-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 1/97
Tecnologia da informao Tcnicas de segurana Gesto de riscos de
segurana da informao
APRESENTAO 1) Este Projeto de Reviso foi elaborado pela Comisso
de Estudo de Tcnicas de Segurana (CE-21:027.00) do Comit Brasileiro
de Computadores de Dados (ABNT/CB-21), nas reunies de:
2) Este 1 Projeto de Reviso previsto para cancelar e substituir
a edio anterior ABNT NBR ISO/IEC 27005:2008, quando aprovado, sendo
que nesse nterim a referida norma continua em vigor;
3) Previsto para ser identica a ISO/IEC 27005:2011; 4) No tem
valor normativo; 5) Aqueles que tiverem conhecimento de qualquer
direito de patente devem apresentar esta informao em seus
comentrios, com documentao comprobatria;
6) Este Projeto de Norma ser diagramado conforme as regras de
editorao da ABNT quando de sua publicao como Norma Brasileira.
7) Tomaram parte na elaborao deste Projeto: Participante
Representante
BANCO DO NORDESTE Francisco Nunes CQSI Ariosto Farias Junior
MDULO Alberto Bastos MDULO Marcelo Gherman TIVIT Lilian Pricola
UNB
Edgard Costa
23.02.2011 12.07.2011 __________
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 2/97
Sumrio Pgina Prefcio Nacional 4 Introduo 5 1 Escopo 5 2
Referncias normativas 5 3 Termos e definies 5 4 Organizao da Norma
10 5 Contextualizao 11 6 Viso geral do processo de gesto de riscos
de segurana da informao 12 7 Definio do contexto 16 7.1 Consideraes
Gerais 16 7.2 Critrios bsicos 17 7.2.1 Abordagem da gesto de riscos
17 7.2.2 Critrios para a avaliao de riscos 17 7.2.3 Critrios de
impacto 18 7.2.4 Critrios para a aceitao do risco 18 7.3 Escopo e
limites 19 7.4 Organizao para gesto de riscos de segurana da
informao 20 8 Processo de avaliao de riscos de segurana da informao
21 8.1 Descrio geral do processo de avaliao de riscos de segurana
da informao 21 8.2 Identificao de riscos 22 8.2.1 Introduo
identificao de riscos 22 8.2.2 Identificao dos ativos 22 8.2.3
Identificao das ameaas 23 8.2.4 Identificao dos controles
existentes 23 8.2.5 Identificao das vulnerabilidades 24 8.2.6
Identificao das consequncias 25 8.3 Anlise de riscos 26 8.3.1
Metodologias de anlise de riscos 25 8.3.2 Avaliao das consequncias
27 8.3.3 Avaliao da probabilidade dos incidentes 29 8.3.4
Determinao do nvel de risco 30 8.4 Avaliao de riscos 30 9
Tratamento do risco de segurana da informao 31 9.1 Descrio geral do
processo de tratamento do risco 31 9.2 Modificao do risco 34
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 3/97
9.3 Reteno do risco 35 9.4 Ao de evitar o risco 35 9.5
Compartilhamento do risco 35 10 Aceitao do risco de segurana da
informao 36 11 Comunicao e consulta do risco de segurana da
informao 37 12 Monitoramento e anlise crtica de riscos de segurana
da informao 38 12.1 Monitoramento e anlise crtica dos fatores de
risco 38 12.2 Monitoramento, anlise crtica e melhoria do processo
de gesto de riscos 39 Anexo A (informativo) Definindo o escopo e os
limites do processo de gesto de riscos de segurana da informao 41
A.1 A anlise da organizao 41 A.2 Restries que afetam a organizao 42
A.3 Referncias legais e regulamentares aplicveis organizao 45 A.4
Restries que afetam o escopo 45 Anexo B (informativo) Identificao e
valorao dos ativos e avaliao do impacto 47 B.1 Exemplos de
identificao de ativos 47 B.1.1 Identificao dos ativos primrios 47
B.1.2 Lista e descrio de ativos de suporte 48 B.2 Valorao dos
Ativos 54 B.3 Avaliao do Impacto 58 Anexo C (informativo) Exemplos
de ameaas comuns 60 Anexo D (informativo) Vulnerabilidades e mtodos
de avaliao de vulnerabilidades 63 D.1 Exemplos de vulnerabilidades
63 D.2 Mtodos para a avaliao de vulnerabilidades tcnicas 67 Anexo E
(informativo) Abordagens para o processo de avaliao de riscos de
segurana da informao 69 E.1 Processo de avaliao de riscos de
segurana da informao - Enfoque de alto nvel 69 E.2 Processo
detalhado de avaliao de riscos de segurana da informao 71 E.2.1
Exemplo 1 Matriz com valores pr-definidos 72 E.2.2 Exemplo 2
Ordenao de Ameaas em funo do Risco 75 E.2.3 Exemplo 3 Avaliando a
probabilidade e as possveis consequncias dos riscos 76 Anexo F
(informativo) Restries para a modificao do risco 78 Anexo G
(informativo) Diferenas nas definies entre a ABNT NBR ISO/IEC
27005:2008 e a ABNT NBR ISO/IEC 27005:2011 80 Bibliografia 94
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 4/97
Tecnologia da informao Tcnicas de segurana Gesto de riscos de
segurana da informao Information technology Security techniques
Information security risk management
Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional
de Normalizao. As Normas Brasileiras, cujo contedo de
responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos
de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo
Especiais (ABNT/CEE), so elaboradas por Comisses de Estudo (CE),
formadas por representantes dos setores envolvidos, delas fazendo
parte: produtores, consumidores e neutros (universidades,
laboratrios e outros). Os documentos Tcnicos ABNT so elaborados
conforme as regras da Diretiva ABNT, Parte 2.
A Associao Brasileira de Normas Tcnicas (ABNT) chama ateno para
a possibilidade de que alguns dos elementos deste documento podem
ser objeto de direito de patente. A ABNT no deve ser considerada
responsvel pela identificao de quaisquer direitos de patentes.
A ABNT NBR ISO/IEC 27005 foi elaborada no Comit Brasileiro de
Computadores e Processamento de Dados (ABNT/CB-21), pela Comisso de
Estudo de Segurana da Informao (CE-21:027.00).
Esta Norma uma adoo idntica, em contedo tcnico, estrutura e
redao, ISO/IEC 27005: 2011, que foi elaborada pelo Comit Tcnico
Information technology (ISO/IEC JTC 1), conforme ISO/IEC Guide
21-1:2005.
Esta segunda edio cancela e substitui a primeira edio da ABNT
NBR ISO/IEC 27005:2008 que foi revisada tecnicamente.
O Escopo desta Norma Brasileira em ingls o seguinte:
Scope This Standard provides guidelines for information security
risk management.
This Standard supports the general concepts specified in ABNT
NBR ISO/IEC 27001 and is designed to assist the satisfactory
implementation of information security based on a risk management
approach.
Knowledge of the concepts, models, processes and terminologies
described in ABNT NBR ISO/IEC 27001 and ABNT NBR ISO/IEC 27002 is
important for a complete understanding of this International
Standard.
This International Standard is applicable to all types of
organizations (e.g. commercial enterprises, government agencies,
non-profit organizations) which intend to manage risks that could
compromise the organizations information security.
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 5/97
Introduo
Esta Norma fornece diretrizes para o processo de Gesto de Riscos
de Segurana da Informao de uma organizao, atendendo particularmente
aos requisitos de um Sistema de Gesto de Segurana da Informao
(SGSI) de acordo com a ABNT NBR ISO/IEC 27001. Entretanto, esta
Norma Internacional no inclui um mtodo especfico para a gesto de
riscos de segurana da informao. Cabe organizao definir sua
abordagem ao processo de gesto de riscos, levando em conta, por
exemplo, o escopo do seu SGSI, o contexto da gesto de riscos e o
seu setor de atividade econmica. H vrias metodologias que podem ser
utilizadas de acordo com a estrutura descrita nesta Norma
Internacional para implementar os requisitos de um SGSI.
Esta Norma do interesse de gestores e pessoal envolvidos com a
gesto de riscos de segurana da informao em uma organizao e, quando
apropriado, em entidades externas que do suporte a essas
atividades.
1 Escopo Esta Norma fornece diretrizes para o processo de gesto
de riscos de segurana da informao.
Esta Norma est de acordo com os conceitos especificados na ABNT
NBR ISO/IEC 27001 e foi elaborada para facilitar uma implementao
satisfatria da segurana da informao tendo como base uma abordagem
de gesto de riscos.
O conhecimento dos conceitos, modelos, processos e terminologias
descritos na ABNT NBR ISO/IEC 27001 e na ABNT NBR ISO/IEC 27002
importante para um entendimento completo desta Norma
Internacional.
Esta Norma se aplica a todos os tipos de organizao (por exemplo:
empreendimentos comerciais, agncias governamentais, organizaes sem
fins lucrativos), que pretendam gerir os riscos que poderiam
comprometer a segurana da informao da organizao.
2 Referncias normativas Os documentos relacionados a seguir so
indispensveis aplicao deste documento. Para referncias datadas,
aplicam-se somente as edies citadas. Para referncias no datadas,
aplicam-se as edies mais recentes do referido documento (incluindo
emendas). ISO/IEC 27000, Information Technology Security techniques
Information security management systems Overview and vocabulary
ABNT NBR ISO/IEC 27001: 2006, Tecnologia da Informao Tcnicas de
segurana Sistemas de gesto de segurana da informao Requisitos.
3 Termos e definies Para os efeitos deste documento, aplicam-se
termos e definies da ISO/IEC 27000 e os seguintes.
NOTA As diferenas entre as definies da ABNT NBR ISO/IEC
27005:2008 e esta norma so mostrados no Anexo G.
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 6/97
3.1 consequncia resultado de um evento (3.3) que afeta os
objetivos [ABNT ISO GUIA 73:2009] NOTA 1 Um evento pode levar a uma
srie de consequncias.
NOTA 2 Uma consequncia pode ser certa ou incerta e, no contexto
da segurana da informao, , normalmente, negativa.
NOTA 3 As consequncias podem ser expressas qualitativa ou
quantitativamente.
NOTA 4 As consequncias iniciais podem desencadear reaes em
cadeia.
3.2 controle medida que est modificando o risco (3.9) [ABNT ISO
GUIA 73:2009] NOTA 1 Os controles da segurana da informao incluem
qualquer processo, poltica, procedimento, diretriz, prtica ou
estrutura organizaconal, que pode ser de natureza administrativa,
tcnica, gerencial ou legal que modificam o risco da segurana da
informao.
NOTA 2 Os controles nem sempre conseguem exercer o efeito de
modificao pretendido ou presumido.
NOTA 3 Controle tambm usado como um sinnimo de salvaguarda ou
contramedida.
3.3 evento ocorrncia ou mudana em um conjunto especfico de
circunstncias [ABNT ISO GUIA 73:2009] NOTA 1 Um evento pode
consistir em uma ou mais ocorrncias e pode ter vrias causas.
NOTA 2 Um evento pode consistir em alguma coisa no
acontecer.
NOTA 3 Um evento pode algumas vezes ser referido como um
"incidente" ou um "acidente".
3.4 contexto externo ambiente externo no qual a organizao busca
atingir seus objetivos [ABNT ISO GUIA 73:2009] NOTA O contexto
externo pode incluir:
o ambiente cultural, social, poltico, legal, regulatrio,
financeiro, tecnolgico, econmico, natural e competitivo, seja
internacional, nacional, regional ou local;
os fatoreschave e as tendncias que tenham impacto sobre os
objetivos da organizao; e
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 7/97
as relaes com partes interessadas externas e suas percepes e
valores.
3.5 contexto interno ambiente interno no qual a organizao busca
atingir seus objetivos [ABNT ISO GUIA 73:2009] NOTA O contexto
interno pode incluir:
governana, estrutura organizacional, funes e
responsabilidades;
polticas, objetivos e estratgias implementadas para atingilos;
capacidades compreendidas em termos de recursos e conhecimento (por
exemplo, capital, tempo, pessoas,
processos, sistemas e tecnologias); sistemas de informao, fluxos
de informao e processos de tomada de deciso (tanto formais como
informais); relaes com partes interessadas internas, e suas
percepes e valores;
cultura da organizao;
normas, diretrizes e modelos adotados pela organizao; e
forma e extenso das relaes contratuais.
3.6 nvel de risco magnitude de um risco (3.9), expressa em
termos da combinao das consequncias (3.1) e de suas probabilidades
(likelihood) (3.7)
[ABNT ISO GUIA 73:2009] 3.7 probabilidade (likelihood) chance de
algo acontecer
[ABNT ISO GUIA 73:2009] NOTA 1 Na terminologia de gesto de
riscos, a palavra probabilidade" utilizada para referir-se chance
de algo acontecer, no importando se de forma definida, medida ou
determinada ainda que objetiva ou subjetivamente, qualitativa ou
quantitativamente, ou se descrita utilizando-se termos gerais ou
matemticos (tal como probabilidade ou frequncia durante um
determinado perodo de tempo).
NOTA 2 O termo em Ingls "likelihood" no tm um equivalente direto
em algumas lnguas; em vez disso, o equivalente do termo
"probability" frequentemente utilizado. Entretanto, em Ingls,
"probability" muitas vezes interpretado estritamente como uma
expresso matemtica. Portanto, na terminologia de gesto de riscos,
likelihood" utilizado com a mesma ampla interpretao de que o termo
"probability" tem em muitos outros idiomas alm do Ingls.
3.8 risco residual risco (3.9) remanescente aps o tratamento do
risco (3.17)
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 8/97
[ABNT ISO GUIA 73:2009] NOTA 1 O risco residual pode conter
riscos no identificados.
NOTA 2 O risco residual tambm pode ser conhecido como "risco
retido".
3.9 risco efeito da incerteza nos objetivos [ABNT ISO GUIA
73:2009] NOTA 1 Um efeito um desvio em relao ao esperado positivo
e/ou negativo.
NOTA 2 Os objetivos podem ter diferentes aspectos (tais como
metas financeiras, de sade e segurana e ambientais) e podem
aplicarse em diferentes nveis (tais como estratgico, em toda a
organizao, de projeto, de produto e de processo). NOTA 3 O risco
muitas vezes caracterizado pela referncia aos eventos (3.3)
potenciais e s consequncias (3.1), ou uma combinao destes.
NOTA 4 O risco em segurana da informao muitas vezes expresso em
termos de uma combinao de consequncias de um evento (incluindo
mudanas nas circunstncias) e a probabilidade (likelihood) (3.7)
associada de ocorrncia.
NOTA 5 A incerteza o estado, mesmo que parcial, da deficincia
das informaes relacionadas a um evento, sua compreenso, seu
conhecimento, sua consequncia ou sua probabilidade.
NOTA 6 O risco de segurana da informao est associado com o
potencial de que ameaas possam explorar vulnerabilidades de um
ativo de informao ou grupo de ativos de informao e,
consequentemente, causar dano a uma organizao.
3.10 anlise de riscos processo de compreender a natureza do
risco e determinar o nvel de risco (3.6) [ABNT ISO GUIA 73:2009]
NOTA 1 A anlise de riscos fornece a base para a avaliao de riscos e
para as decises sobre o tratamento de riscos.
NOTA 2 A anlise de riscos inclui a estimativa de riscos.
3.11 processo de avaliao de riscos processo global de
identificao de riscos (3.15), anlise de riscos (3.10) e avaliao de
riscos (3.14) [ABNT ISO GUIA 73:2009] NOTA BRASILEIRA: Para os
efeitos deste documento o termo risk assessment foi traduzido como
processo de avaliao de riscos (3.11) para evitar conflito com o
termo risk evaluation que foi traduzido na ABNT NBR ISO 31000 como
avaliao de riscos (3.14). Na ABNT NBR ISO/IEC 27001:2006, este
termo est traduzido como anlise/avaliao de riscos.
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 9/97
3.12 comunicao e consulta processos contnuos e iterativos que
uma organizao conduz para fornecer, compartilhar ou obter informaes
e se envolver no dilogo com as partes interessadas (3.18), com
relao a gerenciar riscos (3.9) [ABNT ISO GUIA 73:2009] NOTA 1 As
informaes podem referir-se existncia, natureza, forma,
probabilidade (likelihood) (3.7), severidade, avaliao, aceitao e
tratamento de riscos.
NOTA 2 A consulta um processo bidirecional de comunicao
sistematizada entre uma organizao e suas partes interessadas ou
outros, antes de tomar uma deciso ou direcionar uma questo
especfica. A consulta :
um processo que impacta uma deciso atravs da influncia ao invs
do poder; e
uma entrada para o processo de tomada de deciso, e no uma tomada
de deciso em conjunto.
3.13 critrios de risco termos de referncia contra os quais a
significncia de um risco (3.9) avaliada [ABNT ISO GUIA 73:2009]
NOTA 1 Os critrios de risco so baseados nos objetivos
organizacionais e no contexto externo e contexto interno.
NOTA 2 Os critrios de risco podem ser derivados de normas, leis,
polticas e outros requisitos.
3.14 avaliao de riscos processo de comparar os resultados da
anlise de riscos (3.10) com os critrios de risco (3.13) para
determinar se o risco e/ou sua magnitude aceitvel ou tolervel
[ABNT ISO GUIA 73:2009] NOTA A avaliao de riscos auxilia na
deciso sobre o tratamento de riscos.
3.15 identificao de riscos processo de busca, reconhecimento e
descrio de riscos
[ABNT ISO GUIA 73:2009] NOTA 1 A identificao de riscos envolve a
identificao das fontes de risco, eventos, suas causas e suas
consequncias potenciais.
NOTA 2 A identificao de riscos pode envolver dados histricos,
anlises tericas, opinies de pessoas informadas e especialistas, e
as necessidades das partes interessadas.
3.16 gesto de riscos
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 10/97
atividades coordenadas para dirigir e controlar uma organizao no
que se refere a riscos
[ABNT ISO GUIA 73:2009] NOTA Esta Norma Internacional usa o
termo processo para descrever toda a gesto de riscos. Os elementos
contidos no processo de gesto de riscos foram chamados de
atividades.
3.17 tratamento de riscos processo para modificar o risco
[ABNT ISO GUIA 73:2009] NOTA 1 O tratamento de risco pode
envolver:
a ao de evitar o risco pela deciso de no iniciar ou descontinuar
a atividade que d origem ao risco;
assumir ou aumentar o risco, a fim de buscar uma
oportunidade;
a remoo da fonte de risco;
a alterao da probabilidade (likelihood);
a alterao das consequncias;
o compartilhamento do risco com outra parte ou partes [incluindo
contratos e financiamento do risco]; e
a reteno do risco por uma escolha consciente.
NOTA 2 Os tratamentos de riscos relativos a consequncias
negativas so muitas vezes referidos como "mitigao de riscos",
"eliminao de riscos", "preveno de riscos" e "reduo de riscos".
NOTA 3 O tratamento de riscos pode criar novos riscos ou
modificar riscos existentes.
3.18 parte interessada pessoa ou organizao que pode afetar, ser
afetada, ou perceberse afetada por uma deciso ou atividade
[ABNT ISO GUIA 73:2009] NOTA Um tomador de deciso pode ser uma
parte interessada.
4 Organizao da Norma Esta Norma Internacional contm a descrio do
processo de gesto de riscos de segurana da informao e das suas
atividades.
As informaes sobre o contexto histrico so apresentadas na Seo
5.
Uma viso geral do processo de gesto de riscos de segurana da
informao apresentada na Seo 6.
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 11/97
Todas as atividades de gesto de riscos de segurana da informao,
apresentadas na Seo 6, so descritas nas seguintes sees:
Definio do contexto na Seo 7,
Processo de avaliao de riscos na Seo 8,
Tratamento do risco na Seo 9,
Aceitao do risco na Seo 10,
Comunicao e consulta do risco na Seo 11,
Monitoramento e anlise crtica de riscos na Seo 12.
Informaes adicionais para as atividades de gesto de riscos de
segurana da informao so apresentadas nos anexos. A definio do
contexto detalhada no Anexo A (Definindo o escopo e os limites do
processo de gesto de riscos de segurana da informao). A identificao
e valorao dos ativos e a avaliao do impacto so discutidas no Anexo
B (exemplos de ativos), o Anexo C d exemplos de ameaas tpicas e o
Anexo D apresenta vulnerabilidades e mtodos para avaliao de
vulnerabilidades. Exemplos de abordagens para o processo de avaliao
de riscos de segurana da informao so apresentados no Anexo E.
Restries relativas modificao do risco so apresentadas no Anexo
F.
As diferenas nas definies entre as normas ABNT NBR ISO/IEC
27005:2008 e a ABNT NBR ISO/IEC 27005:2011 so apresentadas no Anexo
G.
As atividades de gesto de riscos, como apresentadas da Seo 7 at
a Seo 12, esto estruturadas da seguinte forma:
Entrada: Identifica as informaes necessrias para realizar a
atividade.
Ao: Descreve a atividade.
Diretrizes para implementao: Fornece diretrizes para a execuo da
ao. Algumas destas diretrizes podem no ser adequadas em todos os
casos. Assim sendo, outras maneiras de se executar a ao podem ser
mais apropriadas.
Sada: Identifica as informaes resultantes da execuo da
atividade.
5 Contextualizao Uma abordagem sistemtica de gesto de riscos de
segurana da informao necessria para se identificar as necessidades
da organizao em relao aos requisitos de segurana da informao e para
criar um sistema de gesto de segurana da informao (SGSI) que seja
eficaz. Convm que essa abordagem seja adequada ao ambiente da
organizao e em particular esteja alinhada com o processo maior de
gesto de riscos corporativos. Convm que os esforos de segurana
lidem com riscos de maneira efetiva e no tempo apropriado, onde e
quando forem necessrios. Convm que a gesto de riscos de segurana da
informao seja parte integrante das atividades de gesto da segurana
da informao e aplicada tanto implementao quanto operao cotidiana de
um SGSI.
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 12/97
Convm que a gesto de riscos de segurana da informao seja um
processo contnuo. Convm que o processo defina o contexto interno e
externo, avalie os riscos e trate os riscos usando um plano de
tratamento a fim de implementar as recomendaes e decises. Convm que
a gesto de riscos analise os possveis acontecimentos e suas
consequncias, antes de decidir o que ser feito e quando ser feito,
a fim de reduzir os riscos a um nvel aceitvel.
Convm que a gesto de riscos de segurana da informao contribua
para:
Identificao de riscos
Processo de avaliao de riscos em funo das consequncias ao negcio
e da probabilidade de sua ocorrncia
Comunicao e entendimento da probabilidade e das consequncias
destes riscos
Estabelecimento da ordem prioritria para tratamento do risco
Priorizao das aes para reduzir a ocorrncia dos riscos
Envolvimento das partes interessadas quando as decises de gesto
de riscos so tomadas e mantidas informadas sobre a situao da gesto
de riscos
Eficcia do monitoramento do tratamento do risco
Monitoramento e a anlise crtica peridica dos riscos e do
processo de gesto de riscos
Coleta de informaes de forma a melhorar a abordagem da gesto de
riscos
Treinamento de gestores e pessoal a respeito dos riscos e das
aes para mitig-los
O processo de gesto de riscos de segurana da informao pode ser
aplicado organizao como um todo, a uma rea especfica da organizao
(por exemplo, um departamento, um local fsico, um servio), a
qualquer sistema de informaes, a controles j existentes, planejados
ou apenas a aspectos particulares de um controle (por exemplo: o
plano de continuidade de negcios).
6 Viso geral do processo de gesto de riscos de segurana da
informao Uma viso de alto nvel do processo de gesto de riscos
especificado na ABNT NBR ISO 31000:2009 e apresentado na Figura
1.
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 13/97
Figura 1 O processo de gesto de riscos
A Figura 2 apresenta como esta Norma Internacional se aplica ao
processo de gesto de riscos.
O processo de gesto de riscos de segurana da informao consiste
na definio do contexto (Seo 7), processo de avaliao de riscos (Seo
8), tratamento do risco (Seo 9), aceitao do risco (Seo 10),
comunicao e consulta do risco (Seo 11) e monitoramento e anlise
crtica de riscos (Seo 12).
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 14/97
Figura 2 - Processo de gesto de riscos de segurana da
informao
Como mostra a Figura 2, o processo de gesto de riscos de
segurana da informao pode ser iterativo para o processo de avaliao
de riscos e/ou para as atividades de tratamento do risco. Um
enfoque iterativo na execuo do processo de avaliao de riscos torna
possvel aprofundar e detalhar a avaliao em cada repetio. O enfoque
iterativo permite minimizar o tempo e o esforo despendidos na
identificao de controles e, ainda assim, assegura que riscos de
alto impacto ou de alta probabilidade possam ser adequadamente
avaliados.
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 15/97
Primeiramente, o contexto estabelecido. Em seguida, executa-se
um processo de avaliao de riscos. Se ele fornecer informaes
suficientes para que se determine de forma eficaz as aes necessrias
para reduzir os riscos a um nvel aceitvel, ento a tarefa est
completa e o tratamento do risco pode suceder-se. Por outro lado,
se as informaes forem insuficientes, executa-se uma outra iterao do
processo de avaliao de riscos, revisando-se o contexto (por
exemplo: os critrios de avaliao de riscos, de aceitao do risco ou
de impacto), possivelmente em partes limitadas do escopo (ver
Figura 2, Ponto de Deciso 1). A eficcia do tratamento do risco
depende dos resultados do processo de avaliao de riscos.
Note que o tratamento de riscos envolve um processo cclico
para:
avaliar um tratamento do risco; decidir se os nveis de risco
residual so aceitveis; gerar um novo tratamento do risco se os
nveis de risco no forem aceitveis; e avaliar a eficcia do
tratamento.
possvel que o tratamento do risco no resulte em um nvel de risco
residual que seja aceitvel. Nessa situao, pode ser necessria uma
outra iterao do processo de avaliao de riscos, com mudanas nas
variveis do contexto (por exemplo: os critrios para o processo de
avaliao de riscos, de aceitao do risco e de impacto), seguida por
uma fase adicional de tratamento do risco (ver Figura 2, Ponto de
Deciso 2). A atividade de aceitao do risco tem de assegurar que os
riscos residuais sejam explicitamente aceitos pelos gestores da
organizao. Isso especialmente importante em uma situao em que a
implementao de controles omitida ou adiada, por exemplo, devido aos
custos.
Durante o processo de gesto de riscos de segurana da informao,
importante que os riscos e a forma com que so tratados sejam
comunicados ao pessoal das reas operacionais e gestores
apropriados. Mesmo antes do tratamento do risco, informaes sobre
riscos identificados podem ser muito teis para o gerenciamento de
incidentes e ajudar a reduzir possveis prejuzos. A conscientizao
dos gestores e pessoal no que diz respeito aos riscos, natureza dos
controles aplicados para mitig-los e s reas definidas como de
interesse pela organizao, auxiliam a lidar com os incidentes e
eventos no previstos da maneira mais efetiva. Convm que os
resultados detalhados de cada atividade do processo de gesto de
riscos de segurana da informao, assim como as decises sobre o
processo de avaliao de riscos e sobre o tratamento do risco
(representadas pelos dois pontos de deciso na Figura 2), sejam
documentados. A ABNT NBR ISO/IEC 27001:2006 especifica que os
controles implementados no escopo, limites e contexto do SGSI devem
ser baseados no risco. A aplicao de um processo de gesto de riscos
de segurana da informao pode satisfazer esse requisito. H vrios
mtodos atravs dos quais o processo pode ser implementado com
sucesso em uma organizao. Convm que a organizao use o mtodo que
melhor se adeque a suas circunstncias, para cada aplicao especfica
do processo.
Em um SGSI, a definio do contexto, o processo de avaliao de
riscos, o desenvolvimento do plano de tratamento do risco e a
aceitao do risco fazem parte da fase "planejar". Na fase "executar"
do SGSI, as aes e controles necessrios para reduzir os riscos para
um nvel aceitvel so implementados de acordo com o plano de
tratamento do risco. Na fase verificar do SGSI, os gestores
determinaro a necessidade de reviso da avaliao e tratamento do
risco luz dos incidentes e
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 16/97
mudanas nas circunstncias. Na fase agir, as aes necessrias so
executadas, incluindo a reaplicao do processo de gesto de riscos de
segurana da informao.
A Tabela 1 resume as atividades relevantes de gesto de riscos de
segurana da informao para as quatro fases do processo do SGSI:
Tabela 1 Alinhamento do processo do SGSI e do processo de gesto
de riscos de segurana da informao
Processo do SGSI Processo de gesto de riscos de segurana da
informao
Planejar
Definio do contexto
Processo de avaliao de riscos
Definio do plano de tratamento do risco
Aceitao do risco
Executar Implementao do plano de tratamento do risco
Verificar Monitoramento contnuo e anlise crtica de riscos
Agir Manter e melhorar o processo de Gesto de Riscos de Segurana
da Informao
7 Definio do contexto 7.1 Consideraes Gerais
Entrada: Todas as informaes sobre a organizao relevantes para a
definio do contexto da gesto de riscos de segurana da informao.
Ao: Convm que o contexto externo e interno para gesto de riscos
de segurana da informao seja estabelecido, o que envolve a definio
dos critrios bsicos necessrios para a gesto de riscos de segurana
da informao (7.2), a definio do escopo e dos limites (7.3) e o
estabelecimento de uma organizao apropriada para operar a gesto de
riscos de segurana da informao (7.4). Diretrizes para
implementao:
essencial determinar o propsito da gesto de riscos de segurana
da informao, pois ele afeta o processo em geral e a definio do
contexto em particular. Esse propsito pode ser:
Suporte a um SGSI
Conformidade legal e evidncia da devida diligncia (due
diligence) Preparao de um plano de continuidade de negcios
Preparao de um plano de resposta a incidentes
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 17/97
Descrio dos requisitos de segurana da informao para um produto,
um servio ou um mecanismo
As diretrizes para implementao dos elementos da definio do
contexto necessrios para dar suporte a um SGSI so discutidas
detalhadamente nas Sees 7.2, 7.3 e 7.4 a seguir.
NOTA A ABNT NBR ISO/IEC 27001:2006 no usa o termo contexto. No
entanto, a Seo 7 refere-se aos requisitos definir o escopo e
limites do SGSI [4.2.1.a)], definir uma poltica para o SGSI
[4.2.1.b)] e definir a abordagem de anlise/avaliao de riscos
[4.2.1.c)], especificados na ABNT NBR ISO/IEC 27001:2006.
Sada: A especificao dos critrios bsicos; o escopo e os limites
do processo de gesto de riscos de segurana da informao; e a
organizao responsvel pelo processo.
7.2 Critrios bsicos
7.2.1 Abordagem da gesto de riscos
Dependendo do escopo e dos objetivos da gesto de riscos,
diferentes mtodos podem ser aplicados. O mtodo tambm pode ser
diferente para cada iterao do processo.
Convm que um mtodo de gesto de riscos apropriado seja
selecionado ou desenvolvido e leve em conta critrios bsicos, tais
como: critrios de avaliao de riscos, critrios de impacto e critrios
de aceitao do risco.
Alm disso, convm que a organizao avalie se os recursos
necessrios esto disponveis para:
Executar o processo de avaliao de riscos e estabelecer um plano
de tratamento de riscos
Definir e implementar polticas e procedimentos, incluindo
implementao dos controles selecionados
Monitorar controles
Monitorar o processo de gesto de riscos de segurana da
informao
NOTA Ver tambm a ABNT NBR ISO/IEC 27001:2006 (Seo 5.2.1) com
relao proviso de recursos para a implementao e operao de um
SGSI.
7.2.2 Critrios para a avaliao de riscos
Convm que os critrios para a avaliao de riscos sejam
desenvolvidos para avaliar os riscos de segurana da informao na
organizao, considerando os seguintes itens:
O valor estratgico do processo que trata as informaes de
negcio
A criticidade dos ativos de informao envolvidos
Requisitos legais e regulatrios, bem como as obrigaes
contratuais
Importncia do ponto de vista operacional e dos negcios, da
disponibilidade, da confidencialidade e da integridade
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 18/97
Expectativas e percepes das partes interessadas e consequncias
negativas para o valor de mercado (em especial, no que se refere
aos fatores intangveis desse valor), a imagem e a reputao
Alm disso, critrios para avaliao de riscos podem ser usados para
especificar as prioridades para o tratamento do risco.
7.2.3 Critrios de impacto
Convm que os critrios de impacto sejam desenvolvidos e
especificados em funo do montante dos danos ou custos organizao
causados por um evento relacionado com a segurana da informao,
considerando o seguinte:
Nvel de classificao do ativo de informao afetado
Ocorrncias de violao da segurana da informao (por exemplo, perda
da disponibilidade, da confidencialidade e/ou da integridade)
Operaes comprometidas (internas ou de terceiros) Perda de
oportunidades de negcio e de valor financeiro
Interrupo de planos e o no cumprimento de prazos
Dano reputao
Violaes de requisitos legais, regulatrios ou contratuais
NOTA Veja tambm a ABNT NBR ISO/IEC 27001:2006 [Seo 4.2.1 d) 4]
com relao identificao dos critrios de impacto, considerando a perda
da confidencialidade, da integridade e/ou da disponibilidade.
7.2.4 Critrios para a aceitao do risco
Convm que os critrios para a aceitao do risco sejam
desenvolvidos e especificados. Os critrios de aceitao do risco
dependem frequentemente das polticas, metas e objetivos da
organizao, assim como dos interesses das partes interessadas.
Convm que a organizao defina sua prpria escala de nveis de
aceitao do risco. Convm que os seguintes tpicos sejam considerados
durante o desenvolvimento: Critrios para a aceitao do risco podem
incluir mais de um limite, representando um nvel
desejvel de risco, porm precaues podem ser tomadas por gestores
seniores para aceitar riscos acima desse nvel desde que sob
circunstncias definidas
Critrios para a aceitao do risco podem ser expressos como a razo
entre o lucro estimado (ou outro benefcio ao negcio) e o risco
estimado
Diferentes critrios para a aceitao do risco podem ser aplicados
a diferentes classes de risco, por exemplo: riscos que podem
resultar em no conformidade com regulamentaes ou leis podem no ser
aceitos, enquanto riscos de alto impacto podero ser aceitos se isto
for especificado como um requisito contratual
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 19/97
Critrios para a aceitao do risco podem incluir requisitos para
um tratamento adicional futuro, por exemplo: um risco poder ser
aceito se for aprovado e houver o compromisso de que aes para
reduzi-lo a um nvel aceitvel sero tomadas dentro de um determinado
perodo de tempo
Critrios para a aceitao do risco podem ser diferenciados de
acordo com o tempo de existncia previsto do risco, por exemplo: o
risco pode estar associado a uma atividade temporria ou de curto
prazo. Convm que os critrios para a aceitao do risco sejam
estabelecidos, considerando os seguintes itens:
Critrios de negcio
Aspectos legais e regulatrios
Operaes
Tecnologia
Finanas
Fatores sociais e humanitrios
NOTA Os critrios para a aceitao do risco correspondem aos
critrios para aceitao do risco e identificao do nvel aceitvel dos
mesmos especificados na ABNT NBR ISO/IEC 27001:2006 Seo 4.2.1.c)
2).
Mais informaes podem ser encontradas no Anexo A.
7.3 Escopo e limites
Convm que a organizao defina o escopo e os limites da gesto de
riscos de segurana da informao.
O escopo do processo de gesto de riscos de segurana da informao
precisa ser definido para assegurar que todos os ativos relevantes
sejam considerados no processo de avaliao de riscos. Alm disso, os
limites precisam ser identificados [ver tambm a ABNT NBR ISO/IEC
27001:2006 Seo 4.2.1.a)] para permitir o reconhecimento dos riscos
que possam transpor esses limites. Convm que as informaes sobre a
organizao sejam reunidas para que seja possvel determinar o
ambiente em que ela opera e a relevncia desse ambiente para o
processo de gesto de riscos de segurana da informao.
Ao definir o escopo e os limites, convm que a organizao
considere as seguintes informaes:
Os objetivos estratgicos, polticas e estratgias da organizao
Processos de negcio
As funes e estrutura da organizao
Requisitos legais, regulatrios e contratuais aplicveis
organizao
A poltica de segurana da informao da organizao
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 20/97
A abordagem da organizao gesto de riscos
Ativos de informao
Localidades em que a organizao se encontra e suas caractersticas
geogrficas
Restries que afetam a organizao
Expectativas das partes interessadas
Ambiente sociocultural
Interfaces (ou seja: a troca de informao com o ambiente) Alm
disso, convm que a organizao fornea justificativa para quaisquer
excluses do escopo. Exemplos do escopo da gesto de riscos podem
ser: uma aplicao de TI, a infraestrutura de TI, um processo de
negcios ou uma parte definida da organizao.
NOTA O escopo e os limites da gesto de riscos de segurana da
informao esto relacionados ao escopo e aos limites do SGSI,
conforme requerido na ABNT NBR ISO/IEC 27001:2006 4.2.1.a).
Informaes adicionais podem ser encontradas no Anexo A.
7.4 Organizao para gesto de riscos de segurana da informao
Convm que a organizao e as responsabilidades para o processo de
gesto de riscos de segurana da informao sejam estabelecidas e
mantidas. A seguir esto os principais papis e responsabilidades
dessa organizao:
Desenvolvimento do processo de gesto de riscos de segurana da
informao adequado organizao
Identificao e anlise das partes interessadas
Definio dos papis e responsabilidades de todas as partes,
internas e externas organizao
Estabelecimento das relaes necessrias entre a organizao e as
partes interessadas, das interfaces com as funes de alto nvel de
gesto de riscos da organizao (por exemplo, a gesto de riscos
operacionais), assim como das interfaces com outros projetos ou
atividades relevantes
Definio de aladas para a tomada de decises
Especificao dos registros a serem mantidos
Convm que essa organizao seja aprovada pelos gestores
apropriados. NOTA A ABNT NBR ISO/IEC 27001:2006 requer a
identificao e a proviso dos recursos necessrios para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e
melhorar um SGSI [5.2.1.a)]. A organizao das operaes de gesto de
riscos pode ser considerada como um dos recursos necessrios,
segundo a ABNT NBR ISO/IEC 27001:2006.
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 21/97
8 Processo de avaliao de riscos de segurana da informao 8.1
Descrio geral do processo de avaliao de riscos de segurana da
informao
NOTA A atividade do processo de avaliao de riscos referida como
processo de anlise/avaliao de riscos na ABNT NBR ISO/IEC
27001:2006.
Entrada: Critrios bsicos, o escopo e os limites, e a organizao
do processo de gesto de riscos de segurana da informao que se est
definindo.
Ao: Convm que os riscos sejam identificados, quantificados ou
descritos qualitativamente, priorizados em funo dos critrios de
avaliao de riscos e dos objetivos relevantes da organizao.
Diretrizes para implementao:
Um risco a combinao das consequncias advindas da ocorrncia de um
evento indesejado e da probabilidade da ocorrncia do mesmo. O
processo de avaliao de riscos quantifica ou descreve o risco
qualitativamente e capacita os gestores a priorizar os riscos de
acordo com a sua gravidade percebida ou com outros critrios
estabelecidos.
O processo de avaliao de riscos consiste nas seguintes
atividades:
Identificao de riscos (Seo 8.2) Anlise de riscos (Seo 8.3)
Avaliao de riscos (Seo 8.4) O processo de avaliao de riscos
determina o valor dos ativos de informao, identifica as ameaas e
vulnerabilidades aplicveis existentes (ou que poderiam existir),
identifica os controles existentes e seus efeitos no risco
identificado, determina as consequncias possveis e, finalmente,
prioriza os riscos derivados e ordena-os de acordo com os critrios
de avaliao de riscos estabelecidos na definio do contexto.
O processo de avaliao de riscos executado frequentemente em duas
(ou mais) iteraes. Primeiramente, uma avaliao de alto nvel
realizada para identificar os riscos potencialmente altos, os quais
merecem uma avaliao mais aprofundada. A segunda iterao pode
considerar com mais profundidade esses riscos potencialmente altos
revelados na primeira iterao. Se ela no fornecer informaes
suficientes para avaliar o risco, ento anlises adicionais
detalhadas precisaro ser executadas, provavelmente em partes do
escopo total e possivelmente usando um outro mtodo.
Cabe organizao selecionar seu prprio mtodo para o processo de
avaliao de riscos baseado nos objetivos e na meta do processo de
avaliao de riscos. Uma discusso sobre mtodos utilizados no processo
de avaliao de riscos de segurana da informao pode ser encontrada no
Anexo E.
Sada: Uma lista de riscos avaliados, ordenados por prioridade de
acordo com os critrios de avaliao de riscos.
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 22/97
8.2 Identificao de riscos
8.2.1 Introduo identificao de riscos
O propsito da identificao de riscos determinar eventos que
possam causar uma perda potencial e deixar claro como, onde e por
que a perda pode acontecer. As etapas descritas nas prximas subsees
de 8.2 servem para coletar dados de entrada para a atividade de
anlise de riscos.
Convm que a identificao de riscos inclua os riscos cujas fontes
estejam ou no sob controle da organizao, mesmo que a fonte ou a
causa dos riscos no seja evidente. NOTA Atividades descritas nas
sees subsequentes podem ser executadas em uma ordem diferente
dependendo da metodologia aplicada.
8.2.2 Identificao dos ativos
Entrada: Escopo e limites para o processo de avaliao de riscos a
ser executado; lista de componentes com responsveis, localidade,
funo etc..
Ao: Convm que os ativos dentro do escopo estabelecido sejam
identificados (refere-se ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1.d)
1)). Diretrizes para implementao:
Um ativo algo que tem valor para a organizao e que, portanto,
requer proteo. Para a identificao dos ativos convm que se tenha em
mente que um sistema de informao compreende mais do que hardware e
software.
Convm que a identificao dos ativos seja executada com um
detalhamento adequado que fornea informaes suficientes para o
processo de avaliao de riscos. O nvel de detalhe usado na
identificao dos ativos influenciar na quantidade geral de informaes
reunidas durante o processo de avaliao de riscos. O detalhamento
pode ser aprofundado em cada iterao do processo de avaliao de
riscos.
Convm que um responsvel seja identificado para cada ativo, a fim
de oficializar sua responsabilidade e garantir a possibilidade da
respectiva prestao de contas. O responsvel pelo ativo pode no ter
direitos de propriedade sobre o mesmo, mas tem responsabilidade
sobre sua produo, desenvolvimento, manuteno, utilizao e segurana,
conforme apropriado. O responsvel pelo ativo frequentemente a
pessoa mais adequada para determinar o valor do mesmo para a
organizao (ver 8.3.2 sobre a valorao dos ativos). O limite da
anlise crtica o permetro dos ativos da organizao a serem
considerados pelo processo de gesto de riscos de segurana da
informao.
Mais informaes sobre a identificao e valorao dos ativos, sob a
perspectiva da segurana da informao, podem ser encontradas no Anexo
B.
Sada: Uma lista de ativos com riscos a serem gerenciados, e uma
lista dos processos de negcio relacionados aos ativos e suas
relevncias.
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 23/97
8.2.3 Identificao das ameaas
Entrada: Informaes sobre ameaas obtidas a partir da anlise
crtica de incidentes, dos responsveis pelos ativos, de usurios e de
outras fontes, incluindo catlogos externos de ameaas.
Ao: Convm que as ameaas e suas fontes sejam identificadas
(refere-se ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1 d) 2)).
Diretrizes para implementao:
Uma ameaa tem o potencial de comprometer ativos (tais como,
informaes, processos e sistemas) e, por isso, tambm as organizaes.
Ameaas podem ser de origem natural ou humana e podem ser acidentais
ou intencionais. Convm que tanto as fontes das ameaas acidentais,
quanto as intencionais, sejam identificadas. Uma ameaa pode surgir
de dentro ou de fora da organizao. Convm que as ameaas sejam
identificadas genericamente e por classe (por exemplo, aes no
autorizadas, danos fsicos, falhas tcnicas) e, quando apropriado,
ameaas especficas identificadas dentro das classes genricas. Isso
significa que, nenhuma ameaa ignorada, incluindo as no previstas,
mas que o volume de trabalho exigido limitado.
Algumas ameaas podem afetar mais de um ativo. Nesses casos, elas
podem provocar impactos diferentes, dependendo de quais ativos so
afetados.
Dados de entrada para a identificao das ameaas e anlise da
probabilidade de ocorrncia (ver 8.3.3) podem ser obtidos dos
responsveis pelos ativos ou dos usurios, do pessoal, dos
administradores das instalaes e dos especialistas em segurana da
informao, de peritos em segurana fsica, do departamento jurdico e
de outras organizaes, incluindo organismos legais, autoridades
climticas, companhias de seguros e autoridades governamentais
nacionais. Aspectos culturais e relacionados ao ambiente precisam
ser considerados quando se examina as ameaas.
Convm que experincias internas de incidentes e avaliaes
anteriores das ameaas sejam consideradas na avaliao atual. Pode ser
til a consulta a outros catlogos de ameaas (talvez mais especfico a
uma organizao ou negcio) a fim de completar a lista de ameaas
genricas, quando relevante. Catlogos de ameaas e estatsticas so
disponibilizados por organismos setoriais, governos nacionais,
organismos legais, companhias de seguro etc.
Quando forem usados catlogos de ameaas ou os resultados de uma
avaliao anterior das ameaas, convm que se tenha conscincia de que
as ameaas relevantes esto sempre mudando, especialmente se o
ambiente de negcio ou se os sistemas de informaes mudarem.
Mais informaes sobre tipos de ameaas podem ser encontradas no
Anexo C.
Sada: Uma lista de ameaas com a identificao do tipo e da fonte
das ameaas.
8.2.4 Identificao dos controles existentes
Entrada: Documentao dos controles, planos de implementao do
tratamento do risco.
Ao: Convm que os controles existentes e os planejados sejam
identificados. Diretrizes para implementao:
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 24/97
Convm que a identificao dos controles existentes seja realizada
para evitar custos e trabalho desnecessrios, por exemplo, na
duplicao de controles. Alm disso, enquanto os controles existentes
esto sendo identificados, convm que seja feita uma verificao para
assegurar que eles esto funcionando corretamente - uma referncia
aos relatrios j existentes de auditoria do SGSI pode reduzir o
tempo gasto nesta tarefa. Um controle que no funcione como esperado
pode provocar o surgimento de vulnerabilidades. Convm que seja
levada em considerao a possibilidade de um controle selecionado (ou
estratgia) falhar durante sua operao. Sendo assim, controles
complementares so necessrios para tratar efetivamente o risco
identificado. Em um SGSI, de acordo com a ABNT NBR ISO/IEC 27001,
isso auxiliado pela medio da eficcia dos controles. Uma maneira
para estimar o efeito do controle ver o quanto ele reduz, por um
lado, a probabilidade da ameaa e a facilidade com que uma
vulnerabilidade pode ser explorada ou, por outro lado, o impacto do
incidente. A anlise crtica pela direo e relatrios de auditoria
tambm fornecem informaes sobre a eficcia dos controles
existentes.
Convm que os controles que esto planejados para serem
implementados de acordo com os planos de implementao de tratamento
do risco tambm sejam considerados, juntamente com aqueles que j
esto implementados.
Controles existentes ou planejados podem ser considerados
ineficazes, insuficientes ou no-justificados. Convm que um controle
insuficiente ou no justificado seja verificado para determinar se
convm que o mesmo seja removido, substitudo por outro controle mais
adequado ou se convm que o controle permanea em vigor, por exemplo,
em funo dos custos.
Para a identificao dos controles existentes ou planejados, as
seguintes atividades podem ser teis: Analisar de forma crtica os
documentos contendo informaes sobre os controles (por exemplo,
os
planos de implementao de tratamento do risco). Se os processos
de gesto da segurana da informao esto bem documentados, convm que
todos os controles existentes ou planejados e a situao de sua
implementao estejam disponveis;
Verificar com as pessoas responsveis pela segurana da informao
(por exemplo, o responsvel pela segurana da informao, o responsvel
pela segurana do sistema da informao, o gerente das instalaes
prediais, o gerente de operaes) e com os usurios quais controles,
relacionados ao processo de informao ou ao sistema de informao sob
considerao, esto realmente implementados;
Revisar, no local, os controles fsicos, comparando os controles
implementados com a lista de quais convm que estejam presentes; e
verificar se aqueles implementados esto funcionando efetiva e
corretamente, ou
Analisar criticamente os resultados de auditorias.
Sada: Uma lista de todos os controles existentes e planejados,
sua implementao e status de utilizao.
8.2.5 Identificao das vulnerabilidades
Entrada: Uma lista de ameaas conhecidas, listas de ativos e
controles existentes.
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 25/97
Ao: Convm que as vulnerabilidades que podem se exploradas por
ameaas para comprometer os ativos ou a organizao sejam
identificadas (refere-se ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1 d)
3)). Diretrizes para implementao:
Vulnerabilidades podem ser identificadas nas seguintes reas:
Organizao
Processos e procedimentos
Rotinas de gesto
Recursos humanos
Ambiente fsico
Configurao do sistema de informao
Hardware, software ou equipamentos de comunicao
Dependncia de entidades externas
A presena de uma vulnerabilidade no causa prejuzo por si s, pois
precisa haver uma ameaa presente para explor-la. Uma
vulnerabilidade que no tem uma ameaa correspondente pode no
requerer a implementao de um controle no presente momento, mas
convm que ela seja reconhecida como tal e monitorada, no caso de
haver mudanas. Note-se que um controle implementado, funcionando
incorretamente ou sendo usado incorretamente, pode, por si s,
representar uma vulnerabilidade. Um controle pode ser eficaz ou no,
dependendo do ambiente no qual ele opera. Inversamente, uma ameaa
que no tenha uma vulnerabilidade correspondente pode no resultar em
um risco.
Vulnerabilidades podem estar ligadas a propriedades do ativo, as
quais podem ser usadas de uma forma ou para um propsito diferente
daquele para o qual o ativo foi adquirido ou desenvolvido.
Vulnerabilidades decorrentes de diferentes fontes precisam ser
consideradas, por exemplo, as intrnsecas ao ativo e as
extrnsecas.
Exemplos de vulnerabilidades e mtodos para avaliao de
vulnerabilidades podem ser encontrados no Anexo D.
Sada: Uma lista de vulnerabilidades associadas aos ativos,
ameaas e controles; uma lista de vulnerabilidades que no se refere
a nenhuma ameaa identificada para anlise.
8.2.6 Identificao das consequncias
Entrada: Uma lista de ativos, uma lista de processos do negcio e
uma lista de ameaas e vulnerabilidades, quando aplicvel,
relacionadas aos ativos e sua relevncia.
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 26/97
Ao: Convm que as consequncias que a perda de confidencialidade,
de integridade e de disponibilidade podem ter sobre os ativos sejam
identificadas (ver ABNT NBR ISO/IEC 27001:2006 4.2.1 d)4)).
Diretrizes para implementao:
Uma consequncia pode ser, por exemplo, a perda da eficcia,
condies adversas de operao, a perda de oportunidades de negcio,
reputao afetada, prejuzo etc. Essa atividade identifica o prejuzo
ou as consequncias para a organizao que podem decorrer de um cenrio
de incidente. Um cenrio de incidente a descrio de uma ameaa
explorando uma certa vulnerabilidade ou um conjunto delas em um
incidente de segurana da informao (ver ABNT NBR ISO/IEC 27002:2005,
Seo 13). O impacto dos cenrios de incidentes determinado
considerando-se os critrios de impacto definidos durante a
atividade de definio do contexto. Ele pode afetar um ou mais ativos
ou apenas parte de um ativo. Assim, aos ativos podem ser atribudos
valores correspondendo tanto aos seus custos financeiros, quanto s
consequncias ao negcio se forem danificados ou comprometidos.
Consequncias podem ser de natureza temporria ou permanente como no
caso da destruio de um ativo.
NOTA A ABNT NBR ISO/IEC 27001:2006 descreve a ocorrncia de
cenrios de incidentes como falhas de segurana.
Convm que as organizaes identifiquem as consequncias
operacionais de cenrios de incidentes em funo de (mas no limitado
a): Investigao e tempo de reparo
Tempo (de trabalho) perdido Oportunidade perdida
Sade e Segurana
Custo financeiro das competncias especficas necessrias para
reparar o prejuzo Imagem, reputao e valor de mercado
Detalhes sobre a avaliao de vulnerabilidades tcnicas podem ser
encontrados em B.3 - Avaliao do Impacto.
Sada: Uma lista de cenrios de incidentes com suas consequncias
associadas aos ativos e processos do negcio.
8.3 Anlise de riscos
8.3.1 Metodologias de anlise de riscos
A anlise de riscos pode ser empreendida com diferentes graus de
detalhamento, dependendo da criticidade dos ativos, da extenso das
vulnerabilidades conhecidas e dos incidentes anteriores envolvendo
a organizao. Uma metodologia para a anlise pode ser qualitativa ou
quantitativa ou uma combinao de ambos, dependendo das
circunstncias. Na prtica, a anlise qualitativa
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 27/97
frequentemente utilizada em primeiro lugar para obter uma
indicao geral do nvel de risco e para revelar os grandes riscos.
Depois, poder ser necessrio efetuar uma anlise quantitativa ou mais
especfica, nos grandes riscos. Isso ocorre porque normalmente menos
complexo e menos oneroso realizar anlises qualitativas do que
quantitativas.
Convm que a forma da anlise seja coerente com o critrio de
avaliao de riscos desenvolvida como parte da definio do
contexto.
Detalhes adicionais a respeito das metodologias para a anlise
esto descritos a seguir:
(a) Anlise qualitativa de riscos: A anlise qualitativa utiliza
uma escala com atributos qualificadores que descrevem a magnitude
das consequncias potenciais (por exemplo, Pequena, Mdia e Grande) e
a probabilidade dessas consequncias ocorrerem. Uma vantagem da
anlise qualitativa sua facilidade de compreenso por todas as
pessoas envolvidas enquanto que uma desvantagem a dependncia
escolha subjetiva da escala.
Essas escalas podem ser adaptadas ou ajustadas para se adequarem
s circunstncias e descries diferentes podem ser usadas para riscos
diferentes. A anlise qualitativa pode ser utilizada:
Como uma verificao inicial a fim de identificar riscos que
exigiro uma anlise mais detalhada
Quando esse tipo de anlise suficiente para a tomada de
decises
Quando os dados numricos ou recursos so insuficientes para uma
anlise quantitativa
Convm que a anlise qualitativa utilize informaes e dados
factuais quando disponveis.
(b) Anlise quantitativa de riscos: A anlise quantitativa utiliza
uma escala com valores numricos (e no as escalas descritivas usadas
na anlise qualitativa) tanto para consequncias quanto para a
probabilidade, usando dados de diversas fontes. A qualidade da
anlise depende da exatido e da integralidade dos valores numricos e
da validade dos modelos utilizados. A anlise quantitativa, na
maioria dos casos, utiliza dados histricos dos incidentes,
proporcionando a vantagem de poder ser relacionada diretamente aos
objetivos da segurana da informao e interesses da organizao. Uma
desvantagem a falta de tais dados sobre novos riscos ou sobre
fragilidades da segurana da informao. Uma desvantagem da abordagem
quantitativa ocorre quando dados factuais e auditveis no esto
disponveis. Nesse caso, a exatido do processo de avaliao de riscos
e os valores associados tornam-se ilusrios.
A forma na qual as consequncias e a probabilidade so expressas e
a forma em que elas so combinadas para fornecer um nvel de risco ir
variar de acordo com o tipo de risco e do propsito para o qual os
resultados do processo de avaliao de riscos sero usados. Convm que
a incerteza e a variabilidade tanto das consequncias, quanto da
probabilidade, sejam consideradas na anlise e comunicadas de forma
eficaz.
8.3.2 Avaliao das consequncias
Entrada: Uma lista de cenrios de incidentes identificados como
relevantes, incluindo a identificao de ameaas, vulnerabilidades,
ativos afetados e consequncias para os ativos e processos do
negcio.
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 28/97
Ao: Convm que o impacto sobre o negcio da organizao, que pode
ser causado por incidentes (possveis ou reais) relacionados
segurana da informao, seja avaliado levando-se em conta as
consequncias de uma violao da segurana da informao, como por
exemplo: a perda da confidencialidade, da integridade ou da
disponibilidade dos ativos (refere-se ABNT NBR ISO/IEC 27001:2006,
Seo 4.2.1 e)1)). Diretrizes para implementao:
Depois de identificar todos os ativos relevantes, convm que os
valores atribudos a esses ativos sejam levados em considerao
durante a avaliao das consequncias.
O valor do impacto ao negcio pode ser expresso de forma
qualitativa ou quantitativa, porm um mtodo para designar valores
monetrios geralmente pode fornecer mais informaes teis para a
tomada de decises e, consequentemente, permitir que o processo de
tomada de deciso seja mais eficiente.
A valorao dos ativos comea com a classificao dos mesmos de
acordo com sua criticidade, em funo da importncia dos ativos para a
realizao dos objetivos de negcios da organizao. A valorao ento
determinada de duas maneiras:
o valor de reposio do ativo: o custo da recuperao e da reposio
da informao (se for possvel) e
as consequncias ao negcio relacionadas perda ou ao
comprometimento do ativo, tais como as possveis consequncias
adversas de carter empresarial, legal ou regulatrias causadas pela
divulgao indevida, modificao, indisponibilidade e/ou destruio de
informaes ou de outros ativos de informao
Essa valorao pode ser determinada a partir de uma anlise de
impacto no negcio. O valor, determinado em funo da consequncia para
o negcio, normalmente significativamente mais elevado do que o
simples custo de reposio, dependendo da importncia do ativo para a
organizao na realizao dos objetivos de negcios. A valorao dos
ativos representa um dos aspectos mais importantes na avaliao do
impacto de um cenrio de incidente, pois o incidente pode afetar
mais de um ativo (por exemplo: os ativos dependentes) ou somente
parte de um ativo. Diferentes ameaas e vulnerabilidades causaro
diferentes impactos sobre os ativos, tais como perda da
confidencialidade, da integridade ou da disponibilidade. A avaliao
das consequncias est, portanto, relacionada valorao dos ativos
baseada na anlise de impacto no negcio.
As consequncias ou o impacto ao negcio podem ser determinados
por meio da criao de modelos com os resultados de um evento, um
conjunto de eventos ou atravs da extrapolao a partir de estudos
experimentais ou dados passados.
As consequncias podem ser expressas em funo dos critrios
monetrios, tcnicos ou humanos, de impacto ou de outro critrio
relevante para a organizao. Em alguns casos, mais de um valor
numrico necessrio para especificar as consequncias tendo em vista
os diferentes momentos, lugares, grupos ou situaes.
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 29/97
Convm que as consequncias expressas em tempo e valor financeiro
sejam medidas com a mesma abordagem utilizada para a probabilidade
da ameaa e as vulnerabilidades. A consistncia deve ser mantida com
respeito abordagem quantitativa ou qualitativa.
Mais informaes sobre valorao dos ativos e sobre a avaliao do
impacto podem ser encontradas no Anexo B.
Sada: Uma lista de consequncias avaliadas referentes a um cenrio
de incidente, relacionadas aos ativos e critrios de impacto.
8.3.3 Avaliao da probabilidade dos incidentes
Entrada: Uma lista de cenrios de incidentes identificados como
relevantes, incluindo a identificao de ameaas, ativos afetados,
vulnerabilidades exploradas e consequncias para os ativos e
processos do negcio. Alm disso, listas com todos os controles
existentes e planejados, sua eficcia, implementao e status de
utilizao.
Ao: Convm que a probabilidade dos cenrios de incidentes seja
avaliada (refere-se ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1 e) 2)).
Diretrizes para implementao:
Depois de identificar os cenrios de incidentes, necessrio
avaliar a probabilidade de cada cenrio e do impacto correspondente,
usando tcnicas de anlise qualitativas ou quantitativas. Convm levar
em conta a frequncia da ocorrncia das ameaas e a facilidade com que
as vulnerabilidades podem ser exploradas, considerando o
seguinte:
a experincia passada e estatsticas aplicveis referentes
probabilidade da ameaa
para fontes de ameaas intencionais: a motivao e as competncias,
que mudam ao longo do tempo, os recursos disponveis para possveis
atacantes, bem como a percepo da vulnerabilidade e o poder da atrao
dos ativos para um possvel atacante
para fontes de ameaas acidentais: fatores geogrficos (como por
exemplo, proximidade a fbricas e refinarias de produtos qumicos e
petrleo), a possibilidade de eventos climticos extremos e fatores
que poderiam acarretar erros humanos e o mau funcionamento de
equipamentos
vulnerabilidades, tanto individualmente como em conjunto os
controles existentes e a eficcia com que eles reduzem as
vulnerabilidades
Por exemplo, um sistema de informao pode ter uma vulnerabilidade
relacionada s ameaas de se forjar a identidade de um usurio e de se
fazer mau uso de recursos. A vulnerabilidade relacionada ao uso
forjado da identidade de um usurio pode ser alta devido, por
exemplo, falta de um mecanismo de autenticao de usurio. Por outro
lado, a probabilidade de utilizao indevida dos recursos pode ser
baixa, apesar da falta de auteticao, pois os meios disponveis para
que isso pudesse acontecer so limitados.
Dependendo da necessidade de exatido, ativos podem ser agrupados
ou pode ser necessrio dividir um ativo em seus componentes e
relacionar estes aos cenrios. Por exemplo: conforme a
localidade
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 30/97
geogrfica, a natureza das ameaas a um mesmo tipo de ativo ou a
eficcia dos controles existentes podem variar.
Sada: Probabilidade dos cenrios de incidentes (no mtodo
quantitativo ou no qualitativo). 8.3.4 Determinao do nvel de
risco
Entrada: Uma lista de cenrios de incidentes com suas
consequncias associadas aos ativos, processos de negcio e suas
probabilidades (no mtodo quantitativo ou no qualitativo). Ao: Convm
que o nvel de risco seja estimado para todos os cenrios de
incidentes considerados relevantes (refere-se ABNT NBR ISO/IEC
27001:2006, Seo 4.2.1 e) 4)). Diretrizes para implementao:
A anlise de riscos designa valores para a probabilidade e para
as consequncias de um risco. Esses valores podem ser de natureza
quantitativa ou qualitativa. A anlise de riscos baseada nas
consequncias e na probabilidade estimadas. Alm disso, ela pode
considerar o custo-benefcio, as preocupaes das partes interessadas
e outras variveis, conforme apropriado para a avaliao de riscos. O
risco estimado uma combinao da probabilidade de um cenrio de
incidente e suas consequncias.
Exemplos de diferentes abordagens ou mtodos para anlise de
riscos de segurana da informao podem ser encontrados no Anexo
E.
Sada: Uma lista de riscos com nveis de valores designados.
8.4 Avaliao de riscos
Entrada: Uma lista de riscos com nveis de valores designados e
critrios para a avaliao de riscos.
Ao: Convm que o nvel dos riscos seja comparado com os critrios
de avaliao de riscos e com os critrios para a aceitao do risco
(refere-se ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1 e) 4)).
Diretrizes para implementao:
A natureza das decises relativas avaliao de riscos e os critrios
de avaliao de riscos que iro ser usados para tomar essas decises
teriam sido decididos durante a definio do contexto. Convm que
essas decises e o contexto sejam revisados detalhadamente nesse
estgio em que se conhece mais sobre os riscos identificados. Para
avaliar os riscos, convm que as organizaes comparem os riscos
estimados (usando os mtodos ou abordagens selecionadas como
abordado no Anexo E) com os critrios de avaliao de riscos definidos
durante a definio do contexto.
Convm que os critrios de avaliao de riscos utilizados na tomada
de decises sejam consistentes com o contexto definido, externo e
interno, relativo gesto de riscos de segurana da informao e levem
em conta os objetivos da organizao, o ponto de vista das partes
interessadas etc. As decises tomadas durante a atividade de avaliao
de riscos so baseadas principalmente no nvel de risco aceitvel. No
entanto, convm que as consequncias, a probabilidade e o grau de
confiana na identificao e anlise de riscos tambm sejam
considerados. A agregao de vrios pequenos ou mdios riscos pode
resultar em um risco total bem mais significativo e precisa ser
tratada adequadamente.
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 31/97
Convm que os seguintes itens sejam considerados: Propriedades da
segurana da informao: se um critrio no for relevante para a
organizao (por
exemplo: a perda da confidencialidade), logo, todos os riscos
que provocam esse tipo de impacto podem ser considerados
irrelevantes
A importncia do processo de negcios ou da atividade suportada
por um determinado ativo ou conjunto de ativos: se o processo tiver
sido julgado de baixa importncia, convm que os riscos associados a
ele sejam menos considerados do que os riscos que causam impactos
em processos ou atividades mais importantes
A avaliao de riscos usa o entendimento do risco obtido atravs da
anlise de riscos para a tomada de decises sobre aes futuras. Convm
que as seguintes questes sejam decididas: Convm que uma atividade
seja empreendida As prioridades para o tratamento do risco,
levando-se em conta os nveis estimados de risco
Durante a etapa de avaliao de riscos, alm dos riscos estimados,
convm que requisitos contratuais, legais e regulatrios tambm sejam
considerados. Sada: Uma lista de riscos priorizada, de acordo com
os critrios de avaliao de riscos, em relao aos cenrios de
incidentes que podem levar a esses riscos.
9 Tratamento do risco de segurana da informao 9.1 Descrio geral
do processo de tratamento do risco
Entrada: Uma lista de riscos priorizada, de acordo com os
critrios de avaliao de riscos, em relao aos cenrios de incidentes
que podem levar a esses riscos.
Ao: Convm que controles para modificar, reter, evitar ou
compartilhar os riscos sejam selecionados e o plano de tratamento
do risco seja definido. Diretrizes para implementao:
H quatro opes disponveis para o tratamento do risco: modificao
do risco (ver 9.2), reteno do risco (ver 9.3), ao de evitar o risco
(ver 9.4) e compartilhamento do risco (ver 9.5). NOTA A ABNT NBR
ISO/IEC 27001:2006 4.2.1.f) 2) usa o termo aceitao do risco em vez
de reteno do risco.
A Figura 3 ilustra a atividade de tratamento do risco dentro do
processo de gesto de riscos de segurana da informao como
apresentado na Figura 2.
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 32/97
Figura 3 A atividade de tratamento do risco
Convm que as opes do tratamento do risco sejam selecionadas com
base no resultado do processo de avaliao de riscos, no custo
esperado para implementao dessas opes e nos benefcios
previstos.
Quando uma grande modificao do risco pode ser obtida com uma
despesa relativamente pequena, convm que essas opes sejam
implementadas. Outras opes para melhorias podem ser muito
dispendiosas e uma anlise precisa ser feita para verificar suas
justificativas.
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 33/97
Em geral, convm que as consequncias adversas do risco sejam
reduzidas ao mnimo possvel, independentemente de quaisquer critrios
absolutos. Convm que os gestores considerem os riscos improvveis
porm graves. Nesse caso, controles que no so justificveis do ponto
de vista estritamente econmico podem precisar ser implementados
(por exemplo, controles de continuidade de negcios concebidos para
tratar riscos de alto impacto especficos). As quatro opes para o
tratamento do risco no so mutuamente exclusivas. s vezes, a
organizao pode beneficiar-se substancialmente de uma combinao de
opes, tais como a reduo da probabilidade do risco, a reduo de suas
consequncias e o compartilhamento ou reteno dos riscos
residuais.
Algumas formas de tratamento do risco podem lidar com mais de um
risco de forma efetiva (por exemplo, o treinamento e a
conscientizao em segurana da informao). Convm que um plano de
tratamento do risco seja definido, identificando claramente a ordem
de prioridade em que as formas especficas de tratamento do risco
convm ser implementadas, assim como os seus prazos de execuo.
Prioridades podem ser estabelecidas usando vrias tcnicas, incluindo
a ordenao dos riscos e a anlise de custo-benefcio. de
responsabilidade dos gestores da organizao equilibrar os custos da
implementao dos controles e o oramento.
A identificao de controles existentes pode nos fazer concluir
que os mesmos excedem as necessidades atuais em funo da comparao de
custos, incluindo a manuteno. Se a remoo de controles redundantes e
desnecessrios tiver que ser considerada (especialmente se os
controles tm altos custos de manuteno), convm que a segurana da
informao e os fatores de custo sejam levados em conta. Devido
influncia que os controles exercem uns sobres os outros, a remoo de
controles redundantes pode reduzir a segurana em vigor como um
todo. Alm disso, talvez seja menos dispendioso deixar controles
redundantes ou desnecessrios em vigor do que remov-los.
Convm que as opes de tratamento do risco sejam consideradas
levando-se em conta: Como o risco percebido pelas partes
afetadas
As formas mais apropriadas de comunicao com as partes
A definio do contexto (ver 7.2 - Critrios de avaliao de riscos)
fornece informaes sobre requisitos legais e regulatrios com os
quais a organizao precisa estar em conformidade. Nesse caso, o
risco para organizao no estar em conformidade e convm que sejam
implementadas opes de tratamento para limitar essa possibilidade.
Convm que todas as restries - organizacionais, tcnicas, estruturais
etc.- identificadas durante a atividade de definio do contexto,
sejam levadas em conta durante o tratamento do risco.
Uma vez que o plano de tratamento do risco tenha sido definido,
os riscos residuais precisam ser determinados. Isso envolve uma
atualizao ou uma repetio do processo de avaliao de riscos,
considerando-se os efeitos previstos do tratamento do risco que foi
proposto. Caso o risco residual ainda no satisfaa os critrios para
a aceitao do risco da organizao, uma nova iterao do tratamento do
risco pode ser necessria antes de se prosseguir aceitao do risco.
Mais informaes podem ser encontradas na ABNT NBR ISO/IEC
27002:2005, Seo 0.3.
Sada: O plano de tratamento do risco e os riscos residuais,
sujeitos deciso de aceitao por parte dos gestores da organizao.
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 34/97
9.2 Modificao do risco
Ao: Convm que o nvel de risco seja gerenciado atravs da incluso,
excluso ou alterao de controles, para que o risco residual possa
ser reavaliado e ento considerado aceitvel.
Diretrizes para implementao:
Convm que controles apropriados e devidamente justificados sejam
selecionados para satisfazer os requisitos identificados atravs do
processo de avaliao de riscos e do tratamento dos mesmos. Convm que
essa escolha leve em conta os critrios para a aceitao do risco
assim como requisitos legais, regulatrios e contratuais. Convm que
essa seleo tambm leve em conta custos e prazos para a implementao
de controles, alm de aspectos tcnicos, culturais e ambientais. Com
frequncia, possvel diminuir o custo total de propriedade de um
sistema por meio de controles de segurana da informao
apropriadamente selecionados.
Em geral, os controles podem fornecer um ou mais dos seguintes
tipos de proteo: correo, eliminao, preveno, minimizao do impacto,
dissuaso, deteco, recuperao, monitoramento e conscientizao. Durante
a seleo de controles, importante pesar o custo da aquisio,
implementao, administrao, operao, monitoramento e manuteno dos
controles em relao ao valor dos ativos sendo protegidos. Alm disso,
convm que o retorno do investimento, na forma da modificao do risco
e da possibilidade de se explorar novas oportunidades de negcio em
funo da existncia de certos controles, tambm seja considerado.
Adicionalmente, convm considerar as competncias especializadas que
possam ser necessrias para definir e implementar novos controles ou
modificar os existentes.
A ABNT NBR ISO/IEC 27002 fornece informaes detalhadas sobre
controles.
H muitas restries que podem afetar a seleo de controles.
Restries tcnicas, tais como requisitos de desempenho, capacidade de
gerenciamento (requisitos de apoio operacional) e questes de
compatibilidade, podem dificultar a utilizao de certos controles ou
induzir erros humanos, chegando mesmo a anular o controle, a dar
uma falsa sensao de segurana ou a tornar o risco ainda maior do que
seria se o controle no existisse (por exemplo, exigir senhas
complexas sem treinamento adequado leva os usurios a anotar as
senhas por escrito). importante lembrar tambm que um controle pode
vir a afetar o desempenho sobremaneira. Convm que os gestores
tentem encontrar uma soluo que satisfaa os requisitos de desempenho
e que possa, ao mesmo tempo, garantir um nvel suficiente de
segurana da informao. O resultado dessa etapa uma lista de
controles possveis, com seu custo, benefcio e prioridade de
implementao.
Convm que vrias restries sejam levadas em considerao durante a
escolha e a implementao de controles. Normalmente, so consideradas
as seguintes:
Restries temporais
Restries financeiras
Restries tcnicas
Restries operacionais
Restries culturais
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 35/97
Restries ticas
Restries ambientais
Restries legais
Facilidade de uso
Restries de recursos humanos
Restries ligadas integrao dos controles novos aos j existentes.
Mais informaes sobre as restries que dizem respeito modificao do
risco podem ser encontradas no Anexo F.
9.3 Reteno do risco
Ao: Convm que as decises sobre a reteno do risco, sem outras aes
adicionais, sejam tomadas tendo como base a avaliao de riscos.
NOTA O tpico ABNT NBR ISO/IEC 27001:2006 4.2.1 f 2) "aceitao do
risco, consciente e objetiva, desde que claramente satisfazendo as
polticas da organizao e os critrios para aceitao do risco descreve
a mesma atividade.
Diretrizes para implementao:
Se o nvel de risco atende aos critrios para a aceitao do risco,
no h necessidade de se implementar controles adicionais e pode
haver a reteno do risco.
9.4 Ao de evitar o risco
Ao: Convm que a atividade ou condio que d origem a um
determinado risco seja evitada. Diretrizes para implementao:
Quando os riscos identificados so considerados demasiadamente
elevados e quando os custos da implementao de outras opes de
tratamento do risco excederem os benefcios, pode-se decidir que o
risco seja evitado completamente, seja atravs da eliminao de uma
atividade planejada ou existente (ou de um conjunto de atividades),
seja atravs de mudanas nas condies em que a operao da atividade
ocorre. Por exemplo, para riscos causados por fenmenos naturais,
pode ser uma alternativa mais rentvel mover fisicamente as
instalaes de processamento de informaes para um local onde o risco
no existe ou est sob controle.
9.5 Compartilhamento do risco
Ao: Convm que um determinado risco seja compartilhado com outra
entidade que possa gerenci-lo de forma mais eficaz, dependendo da
avaliao de riscos.
Diretrizes para implementao:
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 36/97
O compartilhamento do risco envolve a deciso de se compartilhar
certos riscos com entidades externas. O compartilhamento do risco
pode criar novos riscos ou modificar riscos existentes e
identificados. Portanto, um novo tratamento do risco pode ser
necessrio.
O compartilhamento pode ser feito por um seguro que cubra as
consequncias ou atravs da subcontratao de um parceiro cujo papel
seria o de monitorar o sistema de informao e tomar medidas
imediatas que impeam um ataque antes que ele possa causar um
determinado nvel de dano ou prejuzo. Convm notar que possvel
compartilhar a responsabilidade de gerenciar riscos, entretanto no
normalmente possvel compartilhar a responsabilidade legal por um
impacto. Os clientes provavelmente iro atribuir um impacto adverso
como sendo falha da organizao.
10 Aceitao do risco de segurana da informao Entrada: O plano de
tratamento do risco e o processo de avaliao do risco residual
sujeito deciso dos gestores da organizao relativa aceitao do
mesmo.
Ao: Convm que a deciso de aceitar os riscos seja feita e
formalmente registrada, juntamente com a responsabilidade pela
deciso (isso se refere ao pargrafo 4.2.1 h) da ABNT NBR ISO/IEC
27001:2006). Diretrizes para implementao:
Convm que os planos de tratamento do risco descrevam como os
riscos avaliados sero tratados para que os critrios de aceitao do
risco sejam atendidos (ver Seo 7.2 Critrios para a aceitao do
risco). importante que gestores responsveis faam uma anlise crtica
e aprovem, se for o caso, os planos propostos de tratamento do
risco, os riscos residuais resultantes e que registrem as condies
associadas a essa aprovao.
Os critrios para a aceitao do risco podem ser mais complexos do
que somente a determinao se o risco residual est, ou no, abaixo ou
acima de um limite bem definido.
Em alguns casos, o nvel de risco residual pode no satisfazer os
critrios de aceitao do risco, pois os critrios aplicados no esto
levando em conta as circunstncias predominantes no momento. Por
exemplo, pode ser vlido argumentar que preciso que se aceite o
risco, pois os benefcios que o acompanham so muito atraentes ou
porque os custos de sua modificao so demasiadamente elevados. Tais
circunstncias indicam que os critrios para a aceitao do risco so
inadequados e convm que sejam revistos, se possvel. No entanto, nem
sempre possvel rever os critrios para a aceitao do risco no tempo
apropriado. Nesses casos, os tomadores de deciso podem ter que
aceitar riscos que no satisfaam os critrios normais para o aceite.
Se isso for necessrio, convm que o tomador de deciso comente
explicitamente sobre os riscos e inclua uma justificativa para a
sua deciso de passar por cima dos critrios normais para a aceitao
do risco.
Sada: Uma lista de riscos aceitos, incluindo uma justificativa
para aqueles que no satisfaam os critrios normais para aceitao do
risco.
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 37/97
11 Comunicao e consulta do risco de segurana da informao
Entrada: Todas as informaes sobre os riscos obtidas atravs das
atividades de gesto de riscos (ver Figura 2). Ao: Convm que as
informaes sobre riscos sejam trocadas e/ou compartilhadas entre o
tomador de deciso e as outras partes interessadas.
Diretrizes para implementao:
A comunicao do risco uma atividade que objetiva alcanar um
consenso sobre como os riscos devem ser gerenciados, fazendo uso
para tal da troca e/ou partilha das informaes sobre o risco entre
os tomadores de deciso e as outras partes interessadas. A informao
inclui, entre outros possveis fatores, a existncia, natureza,
forma, probabilidade, severidade, tratamento e aceitabilidade dos
riscos.
A comunicao eficaz entre as partes interessadas importante, uma
vez que isso pode ter um impacto significativo sobre as decises que
devem ser tomadas. A comunicao assegurar que os responsveis pela
implementao da gesto de riscos, e aqueles com interesses reais de
direito, tenham um bom entendimento do por que as decises so
tomadas e dos motivos que tornam certas aes necessrias. A comunicao
bidirecional.
A percepo do risco pode variar devido a diferenas de suposies,
conceitos, necessidades, interesses e preocupaes das partes
interessadas quando lidam com o risco ou quando tratam das questes
sendo aqui discutidas. As partes interessadas iro, provavelmente,
fazer julgamentos sobre a aceitabilidade do risco tendo como base
sua prpria percepo do risco. Assim, particularmente importante
garantir que a percepo do risco das partes interessadas, bem como a
sua percepo dos benefcios, sejam identificadas e documentadas e que
as razes subjacentes sejam claramente entendidas e
consideradas.
Convm que a comunicao do risco seja realizada a fim de: Fornecer
garantia do resultado da gesto de riscos da organizao
Coletar informaes sobre os riscos
Compartilhar os resultados do processo de avaliao de riscos e
apresentar o plano de tratamento do risco
Evitar ou reduzir tanto a ocorrncia quanto as consequncias das
violaes da segurana da informao que aconteam devido falta de
entendimento mtuo entre os tomadores de deciso e as partes
interessadas
Dar suporte ao processo decisrio
Obter novo conhecimento sobre a segurana da informao
Coordenar com outras partes e planejar respostas para reduzir as
consequncias de um incidente Dar aos tomadores de deciso e as
partes interessadas um senso de responsabilidade sobre
riscos
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 38/97
Melhorar a conscientizao
Convm que a organizao desenvolva planos de comunicao dos riscos
tanto para as operaes rotineiras como tambm para situaes
emergenciais. Portanto, convm que a atividade de comunicao do risco
seja realizada continuamente. A coordenao entre os principais
tomadores de deciso e as partes interessadas pode ser obtida
mediante a formao de uma comisso em que os riscos, a sua priorizao,
as formas adequadas de trat-los e a sua aceitao possam ser
amplamente discutidos.
importante cooperar com o escritrio de relaes pblicas ou com o
grupo de comunicao apropriado dentro da organizao para coordenar as
tarefas relacionadas com a comunicao e consulta do risco. Isso
vital no caso de aes de comunicao durante crises, por exemplo: em
resposta a incidentes especficos.
Sada: Entendimento contnuo do processo de gesto de riscos de
segurana da informao da organizao e dos resultados obtidos.
12 Monitoramento e anlise crtica de riscos de segurana da
informao 12.1 Monitoramento e anlise crtica dos fatores de
risco
Entrada: Todas as informaes sobre os riscos obtidas atravs das
atividades de gesto de riscos (ver Figura 2). Ao: Convm que os
riscos e seus fatores (isto , valores dos ativos, impactos, ameaas,
vulnerabilidades, probabilidade de ocorrncia) sejam monitorados e
analisados criticamente, a fim de se identificar, o mais
rapidamente possvel, eventuais mudanas no contexto da organizao e
de se manter uma viso geral dos riscos.
Diretrizes para implementao:
Os riscos no so estticos. As ameaas, as vulnerabilidades, a
probabilidade ou as consequncias podem mudar abruptamente, sem
qualquer indicao. Portanto, o monitoramento constante necessrio
para que se detectem essas mudanas. Servios de terceiros que
forneam informaes sobre novas ameaas ou vulnerabilidades podem
prestar um auxlio valioso.
Convm que as organizaes assegurem que os seguintes itens sejam
monitorados continuamente: Novos ativos que tenham sido includos no
escopo da gesto de riscos
Modificaes necessrias dos valores dos ativos, por exemplo,
devido mudana nos requisitos de negcio
Novas ameaas que podem estar ativas tanto fora quanto dentro da
organizao e que no tenham sido avaliadas
A possibilidade de que vulnerabilidades novas ou ampliadas
venham a permitir que alguma ameaa as explore
-
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC
27005:2011)
AGOSTO:2011
NO TEM VALOR NORMATIVO 39/97
As vulnerabilid