argumentar que preciso que se aceite o risco, pois os benefcios que o acompanham so muito atraentes ou porque os custos de sua reduo so demasiadamente elevados. Tais circunstncias indicam que os critrios para a aceitao do risco so inadequados e convm que sejam revistos, se possvel. No entanto, nem sempre possvel rever os critrios para a aceitao do risco no tempo apropriado. Nesses casos, os tomadores de deciso podem ter que aceitar riscos que no satisfaam os critrios normais para o aceite. Se isso for necessrio, convm que o tomador de deciso comente explicitamente sobre os riscos e inclua uma justificativa para a sua deciso de passar por cima dos critrios normais para a aceitao do risco. Sada: Uma lista de riscos aceitos, incluindo uma justificativa para aqueles que no satisfaam os critrios normais para aceitao do risco.
11 Comunicao do risco de segurana da informao

Entrada: Todas as informaes sobre os riscos obtidas atravs das atividades de gesto de riscos (ver Figura 1). Ao: Convm que as informaes sobre riscos sejam trocadas e/ou compartilhadas entre o tomador de deciso e as outras partes interessadas. Diretrizes para implementao: A comunicao do risco uma atividade que objetiva alcanar um consenso sobre como os riscos devem ser gerenciados, fazendo uso para tal da troca e/ou partilha das informaes sobre o risco entre os tomadores de deciso e as outras partes interessadas. A informao inclui, entre outros possveis fatores, a existncia, natureza, forma, probabilidade, severidade, tratamento e aceitabilidade dos riscos. A comunicao eficaz entre as partes interessadas importante, uma vez que isso pode ter um impacto significativo sobre as decises que devem ser tomadas. A comunicao assegurar que os responsveis pela implementao da gesto de riscos, e aqueles com interesses reais de direito, tenham um bom entendimento do por que as decises so tomadas e dos motivos que tornam certas aes necessrias. A comunicao bidirecional. A percepo do risco pode variar devido a diferenas de suposies, conceitos, necessidades, interesses e preocupaes das partes interessadas quando lidam com o risco ou quando tratam das questes sendo aqui discutidas. As partes interessadas iro, provavelmente, fazer julgamentos sobre a aceitabilidade do risco tendo como base sua prpria percepo do risco. Assim, particularmente importante garantir que a percepo do risco das partes interessadas, bem como a sua percepo dos benefcios, sejam identificadas e documentadas e que as razes subjacentes sejam claramente entendidas e consideradas. Convm que a comunicao do risco seja realizada a fim de: Fornecer garantia do resultado da gesto de riscos da organizao Coletar informaes sobre os riscos Compartilhar os resultados da anlise/avaliao de riscos e apresentar o plano de tratamento do risco Evitar ou reduzir tanto a ocorrncia quanto as conseqncias das violaes da segurana da informao que aconteam devido falta de entendimento mtuo entre os tomadores de deciso e as partes interessadas
25/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Dar suporte ao processo decisrio Obter novo conhecimento sobre a segurana da informao Coordenar com outras partes e planejar respostas para reduzir as conseqncias de um incidente Dar aos tomadores de deciso e as partes interessadas um senso de responsabilidade sobre riscos Melhorar a conscientizao
Convm que a organizao desenvolva planos de comunicao dos riscos tanto para as operaes rotineiras como tambm para situaes emergenciais. Portanto, convm que a atividade de comunicao do risco seja realizada continuamente. A coordenao entre os principais tomadores de deciso e as partes interessadas pode ser obtida mediante a formao de uma comisso em que os riscos, a sua priorizao, as formas adequadas de trat-los e a sua aceitao possam ser amplamente discutidos. importante cooperar com o escritrio de relaes pblicas ou com o grupo de comunicao apropriado dentro da organizao para coordenar as tarefas relacionadas com a comunicao do risco. Isso vital no caso de aes de comunicao durante crises, por exemplo: em resposta a incidentes especficos. Sada: Entendimento contnuo do processo de gesto de riscos de segurana da informao da organizao e dos resultados obtidos.
12 Monitoramento e anlise crtica de riscos de segurana da informao

12.1 Monitoramento e anlise crtica dos fatores de risco
Entrada: Todas as informaes sobre os riscos obtidas atravs das atividades de gesto de riscos (ver Figura 1). Ao: Convm que os riscos e seus fatores (isto , valores dos ativos, impactos, ameaas, vulnerabilidades, probabilidade de ocorrncia) sejam monitorados e analisados criticamente, a fim de se identificar, o mais rapidamente possvel, eventuais mudanas no contexto da organizao e de se manter uma viso geral dos riscos. Diretrizes para implementao: Os riscos no so estticos. As ameaas, as vulnerabilidades, a probabilidade ou as conseqncias podem mudar abruptamente, sem qualquer indicao. Portanto, o monitoramento constante necessrio para que se detectem essas mudanas. Servios de terceiros que forneam informaes sobre novas ameaas ou vulnerabilidades podem prestar um auxlio valioso. Convm que as organizaes assegurem que os seguintes itens sejam monitorados continuamente: Novos ativos que tenham sido includos no escopo da gesto de riscos Modificaes necessrias dos valores dos ativos, por exemplo: devido mudana nos requisitos de negcio Novas ameaas que podem estar ativas tanto fora quanto dentro da organizao e que no tenham sido avaliadas A possibilidade de que vulnerabilidades novas ou ampliadas venham a permitir que alguma ameaa as explore
26/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 As vulnerabilidades j identificadas, para determinar aquelas que esto se tornando expostas a ameaas novas ou ressurgentes As conseqncias ou o impacto ampliado de ameaas, vulnerabilidades e riscos avaliados em conjunto - em um todo agregado, resultando em um nvel inaceitvel de risco Incidentes relacionados segurana da informao
Novas ameaas, novas vulnerabilidades e mudanas na probabilidade ou nas conseqncias, podem vir a ampliar os riscos anteriormente avaliados como pequenos. Convm que a anlise crtica dos riscos pequenos e aceitos considere cada risco separadamente e tambm em conjunto a fim de avaliar seu impacto potencial agregado. Se os riscos no estiverem dentro da categoria "baixo" ou "aceitvel", convm que eles sejam tratados utilizando-se uma ou mais de uma das opes consideradas na Seo 9. Fatores que afetam a probabilidade ou as conseqncias das ameaas j ocorridas podem mudar, assim como os fatores que afetam a adequao ou o custo das vrias opes de tratamento. Convm que qualquer grande mudana que afete a organizao seja seguida por uma anlise crtica mais especfica. Assim sendo, convm que no s as atividades de monitoramento de riscos sejam repetidas regularmente, mas tambm as opes selecionadas para o tratamento do risco sejam periodicamente revistas. O resultado da atividade de monitoramento de riscos pode fornecer os dados de entrada para as atividades de anlise crtica. Convm que a organizao analise critica e regularmente todos os riscos e tambm quando grandes mudanas ocorrerem (de acordo com a ABNT NBR ISO/IEC 27001, Seo 4.2.3)). Sada: Alinhamento contnuo da gesto de riscos com os objetivos de negcios da organizao e com os critrios para a aceitao do risco.
12.2 Monitoramento, anlise crtica e melhoria do processo de gesto de riscos

Entrada: Todas as informaes sobre os riscos obtidas atravs das atividades de gesto de riscos (ver Figura 1). Ao: Convm que o processo de gesto de riscos de segurana da informao seja continuamente monitorado, analisado criticamente e melhorado, quando necessrio e apropriado. Diretrizes para implementao: O monitoramento cotidiano e a anlise crtica so necessrios para assegurar que o contexto, o resultado da anlise/avaliao de riscos e do tratamento do risco, assim como os planos de gesto, permaneam relevantes e adequados s circunstncias. Convm que a organizao se certifique que o processo de gesto de riscos de segurana da informao e as atividades relacionadas permaneam apropriadas nas circunstncias presentes. Convm tambm assegurar que as atividades sejam acompanhadas. Convm que quaisquer melhorias ao processo ou quaisquer aes necessrias para melhorar a conformidade com o processo sejam comunicadas aos gestores apropriados, para que se possa ter certeza que nenhum risco ou elemento do risco ser ignorado ou subestimado, que as aes necessrias esto sendo executadas e que as decises corretas esto sendo tomadas a fim de se garantir uma compreenso realista do risco e a capacidade de reao. Alm disso, convm que a organizao verifique regularmente se os critrios utilizados para medir o risco e os seus elementos ainda so vlidos e consistentes com os objetivos de negcios, estratgias e polticas e se as mudanas no contexto do negcio so adequadamente consideradas durante o processo de gesto de riscos de segurana da informao. Convm que essa atividade de monitoramento e anlise crtica lide com (mas no seja limitada ao(s)): Contexto legal e do ambiente Contexto da concorrncia NO TEM VALOR NORMATIVO 27/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Mtodo de anlise/avaliao de riscos Valor e as categorias dos ativos Critrios de impacto Critrios para a avaliao de riscos Critrios para a aceitao do risco Custo total de propriedade Recursos necessrios
Convm que a organizao assegure que os recursos necessrios para a anlise/avaliao de riscos e o tratamento dos mesmos estejam sempre disponveis para rever os riscos, para lidar com ameaas ou vulnerabilidades novas ou alteradas e para aconselhar a direo da melhor forma possvel. O monitoramento da gesto de riscos pode resultar em modificao ou acrscimo da abordagem, metodologia ou ferramentas utilizadas, dependendo: Das mudanas identificadas Da iterao da anlise/avaliao de riscos Do objetivo do processo de gesto de riscos de segurana da informao (por exemplo: a continuidade de negcios, a resilincia diante dos incidentes, a conformidade) Do objeto de interesse do processo de gesto de riscos de segurana da informao (por exemplo: a organizao, a unidade de negcios, o sistema de informao, a sua implementao tcnica, a aplicao, a conexo Internet) Sada: Garantia permanente da relevncia do processo de gesto de riscos de segurana da informao para os objetivos de negcios da organizao ou a atualizao do processo.
28/63
Anexo A (informativo) Definindo o escopo e os limites do processo de gesto de riscos de segurana da informao
A.1 A anlise da organizao

A anlise da organizao Este tipo de anlise destaca os elementos caractersticos que definem a identidade de uma organizao. Ela se preocupa com o propsito, o negcio, a misso, os valores e as estratgias da organizao. Convm que esses elementos sejam identificados ao lado daqueles que contribuem com o seu desenvolvimento (por exemplo: a subcontratao). A dificuldade aqui reside no entendimento exato de como a organizao est estruturada. A identificao de sua real estrutura permite um entendimento do papel e da importncia de cada rea no alcance dos objetivos da organizao. Por exemplo, o fato do gestor da segurana da informao se reportar alta direo ao invs de faz-lo aos gestores de TI pode indicar o envolvimento da alta direo nos assuntos relativos segurana da informao. O propsito principal da organizao O seu propsito pode ser definido como a razo pela qual a organizao existe (sua rea de atividade, seu segmento de mercado etc.). Seu negcio O negcio de uma organizao, definido pelas tcnicas e "know-how" de seus funcionrios, viabiliza o cumprimento de sua misso. especfico rea de atividade da organizao e freqentemente define sua cultura. Sua misso A organizao atinge seu propsito ao cumprir sua misso. Para bem identific-la, convm que os servios prestados e/ou produtos manufaturados sejam relacionados aos seus pblicos-alvos. Seus valores Valores consistem de princpios fundamentais ou de um cdigo de conduta bem definido, aplicados na rotina de um negcio. Podem incluir os recursos humanos, as relaes com agentes externos (clientes e outros), a qualidade dos produtos fornecidos ou dos servios prestados. Tomemos o exemplo de uma organizao cujo propsito seja o servio pblico, cujo negcio seja o transporte e cuja misso inclua o transporte de crianas de ida e de volta da escola. Os seus valores poderiam ser a pontualidade do servio e a segurana durante o transporte. A estrutura da organizao Existem diferentes tipos de estrutura: Estrutura departamental baseada em divises ou reas: cada diviso fica sob a autoridade de um gestor de rea responsvel pelas decises estratgicas, administrativas e operacionais relativas a sua unidade. Estrutura baseada em funes: a autoridade relativa a cada funo exercida na forma dos procedimentos adotados, na determinao da natureza do trabalho e algumas vezes nas decises e no planejamento (por exemplo: produo, TI, recursos humanos, marketing etc.). Notas: Uma rea, em uma organizao com estrutura departamental, pode estruturar-se baseando-se em suas funes e vice-versa
29/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Uma organizao pode ser considerada como de estrutura matricial se possuir caractersticas de ambos os tipos de estrutura. Em qualquer tipo de estrutura organizacional, os seguintes nveis podem ser distinguidos: o nvel de tomada de deciso (estabelecimento da orientao estratgica); o nvel da liderana (coordenao e gerenciamento); o nvel operacional (produo e atividades de apoio). Organograma A estrutura da organizao esquematizada em seu organograma. Convm que essa representao deixe claro quem se reporta a quem, destacando tambm a linha de comando que legitimiza a delegao de autoridade. Convm que inclua tambm outros tipos de relacionamentos, os quais, mesmo que no sejam baseados em uma autoridade oficial, criam de qualquer forma caminhos para o fluxo de informao. A estratgia da organizao Ela requer a expresso formalizada dos princpios que norteiam a organizao. A estratgia determina a direo e o desenvolvimento necessrios para que a organizao possa se beneficiar das questes em pauta e das principais mudanas sendo planejadas.
A.2 Restries que afetam a organizao

Convm que todas as restries que afetam a organizao e determinam o direcionamento da segurana da informao sejam consideradas. As suas origens podem ser encontradas na prpria organizao, o que lhe d um certo controle sobre as restries ou talvez sejam externas organizao, o que as tornariam, provavelmente, "inegociveis". Recursos limitados (oramento, recursos humanos) e restries ligadas a emergncias esto entre as mais importantes. A organizao define seus objetivos (relativos ao seu negcio, comportamento etc.) e compromete-se a seguir um determinado caminho, possivelmente por um longo perodo. Ela define aquilo na qual deseja se tornar e tambm os meios necessrios para que tal possa ocorrer. Para especificar esse caminho, a organizao considera a evoluo das tcnicas e do know-how disponveis, assim como a vontade expressa de seus usurios, clientes, entre outros fatores. Esse objetivo pode ser expresso na forma de estratgias de operao ou de desenvolvimento com o fim de, por exemplo, cortar custos operacionais, melhorar a qualidade do servio etc. Essas estratgias provavelmente abrangem as informaes e os sistemas de informao (SI), os quais auxiliam a aplicao das estratgias. Consequentemente, as caractersticas relacionadas identidade, misso e estratgias da organizao so elementos fundamentais para a anlise do problema, pois a violao de qualquer aspecto da segurana da informao pode resultar na reformulao desses objetivos estratgicos. Alm disso, essencial que propostas de novos requisitos de segurana da informao sejam consistentes com as regras, o uso e os meios empregados na organizao. A lista de restries inclui, mas no limitada a: Restries de natureza poltica Estas dizem respeito administrao governamental, s instituies pblicas ou, genericamente, a qualquer organizao que precise aplicar decises governamentais. Normalmente, trata-se de decises relativas orientao estratgica ou operacional determinada por uma rea do governo ou por uma entidade responsvel pelo processo decisrio e convm que sejam aplicadas. Por exemplo, a informatizao de notas fiscais ou de documentos administrativos introduz questes de segurana da informao. Restries de natureza estratgica
30/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Restries podem surgir de mudanas, sejam planejadas ou no, na estrutura ou na orientao da organizao. Elas so representadas nos planos estratgicos ou operacionais da organizao. Por exemplo, a cooperao internacional para o compartilhamento de informaes sensveis pode demandar acordos sobre a troca segura de dados. Restries territoriais A estrutura e/ou o propsito da organizao pode implicar restries, tais como com relao escolha de sua localizao e distribuio geogrfica, no pas e no estrangeiro. Exemplos incluem os servios postais, embaixadas, bancos, subsidirias de conglomerados industriais etc. Restries advindas do ambiente econmico e poltico A operao de uma organizao pode ser transtornada por eventos especficos, tais como greves ou crises nacionais e internacionais. Por exemplo, convm garantir a continuidade da prestao de alguns servios mesmo em caso de crises. Restries estruturais A natureza da estrutura de uma organizao (departamental, funcional ou outra qualquer) pode levar a uma poltica de segurana da informao e a uma organizao responsvel pela segurana, adaptadas a essa estrutura. Por exemplo, convm que uma estrutura internacional seja capaz de conciliar requisitos de segurana especficos de cada pas. Restries funcionais Restries funcionais so aquelas derivadas diretamente da misso da organizao (seja nos seus aspectos gerais, seja nos especficos). Por exemplo, convm que uma organizao que opera 24 horas por dia seja capaz de assegurar que seus recursos estaro sempre disponveis. Restries relativas aos recursos humanos A natureza dessas restries varia consideravelmente. Esto associadas ao: nvel de responsabilidade, tipo de recrutamento, qualificao, treinamento, conscientizao em segurana, motivao, disponibilidade etc. Por exemplo, convm que todos os recursos humanos de uma organizao de defesa do pas tenham autorizao para manipular informaes altamente sigilosas. Restries advindas da agenda da organizao Esse tipo de restrio resulta, por exemplo, da reestruturao ou da definio de novas polticas nacionais ou internacionais que imponham algumas datas limites. Por exemplo, a criao de uma rea de segurana. Restries relacionadas a mtodos Mtodos apropriados para o know-how da organizao precisaro ser impostos com relao a alguns tpicos, tais como o planejamento, a especificao e o desenvolvimento de projetos, entre outros.
31/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Por exemplo, uma restrio desse tipo bastante comum a necessidade das obrigaes legais da organizao serem incorporadas poltica de segurana. Restries de natureza cultural Em algumas organizaes, hbitos de trabalho ou as caractersticas do negcio do origem a uma "cultura" especfica da organizao, a qual pode ser incompatvel com o estabelecimento de controles de segurana. Essa cultura usada pelos recursos humanos como sua principal referncia e pode ser determinada por vrios aspectos, incluindo educao, instruo, experincia profissional, experincia fora do trabalho, opinies, filosofia, crenas, status social etc. Restries oramentrias Os controles de segurana recomendados podem, algumas vezes, ter um alto custo. Apesar de no ser sempre apropriado ter apenas a taxa de custo-benefcio como base para os investimentos em segurana, uma justificativa econmica normalmente necessria para o departamento financeiro da organizao. Por exemplo, no setor privado e em algumas organizaes pblicas, convm que o custo total dos controles de segurana no exceda o custo potencial das possveis conseqncias dos riscos. Assim, convm que a alta direo avalie os riscos e aceite uma parcela deles de forma consciente e calculada, para se evitar custos excessivos em segurana.
A.3 Legislaes e regulamentaes aplicveis organizao

Convm que os requisitos regulatrios aplicveis organizao sejam identificados. Eles consistem das leis, decretos, regulamentaes especficas que dizem respeito rea de atividade da organizao ou regulamentos internos e externos. Englobam tambm contratos, acordos e, mais genericamente, qualquer obrigao de natureza legal ou regulatria.
A.4 Restries que afetam o escopo

Ao identificar as restries possvel enumerar aquelas que causam um impacto no escopo e determinar quais so passveis de interveno. Elas complementam e talvez venham a corrigir as restries da organizao discutidas mais acima. Os pargrafos a seguir apresentam uma lista de tipos de restries, sem esgotar todas as possibilidades. Restries derivadas de processos pr-existentes Projetos de aplicaes no so desenvolvidos necessariamente de forma simultnea. Alguns dependem de processos pr-existentes. Mesmo que um processo possa ser quebrado em subprocessos, o processo no obrigatoriamente influenciado por todos os subprocessos de um outro processo. Restries tcnicas Restries tcnicas, relativas infra-estrutura, surgem normalmente em funo do software e hardware instalados e dos aposentos e instalaes em que eles se encontram: Arquivos (requisitos referentes organizao, gesto de mdia, gerenciamento de regras de acesso etc.) Arquitetura comum (requisitos referentes topologia - centralizada, distribuda ou do tipo cliente-servidor, arquitetura fsica etc.) Software aplicativo (requisitos referentes aos projetos de software especfico, padres de mercado etc.) Software de prateleira (requisitos referentes a padres, nvel de avaliao, qualidade, conformidade com normas, segurana etc.) NO TEM VALOR NORMATIVO 32/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Hardware (requisitos referentes a padres, qualidade, conformidade com normas etc.) Redes de comunicao (requisitos referentes cobertura, padres, capacidade, confiabilidade etc.) Infra-estrutura predial (requisitos referentes engenharia civil, construo, alta voltagem, baixa voltagem etc.) Restries financeiras A implementao de controles de segurana freqentemente limitada pelo oramento que a organizao pode comprometer para tal. Entretanto, convm que restries financeiras sejam consideradas por ltimo j que alocaes oramentrias para segurana podem ser negociadas tendo como base a anlise da prpria segurana. Restries ambientais Restries ambientais surgem em funo do ambiente geogrfico ou econmico no qual os processos so implementados: pas, clima, riscos naturais, situao geogrfica, ambiente econmico etc. Restries temporais Convm que o tempo requerido para a implementao de controles de segurana seja considerado em relao capacidade de atualizao do sistema de informao; se a implementao for muito demorada, os riscos para os quais os controles foram projetados podem j ter mudado. O tempo um fator determinante na seleo de solues e prioridades. Restries relacionadas a mtodos Convm que mtodos apropriados para o know-how da organizao sejam utilizados para o planejamento, a especificao e o desenvolvimento de projetos, entre outros. Restries organizacionais Vrias restries podem ser causadas por requisitos de ordem organizacional: Operao (requisitos referentes ao "tempo gasto na produo", fornecimento de servios, vigilncia, monitoramento, planos em caso de emergncia, operao reduzida etc.) Manuteno (requisitos para a investigao e soluo de incidentes, aes preventivas, correo rpida etc.) Gesto de recursos humanos (requisitos referentes ao treinamento de operadores e usurios, qualificao para cargos como administrador de sistema ou de dados etc.) Gerenciamento administrativo (requisitos referentes a responsabilidades etc.) Gerenciamento do desenvolvimento (requisitos referentes a ferramentas de desenvolvimento, engenharia de software assistida por computador, cronograma de aceite, organizao a ser estabelecida etc.) Gerenciamento de relacionamentos externos (requisitos referentes organizao das relaes com terceiros, contratos etc.)
33/63
Anexo B (informativo) Identificao e valorao dos ativos e avaliao do impacto
B.1 Exemplos de identificao de ativos

Para estabelecer o valor de seus ativos, uma organizao precisa primeiro identific-los (num nvel de detalhamento adequado). Dois tipos de ativos podem ser distinguidos: Ativos primrios: Processos e atividades do negcio Informao Ativos de suporte e infra-estrutura (sobre os quais os elementos primrios do escopo se apiam), de todos os tipos: Hardware Software Rede Recursos humanos Instalaes fsicas A estrutura da organizao
B.1.1 Identificao dos ativos primrios

Para permitir a descrio do escopo de forma precisa, essa atividade consiste na identificao dos ativos primrios (processos e atividades do negcio, informao). A identificao conduzida por um grupo misto de trabalho que represente o processo (gestores, especialistas nos sistemas de informao e usurios). Os ativos primrios normalmente consistem dos principais processos e informaes das atividades includas no escopo. Outros ativos primrios, tais como os processos da organizao, podem tambm ser considerados, os quais sero teis para a elaborao da poltica de segurana da informao ou do plano de continuidade de negcios. Dependendo de seus propsitos, alguns estudos no iro demandar uma anlise exaustiva de todos os elementos presentes no escopo. Nesses casos, o estudo pode ser limitado aos elementos chave includos no escopo. Os ativos primrios so de dois tipos: 1 - Processos (ou subprocessos) e atividades do negcio, por exemplo: Processos cuja interrupo, mesmo que parcial, torna impossvel cumprir a misso da organizao Processos que contm procedimentos secretos ou processos envolvendo tecnologia proprietria NO TEM VALOR NORMATIVO 34/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Processos que, se modificados, podem afetar significativamente o cumprimento da misso da organizao Processos necessrios para que a organizao fique em conformidade com requisitos contratuais, legais ou regulatrios 2 Informao Genericamente, informao primria compreende: Informao vital para o cumprimento da misso de uma organizao ou para o desempenho de seu negcio Informao de carter pessoal, da forma em que definida nas leis nacionais referentes privacidade Informao estratgica necessria para o alcance dos objetivos determinados pelo direcionamento estratgico Informao de alto custo, cuja coleta, armazenamento, processamento e transmisso demanda um longo tempo ou incorre em um alto custo de aquisio Processos e informao que no so identificadas como sensveis aps essa atividade no recebero uma classificao especfica durante o restante do estudo. Isso significa que a organizao ir cumprir sua misso com sucesso mesmo no caso desses processos e informao terem sido comprometidos. Entretanto, eles iro freqentemente herdar controles implementados para a proteo de processos e informao identificados como sensveis.
B.1.2 Lista e descrio de ativos de suporte e infra-estrutura

Convm que o escopo consista de ativos que podem ser identificados e descritos. Esses ativos apresentam vulnerabilidades que podem ser exploradas por ameaas cujo objetivo comprometer os ativos primrios do escopo (processos e informao). Eles so de vrios tipos: Hardware O tipo hardware compreende os elementos fsicos que do suporte aos processos. Equipamento de processamento de dados (ativo) Equipamento automtico de processamento de dados incluindo os itens necessrios para sua operao independente. Equipamento mvel Computadores portteis. Exemplos: laptops, agendas eletrnicas (Personal Digital Assistants - PDAs). Equipamento fixo Computadores utilizados nas instalaes da organizao. Exemplos: servidores, microcomputadores utilizados como estaes de trabalho. Perifricos de processamento Equipamento conectado a um computador atravs de uma porta de comunicao (serial, paralela etc.) para a entrada, o transporte ou a transmisso de dados. NO TEM VALOR NORMATIVO 35/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Exemplos: impressoras, unidades de disco removvel. Mdia de dados (passiva) Este tipo compreende a mdia para o armazenamento de dados ou funes. Mdia eletrnica Uma mdia com informaes que pode ser conectada a um computador ou a uma rede de computadores para o armazenamento de dados. Apesar de seu tamanho reduzido, esse tipo de mdia pode conter um grande volume de dados e pode ser utilizada com equipamentos computadorizados comuns. Exemplos: disco flexvel, CD ROM, cartucho de back-up, unidade de disco removvel, carto de memria, fita. Outros tipos de mdia Mdia esttica, no-eletrnica, contendo dados. Exemplos: papel, slides, transparncias, documentao, fax. Software O tipo software compreende todos os programas que contribuem para a operao de um sistema de processamento de dados. Sistema operacional Este tipo inclui os programas que fornecem as operaes bsicas de um computador, a partir das quais os outros programas (servios e aplicaes) so executados. Nele encontramos um ncleo ("kernel") e as funes ou servios bsicos. Dependendo de sua arquitetura, um sistema operacional pode ser monoltico ou formado por um "micro-kernel" e um conjunto de servios do sistema. Os principais elementos de um sistema operacional so os servios de gerenciamento do equipamento (CPU, memria, disco e interfaces de rede), os de gerenciamento de tarefas ou processos e os servios de gerenciamento de direitos de usurio. Software de servio, manuteno ou administrao Software caracterizado pelo fato de servir como complemento dos servios do sistema operacional e no estar diretamente a servio dos usurios ou aplicaes (apesar de ser, normalmente, essencial e at mesmo indispensvel para a operao do sistema de informao como um todo). Software de pacote ou de prateleira Software de pacote ou software-padro aquele que comercializado como um produto completo (e no como um servio de desenvolvimento especfico) com mdia, verso e manuteno. Ele fornece servios para usurios e aplicaes, mas no personalizado ou especfico como, por exemplo, aplicaes de negcio o so. Exemplos: software para o gerenciamento de bases de dados, software de mensagens eletrnicas, "groupware" (software de gerenciamento de fluxo de trabalho), software de diretrio, servidores web etc. Aplicaes de negcio Aplicaes de negcio padronizadas
36/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Este tipo de software comercial projetado para dar aos usurios acesso direto a servios e funes que eles demandam de seus sistemas de informao, em funo das reas em que atuam profissionalmente. Existe uma gama enorme, teoricamente ilimitada, de campos de atuao. Exemplos: software de contabilidade, software para o controle de maquinrio, software para administrao do relacionamento com clientes, software para gesto de competncias dos recursos humanos, software administrativo etc. Aplicaes de negcio especficas Vrios aspectos desse tipo de software (principalmente o suporte, a manuteno e a atualizao de verses etc.) so desenvolvidos especificamente para dar aos usurios acesso direto aos servios e funes que eles demandam de seus sistemas de informao. Existe uma gama enorme, teoricamente ilimitada, de reas em que esse tipo de software encontrado. Exemplos: Administrao das notas fiscais de clientes para as operadoras de telecomunicao, aplicao para monitoramento em tempo real do lanamento de foguetes. Rede O tipo rede compreende os dispositivos de telecomunicao utilizados para interconectar computadores ou quaisquer outros elementos remotos de um sistema de informao. O meio fsico e a infra-estrutura Os equipamentos de comunicao ou de telecomunicao so identificados principalmente pelas suas caractersticas fsicas e tcnicas (ponto-a-ponto, de "broadcast") e pelos protocolos de comunicao utilizados (na camada de enlace de dados ou na camada de rede - nveis 2 e 3 do modelo OSI de 7 camadas). Exemplos: Rede telefnica pblica comutada ("Public Switching Telephone Network" ou PSTN), "Ethernet", "GigabitEthernet", Linha digital assimtrica para assinante ("Asymmetric Digital Subscriber Line" ou ADSL), especificaes de protocolo para comunicao sem fio (por exemplo, o WiFi 802.11), "Bluetooth", "FireWire". Pontes ("relays") passivas ou ativas Este subtipo no compreende os dispositivos que ficam nas extremidades lgicas da conexo (na perspectiva do sistema de informao), mas sim os que so intermedirios no processo de comunicao, repassando o trfego. Pontes so caracterizadas pelos protocolos de comunicao de rede com os quais funcionam. Alm da funo bsica de repasse do trfego, elas frequentemente so dotadas da capacidade de roteamento e/ou de servios de filtragem, com o emprego de comutadores de comunicao ("switches") e roteadores com filtros. Com freqncia, elas podem ser administradas remotamente e so normalmente capazes de gerar arquivos de auditoria ("logs"). Exemplos: pontes ("bridges"), roteadores, "hubs", comutadores ("switches"), centrais telefnicas automticas. Interface de Comunicao As interfaces de comunicao conectadas s unidades de processamento so, porm, caracterizadas pela mdia e protocolos com os quais funcionam; pelos servios de filtragem, de auditoria e de alerta instalados, se houver, e por suas funcionalidades; e pela possibilidade e requisitos de administrao remota.
37/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Exemplos: Servio Geral de Pacotes por Rdio ("General Packet Radio Service" ou GPRS), adaptador "Ethernet". Recursos humanos O tipo recursos humanos compreende todas as classes de pessoas envolvidas com os sistemas de informao. Tomador de deciso Tomadores de deciso so aqueles responsveis pelos ativos primrios (informao e processos) e os gestores da organizao ou, se for o caso, de um projeto especfico. Exemplos: alta direo, lderes de projeto. Usurios Usurios so recursos humanos que manipulam material sensvel no curso de suas atividades e que, portanto, possuem uma responsabilidade especial nesse contexto. Eles podem ter direitos especiais de acesso aos sistemas de informao para desempenhar suas atividades rotineiras. Exemplos: gestores da rea de recursos humanos, gerentes financeiros, gestores dos riscos. Pessoal de produo/manuteno Estes so os recursos humanos responsveis pela operao e manuteno dos sistemas de informao. Eles possuem direitos especiais de acesso aos sistemas de informao para desempenhar suas atividades rotineiras. Exemplos: administradores de sistema; administradores de dados; operadores de back-up, Help Desk e de instalao de aplicativos; especialistas em segurana. Desenvolvedores Desenvolvedores so responsveis pelo desenvolvimento dos sistemas aplicativos da organizao. Eles possuem acesso com alto privilgio a uma parte dos sistemas de informao, mas no interferem com os dados de produo. Exemplos: Desenvolvedores de aplicaes de negcio Instalaes fsicas O tipo instalaes compreende os lugares onde encontramos o escopo (ou parte dele) e os meios fsicos necessrios para as operaes nele contidas. Localidade Ambiente externo Compreende as localidades em que as medidas de segurana de uma organizao no podem ser aplicadas. Exemplos: os lares das pessoas, as instalaes de outra organizao, o ambiente externo ao local da organizao (reas urbanas, zonas perigosas). Edificaes
38/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Esse lugar limitado pelo permetro externo da organizao, isto por aquilo que fica em contato direto com o exterior. Isso pode ser uma linha de proteo fsica formada por barreiras ou por mecanismos de vigilncia ao redor dos prdios. Exemplos: estabelecimentos, prdios. Zona Uma zona limitada por linhas de proteo fsica que criam parties dentro das instalaes da organizao. obtida por meio da criao de barreiras fsicas ao redor das reas com a infraestrutura de processamento de informaes da organizao. Exemplos: escritrios, reas de acesso restrito, zonas de segurana. Servios essenciais Todos os servios necessrios para que os equipamentos da organizao possam operar normalmente. Comunicao Servios de telecomunicao e equipamento fornecido por uma operadora. Exemplos: linha telefnica, PABX, redes internas de telefonia. Servios de Infra-estrutura Servios e os meios (alimentao e fiao) necessrios para o fornecimento de energia eltrica aos equipamentos de tecnologia da informao e aos seus perifricos. Exemplos: fonte de alimentao de baixa tenso, inversor, central de circuitos eltricos. Fornecimento de gua Saneamento e esgoto Servios e os meios (equipamento, controle) para refrigerao e purificao do ar. Exemplos: tubulao de gua refrigerada, ar condicionados. Organizao O tipo organizao descreve a estrutura da organizao, compreendendo as hierarquias de pessoas voltadas para a execuo de uma tarefa e os procedimentos que controlam essas hierarquias. Autoridades Essas so as organizaes de onde a organizao em questo obtm sua autoridade . Elas podem ser legalmente afiliadas ou ter um carter mais externo. Isso impe restries organizao em questo com relao a regulamentos, decises e aes. Exemplos: corpo administrativo, sede da organizao. A estrutura da organizao
39/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Compreende os vrios ramos da organizao, incluindo suas atividades multidisciplinares, sob controle de sua direo. Exemplos: gesto de recursos humanos, gesto te TI, gesto de compras, gerenciamento de unidade de negcio, servio de segurana predial, servio de combate a incndios, gerenciamento da auditoria. Organizao de projeto ou servio Compreende a organizao montada para um projeto ou servio especfico. Exemplos: projeto de desenvolvimento de uma nova aplicao, projeto de migrao de sistema de informao. Subcontratados / Fornecedores / Fabricantes Essas so organizaes que fornecem servios ou recursos para a organizao em questo segundo os termos de um contrato. Exemplos: empresa de gerenciamento de instalaes, empresa prestadora de servios terceirizados, empresas de consultoria.
B.2 Valorao dos Ativos

O passo seguinte, aps a identificao do ativo, determinar a escala de medida a ser usada e os critrios que permitam posicionar um ativo no seu correto lugar nessa escala, em funo de seu valor. Devido diversidade de ativos encontrados em uma organizao, provvel que alguns deles, aqueles que possuem um valor monetrio conhecido, possam ser avaliados atravs da moeda corrente local, enquanto outros ativos, aqueles com um valor expresso em termos qualitativos, talvez precisem ser avaliados atravs de uma lista de valores a serem selecionados, por exemplo: "muito baixo", "muito alto" etc. A deciso de se usar uma escala quantitativa ao invs de uma qualitativa (ou vice-versa) depende da preferncia da organizao, porm convm que seja pertinente aos ativos em avaliao. Ambos os tipos de avaliao podem ser utilizados para se determinar o valor de um mesmo ativo. Termos comuns usados em avaliaes qualitativas do valor de ativos incluem expresses como as seguintes: insignificante, muito pequeno, pequeno, mdio, alto, muito alto, e crtico. A escolha e o leque de termos adequados a uma organizao depende muito da sua necessidade de segurana, do seu tamanho, e de outros aspectos especficos da organizao. Critrios Convm que os critrios utilizados como base para atribuio do valor para cada ativo sejam redigidos de forma objetiva e sem ambigidades. Esse um dos aspectos mais difceis da valorao dos ativos j que o valor de alguns deles talvez precise ser determinado de forma subjetiva, e tambm porque provavelmente vrias pessoas participaro do processo. Entre os possveis critrios utilizados para determinar o valor de um ativo esto: o seu custo original e o custo de sua substituio ou de sua recriao. Por outro lado, seu valor pode ser abstrato, por exemplo: o valor da reputao de uma organizao. Um outro enfoque para a valorao dos ativos considerar os custos decorridos da perda da confidencialidade, integridade e disponibilidade resultante de um incidente. Convm que a garantia de no-repdio e de responsabilizao, a autenticidade e a confiabilidade, se apropriadas, tambm sejam consideradas. Tal enfoque acrescenta uma dimenso muito importante atribuio do valor de um ativo, alm do custo de sua substituio, pois considera as conseqncias adversas ao negcio causadas por incidentes de segurana, tendo como premissa um conjunto determinado de circunstncias. Convm ressaltar tambm que as conseqncias que esse enfoque identifica precisaro ser consideradas durante a anlise/avaliao de riscos.
40/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Muitos ativos, durante o curso da avaliao, podem acabar recebendo vrios valores. Por exemplo: um plano de negcios pode ser avaliado em funo do esforo despendido no seu desenvolvimento, pode ter seu valor atribudo em funo do trabalho de entrar com os dados, e pode ainda ser valorado de acordo com seu valor para um competidor. Provavelmente, os valores atribudos sero consideravelmente diferentes. O valor atribudo pode ser o maior valor encontrado, a soma de alguns ou mesmo de todos os possveis valores. Em ltima anlise, convm pensar cuidadosamente quais ou qual valor so associados a um ativo, pois o valor final atribudo far parte do processo de determinao dos recursos a serem investidos na proteo do ativo. Definio de um denominador comum Ao final do processo, a valorao dos ativos precisa ter como base um denominador comum. Isso pode ser feito com a ajuda de critrios como os que se seguem. Critrios que podem ser utilizados para estimar as possveis conseqncias resultantes da perda de confidencialidade, integridade, disponibilidade, assim como da capacidade de garantir o no-repdio, a responsabilizao, a autenticidade, e a confiabilidade, so os seguintes: Violao da legislao e/ou das regulamentaes Reduo do desempenho do negcio Perda de valor de mercado/efeito negativo sobre a imagem e a reputao Violao de segurana relacionada a informaes pessoais O perigo ocasionado segurana fsica das pessoas Efeitos negativos relacionados execuo da lei Violao de confidencialidade Violao da ordem pblica Perda financeira Interrupo de atividades do negcio O perigo ocasionado segurana ambienta Um outro mtodo para avaliar as conseqncias poderia levar em conta o seguinte: Interrupo dos servios incapacidade de prestar os servios Perda da confiana do cliente perda da credibilidade no sistema interno de informao dano reputao Interrupo de operao interna descontinuidade dentro da prpria organizao custo interno adicional Interrupo da operao de terceiros: NO TEM VALOR NORMATIVO 41/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 descontinuidade das transaes entre a organizao e terceiros vrios tipos de prejuzos ou danos Infrao de leis / regulamentaes: incapacidade de cumprir obrigaes legais Violao de clusulas contratuais incapacidade de cumprir obrigaes contratuais Perigo ocasionado segurana fsica dos recursos humanos / usurios: perigo para os recursos humanos e usurios da organizao Ataque vida privada de usurios Perda financeira Custos financeiros para emergncias, reposio e consertos: em termos de recursos humanos, em termos de equipamentos, em termos de estudo, relatrios de especialistas Perda de bens / fundos / ativos Perda de clientes, perda de fornecedores Procedimentos e penalidades judiciais Perda de vantagem competitiva Perda da liderana tecnolgica / tcnica Perda de eficcia / confiana Perda da reputao tcnica Enfraquecimento da capacidade de negociao Crise industrial (greves) Crise governamental Rejeio Dano material Esses critrios exemplificam os temas a serem considerados durante a valorao de ativos. Para a execuo desse tipo de avaliao, uma organizao precisa selecionar os critrios que sejam relevantes para o seu tipo de negcio e para os seus requisitos de segurana. Isso pode significar que alguns dos critrios listados acima no sejam aplicveis, e que outros talvez precisem ser adicionados lista. NO TEM VALOR NORMATIVO 42/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Escala de medio Aps estabelecer os critrios a serem considerados, convm que a organizao adote uma escala de medio para ser utilizada em todas as suas reas. O primeiro passo definir a quantidade de nveis da escala. No existem regras a respeito de qual seria o nmero de nveis mais adequado. Quanto mais nveis, maior a granularidade da medio, porm uma diferenciao muito tnue torna difcil garantir a consistncia das avaliaes realizadas nas diversas reas da organizao. Normalmente, qualquer quantidade de nveis entre 3 (por exemplo: baixo, mdio e alto) e 10 pode ser utilizada, desde que ela seja consistente com a abordagem que a organizao esteja usando para o processo de anlise/avaliao de riscos como um todo. Uma organizao pode definir seus prprios limites para os valores de seus ativos, tais como 'baixo', 'mdio' e 'alto'. Convm que esses limites sejam estimados de acordo com o critrio selecionado (por exemplo: para possveis perdas financeiras, convm que eles sejam estabelecidos atravs de valores monetrios; porm, para outros tipos de fatores, tais como o perigo ocasionado segurana fsica das pessoas, uma estimativa monetria pode ser por demais complexa e no aplicvel em muitas organizaes). Por ltimo, cabe inteiramente organizao a deciso a respeito do que considerado de 'pequena', 'mdia' ou 'grande' conseqncia. Uma conseqncia desastrosa para uma pequena organizao pode ser pequena ou mesmo insignificante para uma grande organizao. Dependncias Quanto mais relevantes e numerosos os processos de negcio apoiados por um ativo, maior o seu valor. Convm que a dependncia de ativos a processos de negcio e a outros ativos tambm seja identificada, pois ela pode influenciar os valores dos ativos. Por exemplo: convm garantir a confidencialidade dos dados durante todo o seu ciclo de vida, inclusive durante o seu armazenamento e processamento. Em outras palavras, convm que os requisitos de segurana para o armazenamento de dados e para os programas que fazem o processamento correspondente ao valor da confidencialidade dos dados armazenados e processados. Da mesma forma, se um processo de negcios depende da integridade dos dados gerados por um programa, convm que os dados de entrada passados para o programa sejam confiveis. Mais importante do que isso, a integridade da informao depender do hardware e software utilizados para seu armazenamento e processamento. Adicionalmente, o hardware depender do suprimento de energia e, possivelmente, do ar condicionado. Assim, informaes sobre dependncias sero de grande ajuda na identificao de ameaas e, em particular, de vulnerabilidades. Alm disso, ajudaro a assegurar que o real valor dos ativos (considerando as relaes de dependncia) ser-lhes- atribudo, dessa forma indicando o nvel de proteo apropriado. Convm que os valores dos ativos dos quais outros ativos dependem sejam modificados da seguinte maneira: Se os valores dos ativos dependentes (por exemplo: os dados) forem menores ou iguais ao valor do ativo em questo (por exemplo: o software), o valor desse ltimo permanece o mesmo Se os valores dos ativos dependentes (por exemplo: os dados) forem maiores do que o valor do ativo em questo (por exemplo: o software), convm que o valor desse ltimo aumente de acordo com: o grau de dependncia os valores dos outros ativos Uma organizao pode possuir alguns ativos que so disponibilizados mais de uma vez, tais como cpias de programas de software ou o tipo de computador usado na maioria dos escritrios. importante levar em conta esse fato quando estiver sendo executada a valorao dos ativos. Por um lado, esses ativos so facilmente ignorados e, por isso, convm que se tenha um cuidado especial em identific-los todos. Por outro lado, eles podem ser usados para minimizar problemas ligados falta de disponibilidade. Sada O resultado final dessa etapa a lista de ativos e respectivos valores relativos divulgao indevida de informaes (preservao da confidencialidade), a modificaes no autorizadas (garantia de integridade, NO TEM VALOR NORMATIVO 43/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 autenticidade, no-repdio e responsabilizao), indisponibilidade e destruio do ativo (preservao de sua disponibilidade e confiabilidade), e ao custo de sua reposio.
B.3 Avaliao do Impacto

Um incidente envolvendo a segurana da informao pode trazer conseqncias a vrios ativos ou apenas a parte de um nico ativo. O impacto est relacionado medida do sucesso do incidente. Por conseguinte, existe uma diferena importante entre o valor do ativo e o impacto resultante do incidente. Considera-se que o impacto tem um efeito imediato (operacional) ou uma conseqncia futura (relativa ao negcio como um todo), a qual inclui aspectos financeiros e de mercado. O impacto imediato (operacional) pode ser direto ou indireto. Direto: a) b) c) d) O valor financeiro de reposio do ativo perdido (ou parte dele) O custo de aquisio, configurao e instalao do novo ativo ou do back-up O custo das operaes suspensas devido ao incidente at que o servio prestado pelos ativos afetados seja restaurado. Conseqncias resultantes de violaes da segurana da informao
Indireto: a) b) c) d) e) Custo de oportunidade (recursos financeiros necessrios para repor ou reparar um ativo poderiam estar sendo utilizados para outro fim) O custo das operaes interrompidas Mau uso das informaes obtidas atravs da violao da segurana Violao de obrigaes estatutrias ou regulatrias Violao dos cdigos ticos de conduta
Dessa forma, a primeira avaliao (sem controles de qualquer tipo) resultar em uma estimativa do impacto muito prxima aos valores (combinados) dos ativos afetados. Para qualquer outra iterao que se faa relativa a esses ativos, o impacto ser diferente (normalmente muito menor) devido presena e eficcia dos controles implementados.
44/63
Anexo C (informativo) Exemplos de ameaas comuns

A Tabela C.1 contm exemplos de ameaas tpicas. A lista na Tabela pode ser usada durante o processo de avaliao das ameaas. Ameaas podem ser intencionais, acidentais ou de origem natural (ambiental) e podem resultar, por exemplo, no comprometimento ou na paralisao de servios essenciais. A lista tambm indica, para cada tipo de ameaa, se ela pode ser considerada I (intencional), A (acidental) ou N (natural). A letra I utilizada para indicar as aes intencionais direcionadas contra os ativos de informao; a letra A usada para indicar as aes de origem humana que podem comprometer acidentalmente os ativos de informao; e a letra N utilizada para todos os incidentes que no so provocados pela ao dos seres humanos. Os grupos de ameaas no so apresentados em ordem de prioridade. Tabela C.1 Exemplos de ameaas tpicas Tipo Ameaas Fogo gua Poluio Acidente grave Destruio de equipamento ou mdia Poeira, corroso, congelamento Fenmeno climtico Fenmeno ssmico Fenmeno vulcnico Fenmeno Meteorolgico Inundao Falha do ar condicionado ou do sistema de suprimento de gua Interrupo do suprimento de energia Falha do equipamento de telecomunicao Radiao eletromagntica Radiao trmica Pulsos eletromagnticos Interceptao de sinais de interferncia comprometedores Espionagem distncia Escuta no autorizada Furto de mdia ou documentos Furto de equipamentos Recuperao de mdia reciclada ou descartada Divulgao indevida Dados de fontes no confiveis Alterao do hardware Alterao do software Determinao da localizao Falha de equipamento Defeito de equipamento Saturao do sistema de informao Defeito de software Violao das condies de uso do sistema de informao que possibilitam sua manuteno Uso no autorizado de equipamento Cpia ilegal de software NO TEM VALOR NORMATIVO Origem A, I, N A, I, N A, I, N A, I, N A, I, N A, I, N N N N N N A, I A, I, N A, I A, I, N A, I, N A, I, N I I I I I I A, I A, I I A, I I A A A, I A A, I I I 45/63
Dano fsico
Eventos naturais
Paralisao de servios essenciais Distrbio causado por radiao
Comprometimento da informao
Falhas tcnicas
Aes no autorizadas
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Tabela C.1 Exemplos de ameaas tpicas (continuao) Uso de cpias de software falsificadas ou ilegais Comprometimento dos dados Processamento ilegal de dados Erro durante o uso Abuso de direitos Forjamento de direitos Repdio de Aes Indisponibilidade de recursos humanos A, I I I A A, I I I A, I, N
Comprometimento de funes
Convm que ateno especial seja dada s fontes de ameaas representadas por seres humanos. A Tabela C.2 enumera essas fontes: Tabela C.2 Exemplo da ameaas representadas por seres humanos Fonte de Ameaas
Hacker, cracker
Motivao
Desafio Ego Rebeldia Status Dinheiro
Aes que Ameaas:

Hacking Engenharia social
representam
Invaso de sistemas, infiltraes e entradas no-autorizadas Acesso no autorizado ao Sistema Crime digital (p. ex.: perseguio no mundo digital) Ato fraudulento (p. ex.: reutilizao indevida de credenciais e dados transmitidos, fazer-se passar por uma outra pessoa, interceptao) Suborno por Informao Spoofing (fazer-se passar por outro) Invaso de sistemas
Criminoso digital
Destruio de informaes Divulgao ilegal de informaes Ganho monetrio Alterao de dados no autorizada
Terrorista
Chantagem Destruio Explorao Vingana Ganho Poltico Cobertura da Mdia
Bomba/Terrorismo Guerra de Informao Ataque a sistemas (p. ex.: ataque distribudo de negao de servio). Invaso de sistema Alterao do sistema
46/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Tabela C.2 Exemplo da ameaas representadas por seres humanos (continuao)
Espionagem industrial (servios de inteligncia, empresas, governos estrangeiros, outros grupos de interesse ligados ao governo) Pessoal interno (funcionrios mal treinados, insatisfeitos, mal intencionados, negligentes, desonestos ou dispensados) Curiosidade Ego Obteno de informaes teis para servios de inteligncia Ganho monetrio Vingana Erros e omisses no intencionais (p. ex.: erro na entrada de dados, erro de programao) Vantagem competitiva Espionagem econmica Garantir a vantagem de um posicionamento defensivo Garantir uma vantagem poltica Explorao econmica Furto de Informao Violao pessoas da privacidade das
Engenharia social Invaso de sistema Acesso no autorizado ao Sistema (acesso a informao restrita, de propriedade exclusiva, e/ou relativa tecnologia) Agresso a funcionrio Chantagem Vasculhar informao propriedade exclusiva Uso imprprio computacional Fraude e furto Suborno por Informao Entrada de dados falsificados ou corrompidos Interceptao Cdigo malicioso (p. ex.: vrus, bomba lgica, Cavalo de Tria) Venda de informaes pessoais Defeitos ("bugs") no sistema Invaso de sistemas Sabotagem de sistemas Acesso no autorizado ao Sistema de de
recurso
47/63
Anexo D (informativo) Vulnerabilidades e mtodos de avaliao de vulnerabilidades
D.1 Exemplos de vulnerabilidades

A Tabela D.1 fornece exemplos de vulnerabilidades em diversas reas da segurana, incluindo exemplos de ameaas que poderiam explorar tais vulnerabilidades. As listas na Tabela D.1 podem ser de auxlio durante a avaliao das ameaas e vulnerabilidades a fim de se determinar os cenrios relevantes de incidentes. Nota-se que, em alguns casos, outras ameaas so tambm capazes de explorar as mesmas vulnerabilidades. Tabela D.1 Exemplos de vulnerabilidades Tipos Exemplos de vulnerabilidades Manuteno insuficiente/Instalao defeituosa de mdia de armazenamento Falta de uma rotina de substituio peridica Sensibilidade umidade, poeira, sujeira Sensibilidade radiao eletromagntica Hardware Inexistncia de um controle eficiente de mudana de configurao Sensibilidade a variaes de voltagem Sensibilidade a variaes de temperatura Armazenamento no protegido Falta de cuidado durante o descarte Realizao de cpias no controlada Procedimentos de teste de software insuficientes ou inexistentes Falhas conhecidas no software Software No execuo do "logout" ao se deixar uma estao de trabalho desassistida Descarte ou reutilizao de mdia de armazenamento sem a execuo dos procedimentos apropriados de remoo dos dados Inexistncia de uma trilha de auditoria Exemplos de ameaas Violao das condies de uso do sistema de informao que possibilitam sua manuteno Destruio de equipamento ou mdia Poeira, corroso, congelamento Radiao eletromagntica Erro durante o uso Interrupo do suprimento de energia Fenmeno Meteorolgico Furto de mdia ou documentos Furto de mdia ou documentos Furto de mdia ou documentos Abuso de direitos Abuso de direitos Abuso de direitos Abuso de direitos
Abuso de direitos
48/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Tabela D.1 Exemplos de vulnerabilidades (continuao) Atribuio errnea de direitos de acesso Software amplamente distribudo Utilizar programas aplicativos com um conjunto errado de dados (referentes a um outro perodo) Interface de usurio complicada Documentao inexistente Configurao de parmetros incorreta Datas incorretas Inexistncia de mecanismos de autenticao e identificao como, por exemplo, para a autenticao de usurios Tabelas de senhas desprotegidas Gerenciamento de senhas mal feito Servios desnecessrios permanecem habilitados Software novo ou imaturo Especificaes confusas ou incompletas para os desenvolvedores Inexistncia de um controle eficaz de mudana Download e uso no controlado de software Inexistncia de cpias de segurana (back-up) Inexistncia de mecanismos de proteo fsica no prdio, portas e janelas Inexistncia de relatrios de gerenciamento Inexistncia de evidncias que comprovem o envio ou o recebimento de mensagens Linhas de Comunicao desprotegidas Rede Trfego sensvel desprotegido Junes de cabeamento mal feitas Ponto nico de falha Abuso de direitos Comprometimento dos dados Comprometimento dos dados Erro durante o uso Erro durante o uso Erro durante o uso Erro durante o uso Forjamento de direitos Forjamento de direitos Forjamento de direitos Processamento ilegal de dados Defeito de software Defeito de software Defeito de software Alterao do software Alterao do software Furto de mdia ou documentos Uso no equipamento autorizado de
Repdio de Aes Escuta no autorizada Escuta no autorizada Falha do equipamento telecomunicao Falha do equipamento telecomunicao de de
49/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Tabela D.1 Exemplos de vulnerabilidades (continuao) No identificao e no autenticao do emissor e do receptor Arquitetura insegura da rede Transferncia de senhas em claro Gerenciamento de rede inadequado (quanto flexibilidade de roteamento) Conexes de redes pblicas desprotegidas Ausncia de recursos humanos Procedimentos de recrutamento inadequados Treinamento insuficiente em segurana Recursos humanos Uso incorreto de software e hardware Falta de conscientizao em segurana Inexistncia de mecanismos de monitoramento Trabalho no supervisionado de pessoal de limpeza ou de terceirizados Inexistncia de polticas para o uso correto de meios de telecomunicao e de troca de mensagens Uso inadequado ou sem os cuidados necessrios dos mecanismos de controle do acesso fsico a prdios e aposentos Local ou instalaes Localizao em rea suscetvel a inundaes Fornecimento de energia instvel Inexistncia de mecanismos de proteo fsica no prdio, portas e janelas Inexistncia de um procedimento formal para o registro e a remoo de usurios Inexistncia de processo formal para a anlise crtica dos direitos de acesso (superviso) Forjamento de direitos Espionagem distncia Espionagem distncia Saturao do sistema de informao Uso no autorizado de equipamento Indisponibilidade recursos humanos de
Destruio de equipamento ou mdia Erro durante o uso Erro durante o uso Erro durante o uso Processamento ilegal de dados Furto de documentos mdia ou
Uso no autorizado de equipamento Destruio de equipamento ou mdia Inundao Interrupo do suprimento de energia Furto de equipamentos Abuso de direitos Abuso de direitos
Organizao
50/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Tabela D.1 Exemplos de vulnerabilidades (continuao) Provises (relativas segurana) insuficientes ou inexistentes, em contratos com clientes e/ou terceiros Inexistncia de procedimento de monitoramento das instalaes de processamento de informaes Inexistncia de auditorias peridicas (superviso) Inexistncia de procedimentos para a identificao e anlise/avaliao de riscos Inexistncia de relatos de falha nos arquivos ("logs") de auditoria das atividades de administradores e operadores Resposta inadequada do servio de manuteno Abuso de direitos
Abuso de direitos Abuso de direitos Abuso de direitos Abuso de direitos
Violao das condies de uso do sistema de informao que possibilitam sua manuteno Violao das condies de uso do sistema de informao que possibilitam sua manuteno Violao das condies de uso do sistema de informao que possibilitam sua manuteno Comprometimento dos dados Comprometimento dos dados Dados de fontes no confiveis
Acordo de nvel de servio (SLA - da sigla do termo em ingls) inexistente ou insuficiente Inexistncia mudanas Organizao Inexistncia de um procedimento formal para o controle da documentao do SGSI Inexistncia de um procedimento formal para a superviso dos registros do SGSI Inexistncia de um processo formal para a autorizao das informaes disponveis publicamente Atribuio inadequada das responsabilidades pela segurana da informao Inexistncia de um plano de continuidade Inexistncia de poltica de uso de correspondncia eletrnica (e-mail) Inexistncia de procedimentos para a instalao de software em sistemas operacionais Ausncia de registros nos arquivos de auditoria ("logs") de administradores e operadores Inexistncia de procedimentos para a manipulao de informaes classificadas NO TEM VALOR NORMATIVO de procedimento de controle de
Repdio de Aes Falha de equipamento Erro durante o uso Erro durante o uso Erro durante o uso Erro durante o uso
51/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Tabela D.1 Exemplos de vulnerabilidades (continuao) Ausncia das responsabilidades ligadas segurana da informao nas descries de cargos e funes Provises (relativas segurana) insuficientes ou inexistentes, em contratos com funcionrios Inexistncia de um processo disciplinar no caso de incidentes relacionados segurana da informao Inexistncia de uma computadores mveis poltica formal sobre o uso de Erro durante o uso Processamento ilegal de dados Furto de equipamentos Furto de equipamentos Furto de equipamentos Furto de mdia ou documentos Furto de mdia ou documentos Furto de mdia ou documentos Uso no equipamento Uso no equipamento autorizado autorizado de de
Inexistncia de controle sobre ativos fora das dependncias Organizao Poltica de mesas e telas limpas ("clear desk and clear screen") inexistente ou insuficiente Inexistncia de autorizao processamento de informaes para as instalaes para de o
Inexistncia de mecanismos estabelecidos monitoramento de violaes da segurana
Inexistncia de anlises crticas peridicas por parte da direo Inexistncia de procedimentos para o relato de fragilidades ligadas segurana Inexistncia de procedimentos para garantir a conformidade com os direitos de propriedade intelectual
Uso de cpias de falsificadas ou ilegais
software
D.2 Mtodos para a avaliao de vulnerabilidades tcnicas

Mtodos pr-ativos, tal como testar os sistemas de informao, podem ser utilizados para identificar as vulnerabilidades existentes, dependendo da criticidade do sistema de Tecnologia da Informao e Comunicao (TIC) e dos recursos disponveis (por exemplo: verba alocada, tecnologia disponvel, profissionais com a experincia necessria para a realizao do teste). Entre os mtodos de teste temos: Ferramentas automatizadas de procura por vulnerabilidades Avaliao e testes da segurana Teste de Invaso Anlise crtica de cdigo Ferramentas automatizadas de procura por vulnerabilidades so utilizadas para varrer um grupo de computadores ou uma rede em busca de servios reconhecidamente vulnerveis (por exemplo: o protocolo de transferncia annima de arquivos - "anonymous FTP" - e o recurso de retransmisso do "sendmail" - "sendmail relaying"). Convm ressaltar, contudo, que nem todas as potenciais vulnerabilidades encontradas pela ferramenta necessariamente representam vulnerabilidades reais no contexto do sistema e de seu ambiente. Por exemplo, NO TEM VALOR NORMATIVO 52/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 algumas dessas ferramentas de varredura avaliam as vulnerabilidades potenciais sem levar em considerao o ambiente da instalao e os seus requisitos. Algumas das vulnerabilidades encontradas pelo software de varredura podem no representar uma vulnerabilidade real em uma determinada instalao, mas sim o resultado de uma configurao exigida por seu ambiente. Assim, esse mtodo de teste pode gerar falsos positivos. A avaliao e testes da segurana (ATS) uma outra tcnica que pode ser utilizada na identificao de vulnerabilidades em sistemas de TIC durante o processo de anlise/avaliao de riscos. Ela inclui o desenvolvimento e a execuo de planos de teste (por exemplo: roteiros e procedimentos para testes, lista de resultados previstos). O propsito dos testes da segurana do sistema verificar a eficcia dos controles de segurana de um sistema de TIC, considerando-se a forma com que esto implementados no ambiente operacional. O objetivo assegurar que os controles aplicados satisfazem as especificaes de segurana do software e do hardware, implementam a poltica de segurana da organizao, e/ou atendem aos padres de mercado. Testes de invaso podem ser usados para complementar o processo de anlise crtica dos controles de segurana, assegurando-se que as diversas facetas do sistema de TIC esto protegidas. Testes de invaso, quando utilizados durante o processo de anlise/avaliao de riscos, servem para avaliar a capacidade do sistema de TIC de resistir a tentativas intencionais de se driblar a segurana do sistema. O objetivo testar o sistema de TIC do ponto de vista da fonte da ameaa, identificando possveis falhas no esquema de proteo do sistema. A anlise crtica de cdigo a mais minuciosa (embora tambm a mais dispendiosa) forma de avaliao de vulnerabilidades. Os resultados desses tipos de testes de segurana ajudam a identificar as vulnerabilidades de um sistema. importante notar que ferramentas e tcnicas de invaso podem gerar resultados falsos quando a vulnerabilidade no explorada com sucesso. Para explorar vulnerabilidades especficas, a exata configurao do sistema, da aplicao e das atualizaes ("patches") instaladas no sistema testado precisa ser conhecida. Se esses dados no so conhecidos quando o teste est sendo realizado, pode no ser possvel explorar uma determinada vulnerabilidade com sucesso (por exemplo: o acesso remoto a "shell" reverso); no entanto, ainda assim, talvez seja possvel causar uma pane no sistema ou processo testado ou mesmo forar o seu reincio. Nesse caso, convm que o objeto testado seja considerado vulnervel. Entre os mtodos existentes, temos os seguintes: Entrevistas com pessoas e usurios Questionrios Inspeo fsica Anlise de documentos
53/63
Anexo E (informativo) Diferentes abordagens para anlise/avaliao de riscos de segurana da informao
E.1 Anlise/avaliao de riscos de segurana da informao - Enfoque de alto nvel

Uma avaliao de alto nvel permite definir prioridades e uma cronologia para a execuo das aes. Por vrias razes, como por exemplo o oramento, talvez no seja possvel implementar todos os controles simultaneamente e, com isso, somente os riscos mais crticos podem ser tratados durante o processo de tratamento do risco. Da mesma forma, pode ser prematuro dar incio a uma forma de gesto de riscos muito detalhada se a implementao s ser contemplada aps um ou dois anos. Para alcanar esse objetivo, uma avaliao de alto nvel pode comear com um exame tambm de alto nvel das conseqncias, em vez de comear por uma anlise sistemtica das ameaas, vulnerabilidades, ativos e conseqncias. Outra razo para comear por uma avaliao de alto nvel permitir a sincronizao com outros planos relacionados gesto de mudanas (ou da continuidade de negcios). Por exemplo, no razovel completar a implementao da segurana de um sistema ou aplicao se estiver sendo planejada a sua terceirizao em um futuro prximo, embora possa ainda ser til a realizao da anlise/avaliao de riscos, para que se possa definir os termos do contrato da terceirizao. Entre as caractersticas de uma iterao, com um enfoque de alto nvel, do processo de anlise/avaliao de riscos temos que: A anlise/avaliao de riscos com enfoque de alto nvel pode se preocupar com uma viso mais global da organizao e de seus sistemas de informao, considerando os aspectos tecnolgicos de forma independente das questes de negcio. Dessa forma, a anlise do contexto incide mais sobre o negcio e o ambiente operacional do que sobre os elementos tecnolgicos. A anlise/avaliao de riscos com enfoque de alto nvel pode se preocupar com uma lista menor de ameaas e vulnerabilidades, agrupando-as em domnios pr-definidos, ou, para acelerar o processo, pode focar a sua ateno nos cenrios de risco ou ataque, em vez de em seus elementos. Os riscos cobertos por uma avaliao com enfoque de alto nvel podem ser entendidos mais como categorias (ou classes gerais) de risco do que, propriamente, como riscos identificados com especificidade. Como os cenrios ou as ameaas so agrupados em domnios, o tratamento do risco prope listas de controle para esses domnios. Ento, em primeiro lugar, durante as atividades de tratamento do risco, prope-se e selecionam-se os controles comuns vlidos em todo o sistema. Contudo, por raramente tratar de detalhes tecnolgicos, a anlise/avaliao de riscos com enfoque de alto nvel mais adequada para fornecer controles organizacionais e no-tcnicos, alm dos aspectos gerenciais de controles tcnicos e mecanismos tcnicos de proteo comuns e muito importantes, tais como cpias de segurana (back-ups) e antivrus. As vantagens da anlise/avaliao de riscos com um enfoque de alto nvel so as seguintes: Com a incorporao de uma primeira abordagem simples mais provvel que se obtenha a aceitao do programa de anlise/avaliao de riscos. Convm que seja possvel criar uma viso estratgica de um programa corporativo de segurana da informao, ou seja, uma viso que possa auxiliar durante o planejamento.
54/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Recursos e verbas podem ser aplicados onde forem mais vantajosos, e os sistemas que esto, provavelmente, precisando de mais proteo sero tratados primeiro. Como as anlises de risco iniciais so feitas com um enfoque de alto nvel (potencialmente, portanto, sendo menos exatas), h o perigo de que alguns processos de negcio ou sistemas possam acabar, erroneamente, no sendo identificados entre aqueles que requerem uma segunda anlise/avaliao de riscos, mais detalhada. Isso pode ser evitado se houver informao adequada sobre todos os aspectos da organizao, das informaes que utiliza e de seus sistemas, incluindo dados obtidos atravs da avaliao dos incidentes de segurana da informao. A anlise/avaliao de riscos com enfoque de alto nvel considera os valores para o negcio dos ativos de informao, e os riscos do ponto de vista de negcio da organizao. No primeiro ponto de deciso (veja Figura 1), vrios fatores ajudam a determinar se a avaliao de alto nvel adequada para o tratamento do risco; esses fatores podem incluir os seguintes itens: Os objetivos de negcios a serem alcanados atravs de vrios ativos de informao; O quanto o negcio da organizao depende de cada ativo de informao, ou seja, o quanto as funes que a organizao considera fundamentais para a sua sobrevivncia ou para a conduo eficaz do negcio depende dos ativos, ou da confidencialidade, da integridade, da disponibilidade, da garantia do no-repdio, da responsabilizao, da autenticidade e da confiabilidade das informaes armazenadas e processadas nesses ativos; O nvel de investimento em cada ativo de informao, em termos do desenvolvimento, da manuteno ou da reposio do ativo, e Os ativos de informao, para cada um dos quais a organizao atribui um valor. Quando esses fatores so avaliados, a deciso torna-se mais fcil. Se a funo de um ativo extremamente importante para a conduo do negcio da organizao ou se o ativo est exposto a riscos de alto impacto ou probabilidade, ento convm que uma segunda iterao, com uma anlise/avaliao detalhada de riscos, seja executada tendo em vista o ativo de informao especfico (ou parte dele). Uma regra geral para ser aplicada a seguinte: se a falta de segurana da informao puder resultar em conseqncias adversas significativas para a organizao, para os seus processos de negcio ou para os seus ativos, uma segunda iterao, mais detalhada, da anlise/avaliao de riscos ser necessria para a identificao de riscos potenciais.
E.2 Anlise/avaliao detalhada de riscos de segurana da informao

O processo de anlise/avaliao detalhada de riscos de segurana da informao envolve a minuciosa identificao e valorao dos ativos, a avaliao das ameaas aos ativos, e a avaliao das vulnerabilidades. Os resultados dessas atividades so, ento, usados para avaliar os riscos e, depois, para identificar o tratamento do risco. A etapa detalhada normalmente demanda bastante tempo, esforo e experincia, e pode, portanto, ser mais adequada para os sistemas de informao de alto risco. A etapa final da anlise/avaliao detalhada dos riscos segurana da informao consiste no clculo do risco total, que o assunto deste anexo. As conseqncias podem ser avaliadas de vrias maneiras, incluindo a abordagem quantitativa (usando-se, por exemplo, uma unidade monetria), a qualitativa (que podem ser baseada no uso de adjetivos qualificadores tais como moderado ou severo) ou ainda uma combinao de ambas. Para avaliar a probabilidade de ocorrncia de uma ameaa, convm que se estabelea o perodo no qual o ativo considerado como de valor ou durante o qual ele precisar ser protegido. A probabilidade da ocorrncia de uma ameaa especfica afetada pelos seguintes itens: NO TEM VALOR NORMATIVO 55/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 A atratividade do ativo ou do impacto potencial, aplicvel quando uma ameaa intencional de origem humana est sendo considerada A facilidade de se converter a explorao de uma vulnerabilidade de um ativo em recompensa, aplicvel quando uma ameaa intencional de origem humana est sendo considerada A capacitao tcnica do agente da ameaa, aplicvel a ameaas intencionais de origem humana e A susceptibilidade da vulnerabilidade explorao, aplicvel tanto a vulnerabilidades tcnicas quanto a notcnicas Muitos mtodos fazem uso de tabelas, e combinam medidas empricas com medies subjetivas. importante que a organizao use um mtodo com o qual ela se sinta confortvel, no qual ela acredite, e que produza resultados reproduzveis. Alguns exemplos de mtodos baseados em tabelas so apresentados a seguir.
E.2.1 Exemplo 1 Matriz com valores pr-definidos

Neste tipo de mtodo de anlise/avaliao de riscos, ativos fsicos, existentes ou planejados, so valorados conforme seus custos de reposio ou reconstruo (ou seja, medidas quantitativas). Esses custos so ento convertidos para a mesma escala qualitativa usados para a valorao das informaes (veja abaixo). ativos do tipo software, existentes ou planejados, valores so atribudos da mesma forma que ativos fsicos, com os custos de aquisio ou redesenvolvimento sendo identificados e ento convertidos para a mesma escala qualitativa usada para a valorao das informaes. Alm disso, se um software aplicativo tiver o seu prprio conjunto de requisitos de confidencialidade ou de integridade (por exemplo, se o seu cdigo fonte, por si s, for susceptvel a questes comerciais), ele deve ser valorado da mesma forma que as informaes. Os valores atribudos s informaes so obtidos entrevistando-se uma parte seleta da direo do negcio (os "responsveis pelos dados"), aqueles que podem falar autoritativamente sobre os dados. Assim determinam-se o valor e a sensibilidade dos dados em uso, armazenados, sendo processados ou acessados. As entrevistas facilitam a avaliao do valor e da sensibilidade da informao, tendo em vista os cenrios com os piores impactos que possam ser previstos a partir das conseqncias adversas ao negcio causadas pela divulgao ou modificao no autorizadas da informao, por sua indisponibilidade durante diferentes perodos de tempo ou ainda por sua destruio. A valorao realizada usando diretrizes para a valorao da informao, as quais cobrem alguns temas, tais como: Segurana fsica das pessoas Informaes pessoais Obrigaes legais e regulatrias Cumprimento das leis Interesses comerciais e econmicos Perda financeira / interrupo de atividades Ordem pblica Poltica e operaes do negcio Perda de valor de mercado (em especial com referncia a aspectos intangveis) Contrato ou acordo com clientes NO TEM VALOR NORMATIVO 56/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 As diretrizes facilitam a identificao dos valores em uma escala numrica, como a escala de 0 a 4 apresentada adiante na forma de uma matriz. Assim, permite-se o reconhecimento de valores quantitativos, sempre que possvel e lgico, e de valores qualitativos quando valores quantitativos no so possveis, por exemplo: em ocasies em que a vida humana colocada em perigo. A prxima atividade importante a concluso de pares de questionrios, para cada tipo de ameaa e para cada agrupamento de ativos relacionado a um tipo de ameaa, a fim de permitir a avaliao do nvel das ameaas (probabilidade de ocorrncia) e das vulnerabilidades (facilidade com que uma ameaa pode explorar uma vulnerabilidade e provocar conseqncias adversas). Cada questo respondida indica uma pontuao. Essas pontuaes so acumuladas em uma base de conhecimento e comparadas a intervalos. Isso identifica o nvel da ameaa em uma escala, digamos, de alto a baixo e, de forma similar, os nveis das vulnerabilidades - como ilustrado no exemplo da matriz mais adiante. Diferenciam-se os tipos de conseqncias na medida de suas relevncias. Convm que informaes para completar os questionrios sejam reunidas a partir de entrevistas com as pessoas responsveis pelas acomodaes, os recursos humanos e os tcnicos envolvidos, assim como tambm a partir de inspees fsicas dos locais e da anlise crtica de documentos. Os valores dos ativos, e os nveis de ameaa e vulnerabilidade, relacionados a cada tipo de conseqncia, so emparelhados em uma matriz como a apresentada a seguir, a fim de identificar, para cada combinao, a medida do risco em uma escala de 0 a 8. Os valores so colocados na matriz de uma maneira estruturada. Um exemplo dado a seguir: Tabela E.1 a) Probabilidade da ocorrncia Ameaa Facilidade de Explorao 0 1 2 3 4 B 0 1 2 3 4
Baixa
Mdia
Alta
M 1 2 3 4 5
A 2 3 4 5 6
B 1 2 3 4 5
M 2 3 4 5 6
A 3 4 5 6 7
B 2 3 4 5 6
M 3 4 5 6 7
A 4 5 6 7 8
Valor do Ativo
Para cada ativo, as vulnerabilidades relevantes e respectivas ameaas so consideradas. Se houver uma vulnerabilidade sem uma ameaa correspondente, ou uma ameaa sem uma vulnerabilidade correspondente, ento no h risco nesse momento (mas convm que cuidados sejam tomados no caso dessas situaes mudarem). A linha apropriada identificada na matriz pelo valor do ativo, e a coluna apropriada identificada pela probabilidade da ocorrncia da ameaa e a facilidade de explorao. Por exemplo, se o ativo tem o valor 3, a ameaa "alta", e a vulnerabilidade "baixa", a medida do risco 5. Suponha que um ativo tenha um valor 2 (por exemplo, para modificaes), o nvel de ameaa "baixo" e a facilidade de explorao "alta", logo, a medida de risco 4. O tamanho da matriz pode ser adaptado s necessidades da organizao, ajustando-se o nmero das colunas representando a probabilidade de ocorrncia das ameaas ou daquelas que representam a facilidade de explorao, assim como as linhas que representam a valorao dos ativos. A adio de Colunas e linhas implicar novas medidas de risco. A vantagem dessa abordagem est na ordenao dos riscos a serem tratados. Uma matriz similar apresentada na Tabela E.1 a) mostra a relao entre probabilidade de um cenrio de incidente e o impacto estimado, do ponto de vista do negcio. A probabilidade de um cenrio de incidente dada pela probabilidade de uma ameaa vir a explorar uma vulnerabilidade. A Tabela relaciona o impacto ao negcio, relativo ao cenrio de incidente, quela probabilidade. O risco resultante medido em uma escada de 0 a 8, e pode ser avaliado tendo como base os critrios para a aceitao do risco. Essa escala de risco pode tambm ser convertida em uma classificao simples, mais genrica, do risco, como por exemplo:
57/63
Baixo Risco: 0-2 Mdio Risco: 3-5 Alto Risco: 6-8 Tabela E.1 b) Probabilidade do Muito baixa Baixa cenrio de incidente (Muito improvvel) (Improvvel) Muito Baixo 0 1 2 3 4 1 2 3 4 5 Mdia (Possvel) 2 3 4 5 6 Alta (Provvel) 3 4 5 6 7 Muito Alta (Freqente) 4 5 6 7 8
Impacto ao Negcio
Baixo Mdio Alto Muito Alto
E.2.2 Exemplo 2 Ordenao de Ameaas em funo do Risco

Uma tabela ou matriz pode ser usada para relacionar as conseqncias (representadas pelo valor do ativo) probabilidade de ocorrncia de uma ameaa (incluindo assim os fatores ligados s vulnerabilidades). A primeira etapa consiste em avaliar as conseqncias (atravs do valor do ativo) em uma escala pr-definida, por exemplo: de 1 a 5, para cada ativo ameaado (coluna b na Tabela). Na segunda etapa, estima-se a probabilidade de ocorrncia da ameaa em uma escala pr-definida, por exemplo: de 1 a 5, para cada ameaa (coluna c na tabela). Na terceira etapa, calcula-se a medida de risco multiplicando (b x c). Por ltimo, as ameaas podem ser ordenadas em seqncia conforme suas respectivas medidas de risco. Note que nesse exemplo, 1 representa a menor conseqncia e a menor probabilidade de ocorrncia. Tabela E.2 Rtulo identificador da Ameaa (a) Ameaa A Ameaa B Ameaa C Ameaa D Ameaa E Ameaa F Valor da conseqncia (do ativo) (b) 5 2 3 1 4 2 Probabilidade de ocorrncia da ameaa (c) 2 4 5 3 1 4 Medida do risco (d) 10 8 15 3 4 8 Ordem da ameaa (e) 2 3 1 5 4 3
Como mostrado acima, esse procedimento permite que diferentes ameaas, com conseqncias e probabilidade de ocorrncias distintas, sejam comparadas e ordenadas por prioridade. Em alguns casos, ser necessrio associar valores monetrios s escalas empricas aqui utilizadas. NO TEM VALOR NORMATIVO 58/63
E.2.3 Exemplo 3 Avaliando a probabilidade e as possveis conseqncias dos riscos

Nesse exemplo, a nfase dada s conseqncias dos incidentes de segurana da informao (ou seja: aos cenrios de incidentes) e convm que a atividade determine quais sistemas sejam priorizados. Isso feito estimando-se dois valores para cada par de ativo e risco, os quais, combinados, iro determinar a pontuao para cada ativo. Quando as pontuaes de todos os ativos do sistema so somadas, uma medida do risco ao qual o sistema est submetido pode ento ser determinada. Primeiramente, um valor designado para cada ativo. Esse valor refere-se s possveis conseqncias adversas que podem surgir quando o ativo ameaado. O valor (do ativo) definido para cada ameaa aplicvel ao ativo. Depois, estima-se um valor para a probabilidade. Ela avaliada combinando-se a probabilidade de ocorrncia da ameaa e a facilidade com que a vulnerabilidade pode ser explorada. Veja, na Tabela 3, a representao da probabilidade de um cenrio de incidente. Tabela E.3 Probabilidade da Ameaa Nvel da vulnerabilidade Probabilidade do cenrio de incidente B Baixa Mdia Alta
Em seguida, na Tabela E.4, uma pontuao referente ao par ativo/ameaa definida pelo encontro da coluna com o valor do ativo e da linha com a probabilidade. As pontuaes referentes aos pares ativos/ameaa so totalizadas para cada ativo, produzindo-se uma pontuao total do ativo. Esse valor pode ser usado para diferenciarmos os ativos que fazem parte de um mesmo sistema, entre si. Tabela E.4 Valor do ativo Probabilidade 0 1 2 3 4 0 1 2 3 4 1 2 3 4 5 2 3 4 5 6 3 4 5 6 7 4 5 6 7 8 0 1 2 3 4
Na etapa final, somam-se as pontuaes dos ativos do sistema, estabelecendo-se a pontuao do sistema. Isso pode ser usado para diferenciarmos os sistemas entre si, e convm determinar qual sistema seja protegido com maior prioridade. Nos exemplos a seguir todos os valores foram escolhidos aleatoriamente.
59/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Suponha que o Sistema S tenha trs ativos A1, A2 e A3. Suponha tambm que existam duas ameaas, T1 e T2, aplicveis ao sistema S. Estabeleamos que o valor de A1 3, que o valor do ativo A2 2 e que o valor do ativo A3 4. Se, para A1 e T1, a probabilidade da ameaa baixa e a facilidade de explorao da vulnerabilidade mdia, ento o valor da probabilidade 1 (ver Tabela E.3). A pontuao referente ao par ativo/ameaa A1/T1 pode ser obtida na Tabela E.4, no encontro da coluna com o valor 3 (referente ao valor do ativo) e da linha com o valor 1 (referente probabilidade). O valor assim obtido 4. Do mesmo modo, para A1/T2, se a probabilidade da ameaa for mdia e a facilidade de explorao da vulnerabilidade for alta, o resultado ser uma pontuao de 6, referente ao par A1/T2. Agora, TA1, que a pontuao total do ativo A1, pode ser calculada, e o resultado 10. A pontuao total do ativo calculada para cada ativo levando-se em conta todas as ameaas aplicveis. A pontuao total do sistema calculada atravs da adio TA1 + TA2 + TA3, obtendo-se TS. Assim, sistemas diferentes podem ser comparados, assim como diferentes ativos dentro do mesmo sistema, para estabelecermos as prioridades. Apesar do exemplo acima envolver apenas sistemas de informao, uma abordagem similar pode ser aplicada aos processos de negcio.
60/63
Anexo F (informativo) Restries que afetam a reduo do risco
Ao considerar as restries que afetam a reduo do risco, convm que as seguintes restries sejam consideradas: Restries temporais: Pode haver muitos tipos de restries de tempo. Por exemplo, convm que os controles sejam implementados dentro de um perodo de tempo aceitvel para os gestores da organizao. Outro tipo de restrio temporal se um controle pode ser implementado durante o perodo de vida til da informao ou do sistema. Um terceiro tipo de restrio temporal pode ser representado pelo perodo de tempo que os gestores da organizao definem como aceitvel para ficar-se exposto a um determinado risco. Restries financeiras: Convm que a implementao ou a manuteno dos controles sejam menos dispendiosas do que o valor dos riscos que eles foram projetados para combater, exceto nos casos em que a conformidade obrigatria (por exemplo, no caso de legislaes especficas). Convm que todos os esforos sejam feitos para que os oramentos alocados no sejam excedidos, e tambm para que vantagens financeiras, atravs do uso de controles, sejam obtidas. Contudo, em alguns casos, talvez no seja possvel implementar a segurana desejada e alcanar o nvel de risco formalmente aceito, devido a restries oramentrias. Essa situao exigir, ento, uma deciso dos gestores da organizao para a sua resoluo. Convm que se tenha muito cuidado no caso de restries oramentrias provocarem a reduo do nmero ou da qualidade dos controles a serem implementados, pois isso pode levar aceitao implcita de mais riscos do que o planejado. Convm que a utilizao do oramento alocado para os controles como fator limitante, se necessria, seja acompanhada por cuidados especiais. Restries tcnicas: Problemas tcnicos, como a compatibilidade de hardware ou de programas, podem ser facilmente evitados se forem levados em conta durante a seleo dos controles. Alm disso, a implementao retroativa dos controles em um processo ou sistema existente freqentemente dificultada por restries tcnicas. Essas dificuldades podem deslocar o foco dos controles em direo aos aspectos procedurais e fsicos da segurana. Pode ser necessrio revisar os programas de segurana da informao, a fim de alcanar os objetivos de segurana. Isso pode ocorrer quando controles no conseguem atingir os resultados previstos na reduo do risco sem afetar a produtividade. Restries operacionais: Restries operacionais, como por exemplo a necessidade de manter as operaes em um regime de 24x7 e, ainda assim, executar back-ups, podem resultar em controles de implementao complexa e onerosa, a menos que eles sejam incorporados ao projeto desde o incio. Restries culturais: As restries culturais em relao seleo de controles podem ser especficas a um pas, a um setor, a uma organizao ou mesmo a um departamento dentro de uma organizao. Nem todos os controles podem ser aplicados em todos os pases. Por exemplo, pode ser possvel implementar buscas em bolsas e bagagens em partes da Europa, mas no em partes do Oriente Mdio. Aspectos culturais no podem ser ignorados, pois muitos
61/63
ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 controles contam com o apoio ativo do pessoal. Se o pessoal no compreende a necessidade do controle ou no acham que ele seja culturalmente aceitvel, o controle se tornar ineficaz ao passar do tempo. Restries ticas: As restries ticas podem ter grandes implicaes sobre os controles na medida em que a tica muda tendo como base as normas sociais. Isso pode impedir a implementao de alguns controles em alguns pases, como por exemplo a varredura de correspondncia eletrnica ("email scanning). A privacidade das informaes pode ser entendida de diferentes maneiras dependendo da tica da regio ou do governo. Essas questes podem causar maiores preocupaes em alguns setores de atividade econmica do que em outros, por exemplo: o setor governamental e o da sade. Restries ambientais: Fatores ambientais, tais como a disponibilidade de espao, condies climticas extremas e o meio geogrfico natural ou urbano, podem influenciar a seleo de controles. Por exemplo, instalaes prova de terremoto podem ser necessrias em alguns pases, porm desnecessrias em outros. Restries legais: Fatores legais tais como provises relativas proteo de dados pessoais ou do cdigo penal referentes ao processamento de informaes, podem afetar a seleo de controles. A conformidade legislao e a normas pode exigir certos tipos de controles, como por exemplo, a proteo de dados e a auditoria financeira. Por outro lado, ela pode tambm impedir o uso de alguns controles, por exemplo: a criptografia. Outras leis e regulamentaes, tais como a legislao do trabalho, as normas do corpo de bombeiros, da rea da sade e da segurana, e regulamentaes do setor econmico, tambm podem afetar a escolha de controles. Facilidade de uso: Uma interface de usurio mal projetada resultar em erro humano e pode tornar o controle intil. Convm que os controles selecionados sejam de fcil utilizao, alm de garantirem um nvel aceitvel de risco residual ao negcio. Os controles de difcil utilizao tm sua eficcia prejudicada, j que os usurios tentaro contorn-los ou ignor-los tanto quanto possvel. Controles de acesso complexos dentro da organizao podem estimular os usurios a acharem algum mtodo de acesso alternativo no autorizado. Restries de recursos humanos: Convm que sejam considerados o custo salarial e a disponibilidade de profissionais com as competncias especializadas necessrias para a implementao dos controles, bem como a capacidade de deslocar o pessoal em condies adversas de operao. O conhecimento necessrio para a implementao dos controles planejados pode no estar prontamente disponvel ou pode representar um custo excessivo para a organizao. Outros aspectos tais como a tendncia de parte do pessoal discriminar outros membros da equipe que no passaram por verificaes de segurana, podem ter grandes implicaes para as polticas e prticas de segurana. Alm disso, a necessidade de achar e contratar as pessoas certas para o trabalho pode resultar na sua contratao antes que as verificaes de segurana sejam concludas. Exigir que a verificao de segurana seja finalizada antes da contratao a prtica normal e a mais segura. Restries ligadas integrao dos controles novos aos j existentes: A integrao de controles novos a uma infra-estrutura existente e a interdependncia entre controles so fatores freqentemente ignorados. Controles novos podem no ser facilmente implementados se houver incongruncia ou incompatibilidade com controles existentes. Por exemplo, um plano para usar dispositivos de identificao biomtrica para controle de acesso fsico pode conflitar com um sistema que se baseie na digitao de nmeros de identificao pessoal (PIN, conforme a sigla em Ingls) para o controle de acesso. Convm que o custo da mudana dos controles existentes para os planejados inclua tambm os itens a serem adicionados ao custo geral do tratamento do risco. Talvez no seja possvel implementar alguns dos controles selecionados devido aos conflitos com os controles atuais. NO TEM VALOR NORMATIVO 62/63
Bibliografia
[1] [2] [3] [4] [5]
ABNT ISO/IEC Guia 73: 2005, Gesto de riscos Vocabulrio Recomendaes para uso em normas ISO/IEC 16085: 2006, Systems and Software Engineering Life Cycle Processes Risk Management AS/NZS 4360: 2004, Risk Management NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook NIST Special Publication 800-30, Risk Management Guide for Information Technology Systems Recommendations of the National Institute of Standards and Technology
63/63

NBR ISO27005 ConsultaABNT

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

NBR ISO27005 ConsultaABNT

Caricato da

Copyright:

Formati disponibili

ABNT/CB-21 PROJETO 21:027.

Tecnologia da informao Tcnicas de segurana Gesto de riscos de segurana da informao

NO TEM VALOR NORMATIVO

ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008

Tecnologia da informao Tcnicas de segurana Gesto de riscos de segurana da informao

ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008

NO TEM VALOR NORMATIVO

ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008

NO TEM VALOR NORMATIVO

ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008

Viso geral do processo de gesto de riscos de segurana da informao

NO TEM VALOR NORMATIVO

7.1 Consideraes Gerais

NO TEM VALOR NORMATIVO

7.2 Critrios bsicos

Mais informaes podem ser encontradas no Anexo A.

NO TEM VALOR NORMATIVO

ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008

7.3 Escopo e limites

Informaes adicionais podem ser encontradas no Anexo A.

7.4 Organizao para gesto de riscos de segurana da informao

Anlise/avaliao de riscos de segurana da informao

8.1 Descrio geral do processo de anlise/avaliao de riscos de segurana da informao

8.2 Anlise de riscos

Identificao dos ativos

NO TEM VALOR NORMATIVO

ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 8.2.1.3 Identificao das ameaas

ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008  Imagem, reputao e valor de mercado

ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 8.2.2.2 Avaliao das conseqncias

NO TEM VALOR NORMATIVO

ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 8.2.2.3 Avaliao da probabilidade dos incidentes

8.3 Avaliao de riscos

NO TEM VALOR NORMATIVO

ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008

Tratamento do risco de segurana da informao

9.1 Descrio geral do processo de tratamento do risco

AVALIAO SATISFATRIA Ponto de Deciso 1

Tratamento do risco OPES DE TRATAMENTO DO RISCO

Figura 2 A atividade de tratamento do risco NO TEM VALOR NORMATIVO 21/63

9.2 Reduo do risco

ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008

9.3 Reteno do risco

9.4 Ao de evitar o risco

9.5 Transferncia do risco

10 Aceitao do risco de segurana da informao

11 Comunicao do risco de segurana da informao

NO TEM VALOR NORMATIVO

12 Monitoramento e anlise crtica de riscos de segurana da informao

NO TEM VALOR NORMATIVO

12.2 Monitoramento, anlise crtica e melhoria do processo de gesto de riscos

NO TEM VALOR NORMATIVO

ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008

A.1 A anlise da organizao

NO TEM VALOR NORMATIVO

A.2 Restries que afetam a organizao

NO TEM VALOR NORMATIVO

NO TEM VALOR NORMATIVO

A.3 Legislaes e regulamentaes aplicveis organizao

A.4 Restries que afetam o escopo

NO TEM VALOR NORMATIVO

ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008

Anexo B (informativo) Identificao e valorao dos ativos e avaliao do impacto

B.1 Exemplos de identificao de ativos

ABNT/CB-21 PROJETO 21:027.00-017 MARO/2008 Imagem, reputao e valor de mercado