NORMA ABNT NBR BRASILEIRA ISO/IEC 27005 ‘Segunda edigao ¥7.11.2011 Valida a partir de 17.12.2011 Tecnologia da informagao — Técnicas de seguranca — Gestao de riscos de seguranca da informagao Information technology — Security techniques — Information security risk management Is 35.040 ISBN 978-85-07-03066-9 yy Assoctacdo Numero de referéncia BRASILEIRA (tt ee ABNT NBR ISO/IEC 27005:2011 TECNICAS 87 paginas © ISOMEC 2011 - © ABNT 2011 FuABNT NBR ISO/IEC 27005:2011 ©ISONEC 2011 ‘Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicacdo pode ser rwproducida ou ullizada por qualquer meio, eletiOnico ou mecaniva,incluindo folocdpia e microfie, sem permissao por escrito da ABNT, tnico representante da ISO no territério brasileiro. ©ABNT 2011 ‘Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicacao pode ser reproduzida ou utiizada por qualquer meio, eletrOnico ou mecanico, incluindo fotocSpia e microfilme, sem permissao por escrito da ABNT. ABNT ‘Av Troze de Maio, 13 - 28° andar 2081-901 - Rio de Janeiro - RU Tol: + 5521 9974-2300 Fax: + 55 21 3974-2346 abnt@abnt.org.br wwenabni org. ii (© ISONEC 2011 -© ABNT 2011 - Todos os direitos reservadosABNT NBR ISONEC 27005:2011 Sumario Pagina Prefacio Nacional.. Introdugao. A Escopo . 2 Referéncias normativas 1 3 Termos e definigdes 4 Organizagao desta Norma... 5 Contextualizacao.. 6 Visao geral do processo de gestao de riscos de seguranga da informagao. 7 Definigao do contexto. —— 7A Consideragées gerais. 7.2 7.2.1 Abordagem da gestao de riscos... 7.2.2 Critérios para a avaliagao de riscos 7.2.3 Critérios de impacto. 7.2.4 Critérios para a aceitagao do risco. 73 Escopoe limites 74 Organizagao para gestao de riscos de seguranca da informacao... 8 Processo de avaliagao de riscos de seguranga da informagao 81 Descrigao geral do processo de avaliacao de riscos de seguranca da informagao .15 2 Identificagao de risco: 8.2.1 Introdugao a identificagao de riscos 8.2.2 _Identificagao dos ativos. 8.2.3 Identificagao das ameaga: 8.2.4 _Identificagao dos controles existentes.... 82.5 _Identificagao das vulnerabilidades... 8.2.6 Identificagdo das consequéncias .. 83 Andlise de riscos.. 8.3.1 Metodologias de aniliee de riscos. 8.3.2 Avaliagdo das conseqi 8.3.3 Avaliago da probabilidade dos incidentes... aaa Detarminagaa da nivel de risea 84 Avaliagao de riscos.... 9 Tratamento do risco de seguranga da informagao. 94 Descrigdo geral do processo de tratamento do risco .. 9.2 Modificagao do risc« 93 Retengao do risco 94 Acao de evitar o risco 95 Compartilhamento do risco.. 10 Aceitagao do risco de seguranca da informag: 1 Comunicagao e consulta do risco de seguranca da informacao 12 Monitoramento e andlise critica de riscos de seguranga da informacao © ISO/EC 2011 -© ABNT 2011 - Todos os dieitos reservados ii FAB.ABNT NBR ISO/IEC 27005:2011 424 Monitoramento ¢ anilise eritioa dos fatores de ricco 12.2 Monitoramento, andlise critica e melhoria do processo de gestao de riscos. Anexo A (informative) Definindo o escopo e os limites do processo de gestao de riscos de seguranca da informacao.. 5 AA Anélise da organizagao ....nnnsnmnneesnnsne A2 Restri¢des que afetam a organizacao... A3 Referéncias legais e regulamentares aplicaveis a organi Aa Restricdes que afetam 0 €SCOPO wren Anexo B (informativo) Identificagdo e valoragao dos ativos e avaliagao do impacto ... Ba Exemplos de identificagao de ativos. B.1.1. _ Identificagao dos ativos priMarios nuns B.1.2 Lista e descricao de ativos de suporte B2 Valoragao dos ativos..... B3 Avaliagao do impacto.. ‘Anexo C (informativo) Exemplos de ameagas comuns Anexo D (informativo) Vulnerabilidades e métodos de avaliagao de vulneral Da Exemplos de vulnerabilidades. D2 Métodos para a avaliagdo de vulnerabilidades técnicas... Anexo E (informativo) Abordagens para o processo de avaliagao de riscos de seguranca da informagao. Ea Processo de aval —Enfoque de alto nivel E2 Processo detalhado de avaliagao de riscos de seguranca da informacac E21 Exemplo 1 Matriz com valores pré-definidos .. E.2.2 Exemplo 2 Ordenagao de Ameagas em Fungao do E23. Exemplo 3 Avaliando a probabilidade e as possiveis consequéncias dos riscos. ‘Anexo F (informative) Restrigdes para a modificacao do risco. Anoxo G (informative) Diforongae nas dofinig6ec ontro a ABNT NBR ISO/IEC 27006:2008 oa ABNT NBR ISO/EC 27005:2011 .. Bibliografi: Figuras Figura 1 — O processo de gestao de riscos Figura 2 - Figura 2— Processo de gestao de riscos de seguranga da informagao.. Figura 3 — A atividade de tratamento do risc Tabelas Tabela 1 - Alinhamento do proceso do SGSI e do processo de gestao de riscos de seguranga da infOrMEAGSO.vnininnensnnsnnsninnsnsenntnesnneesnnnnnnesennmanne Tabola E.1 a) Tabela E.1 b)... Tabela E. Tabela E.: wv (© ISONEC 2011 -© ABNT 2011 - Todos os direitos reservados FuABNT NBR ISO/IEC 27005:2011 Prefacio Nacional A Associagdo Brasileira de Normas Técnicas (ABNT) é 0 Foro Nacional de Normalizagao. As Normas Brasileiras, cujo contetido é de responsabilidade cos Comités Brasileiros (ABNT/CB), dos Organismos de Normalizacao Setorial (ABNT/ONS) e das Comissdes de Estudo Especiais (ABNT/CEE), sao elaboradas por Comissées de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratorios e outros). Os Documentos Técnicos ABNT sao elaborados conforme as regras da Diretiva ABNT, Parte 2. A Associagao Brasileira de Normas Técnicas (ABNT) chama atengao para a possibilidade de que alguns dos elementos deste documento podem ser objeto de direito de patente. A ADNT nao deve ser considerada responsével pela identificagao de quaisquer direitos de patentes. A ABNT NBR ISO/IEC 27005 foi elaborada no Comité Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21), pela Comissao de Estudo de Seguranga da Informagao (CE-21:027.00). O Projeto circulou em Consulta Nacional conforme Edital n 08, de 12,08.2011 a 12.09.2011, com o nimero de Projeto ABNT NBR ISO/IEC 27005. Esta Norma é uma adogao idéntica, em contetido técnico, estrutura e redacao, a ISO/IEC 27005:2011, que foi elaborada pelo Technical Committee Information technology (ISONEC JTC 1), Subcommittee IT Security techniques (SC 27), conforme ISO/IEC Guide 21-1:2005. Esta segunda edigéo cancela e substitui a edicéo anterior (ABNT NBR ISO/IEC 27005:2008), a qual foi tecnicamente revisada. O Escopo desta Norma Brasileira em inglés é o seguinte: Scope This Standard provides guidelines for information security risk management. ms Standard supports tne general concepts specitied in ABN NBH ISO/IEC 2/UUT and Is designed to assist the satisfactory implementation of information security based on a risk management approach. Knowledge of the concepts, models, processes and terminologies described in ABNT NBR ISONEC 27001 and ABNT NBR ISO/IEC 27002 is important for a complete understanding of this Standard. This Standard is applicable to all types of organizations (e.g. commercial enterprises, government agencies, non-profit organizations) which intend to manage risks that could compromise the organization's information security. © ISO/IEC 2011 -©ABNT 2011 - Todos os dieitos reservados v Fs.ABNT NBR ISO/IEC 27005:2011 Introdugéo Esta Norma fornece diretrizes para 0 proceso de gestdo de riscos de seguranga da informagao de uma organizagao, atendendo particularmente aos requisitos de um sistema de gestio de seguranga da informacao (SGSI) de acordo com a ABNT NBR ISO/IEC 27001. Entretanto, esta Norma Internacional nao inclui um método especifico para a gestdo de riscos de seguranca da informagao. Cabe a organizacao definir sua abordagem ao processo de gestao de riscos, levando em conla, por exemplo, 0 escopo do seu SGSI, 0 contexto da gestdo de riscos e o seu selor de atividade econémica. Ha varias metodologias que podem ser utiizadas de acordo com a estrutura descrita nesta Norma para implementar os requisites de um SGSI. Esta Norma € do interesse de gestores e pessoal envolvidos com a gestao de riscos de seguranga da informagao em uma organizagao e, quando aprepriado, em entidades externas que dao suporte a essas atividades. vi (© ISONEC 2011 -© ABNT 2011 - Todos os direitos reservados Fis.NORMA BRASILEIRA ABNT NBR ISO/IEC 27005:2011 Tecnologia da informagéo Técnicas de seguranga Gestio de riscos de seguran¢a da informac¢ao 1 Escopo Esta Norma fornece diretrizes para o proceso de gestdo de riscos de seguranga da informagao. Esta Norma esté de acordo com os conceitos especificados na ABNT NBR ISO/IEC 27001 e foi elaborada para facilitar uma implementagdo satisfatéria da seguranga da informagao tendo como base uma abordagom do goetiio do riecoe. © conhecimento dos _conceitos. modelos. _processos_ e —_terminologias_—_descritos na ABNT NBR ISO/IEC 27001 € na ABNT NBR ISO/IEC 27002 ¢ importante para um entendimento completo desta Norma. Esta Norma se aplica a todos os tipos de organizacéo (por exemplo, empreendimentos comerciais, agéncias governamentais, organizagdes sem fins lucrativos) que pretendam gerir os riscos que poderiam comprometer a seguranca da informagao da organizagao. 2 Referéncias normativas Os documentos relacionados a seguir so indspensaveis a aplicacao deste documento. Para referéncias datadas, aplicam-se somente as edigées citadas. Para referéncias ndo datadas, aplicam- se as edigdes mais recentes do referido documento (incluindo emendas). ISO/IEC 27000, Information Technology ~ Security techniques — Information security management systems — Overview and vocabulary ABNT NBR ISO/IEC 27001: 2008, Tecnologia da Informacao — Técnicas de seguranga — Sistemas de gestdo de seguranga da informagao — Requisitos 3 Termos e definigdes Para os efeitos deste documento, aplicam-se termos e definigdes da ISO/IEC 27000 e os seguintes. NOTA Asdiferongas entre ae definigéco da ABNT NBN ISO/IEC 27005:2008 o cota Norma afio mostrados no Anexo G. 34 consequéncia resultado de um evento (3.3) que afeta os objetivos [ABNT ISO GUIA 73:2009] NOTA 1 Um evento pode levar a uma série de consequéncias. NOTA2 Uma consequéncia pode ser certa ou incerta e, no contexto da seguranga da informacao, 6, normalmente, negativa. (© ISONEC 2011 -© ABNT 2011 - Todos 08 dieitos reservados 1 Fu.ABNT NBR ISO/IEC 27005:2011 NOTA3 As consequéncias podem ser expressas qualitativa ou quantitativamente. NOTA4 As consequéncias jais podem desencadear reagées em cadeia. 3.2 controle medida que esté modificando o risco (3.9) [ABNT ISO GUIA 73:2009] NOTA1 Os controles da seguranca da informagao incluem qualquer processo, politica, procedimento, diretriz, prética ou estrutura organizacional, que podem ser de natureza administrativa, técnica, gerencial ou legal, que modificam o risco da seguranca da informacao. NOTA2 Os controles nem sempre conseguem exercer 0 efeito de modificagao pretendido ou presumido. NOTA _O controle também 6 usado como um sinénimo de salvaguarda ou contramedida. 3.3 evento ocorréncia ou mudanga em um conjunto especifico de circunstancias [ABNT ISO GUIA 73:2009] NOTA1 Um evento pode consistir em uma ou mais ovorréncias e pode ter varias causas. NOTA2 Um evento pode consistir em alguma coisa ndo acontecer. NOTA 3 Um evento pode algumas vezes sor roferide como um “incidente” ou um “acidonte" 3.4 contexto externo ambiente externo no qual a organizagao busca atingir seus objetivos [ABNT ISO GUIA 73:2009] NOTA — O contexto externo pode incluir: — © ambiente cultural, social, politico, legal, regulatorio, financeiro, tecnolégico, econémico, natural & Ccompetitvo, seja internacional, nacional, regional ou local; — 08 fatores-chave e as tendéncias que tenham impacto sobre os objetivos da organizagao; e — _asrelagoes com partes imteressadas externas e suas percepgoes e valores. 35 contexto interno ambiente interno no qual a organizagao busca atingr seus objetivos [ABNT ISO GUIA 73:2009] NOTA O context interno pode incluir: — governanca, estrutura organizacional, fungdes e responsabilidades; 2 (© ISO/IEC 2011 - © ABNT 2011 - Todos 0s diritos reservadosABNT NBR ISO/IEC 27005:2011 — politicas, objetivos e estratégias implementadas para atingi-ios; = canaciclades campreendicas am tarmas de raciirsns @ canherimentn (nor axemnlo, capital, tampa, pessaas, processos, sistemas e tecnologias); — sistemas de informagao, fluxos de informagao e processos de tomada de decisio (tanto formais como informais); — _relagdes com partes interessadas internas, e suas percepgdes e valores; — cultura da organizagao; — normas, diretrizes e modelos adotados pela organizacao; e — forma e extensao das relagdes contratuais. 3.6 nivel de risco magnitude de um risco (3.9), expressa em termos da combinagao das consequénci suas probabilidades (likelinood) (3.7) (3.1) e de [ABNT ISO GUIA 73:2009] 37 probabilidade (likelihood) chance de algo acontecer [ABNT ISO GUIA 73:2009] NOTA1 Na terminologia de gestao de riscos, a palavra “probabilidade” ¢ utiizada para referir-se @ chance de algo acontecer, nao importando se, de forma definida, medida ou determinada, objetiva ou subjetivamente, qualitativa ou quantitativamente, ou se descrita utilizando-se termos gerais ou matematicos (como probabilidade ou frequéncia durante um deierminado periodo de tempo). NOTA2 0 termo em Inglés “likelihood nao tém um equivalente direto em algumas linguas; em vez disso, © equivalente do termo “probability” é trequentemente utilizado. Entretanto, em Inglés, “probability’ é muitas vvezes interpretado estritamente como uma expresso matematica. Portanto, na terminologia de gestao de riscos, “likelihood” é utiizado com a mesma ampla interpretagao de que 0 termo ‘probability’ tem em muitos outros idiomas além do Inglés. 38 risco residual risco (3.9) remanescente apds 0 tratamento do risco (3.17) [ABNT ISO GUIA 73:2009] NOTA 1 O risco residual pode conter riscos nao identificados. NOTA2 Orisco residual também pode ser conhecido como “risco retido’. 39 risco efeito da incerteza nos objetivos [ABNT ISO GUIA 73:2009] NOTA 1 Um efeito é um desvio em relagao ao esperado - positivo e/ou negativo. © ISONEC 2011 -© ABNT 2011 - Todos 08 detos reservados 3 Fis.ABNT NBR ISO/IEC 27005:2011 NOTA2 Oc objotivos podom tor diferentes aspoctos (taie como motae financeiras, do eauide 0 ceguranga e ambientais) e podem aplicar-se em diferentes niveis (a's como.estratégico, em toda a organizacao, de projeto, de produto ¢ de proceso). NOTAS © isco é muitas vezes caracterizado pela referéncia aos eventos (3.3) potenciais @ &s consequéncias (3.1), ou uma combinacao destes. NOTA 4 0 risco em seguranca da informacao é muitas vezes expresso em termos de uma combinagaio de consequéncias de um evento (incluindo mudancas nas circunstancias) e a probabilidade (likelihood) (3.7) associada de ocorréncia, NOTA5 Aincertezaé o estado, mesmo que parcial, dadeficiéncia das informagdes relacionadas a um evento, sua compreensao, seu conhecimento, sua consequéncia ou sua probabilidade. NOTA 6 isco de seguranga da informagao esta associado com 0 potencial de que ameacas possam explorar vulnerabilidades de um ativo de informagao ou grupo de ativos de informagao e, consequentemente, cauear dano a uma organizagao. 3.10 anélise de riscos processo de compreender a natureza do risco e determinar o nivel de risco (3.6) [ABNT ISO GUIA 73:2009] NOTA1 Aanélise de riscos fornece a base para a avaliagAo de riscos e para as decisdes sobre o tratamento de riscos. NOTA2 Aanélise de riscos inclui a estimativa de riscos. att processo de avaliagao de riscos proceso global de identificagao de riscos (3.15), andlise de riscos (3.10) e avaliagao de riscos (3.14) [ABNT ISO GUIA 73:2009] NOTA BRASILEIRA Para os ofeitos deste documento o termo risk assessment foi traduzido como “proceso de avaliagdo de riscos” (3.11) para evitar contlito com o termo risk evaluation, que foi traduzido fla ADNT NOM ISO 91000 como “avaliagdo de riscos" (0.14). Na ADNT NON ISO/ICC 27001:2006, este termo esta traduzido como “andlise/avaliagao de riscos’. 3.12 comunicagao e consulta processos continuos e iterativos que uma organizagao conduz para fornecer, compartiihar ou obter InformagOes, e se envolver no didlogo com as partes Interessadas (3.16), com relagao a gerenclar riscos (3.9) [ABNT ISO GUIA 73:2009] NOTA1 As informagées podem referir-se a existénci severidade, avaliacdo, aceitaco e tratamento de riscos. natureza, forma, probabilidade (Jikelihood), NOTA2 A consulta é um proceso bidirecional de comunicagao sistematizada entre uma organizacao © suas partes interessadas ou outros, antes de tomar uma decisao ou direcionar uma questao especitica. A consulta é: — _um processo que impacta uma decisao através da influéncia ao invés do poder; € — _uma entrada para 0 proceso de tomada de decisao, e nao uma tomada de deciséo em conjunto. a (© ISONEC 2011 -© ABNT 2011 - Todos os direitos reservados -FLI0-ABNT NBR ISO/IEC 27005:2011 a3 critérios de risco termos de referéncia contra os quais a significdncia de um risco (3.9) é avaliada [ABNT ISO GUIA 73:2009] NOTA 1 Os critérios de risco so baseados nos objetivos organizacionais e no contexto externo e contexto interno. NOTA2 Os critérios de risco podem ser derivados de normas, lels, politicas e outros requisitos. 3.14 avaliagao de riscos processo de comparar os resultados da andlise de riscos (3.10) com os critérios de risco (3.13) para determinar se o risco e/ou sua magnitude é aceitavel ou tolerdvel [ABNT ISO GUIA 73:2009] NOTA — Aavaliago de riscos auxilia na decisao sobre o tratamento de riscos. 3.15 identificagao de riscos processo de busca, reconhecimento e descrigo de riscos [ABNT ISO GUIA 73:2009} NOTA1 A identificagéo de riscos envolve a identificagéo das fontes de risco, eventos, suas causas © suas consequériclas potencials. NOTA2 A identificagdo de riscos pode envolver dados histéricos, andlises tedricas, opiniées de pessoas informadas e especialistas, e as necessidades das partes interessadas. 3.16 gestao de riscos atividades coordenadas para dirigir e controlar uma organizagao no que se refere a riscos [ABNT ISO GUIA 73:2009] NOTA Esta Norma usa o termo “proceso” para descrever toda a gestao de riscos. Os elementos contidos no proceso de gestao de riscos foram chamados de “atividades’. 3.17 tratamento de riscos processo para modificar 0 risco [ABNT ISO GUIA 73:2009] NOTA1 O tratamento de risco pode envolver: ‘+ a.agao de evitar 0 risco pela decistio de nao iniciar ou descontinuar a atividade que da origem ao risco; ‘*assumir ou aumentar o risco, a fim de buscar uma oportunidade; ‘© a remogao da fonte de risco; (© ISONEC 2011 -© ABNT 2011 - Todos 08 dicitos reservados 5 Fut.ABNT NBR ISO/IEC 27005:2011 + aaltoragao da probabilidade ({tkalihood); ‘+ aalteragao das consequéncias; ‘+ o.compartthamento do risco com outra parte ou partes [incluindo contratos ¢ financiamento do risco}: ¢ ‘+ a retengo do risoo por uma escolha consciente. NOTA2 Os tratamentos de riscos relativos a consequéncias negativas so muitas vezes referidos como “mitigagao de riscos', "eliminacao de riscos’, ‘prevencao de riscos" e “reduc de riscos" NOTA 3 tratamento de riscos pode criar novos riscos ou modificar riscos existentes. 3.18 parte interessada pessoa ou organizagao que pode afetar, ser afetada, ou perceber-se afetada por uma decisao ou atividade [ABNT ISO GUIA 73:2009] NOTA Um tomador de deciséo pode ser uma parte interessada. Esta Norma contém a descri¢éio do processo de gestao de riscos de seguranga da informagao @ das suas atividades. As informagées sobre o contexto histérico so apresentadas na Seco 5. Uma visdo geral do proceso de gestéo de riscos de seguranca da informagao ¢ apresentada na Sega 6. Todas as atividades de gestio de riscos de seguranga da informagao apresentadas na Segao 6 sdo descritas nas seguintes secdes: ‘+ Definigao do contexto na Segao 7, * Processo de avaliagdio de riscos na Segao 8, ‘+ Tratamento do risco na Segdo 9, © Aceitagao do risco na Segao 10, * Comunicagao e consulta do risco na Segao 11, ‘+ Monitoramento e anélise critica de riscos na Segao 12. Informagdes adicionais para as atividades de gestdo de riscos de seguranga da informagao sao apresentadas nos anexos. A definicéo do contexto 6 detalhada no Anexo A (Definindo 0 escopo © os limites Uv provesso Ue yestao Ue liscus Ue seyuranga da informagav). A idenlificagao e valorayao dos ativos e a avaliacao do impacto sdo discutidas no Anexo B. O Anexo C da exemplos de ameacas tipicas e © Anexo D apresenta vulnerabilidades e métodos para avaliacao de vulnerabilidades. Exemplos de abordagens para o processo de avaliacao de riscos de seguranca da informagao sao apresentados no Anexo E. 6 (© ISONEC 2011 -© ABNT 2011 - Todos os direitos reservados FIZ.ABNT NBR ISO/IEC 27005:2011 Reotrigdce rolativas & modificagdo do ricco ado aprocentadas no Anoxo F, As diferencas nas definicdes entre a ABNT NBR ISO/MEC 27005:2008 e a ABNT NBR ISO/IEC 27005:2011 sao apresentadas no Anexo G. As atividades de gestao de riscos, como apresentadas da Seco 7 até a Segao 12, estdo estruturadas da seguinte forma: Entrada: Identifica as informagées necessérias pera realizar a atividade. Ago: Descreve a atividade. Diretrizes para implementag&o: Tornece diretrizes para a execugdo da ago. Algumas destas diretrizes podem nao ser adequadas em todos os casos. Assim sendo, outras maneiras de se executar a a¢ao podem ser mais apropriadas. Saida: Identifica as informagées resultantes da execugdo da atividade. 5 Contextualizacao Uma abordagem sistematica de gestao de riscos de seguranca da informagao é necessaria para identificar as necessidades da organizagéo em relacdo aos requisitos de seguranga da informagéo e para criar um sistema de gestdo de seguranga da informagao (SGSI) que seja eficaz. Convém que essa abordagem seja adequada ao ambiente da organizagao e, em particular, esteja alinhada com © processo maior de gestao de riscos corporativos. Convém que os esforgos de seguranga lidem Com os riscos de maneira etetiva e no tempo apropriado, onde e quando forem necessarios. Convem que a gestao de riscos de seguranga da informagao seja parte integrante das atividades de gestao de seguranca da informacao e que seja aplicada tanto a implementacao quanto & operagao cotidiana de um SGSI. Convém que a gesto de riscos de seguranca da informagao seja um processo continuo. Convém que © processo defina os contextos interno e externo, avalie os riscos e trate os riscos usando um plano de tratamento a fim de implementar as recomendagées e decisées. Convém que a gestao de riscos analise os possiveis acontecimentos e suas consequéncias, antes de decidir o que sera feito e quando sera feito, a fim de reduzir os riscos a um nivel aceitavel. Convém que a gestao de riscos de seguranga da informacao contribua para: ‘© Aidentiticagao de riscos © Oprocesso de avaliagaio de riscos em fungao das consequéncias ao negécio e da probabilidade de sua ocorréncia * A comunicagao e entendimento da probabilidade e das consequéncias destes riscos + Oestabelecimento da ordem prioritéria para tratamento do risco + Apriorizagao das agoes para reduzir a ocorréncia dos riscos © O envolvimento das partes interessadas quando as decisées de gestdo de riscos so tomadas € para que elas sejam mantidas informadas sobre a situagao da gesto de riscos © ISONEC 2011 -© ABNT 2011 - Todos os dietos reservados 7 FLIS-ABNT NBR ISO/IEC 27005:2011 + Aeficdcia de monitoramenta do tratamento dos riscas ‘+O monitoramento e andlise critica periédica dos riscos e do processo de gestio de riscos, * Acoleta de informagées de forma a melhorar a abordagem da gestdo de riscos ‘+O treinamento de gestores e pessoal a respeito dos riscos e das agdes para mitigé-los proceso de gestao de riscos de seguranca da informagao pode ser aplicado & organizagdo como um todo, a uma area especifica da organizacao (por exemplo, um departamento, um local fisico, um servigo), a qualquer sistema de informagdes, a controles ja existentes, planejados ou apenas a aspectos particulares de um controle (por exemplo, o plano de continuidade de negécios). 6 Visao goral do processo de gestao de riscos de seguranca da informagao Uma visdo de alto nivel do processo de gestao de riscos é especificada na ABNT NBR ISO 31000:2009 e apresentada na Figura 1 UE! a § eT Seale forruMiate Pree ea arene = | Figura 1 - 0 processo de gestao de riscos A Figura 2 apresenta como esta Norma se aplica ao processo de gestao de riscos. vient processo de gestdo de riscos de seguranca da informagao consiste na definigéio do contexto (Sego 7), processo de avaliagao de riscos (Segao 8), tratamento do risco (Segao 9), aceitacao do risco (Sega 10), comunicagao e consulta do risco (Se¢ao 11) monitoramento e andlise critica de riscos (Segao 12). 8 © ISO/IEC 2011 -© ABNT 2011 - Todos os direitos reservados FuldABNT NBR ISO/IEC 27005:2011 DEFINIGAO NO CONTEXTC PONTO DE DECISAO 1 ‘Avaliacao satistatéria ron an ni Renta PONTO DE DECISAO 2 ‘Tratamento satistatério Eran FIM DA PRIMEIRA QU DAS DEMAIS ITERAGOES Figura 2 - Proceso de gestao de riscos de seguranca da informagao ‘Como mostra a Figura 2, 0 processe de gestéo de riscos de seguranga da informagéo pode ser iterativo para 0 proceso de avaliagdo de riscos e/ou para as atividades de tratamento do risco. Um enfoque iterativo na execugao do processo de avaliagao de riscos torna possivel aprofundar ¢ detalhar a avaliacao em cada repeticao. O enfoque iterativo permite minimizar 0 tempo e 0 esforgo despendidos na identificagao de controles , ainda assim, assegura que riscos de alto impacto ou de alta probabilidade possam ser adequadamente avaliados. Primeiramente, 0 contexto é estabelecido. Em seguida, executa-se um processo de avaliagao de Fiecos. So ole fornecer informagSee cuficiontes para que ce detorminem de forma eficaz ac agéoe necessarias para reduzir 0s riscos a um nivel aceitavel, entdo a tarefa esta completa e o tratamento do isco pode contuinuar. Por outro lado, se as informagdes forem insuficientes, executa-se uma utra iteragao do processo de avaliagao de riscos, revisando-se 0 contexto (por exemplo, os critérios © ISONEC 2011 -© ABNT 2011 - Todos a8 deitos reservados 9 Fs.ABNT NBR ISO/IEC 27005:2011 de avaliagao de riscos, de aceitagao do risco ou de impacto), possivelmente em partes limitadas do escopo (ver Figura 2, Ponto de Decisao 1). A eficdcia do tratamento do risco depende dos resutados do processo de avaliagao de riscos. Notar que o tratamento de riscos envolve um processo ciclico para: * — avaliar um tratamento do risco; ‘+ decidir se 0s niveis de risco residual sao aceitaveis; ‘© gerar um novo tratamento do risco se os niveis de risco no forem aceitaveis; e * _avaliar a eficdcia do tratamento. E possivel que 0 tratamento do risco nao resulte em um nivel de risco residual que seja aceitavel. Nessa situagdo, pode ser necessaria uma outra iteracao do processo de avaliagao de riscos, com mudangas nas varidveis do contexto (por exemplo, os critérios para o processo de avaliacdo de riscos, de aceitagao do risco e de impacto), seguida por uma fase adicional de tratamento do risco (ver Figura 2, Ponto de Decisao 2). A atividade de aceitagéo do risco tem de assegurar que os riscos residuais sejam explicitamente aceitos pelos gestores da organizagao. Isso especialmente importante em uma situagéo em que a implementacao de controles € omitida ou adiada, por exemplo, devido aos custos. Durante 0 processo de gesto de riscos de seguranga da informacao, € importante que os riscos @ a forma com que sao tratados sejam comunicades ao pessoal das areas operacionais e gestores apropriados. Mesmo antes do tratamento do risco, informagdes sobre riscos identificados podem ser muito utels para 0 gerenciamento de incidentes e pode ajudar a reduzir possivels prejutzos. A conscientizacao dos gestores e pessoal no que diz respeito aos riscos, a natureza dos controles aplicados para mitiga-los e as areas definidas como de interesse pela organizacao, auxilia a lidar com 0 incidentes e eventos nao previstos da maneira mais efetiva. Convém que os resultados detalhados de cada atividade do processo de gestao de riscos de seguranca da informagao, assim como as decisdes sobre 0 processo de avaliagao de riscos e sobre 0 tratamento do risco (representadas pelos dois pontos de decisao na Figura 2) sejam documentados. ‘A ABNT NBR ISO/IEC 27001:2006 especifica que os controles implementados no escopo, limites e contexto do SGSI devem ser baseados no risco. A aplicagdo de um processo de gestao de riscos de seguranga da informagao pode satistazer esse requisito. Ha varios meétodos através dos quais © proceso pode ser implementado com sucesso em uma organizacao. Convém que as organizacao use ométodo que melhor se adeque a suas circunsténcias, para cada aplicagao especifica do processo. Em um SGSI, a definigao do contexto, 0 processo de avaliacao de riscos, 0 desenvolvimento do plano de tratamento do risco e a aceitago do risco fazem parte da fase “planejar’. Na fase “executar” do SGSI, as agdes e controles necessarios para reduziros riscos a um nivel aceitavel sao implementados de acordo com o plano de tratamento do risco. Na fase “verificar" do SGSI, os gestores determinarao a necessidade de revisdo da avaliagao e tratamento do risco a luz dos incidentes e mudancas nas circunstancias. Na fase “agir’, as ages necessarias sao executadas, incluindo a reaplicagao do processo de gestdo de riscos de seguranca da informagao. A Tabela 1 resume as atividades relevantes de gestio de riscos de seguranga da informagao para as quatro fases do processo do SGSI 40 (© ISONIEC 2011 -© ABNT 2011 - Todos os direitos reservados -FLN6-ABNT NBR ISO/IEC 27005:2011 Tabela 1 — Alinhamento do processo do SGSI e do processo de gestao de riscos de seguranga da informacao Processo do SGSI Processo de gestéo de riscos de seguranca da informagao Definigao do contexto Flanges Processo de avallagdo de riscos i Definigéio do plano de tratamento do risco Aceitagao do risco Executar Implementagao do plano de tratamento do risco Verificar Monitoramento continuo e andlise critica de riscos 5 Manter e melhorar 0 processo de Gestao de Riscos de Seguranca Asi da Informagao 7 Definigao do contexto 7.1 Consideragées gerais Entrada: Todas as informagdes sobre a organizagao relevantes para a defini¢ao do contexto da gestao de riscos de seguranga da informagao. Agao: Convém que 0 contexto externo e interno para gestdo de riscos de seguranga da informacao seja estabelecido, 0 que envolve a definigao dos critérios basicos necessarios para a gestdo de riscos de seguranga da informagio (7.2), a definig&o do escopo © dos limites (7.3) © © estabolocimento de uma organizagao apropriada para operar a gestao de riscos de seguranca da informagao (7.4). Diretrizes para implementacac E essencial determinar o propésito da gestio de riscos de seguranca da informacao, pois ele afeta ‘© processo em geral e a definicao do contexto em particular. Esse propdsito pode ser: * Suporte a um SGSI + Conformidade legal e evidéncia da devida dilgéncia (due diligence) «= Preparagao de um plano de continuidade de negécios ‘+ Preparagao de um plano de resposta a incidentes = Descrigao dos requisitos de seguranga da informagéo para um produto, um servigo ‘ou um mecanismo As diretrizes para implementacao dos elementos da definigéo do contexto necessérios para dar suporte a um SGSI sao discutidas detalhadamente nas SegGes 7.2, 7.8 ¢ 7.4 a seguir. NOTA AABNT NBR ISO/IEC 27001:2006 nao use 0 termo “contexto”. No entanto, a Secao 7 refere-se aos requisitos “definir 0 escopo e limites do SGSI" [4.2.1.a)], “definir uma politica para o SGSI" [4.2.1.b)] e “definir a abordagem de andlise/avaliacao de riscos” [4.2.1.c)], especificados na ABNT NBR ISO/IEC 27001:2006. Saida: A especificagao dos critérios basicos; 0 escopo € os limites do proceso de gestdo de riscos de seguranca da informacao; e a organizacao responsavel pelo processo. © ISOMEC 2011 © ABNT 2011 - Todos os direitos reservados " FurABNT NBR ISO/IEC 27005:2011 7.2. Critérios basicos 7.2.1 Abordagem da gestio de riscos Dependendo do escopo e dos objetivos da gestao de riscos, diferentes métodos podem ser aplicados. O método também pode ser diferente para cada iteragao do proceso. Convém que um método de gestio de riscos apropriado seja selecionado ou desenvolvido e leve em conta critérios basicos, como: critérios de avaliacao de riscos, critérios de impacto e critérios de aceitagao do risco. Além disso, convém que a organizagao avalie se os recursos necessérios esto disponiveis para: ‘+ Executar 0 proceso de avaliacao de riscos e estabelecer um plano de tratamento de riscos ‘* Definir e implementar politicas e procedimentos, incluindo implementagdo dos controles selecionados ‘+ Monitorar controles ‘+ Monitorar 0 processo de gestao de riscos de seguranga da informagao NOTA Ver também a ABNT NBR ISO/IEC 27001:2006 (Segao 5.2.1) com relagao & provisdo de recursos ara a implementagao e operagao de um SGSI. 7.2.2 Critérios para a avaliagao de riscos Convém que os critérios para a avaliacdo de riscos sejam desenvolvidos para avaliar os riscos de seguranga da informago na arganizagao, cansiderando as seguintes itens: '* OQ valor estratégico do processo que trata as informagées de negécio Aci idade dos ativos de informagao envolvidos ‘+ Requisitos legais e regulatorios, bem como as obrigagées contratuais + Importancia, do ponte de vista operacional edosnegécios, da dispar eda integridade lade, da confidencialidade © Expectativas e percepgdes das partes interessadas e consequéncias negativas para o valor de mercado (em especial, no que se refere aos fatores intangiveis desse valor), a imagem e a reputagao Além disso, critérios para avaliagao de riscos podem ser usados para especificar as prioridades para o tratamento do risco. 7.2.3 Critérios de impacto Convém que 0s critérios de impacto sejam desenvolvidos e especificados em funcéio do montante dos danos ou custos & organizacdo causados por um evento relacionado com a seguranga da informagao, consideranda 0 seguinte: ‘+ Nivel de classificacao do ativo de informagao atetado 42 (© ISONIEC 2011 -© ABNT 2011 - Todos 0s direitos reservados Fug.ABNT NBR ISO/IEC 27005:2011 * Ocorréncias de violagdo da seguranga da informagao (por exemplo, perda da disponibilidade, da confidencialidade e/ou da integridade) ‘© Operages comprometidas (internas ou de terceiros) ‘+ Perda de oportunidades de negécio e de valor financeiro ‘+ Interrupgo de planos e 0 ndo cumprimento de prazos © Dano a reputago © Violagdes de req itos legais, regulatorios ou contratuais NOTA Ver também a ABNT NBR ISO/IEC 27001 2006 [Segao 4.2.1 d) 4] com relagao a identificagao dos critérios de impacto. considerando a perda da contidencialidade. da integridade e/ou da disponibilidade. 7.2.4 Critérios para a aceitacao do risco Convém que os critérios para a aceitagaio do risco sejam desenvolvidos e especificados. Os critérios de aceitagao do risco dependem frequentemente das politicas, metas e objetivos da organizagao, assim como dos interesses das partes interessadas. Convém que a organizacdo defina sua prépria escala de niveis de aceitacao do isco. Convém que os seguintes tépicos sejam considerados durante o desenvolvimento: + Critérios para a aceitagéo do risco podem incluir mais de um limite, representando um nivel desejavel de risco, porém precaugdes podem ser tomadas por gestores seniores para aceitar riscos acima desse nivel desde que sob circunstancias definidas + Griteétius pata @ avvilayau Uv tisce podem ser expressus CUNY @ fazéu enliy U luciY estimade (ou outro beneficio ao negécio) e o risco estimado ‘+ Diferentes critérios para a aceitagdo do risco podem ser aplicados a diferentes classes de risco, por exemplo, riscos que podem resultar em no conformidade com regulamentagdes ou leis podem ndo ser aceitos, enquanto riscos de ato impacto podem ser aceitos se isto for especificado ‘como um requisito contratual ‘© Critenios para a aceitagao do isco podem incluir requisitos para um tratamento aaicional tuturo, por exemplo, um risco pode ser aceito se for aprovado e houver o compromisso de que aces para reduzi-lo a um nivel aceitavel serao tomadas dentro de um determinado periodo de tempo Critérios para a aceitagao do risco podem ser diferenciados de acordo com o tempo de existéncia previsto do risco, por exemplo, 0 risco pode estar associado a uma atividade temporaria ou de curto prazo. Conver que os critérlos para a aceltagao do risco sejam estabelecidos, considerando 08 seguintes itens: © Critérios de negécio ‘© Aspectos legais ¢ regulatérios © Operagées + Tecnologia © ISONEC 2011 -© ABNT 2011 - Todos 0s dicitos reservados 13 FL.ABNT NBR ISO/IEC 27005:2011 = Finangas * Fatores sociais e humai ios NOTA Os critérios para a aceitagao do risco correspondem aos “critérios para aceitagéo do risco @ identificagao do nivel aceitavel dos mesmos” especificados na ABNT NBR ISO/IEC 27001:2006 Segao 4.2.1.c) 2). Mais informagées podem ser encontradas no Anexo A. ites 7.3 Escopo e li Convém que a organizacao defina 0 escopo e 03 limites da gestdo de riscos de seguranga da intormagao. © escopo do processo de gestao de riscns de seguranca da informacao precisa ser definido para assegurar que todos os ativos relevantes sejam considerados no processo de avaliagao de riscos. ‘Além disso, os limites precisam ser identificados [ver também a ABNT NBR ISO/IEC 27001:2006 Segao 4.2.1 a)] para permitir o reconhecimento dos riscos que possam transpor esses limites. Convém que as informagdes sobre a organizacao sejam reunidas para que seja possivel determinar © ambiente em que ela opera e a relevancia desse ambiente para 0 processo de gestdo de riscos de seguranga da informagao. ‘Ao definir 0 escopo e os limites, convém que a organizagao considere as seguintes informagées: * Os objetivos estratégicos, politicas e estratégias da organizagao © Processus Ue neyss ‘© Asfungées e estrutura da organizagao * — Requisitos legais, regulatérios e contratuais aplicaveis a organizaco * A politica de seguranga da informagao da organizacao + Aabordagem da organizago a gestdo de riscos '* Ativos de informagao + Localidades em que a organizagao se encontra e suas caracteristicas geograficas ‘+ Restrigdes que afetam a organizacao + Expectativas das partes interesoadas ‘+ Ambiente sociocultural © Interfaces (ou seja, a troca de informagao com 0 ambiente) ‘Além disso, convém que a organizagao fornega justficativa para quaisquer exclusdes do escopo. Exemplos do escopo da gestdo de riscos podem ser uma aplicagao de TI, a infraestrutura de TI, lun processu Ue neyduius Ou ulna pate Uefinida Ua Uiyanizaya NOTA 0 escopo e os limites da gestdo de riscos de seguranca da informagao estao relacionados ao escopo e aos limites do SGSI, conforme requerido na ABNT NBR ISO/IEC 27001:2006 4.2.1 a) Informagées adicionais podem ser encontradas no Anexo A. 14 © ISONEC 2011 © ABNT 2011 - Todos 08 direitos reservadosABNT NBR ISO/IEC 27005:2011 7.4 Organizagao para gestao de riscos de seguranga da informagao ‘Convém que a organizacao e as responsabilidades para o processo de gestdo de riscos de seguranca da informago sejam estabelecidas e mantidas. A seguir estao os principais papéis e responsabilidades dessa organizagao: * Desenvolvimento do processo de gestao de riscos de seguranga da informacéo adequado a organizagao + Identiticagdo e andlise das partes interessadas * _ Definigdo dos papéis e responsabilidades de todas as partes, internas e externas a organizagao + Estabelecimento das relagdes necessérias entre a organizagéo e as partes interessadas, das interfaces com as fungdes de alto nivel de gestio de riscos da organizagao (por exemplo, a gestdo de riscos operacionais), assim como das interfaces com outros projetos ou atividades relevantes + Definigao de algadas para a tomada de decisSes + Especificagaio dos registros a serem mantides Convém que essa organizagao seja aprovada pelos gestores apropriados. NOTA A ABNT NBR ISO/IEC 27001:2006 requer a identificagao e a provisdo dos recursos necessérios para estabelecer, implementar, operar, monitorar, analisarcriticamente, manter e melhorar um SGSI [5.2.1.a)]. A organizagao das operagdee do gestdo de riscos pode eer considerada um doe recurso necessarios, segundo a ABNT NBR ISO/IEC 27001:2006. 8 Processo de avaliagao de cos de seguranga da formagao 8.1 Descricdo geral do processo de avaliacao de riscos de seguranca da informagao NOTA A atividade do processe de avaliagdo de riscos é referida come processe de anélise/avaliagdo de riscos na ABNT NBR ISO/IEC 270012006. Entrada: Critérios basicos, o escopo e os limites, e a organizagao do processo de gestéo de riscos de seguranga da informagao que se esta definindo. ‘Aco: Convém que os riscos sejam identificados, quantificados ou descritos qualitativamente, prionizados em tungao dos criterios de avaliagao de riscos e dos objetivos relevantes da organizacao. Diretrizes para implementagao: Um risco é a combinacao das consequéncias advindas da ocorréncia de um evento indesejado e da probabilidade de sua ocorréncia. O processo de avaliacao de riscos quantifica ou descreve o risco quaiitativamente e capacita os gestores a priorizar os riscos de acordo com a sua gravidade percebida ‘ou com outros critérios estabelecidos. O processo de avaliagav de riscos consiste nas seguintes atividades. * Identificagdo de riscos (Seco 8.2) © An de riscos (Seco 8.3) * Avaliagao de riscos (Segao 8.4) ©ISONEC 2011 -@ ABNT 2011 - Todos os drcitos reservados 15 -Fi2t-ABNT NBR ISO/EC 27005:2011 © processe de avaliagéio de riceos dotermina o valor dos ativoo de informagao, identifica a ameagao e vulnerabilidades aplicaveis existentes (ou que poderiam existir), identifica os controles existentes € seus efeitos no risco identificado, determina as consequéncias possiveis e, finalmente, prioriza 08 riscos derivados e ordena-os de acordo com 0s critérios de avaliagao de riscos estabelecidos nna definigéio do contexto. © proceso de avaliagao de riscos é executado frequentemente em duas (ou mais) iteragdes Primeiramente, uma avaliagao de alto nivel ¢ realizada para identificar os riscos potencialmente altos, ‘08 quais merecem uma avaliacéio mais aprofundada. A segunda iteragao pode considerar com mais profundidade esses riscos potencialmente altos revelados na primeira iteragao. Se ela nao fornecer informagées suficientes para avaliar o risco, entao anélises adicionais detalhadas séo executadas, provavelmente em partes do escopo total e possivelmente usando um outro método. Cabe a organizagao selecionar seu proprio método para 0 processo de avaliagao de riscos com base os objetivos e na meta do processo de avaliagao de riscos, Uma discusso sobre métodos utilizados no proceso de avaliagdo de riscos de seguranga da informagao pode ser encontrada no Anexo E. Saida: Uma lista de riscos avaliados, ordenados por prioridade de acordo com os critérios de avaliagao de riscos. 8.2. Identificacao de riscos 8.2.1 Introdugao a identificagao de riscos propésito da identificagao de riscos 6 determinar eventos que possam causar uma perda potencial e deixar claro como, onde e por que a perda pode acontecer. As etapas descritas nas préximas subsegdes de 8.2 servem para coletar dados de entrada para a atividade de andlise de riscos. Convém que a identificacao de riscos inclua os riscos cujas fontes estejam ou nao sob controle da organizacaio, mesmo que a fonte ou a causa dos riscos nao seja evidente. NOTA Atividades desoritas nas segdes subsequentes podem ser executadas em uma ordem diferente dependendo da metodologia aplicada. 8.2.2 Identificacao dos ativos Entrada: Escopo e limites para o proceso de avaliago de riscos a ser executado; lista de componentes com responsdveis, localidade, fungao etc. Ag&o: Convém que oc ativos dentro do eccopo ostabelocide cojam identificados (roforo co & ABNT NBR ISO/IEC 27001:2006, Segao 4.2.1 d) 1)). retrizes para implementaca Um ativo é algo que tem valor para a organizago e que, portanto, requer protegao. Para a identificacao dos ativos convém que se tenha em mente que um sistema de informagao compreende mais do que hardware e software. Convém que a identificagao dos ativos seja executada com um detalhamento adequado que fornega informagdes suficientes para o processo de avaliacao de riscos. O nivel de detalhe usado na identificagao dos ativos influenciard a quantidade geral de informagdes reunidas durante o processo de avaliacao de riscos. O detalhamento pode ser aprofundado em cada iteracao do processo de avaliagdo de riscos. 16 © ISOEC 2011 -© ABNT 2011 - Todos os direitos reservados “Fl22-ABNT NBR ISO/EC 27005:2011 Convém que um rcopenodve! ocja identificado para cada ative, a fim de oficializar oua reoponoabilidade garantir a possibilidade da respectiva prestacao de contas. O responsével pelo ativo pode nao ter direitos de propriedade sobre ele, mas tem responsabilidade sobre sua producao, desenvolvimento, manutengao, utilizagao e seguranga, conforme apropriado. O responsdvel pelo ativo é frequentemente apessoa mais adequada para determinar o seu valor para a organizagao (ver 8.3.2 sobre a valoragao dos ativos). O limite da andlise critica 6 o perimetro dos ativos da organizago a serem considerados pelo processo de gestio de riscos de seguranga da informacao. Mais informacdes sobre a identificagao e valora¢ao dos ativos, sob a perspectiva da seguranga da informagao, podem ser encontradas no Anexo B. Saida: Uma lista de ativos com riscos a serem gerenciados e uma lista dos processos de negdcio relacionados aos ativos e suas relevancias. 8.2.3 Identificagao das ameagas Entrada: Informagées sobre ameacas obtidas a partir da andlise critica de incidentes, dos responséveis pelos ativos, de usuarios e de outras fontes, incluindo catdlogos externos de ameacas. ‘Acdo: Convém que as ameagas e suas fontes sejam identficadas (refere-se & ABNT NBR ISOMEC 270012006, Segao 4.2.1 d) 2)). Diretrizes para implementac: Unt ameaya te 9 polencial de comprometer alives (commu infurtiaySes, processus © sisters) , por isso, também as organizacdes. Ameagas podem ser de origem natural ou humana e podem ser acidentais ou intencionais. Convém que tanto as fontes das ameagas acidentais quanto as das intencionais, sejam identificadas. Uma ameaga pode surgir de dentro ou de fora da organizagao. Convém que as ameacas sejam identificadas genericamente e por classe (por exemplo, acdes nao autorizadas, danos fisicos, falhas técnicas) e, quando apropriado, que ameacas especificas sejam identificadas dentro das classes genéricas. Isso significa que nenhuma ameaca é ignorada, incluindo as nao previstas, mas que o volume de trabalho exigido ¢ limitado. Algumas ameagas podem afetar mais de um ativo. Nesses casos, elas podem provocar impactos diferentes dependendo de quai ativos so afetados. Dados de entrada para a identificacdo das ameagas e analise da probabilidade de ocorréncia (ver 8.3.3) podem ser obtidos dos responsaveis pelos ativos ou dos usuarios, do pessoal, dos administradores das instalagdes @ dos ospecialistas em seguranga da informacao, de poritos om seguranga fisica, do departamento juridico ede outras organizagées, incluindo organismos legais, autoridades climaticas, companhias de seguros e autoridades governamentais nacionais. Aspectos culturais e relacionados ao ambiente precisam ser considerados quando se examinam as ameacas. Convém que experiéncias internas de incidentes e avaliagdes anteriores das ameagas sejam consideradas na avaliagdo atual. Pode ser util a consulta a outros catélogos de ameacas (talvez mais especificos a uma organizacao ou negécio) a fim de completar a lista de ameacas genéricas, quando relovanto. Catdlogos de ameagas 0 ostatisticas eo dieponibilizadoe por organicmoe eotoriaic, governos nacionais, organismos legais, companhias de seguro etc. Quando forem usados catélogos de ameacas ou os resultados de uma avaliagao anterior das ameacas, convém que se tenha consciéncia de que as ameacas relevantes estao sempre mudando, especialmente se o ambiente de negécio ou se os sistemas de informagdes mudarem. © ISONEC 2011 -@ ABNT 2011 - Todos 0s direitos reservados 17 “FlasABNT NBR ISO/IEC 27005:2011 Maic informagéee cobro tipoc do amoagae podem cor oncontradac no Anoxo C. Saida: Uma lista de ameacas com a identificagao do tipo e da fonte das ameagas. 8.2.4 Identificacao dos controles existentes Entrada: Documentagaio dos controles, planos de implementagaio do tratamento do risco. Acao: Convém que os controles existentes e os planejados sejam identificados. retrizes para implementacé Convém que a identificagéo dos controles existentes seja realizada para evitar custos e trabalho desnecessarios. por exemplo. na duplicacdo de controles. Além disso. enquanto os controles existentes estéo sendo identificados, convém que seja feita uma verificacéo para assegurar que eles esto funcionando corretamente — uma referéncia aos relatérios jd existentes de auditoria do SGSI pode reduzir o tempo gasto nesta tarefa. Um controle que nao funcione como esperado pode provocar 0 surgimento de vulnerabilidades. Convém que seja levada em consideracao a possibilidade de um controle selecionado (ou estratégia) falhar durante sua operacdo. Sendo assim, controles complementares sao necessarios para tratar efetvamente o risco identificado. Em um SGSI, de acordo com a ABNT NBR ISO/IEC 27001, isso é auxiliado pela medicao da eficacia dos controles. Uma maneira para estimar o efeito do controle é ver o quanto ele reduz, por um lado, a probabilidade da ameaga e a facilidade com que uma vulnerabilidade pode ser explorada ou, por outro lado, o impacto do incidente. A andlise critica pela direco e relatérios de auditaria também fomecem informagses sobre a eficacia dos controles existentes. Convém que os controles que estao planejados para serem implementados de acordo com os planos de implementacao de tratamento do risco também sejam considerados, juntamente com aqueles que ja estdo implementados. Controles existentes ou planejados podem ser considerados ineficazes, insuficientes ou ndo justificados. Convém que um controle insuficiente ou nao justificado seja verificado para determinar se convém que ele seja removido, substitufdo por outro controle mais adequado ou se convém que ‘© controle permanega em vigor, por exemplo, em funcao dos custos. Para a identificagdo dos controles existentes ou planejados, as seguintes atividades podem ser titeis: + Analisar de forma critica os documentos contendo informagdes sobre os controles (por exemplo, os planos de implementagao de tratamento do risco). Se os processos de gestdo da seguranga da informagao estiverem bem documentados, convém que todos os controles existentes ou planejados e a situacao de sua implementacao estejam disponiveis; «+ Verificar com as pessoas raspansdvais pela seguranca da infarmacaa (por exemplo, o rasponsdval pela seguranca da informagao, o responsdvel pela seguranga do sistema da informagao, © gerente das instalagdes prediais, o gerente de operagdes) e com os usuarios quais controles, relacionados ao processo de informacao ou ao sistema de informagao sob consideracao, esto realmente implementados; * Revisar, no local, os controles fisicos, comparando os controles implementados com a lista de quais controles convém que estejam presentes, e verificar se aqueles implementados estéo funcionande efetiva e corretamente, ou © Analisar criticamente os resultados de auditories. Saida: Uma lista de todos os controles existentes e planejados, sua implementagao e status de utilizagao. 18 © ISOEC 2011 -© ABNT 2011 - Todos os direitos reservados “FeABNT NBR ISO/IEC 27005:2011 8.2.5 Identificagéo das vulnerabilidades Entrada: Uma lista de ameagas conhecidas, listas de ativos e controles existentes. ‘Ago: Convém que as vulnerabilidades que podem se exploradas por ameagas para comprometer os ativos ou a organizagao sejam identificadas (refere-se ABNT NBR ISO/IEC 27001 :2006, Secdo 4.2.1 @) 3). Diretrizes para implementagao: Vulnerabilidades podem ser identificadas nas seguintes dreas: + Organizagao * Processos e pracedimentos + Rotinas de gestao © Recursos humanos * Ambiente fisico * Configuracao do sistema de informagao * Hardware, software ou equipamentos de comunicagao + Dependéncia de entidades externas A presenga de uma vulnerabilidade nao causa prejulzo por si 86, pois precisa haver uma ameaga presente para explord-la. Uma vulnerabilidade que no tem uma ameaga correspondente pode nao requerera implementagao de um controle no presente momento, mas convém que ela seja reconhecida ‘como tal e monitorada, no caso de haver mudangas. Convém notar que um controle implementado incorretamente, com mau funcionamento ou sendo usado de forma errada pode, por si $6, representar uma vulnerabilidade. Um controle pode ser eficaz ou nao, dependendo do ambiente no qual ele opera. Inversamente, uma ameaga que nao tenha uma vulnerabilidade correspondente pode nao resultar ‘em um risco. \Vulnerabilidades podem estar ligadas a propriedades do ativo, as quais podem ser usadas de uma forma ou para um propésito diferente daquele para 0 qual 0 ativo foi adquirido ou desenvolvido. Vuinerabilidades decorrentes de diferentes fontes precisam ser consideradas, por exemplo, {29 intrinocea ¢ a9 extrinoceas a0 ativo. Exemplos de vulnerabilidades e métodos para avaliagao de vulnerabilidades podem ser encontrados no Anexo D. Saida: Uma lista de vulnerabilidades associadas aos ativos, ameagas e controles; uma lista de vulnerabilidades que nao se refere a nenhuma ameaca identificada para andlise. 0.2.6 Identificagao das consequéncias Entrada: Uma lista de ativos, uma lista de processos do negécio e uma lista de ameagas vulnerabilidades, quando aplicavel, relacionadas aos ativos e sua relevancia. © ISONEC 2011 - © ABNT 2011 - Todos os drltos reservados 19 “Fas.ABNT NBR ISO/EC 27005:2011 ‘Ago: Convém que as consequéncias que a perda de confidencialidade, de integridade e de disponibilidade podem ter sobre os ativos sejamidentificadas (ver ABNT NBR ISO/IEC 27001 :2006 4.2.1 d) 4)). Uma consequéncia pode ser, por exemplo, a perda da eficdcia, condigées adversas de operagao, a perda de oportunidades de negécio, reputacao afetada, prejuizo etc. Essa atividade identifica 0 prejuizo ou as consequéncias para a organizagéio que podem decorrer de um cendirio de incidente. Um cendrio de incidente é a descrigao de uma ameaga explorando uma certa vulnerabilidade ou um conjunto vulnerabilidades em um incidente de seguranga da informacao (Ver ABN | NBH ISU/IEC 2/002:2005, Segao 13). U impacto dos cenarios de incidentes e determinado considerando-se os critérios de impacto definidos durante a atividade de definicao do contexto. Ele pode afetar um ou mais ativos ou apenas parte de um alivo. Assim, aos ativos podem ser atribuidos valores correspondendo tanto aos seus custos financeiros, quanto as consequéncias ao negécio se forem danificados ou comprometidos. Consequéncias podem ser de natureza temporéria ou permanente ‘como no caso da destruigao de um ativo. NOTA — A ABNT NBR ISO/IEC 27001:2006 descreve a ocorréncia de cendrios de incidentes como “falhas de seguranga’. Convém que as organizagées identifiquem as consequéncias operacionais de cendrios de incidentes em fung&o de (mas nao limitado a): * _Investigacao e tempo de reparo * Tempo (de trabalho) perdido © Oportunidade perdida + Satide e seguranga + Custo financeiro das competéncias especificas necessarias para reparar o prejuizo «Imagem, raputagiio e valor de mercado Detalhes sobre a avaliagdo de vulnerabilidades técnicas podem ser encontrados em B.3 — Avaliagao do impacto. Salida: Uma lista de cenérios de incidentes com suas consequéncias associadas aos ativos e processos do negécio. 8.3 Andlise de riscos 8.3.1 Metodologias de andlise de riscos ‘A anélise de riscos pode ser empreendida com diferentes graus de detalhamento, dependendo da criticidade dos ativos, da extensdo das vulnerabilidades conhecidas e dos incidentes anteriores envolvendo a organizagao. Uma metodologia para a andlise de riscos pode ser qualitativa ou quantitativa ou uma combinagdo de ambas, dependendo das circunstancias. Na pratica, a analise qualitativa é frequentemente utilizada em primeiro lugar para obter uma indicagao geral do nivel de risco e para revelar 0s grandes riscos. Depois, podem ser necessdrio efetuar uma andlise quantitativa ‘ou mais especifica nos grandes riscos. Isso ocorre porque normalmente é menos complexo e menos ‘oneroso realizar andlises qualitativas do que quantitativas. 20 © ISOIEC 2011 -© ABNT 2011 - Todos os direitos reservados -FL26-ABNT NBR ISO/IEC 27005:2011 Convém que a forma da anélise aeja coerente com o critério de avaliagao de riscos deaenvolvide como parte da definigao do contexto. Detalhes adicionais a respeito das metodologias para a andlise esto descritos a seguir: (a) Andlise qualitativa de riscos: ‘Aanlise qualitativa de riscos utiliza uma escala com atributos qualificadores que descrevem amagnitude das consequéncias potenciais (por exemplo, pequena, média e grande) e a probabilidade dessas consequéncias ocorrerem. Uma vantagem da andlise qualitativa é sua facilidade de compreensao por todas as pessoas envolvidas, enquanto que uma desvantagem é a dependéncia da escolha subjetiva da escala. Essas escalas podem ser adaptadas ou ajustadas para se adequarem as circunstancias, e descrig6es diferentes podem ser usadas para riscos diferentes. A andilise qualitativa pode ser utilizada: * Como uma verificagao inicial a fim de identificar riscos que exigem uma analise mais detalhada * Quando esse tipo de andlise ¢ suficiente para a tomada de decisées * Quando os dados numéricos ou recursos sao insuficientes para uma andlise quantitativa Convém que a andlise qualitativa utili formagées © dados factuais quando disponiveis, (b) Anélise quantitativa de riscos: A anélise quantitativa utiliza uma eacala com valeres numéricos (6 no as escalas descritivas usadas na analise qualitativa) tanto para as consequéncias quanto para a probabilidade, usando dados de diversas fontes. A qualidade da anélise depende da exatidao e da integralidade dos valores numéricos e da validade dos modelos utilizados. A andlise quantitativa, na maioria dos casos, utiliza dados histéricos dos incidentes, proporcionando a vantagem de poder ser relacionada diretamente aos objetivos da seguranga da informacdo e interesses da organizagao. Uma desvantagem 6 a falta de tais dados sobre novos riscos ou sobre fragilidades da seguranga da informagao. Uma desvantagem da abordagem quantitativa ocorre quando dados factuais e auditéveis nao estao disponiveis. Nesse caso, a exatidao do processo de avaliagao de riscos e os valores associados tornam-se ilusorios. A forma na qual as consequéncias e a probabilidade so expressas e a forma em que elas séo combinadas para fornecer um nivel de risco iro variar de acordo com 0 tipo de risco e do propésito para 0 qual os resultados do processo de avaliagio de riscos serdo usados. Convém que a incerteza © a variabilidade tanto das consequéncias, quanto da probabilidade, sejam consideradas na andlise e comunicadas de forma eticaz. 8.3.2 Avaliagao das consequéncias Entrada: Uma lista de cenarios de incidentes identificados como relevantes, incluindo a identificagao de ameagas, vulnerabilidades, ativos afetados e consequéncias para os ativos e processos do negécio. ‘Ag&io: Convém que 0 impacto sobre 0 negécio da organizacéio, que pode ser causado por incidentes (possiveis ou reais) relacionados a seguranga da intormagao, seja avaliado levando-se em conta as consequéncias de uma violagéo da seguranga da informagao, como por exemplo: a perda da confidencialidade, da integridade ou da disponibilidade dos ativos (efere-se a ABNT NBR ISO/IEC 27001:2006, Sepao 4.2.1 e) 1)).. © ISONEC 2011 - © ABNT 2011 - Todos os drltos reservados at “Fur.ABNT NBR ISO/IEC 27005:2011 retrizes para implementaga Depois de identificar todos os ativos relevantes, convém que os valores atribuidos a esses ativos sejam levados em consideragao durante a avaliagao das consequéncias. Ovalordoimpactoaonegéciopodeserexpresso deforma qualitativaouquantitativa, porémummeétodopara designar valores monetarios geralmente pode fornecermaisinformagdes titeis paraatomadadedecisdes e, consequentemente, permitir que 0 processo de tomada de decisao seja mais eficiente. Avaloragaodosativoscomegacomasuaciassificagodeacordocomacriticidade, emfungaodaimportancia dosativos para a realizagao dos objetivos de negécios da organizagao.A valoragao é entao determinada de duas maneiras: * 0 valor de reposi¢ao do ativo: © custo da recuperacao e da reposi¢ao da informagao (se for possivel), € * as consequéncias ao negécio relacionadas a perda ou ao comprometimento do ativo, como as possiveis consequéncias adversas de carater empresarial, legal ou regulatérias causadas pela divulgago indevida, modificacao, indisponibilicade e/ou destruigao de informagdes ou de outros ativos de informagao. Essa valoragéo pode ser determinada a partir de uma andlise de impacto no negécio. O valor, determinado em fungao da consequéncia para 0 negocio, normalmente é significativamente mais elevado do que o simples custo de reposicao, dependendo da importancia do ativo para a organizagao na realizagao dos objetivos de negécios. ‘A valoragéio dos atives roproconta um dos acpostos maic importantes na avaliagéio do impacto de um cendrio de incidente, pois o incidente pode afetar mais de um ativo (por exemplo, os ativos dependentes) ou somente parte de um ativo. Diferentes ameacas e vulnerabilidades causardo diferentes impactos sobre os ativos, como perda da confidencialidade, da integridade ou da disponibilidade. A avaliagao das consequéncias est, portanto, relacionada a valoragao dos ativos baseada na andlise de impacto no negécio. As consequéncias ou 0 impacto ao negécio podem ser determinados por meio da criagao de modelos com as resultadas de um evento, 1m conjunto de evantas ou através da extranolaci a partir de estudos experimentais ou dados passados. As consequéncias podem ser expressas em fungao dos critérios de impacto monetérios, técnicos ‘ou humanos, ou de outro critério relevante para a organizagao. Em alguns casos, mais de um valor numérico 6 necessario para especificar as consequéncias para os diferentes momentos, lugares, grupos ou situagses. Convém que as consequéncias expressas em tempo e valor financeiro sejam medidas com a mesma abordagem utilizada para a probabilidade da ameaca ¢ as vulnerabilidades. A consisténcia deve ser mantida com respeito & abordagem quantitativa ou qualitativa. Mais informagdes sobre valoragéo dos ativos e sobre a avaliagéo do impacto podem ser encontradas no Anexo B. Saida: Uma lista de consequéncias avaliadas referentes a um cenario de incidente, relacionadas a08 atives e critérios de impacto. 22 (© ISONEC 2011 -© ABNT 2011 - Todos 08 direitos reservados “FB.ABNT NBR ISO/IEC 27005:2011 8.3.3 Avaliagao da probabilidade doc incidentoc Entrada: Uma lista de cenarios de incidentes identificados como relevantes, incluindo a identificago de ameagas, ativos afetados, vulnerabilidades exploradas e consequéncias para os ativos e processos do negécio. Além disso, listas com todos os controles existentes e planejados, sua eficdcia, implementagao e status de utilizacao. ‘Aga: Convém que a probablidade dos cenétios de incidentes seja avaliada (reere-se & ABNT NBR ISOMEC 270012006, Sedo 42.1 e)2)) Diretrizes para implementacao; Depois de identificar os cenarios de incidentes, é necessério avaliar a probabilidade de cada cenario e do impacto correspondente, usando técnicas de andlise qualitativas ou quantitativas. Convém levar ‘em conta a frequéncia da ocorréncia das ameacas e a facilidade com que as vulnerabilidades podem ser exploradas, considerando o seguinte: © aexperiéncia passada e estatisticas aplicaveis referentes a probabilidade da ameaca * para fontes de ameagas intencionais: a motivagéo e as competéncias, que mudam ao longo do tempo, os recursos disponiveis para possiveis atacantes, bem como a percepgao da vulnerabilidade e o poder da atragao dos ativos para um possivel atacante * para fontes de ameacas acidentais: fatores geograficos (como por exemplo, proximidade a fabricas e refinarias de produtos quimicos e petréleo), a possibilidade de eventos climaticos extremos e fatores que poderiam acarretar erros humanos e o mau funcionamento de equipamentos * _vulnerabilidades, tanto individualmente como em conjunto * 0s controles existentes e a eficdcia com que eles reduzem as vulnerabilidades Por exemplo, um sistema de informac&o pode ter uma vulnerabilidade relacionada as ameacas de forjar a identidade de um usuario e de fazer mau uso de recursos. A vulnerabilidade relacionada ‘20 uso forjado da identidade de um usuario pode ser alta devido, por exemplo, a falta de um mecanismo de autenticagia de usuario, Por outta lado, a propabilidade de utiizagaa indavida dos recursos pade ser baixa, apesar da falta de autenticacao, pois os meios disponiveis para que isso pudesse acontecer so limitados. Dependendo da necessidade de exatidao, ativos podem ser agrupados ou pode ser necessario dividir um ativo em seus componentes e relacionar estes aos cenarios. Por exemplo, conforme a localidade ‘geografica, a natureza das ameacas a um mesmo tipo de ativo ou a eficacia dos controles existentes podem variar. Saida: Probabilidade dos cenarios de incidentes (no método quantitativo ou no qualitativo). 8.3.4 Determinagao do nivel de risco Entrada: Uma lista de cendrios de incidentes com suas consequéncias associadas aos ativos, processas da nagécio @ suas prohabilidades (no métoda quantitativo ou no qualitativa). Acao: Convém que 0 nivel de risco seja estimado para todos os cenarios de incidentes considerados relevantes (refere-se a ABNT NBR ISO/IEC 27001 :2006, Seco 4.2.1 e) 4)).. © ISONEC 2011 -© ABNT 2011 - Todos os dtitos reservados 23 -Fl29-ABNT NBR ISO/IEC 27005:2011 retrizes para implomentagé A andllse de riscos designa valores para a probabilidade e para as consequéncias de um isco, Esses valores podem ser de natureza quantitativa ou qualitativa. A andlise de riscos ¢ baseada nas consequéncias e na probabilidade estimadas. Além disso, ela pode considerar 0 custo-beneficio, as preocupacées das partes interessadas e outras varidveis, conforme apropriado para a avaliagao de riscos. O isco estimado é uma combinagdo da probabilidade de um cenario de incidente e suas consequéncias. Exemplos de diferentes abordagens ou métodos pera andlise de riscos de seguranga da informagao podem ser encontrados no Anexo E. Saida: Uma lista de riscos com niveis de valores designados. 8.4 Avaliacao de riscos Entrada: Uma lista de riscos com niveis de valores designados e critérios para a avaliagao de riscos. ‘Ago: Convém que o nivel dos riscos seja comparado com os critérios de avaliagao de riscos e com 08 critérios para a aceltacdo do risco (refere-se ABNT NBR ISO/IEC 270012006, Segao 4.2.1 e) 4)). retrizes para implementacao: ‘A natureza das decisdes relativas a avaliagao de riscos e os critérios de avaliacdo de riscos que iro ser usados para tomar essas decisdes teriam sido decididos durante a definico do contexto. Convém que essas decisdes e 0 contexto sejam revisados detalhadamente nesse estagio em que se conhecemaissobre osriscosidentificados. Para avaliarosriscos, convémqueasorganizacdescomparem 08 riscos estimados (usando os métodos ou abordagens selecionadas como abordado no Anexo E) com os critérios de avaliacao de riscos definidos durante a definicao do contexto. Convém que os critérios de avaliagao de riscos utiizados na tomada de decisdes sejam consistentes com 0 contexto definido, externo e interno, relativo & gestao de riscos de seguranga da informacao © levem em conta 09 objetivos da organizagéo, 0 ponto de vista das partes interessadas etc. ‘As decisdes tomadas durante a atividade de avaliagdo de riscos séo baseadas principalmente no nivel de risco aceitavel. No entanto, convém que as consequéncias, a probabilidade e o grau de confianga na identificagdo e anélise de riscos também sejam considerados. A agregacao de varios, equenos ou médios riscos pode resultar em um risco total bem mais significativo e precisa ser tratada adequadamente. Convém que os seguintes itens sejam considerados: + Propriedades da seguranca da informacdo: se um critério nao for relevante para a organizagao {por exemplo, a perda da confidencialidade), logo todos os riscos que provocam esse tipo de impacto podem ser considerados irrelevantes *Imparténcia da praessa de negécins au da atividade suiportada par im determinada ative ou conjunto de ativos: se 0 processo for considerado de baixa importancia, convém que 0s riscos associados a ele sejam menos considerados do que os riscos que causam impactos em processos ou atividades mais importantes 24 © ISOEC 2011 -© ABNT 2011 - Todos os direitos reservados -FL30-ABNT NBR ISO/IEC 27005:2011 A avaliagao de riseos usa 0 entendimente do riseo obtide através da andllce de riscos para a tomada de decisdes sobre agoes futuras. Convém que as decisoes incluam: * Se convém que uma atividade seja empreerdida ‘* As prioridades para o tratamento do risco, levando-se em conta os niveis estimados de risco Durante a etapa de avaliacao de riscos, além dos riscos estimados, convém que requisitos contratuais, legais e regulatérios também sejam considerados. Sajda: Uma lista de riscos priorizada, de acordo com os critérios de avaliagao de riscos, em relagéo a0¢ conarios de incidentes que podem lovar a esses riscos. 9 Tratamento do ri: ;co de seguranga da informagao 9.1 Descrigao geral do processo de tratamento do risco Entrada: Uma lista de riscos priorizada, de acordo com os critérios de avaliagao de riscos, em relagao aos cenarios de incidentes que podem levar a esses riscos. Agao: Convém que controles para modifticar, reter, evitar ou compartilhar os riscos sejam selecionados eo plano de tratamento do risco seja definido. Diretrizes para implementacé Hé quatro opgdes disponiveis para 0 tratamento do risco: modificagao do risco (ver 9.2), retengao do risco (ver 9.3), agdo de evitar o risco (ver 9.4) e compartilhamento do risco (ver 9.5). NOTA AABNT NBR ISO/IEC 27001:2006 4.2.1 1) 2) usa 0 termo “aceitagao do risco” em vez de “retengao do risco”. A Figura 9 ilustra a atividade de tratamento do risco dentro do processe de gestéo de riscos de seguranga da informagao como apresentado na Figura 2. © ISONEC 2011 - © ABNT 2011 - Todos os direitos reservados 25 “FtRESULTADOS DA sold RISCOS EVENS Co) Beauly Tratamento do risco Oye ce ere) aXe) EVITAR O. Liste) Erode rater Cor) DO RISCO RETENGAO DO RISCO fisees Esse Sauls) SATISFATORIO Ponto de Decisio 2 Figura 3 - A atividade de tratamento do risco ‘Convém que as opgdes de tratamento do risco sejam selecionadas com base no resultado do processo de avaliagao de riscos, no custo esperado para implementagdo dessas opgdes e nos beneficios previstos. ‘Quando uma grande modificagao do risco pode ser obtida com uma despesa relativamente pequena, convém que essas op¢des sejam implementadas. Outras opedes para melhorias podem ser muito dispendiosas e uma analise precisa ser feita para verificar suas justificativas. Em geral, convém que as consequéncias adversas do risco sejam reduzidas ao minimo possivel, independentemente de quaisquer critérios absolutos. Convém que os gestores considerem 08 riscos improvaveis porém graves. Nesse caso, controles que nao sa0 justificdveis do ponto de vista estritamente econdmico podem precisar ser implementados (por exemplo, controles de continuidade de negécios concebidos para tratar riscos de alto impacto especificos). 26 (© ISONEC 2011 -© ABNT 2011 - Todos os direitos reservados “FI32ABNT NBR ISO/IEC 27005:2011 ‘As quatro opgdes para o tratamento do risco no so mutuamente exclusivas. As vezes, a organizagao pode beneficiar-se substancialmente de uma combinagao de opgdes, como redugao da probabilidade do risco, a redugao de suas consequéncias e o compartilhamento ou retengdo dos riscos residuais. Algumas formas de tratamento do risco podem lidar com mais de um risco de forma efetiva (por exemplo, o treinamento e a conscientizagdo em seguranga da informacao). Convém que um plano de tratamento do risco seja definido, identificando claramente a ordem de prioridade em que convém que as formas especificas de tratamento do risco sejam implementadas, assim como os seus prazos de execugao. Prioridades podem ser estabelecidas usando varias técnicas, incluindo a ordenacao dos riscos e a andlise de custo-beneficio. E de responsabilidade dos gestores da organizagao equilibrar 08 custos da implementagao dos controles e 0 orgamento. A identificac&o de controles existentes pode determinar concluir que eles excedem as necessidades atuais em fungdo da comparago de custos, incluindo a manutenodo. Se a remogao de controles redundantes e desnecessarios tiver que ser considerada (especialmente se os controles tém altos custos de manutengdo), convém que a seguranca da informacao e os fatores de custo sejam levados ‘em conta. Devido a influéncia que os controles exercem uns sobres os outros, a remocao de controles redundantes pode reduzir a seguranca em vigor como um todo. Além disso, talvez seja menos dispendioso deixar controles redundantes ou desnecessarios em vigor do que remové-los. Convém que as opgdes de tratamento do risco sejam consideradas levando-se em conta: * Como o risco ¢ percebido pelas partes afetadas * As formas mais apropriadas de comunicagao com as partes A definigao do contexto (ver 7.2 — Critérios de avaliagao de riscos) fornece informagées sobre requisitos legais e regulatérios com os quais a organizagao precisa estar em conformidade. Nesse caso, © risco para a organizacao nao estar em conformidade e convém que sejam implementadas opgdes de tratamento para limitar essa possibilidade. Convém que todas as restrigdes — organizacionais, técnicas, estruturais etc. identificadas durante a atividade de definigéio do contexto sejam levadas ‘em conta durante o tratamento do risco. Uma vez que o plano de tratamento do risco tenha sido definido, os riscos residuais precisam ser determinados. Isso envolve uma atualizacdo ou uma repeticdo do processo de avaliagao de riscos, considerando-se os efeitos previstos do tratamento do risco que foi proposto. Caso 0 risco residual ainda no satisfaga os critérios para a aceitacao do risco da organizacao, uma nova iteracao do tratamento do risco pode ser necessdria antes de se prosseguir a aceitagao do risco. Mais informagées podem ser encontradas na ABNT NBR ISO/IEC 27002:2005, Seca 0.3. Saida: O plano de tratamento do risco e os riscos residuais dos gestores da organizacao. Sujeitos & decisdo de aceitagao por parte 9.2 Modificagao do risco ‘Ago: Convém que o nivel de risco seja gerenciado através da inclusdo, exclusdo ou alteracao de controles, para que 0 risco residual possa ser reavaliado e entao considerado aceitavel Diretrizes para implementacao: Convém que controles apropriados e devidamente justificados sejam selecionados para satistazer os requisitos identificados através do processo de avaliacdo de riscos e do tratamento dos riscos. Convém que essa escolha leve em conta os critérios para a aceitaco do risco assim como requisitos legais, ‘© ISONEC 2011 - © ABNT 2011 - Todos os dritos reservados 27 -FL33-ABNT NBR ISO/IEC 27005:2011 regulatérios e contratuais. Convém que essa selegéo também leve em conta custos e prazos para a implementagao de controles, além de aspectos técnicos, culturais e ambientais. Com frequéncia, 6 possivel diminuir 0 custo total de propriedade de um sistema por meio de controles de seguranga da informacao apropriadamente selecionados. Em geral, 0 controles podem fornecer um ou mais dos seguintes tipos de protegao: correcao, eliminagao, prevencao, minimizagao do impacto, dissuasdo, deteceao, recuperagao, monitoramento e conscientizacao. Durante a selecdo de controles, é importante pesar o custo da aquisicao, implementagao, administragao, operacao, monitoramento e manutengao dos controles em relagao ao valor dos ativos sendo protegidos. Além disso, convém que o retorno do investimento, na forma da modificagao do risco e da possibilidade de se explorar em novas oportunidades de negécio em fungo da existéncia de certos controles, também seja considerado. Adicionalmente, convém considerar as competéncias especializadas que possam ser necessarias para definir e implementar novos controles ou modificar os existentes. A ABNT NBR ISO/IEC 27002 fornece informagées detalhadas sobre controles. Hé muitas restrigdes que podem afetar a selegao de controles. Restrigdes técnicas, como requisitos de desempenho, capacidade de gerenciamento (requisitos de apoio operacional) e questoes de ‘compatibilidade, podem dificultar a utilizacao de certos controles ou induzir erros humanos, chegando mesmo a anular o controle, a dar uma falsa sensagao de seguranga ou a tomar o risco ainda maior do que seria se 0 controle nao existisse (por exemplo, exigir senhas complexas sem treinamento adequado leva os usudrios a anotar as senhas por escrito). E importante lembrar também que um controle pode vir a afetar 0 desempenho sobremaneira. Convém que os gestores tentem encontrar uma solugo que satisfaga os requisitos de desempenho e que possa, ao mesmo tempo, garantir um nivel suficiente de seguranca da informago. O resultado dessa etapa é uma lista de controles possiveis, com seu custo, beneficio e prioridade de implementagao. Convém que varias restrig6es sejam levadas em consideragao durante a escolha e a implementagao de controles. Normalmente, so consideradas as seguintes: + Restriges temporais + Restrigées financeiras + Restrigées técnicas * Restrigdes operacionais © Restrigdes culturais = RestiigSes etivas + Restrigdes ambientais + Restrigdes legais ° Fa dade de uso + Restriges de recursos humanos + Restrigdes ligadas a integracéo dos controles novos aos jé existentes. Mais informagdes sobre as restrigdes que dizem respeito & modificagdo do risco podem ser encontradas no Anexo F. 28 © ISO/IEC 2011 - © ABNT 2011 - Todos os dirotos reservados “FdABNT NBR ISO/IEC 27005:2011 9.3. Retengao do risco ‘Agdo: Convém que as decisdes sobre a retengao do risco, sem outras ages adicionais, sejam tomadas tendo como base a avaliagao de riscos. NOTA Na ABNT NBR ISO/IEC 27001:2006 42.1 f 2), 0 t6pico “aceitagdo do risco, consciente © objetivamente, desde que claramente satisfazendo as politicas da organizagao e 0s critérios para aceitagao do risco” descreve a mesma atividade. Diretrizes para implementacao: Se 0 nivel de risco atender aos critérios para a aceitagao do risco, néo ha necessidade de se implementarem controles adicionais ¢ pode haver a retengao do risco. 9.4 Acao de evi orisco ‘onvém que a atividade ou condigao que da origem a um determinado risco seja evitada. Diretrizes para implementacao: Quando os riscos identificados sao considerados demasiadamente elevados e quando os custos da implementacao de outras opgdes de tratamento do risco excederem os beneficios, pode-se decidir que © isco soja evitado completamente, soja através da eliminacao de uma atividade planejada ou existente (ou de um conjunto de atividades), seja através de mudangas nas condigées em que a operacao da atividade ocorre. Por exemplo, para riscos causados por fendmenos naturais, pode ser uma alternativa mais rentavel mover fisicamente as instalagdes de processamento de informagées para um local onde 9 risco nao existe ou esté sob controle. 9.5 Compartilhamento do risco Agao: Convém que um determinado risco seja compartilhado com outra entidade que possa gerencid-lo de forma mais eficaz, dependendo da avaliagao de riscos. Diretrizes para implementacdo: © compartilhamento do risco envolve a decisdo de se compartilharem certos riscos com entidades ‘externas. O compartithamento do risco pode criar novos riscos ou modificar riscos cxistentes ¢ identificados. Portanto, um novo tratamento do isco pode ser necessario. © compartilhamento pode ser feito por um seguro que cubra as consequéncias ou através da subcontratagao de um parceiro cujo papel seria o de monitorar o sistema de informagao e tomar medidas imediatas que impecam um ataque antes que ele possa causar um determinado nivel de dano ou prejuizo. Convém notar que € possivel compartilhar a responsabilidade de gerenciar riscos, entretanto nao é normalmente possivel compartilhar a responsabilidade legal por um impacto. Os clientes provavelmente irdo atribuir um impacto adverso como sendo falha da organizacao. 10 Aceitagao do risco de seguran¢a da informagao Entrada: O plano de tratamento do risco e 0 processo de avaliagao do risco residual sujeito a decisao dos gestores da organizagao relativa a aceitagao do risco. © ISONEC 2011 - © ABNT 2011 - Todos 08 drltos reservados 29 “FL35-ABNT NBR ISO/IEC 27005:2011 Aga. Cunvérn que a decisau de acvilat us riscus seja fella & furimalnente reyistiadas, junta a responsabilidade pela decisao (isso se refere a 4.2.1 h) da ABNT NBR IEC 27001:2006). retrizes para implementacdo: Convém que os planos de tratamento do risco descrevam como os riscos avaliados sera tratados para que os critérios de aceitagdo do risco sejam atendidos (ver Segdo 7.2 Critérios para a aceitagao do risco). E importante que gestores responsdveis fagam uma andlise critica e aprovem, se for ‘© ca80, 05 planos propostos de tratamento do risco e os riscos residuais resultantes e que registrem as condigdes associadas a essa aprovacao. NOTA BRASILEIRA Onde se lé Segao 7.2, leia-se Sogo 7.2.4. s critérios para a aceitagao do risco podem ser mais complexos do que somente a determinar se © risco residual esta ou nao abaixo ou acima de um limite bem definido. Em alguns casos, 0 nivel de risco residual pode nao satistazer os critérios de aceitacdo do risco, pois dos nao estao levando em conta as circunstancias predominantes no momento. Por exemplo, pode ser valido argumentar que é preciso que se aceite o risco, pois os beneficios que © acompanham so muito atraentes ou porque os custos de sua modificacdo sAo demasiadamente elevados. Tais circunstancias indicam que os critérios para a aceitacao do risco sao inadequados e convém que sejam revistos, se possivel. No entanto, nem sempre 6 possivel rever os critérios para a aceitacao do risco no tempo apropriado. Nesses casos, os tomadores de decisao podem ter que aceitar riscos que nao satisfacam os critérios normais para o aceite. Se isso for necessario, convém que © tomader de deciséo ‘comente explicitamente sobre 09 riscos ¢ inclua uma justificativa para a sua decisao de passar por cima dos critérios normais para a aceitagao do risco. Saida: Uma lista de riscos aceitos, incluindo uma justificativa para aqueles que néo satisfagam 8 critérios normais para aceitagao do risco. 11 Comunicagao e consulta do risco de seguranga da informagao Entrada: Todas as informagées sobre os riscos obtidas através das atividades de gestéo de riscos (ver Figura 2). ‘Acao: Convém que as informagdes sobre riscos sejam trocadas e/ou compartilhadas entre o tomador de decisdo e as outras partes interessadas. Diretrizes para implementacdo: A comunicagao do risco é uma atividade que objetiva alcangar um consenso sobre como os riscos devem ser gerenciados, fazendo uso para tal da troca e/ou partitha das informacdes sobre 0 risco entre os tomadores de decisdo e as outras partes interessadas. A informagao inclui, entre outros possiveis fatores, a existéncia, natureza, forma, probabilidade, severidade, tratamento e aceitabilidade dos riscos, ‘A comunicagao eficaz entre as partes interessadas é importante, uma vez que isso pode ter um impacto significative sobre as decisdes que devem ser tomadas. A comunicagao assegurara que os responsaveis pela implementagao da gestdo de riscos, e aqueles com interesses reais de direito, tenham um bom entendimento do por que as decisées sdo tomadas e dos motivos que tornam certas agdes necessérias. A comunicagao ¢ bidirecional 30 © ISO/IEC 2011 - © ABNT 2011 - Todos os direitos reservados -FL36-ABNT NBR ISO/IEC 27005:2011 ‘A percepgéio do riseo pode variar devido a diferongas de ouposigdea, conecitos, necessidades, interesses e preocupacdes das partes interessadas quando lidam com o risco ou quando tratam das questées em discussao. As partes interessadas provavelmente irdo fazer julgamentos sobre a aceitabilidade do risco tendo como base sua prdpria percepgao do risco. Assim, é particularmente importante garantir que a percepgao do risco das partes interessadas, bem como a sua percepgao dos beneficios, seja identificada e documentada e que as razdes subjacentes sejam claramente entendidas e consideradas. Convém que a comunicagao do risco seja realizada a fim de: + Fornecer garantia do resultado da gestao de riscos da organizacao * — Coletar informacGes sobre os riscos * Compartithar os resultados do processo de avaliagéio de riscos e apresentar o plano de tratamento do risco + Evitar ou reduzir tanto a ocorréncia quanto as consequéncias das violagdes da seguranca da informagéo que acontegam devido @ falta de entendimento miituo entre os tomadores de decisao ¢ as partes interessadas * Dar suporte ao processo decisério * Obter novo conhecimento sobre a seguranca da informacao + Coordenar com outras partes e planejar respostas para reduzir as consequéncias de um incidente * Dar aos tomadores de decisdo e as partes interessadas um senso de responsabilidade sobre riscus + Melhorar a conscientizagao ‘Convém que a organizagao desenvolva planos de comunicacao dos riscos tanto para as operagdes rotineiras também para situagdes emergenciais. Portanto, convém que a atividade de comunicagao do risco seja realizada continuamente. ‘A coordenaco entre os principais tomadores de decisao e as partes interessadas pode ser obtida mediante a formagao de uma comissao em que os riscos, a sua priorizagao, as formas adequadas de traté-los e a sua aceitacao possam ser amplamente discutidos. E importante cooperar com 0 escritério de relagdes publicas ou com o grupo de comunicagao apropriado dentro da organizacao para coordenar as tarefas relacionadas com a comunicagao e consulta do risco. Isso ¢ vital no caso de agGes de comunicagao durante crises, por exemplo, em resposta a incidentes especiticos. Saida: Entendimento continuo do processo de gestéo de riscos de seguranga da informagao da organizacao e dos resultados obtidos. 12 Monitoramento e anilise critica de riscos de seguranga da informagao 12.1 Monitoramento e analise critica dos tatores de risco Entrada: Todas as informacdes sobre os riscos obtidas através das atividades de gestéo de riscos (ver Figura 2) © ISONEC 2011 - © ABNT 2011 - Todos os drltos reservados 31 “FBT.ABNT NBR ISO/IEC 27005:2011 Ago: Convém que os riscos © seus fatores (isto é, valores dos ativos, impactos, ameagas, vulnerabilidades, probabilidade de ocorréncia) sejam monitorados e analisados criticamente, a fim de identificar, o mais rapidamente possivel, eventuais mudangas no contexto da organizacao e de manter uma visao geral dos riscos. Diretrizes para implementacao: s riscos nao sao estaticos. As ameacas, as vulnerabilidades, a probabilidade ou as consequéncias, podem mudar abruptamente, sem qualquer indicacao. Portanto, 0 monitoramento constante 6 necessario para que se detectem essas mudangas. Servigos de terceiros que fornegam informagdes sobre novas ameacas ou vulnerabilidades podem prestar um auxilio valioso. Convem que as organizagoes assegurem que os seguintes itens sejam monitorados continuamente: + Novos ativos que tenham sido incluidos no escopo da gestéio de riscos, © Modificagdes necessarias dos valores dos ativos, por exemplo, devido & mudanga nos requisitos de negécio * Novas ameacas que podem estar ativas tanto fora quanto dentro da organizagao e que ndo tenham sido avaliadas + Possibilidade de que vulnerabilidades novas ouampliadas venham a permitir que alguma ameaga as explore + Vulnerabilidades ja identificadas, para determinar aquelas que estdo se tornando expostas a ameagas novas ou ressurgentes. * Consequéncias ou impacto ampliado de ameacas, vulnerabilidades e riscos avaliados em conjunto, em um todo agregado, resultando em um nivel inaceitavel de risco ‘* Incidentes relacionados a seguranga da informagao Novas ameagas, novas vulnerabilidades e mudanges na probabilidade ou nas consequéncias podem vir a ampliar os riscos anteriormente avaliados como pequenos. Convem que a analise critica dos riscos pequenos e aceitos considere cada risco separadamente e também em conjunto, a fim de avaliar seu impacto potencial agregado. Se os riscos nao estiverem dentro da categoria “baixo" ou "aceitdvel’, convém que eles sejam tratados utilizando-se uma oumais de uma das opgdes consideradas na Secao 9. Fatores que afetam a probabilidade ou as consequéncias das ameagas jé ocorridas podem mudar, assim como os fatores que afetam a adequacao ou o custo das varias opgdes de tratamento. Convém que qualquer grande mudanga que afete a organizacao seja seguida por uma analise critica mais especifica. Assim sendo, convém que ndo sé as atividades de monitoramento de riscos sejam repetidas regularmente, mas também que as op¢Oes selecionadas para o tratamento do risco sejam periodicamente revistas. resultado da atividade de monitoramento de riscos pode fomecer os dados de entrada para as atividades de andlise critica. Convém que a organizagao analise todos os riscos regularmente e também quando grandes mudangas ocorrerem (de acordo com a ABNT NBR ISO/IEC 27001:2006, Segao 4.2.3) Saida: Alinhamento continuo da gestao de riscos com os objetivos de negécios da organizagéo e com 08 critérios para a aceitagao do risco. 32 © ISOEC 2011 -© ABNT 2011 - Todos os direitos reservados -FL38-ABNT NBR ISO/IEC 27005:2011 12.2 Monitoramento, andlise critica e melhoria do processo de gestdo de riscos Entrada: Todas as informacdes sobre os riscos obtidas através das atividades de gestao de (ver Figura 2) cos ‘Aco: Convém que o proceso de gestdo de riscos de seguranga da informacao seja continuamente monitorado, analisado criticamente e melhorado, quando necessario e apropriado. Diretris para implementacé © monitoramento cotidiano e a andlise critica so necessérios para assegurar que o contexto, ‘0 resultado do processo de avaliagao de riscos e do tratamento do risco, assim como os planos de gestao, permane¢am relevantes e adequados as circunstancias. Convém que a organizac&o se certifique de que 0 processo de gestio de riscos de seguranca da informagao e as atividades relacionadas permanegam apropriados nas circunstancias presentes © que sejam acompanhados. Convém que quaisquer melhorias do processo ou quaisquer ages necessérias para melhorar a conformidade com o processo sejam comunicadas aos gestores apropriados, para que se possa ter certeza que nenhum risco ou elemento do risco sera ignorado ou subestimado, que as agoes necessarias estao sendo executadas e que as decisoes corretas estao sendo tomadas a fim de garantir uma compreensao realista do risco e a capacidade de reacao. Além disso, convém que a organizagao verifique regularmente se os critérios utilzados para medir © risco e Os seus elementos ainda sao validos e consistentes com os objelivos de negécios, estratégias e politicas e se as mudangas no contexto do negécio séo adequadamente consideradas durante 0 processo de gestao de riscos de seguranga da informacao. Convém que essa atividade de monitoramento e anélise critica lide com (mas nao seja limitada a): * — Contexto legal e ambiental * — Contexto da concorréncia + Abordagem do processo de avaliagaio de riscos * Valor e categorias dos ativos © Critérios de impacto + Critérios para a avaliagao de riscos © Critérios para a aceitagao do risco * Custo total de propriedade * — Recursos necessdrios Convém que a organizacéo assegure que os recursos necessarios para o processo de avaliacao de riscos € o tratamento dos riscos estejam sempre disponiveis para rever os riscos, lidar com ameacas ou vulnerabilidades novas ou alteradas e aconselhar a dirego da melhor forma possivel. © monitoramento da gestéo de riscos pode resultar em modificagao ou acréscimo da abordagem, metodviogia ou feramentas ulilizadas, dependerdy, * Das mudancas identificadas + Da iteragao do processo de avaliagao de riscos ©ISONEC 2011 -@ ABNT 2011 - Todos os drcitos reservados 33 -FL39-ABNT NBR ISO/IEC 27005:2011 + Do objetivo do prococse do goctdio do riccoc do coguranga da informagiio (por oxomplo, a continuidade de negécios, a resiliéncia diante dos incidentes, a conformidade) ‘* Do objeto de interesse do processo de geste de riscos de seguranga da informagao (por exemplo, a organizago, a unidade de negécios, 0 sistema de informacao, a sua implementagao técnica, a aplicagao, a conexao a Internet) Saida: Garantia permanente da relevancia do processo de gestao de riscos de seguranga da informagao para os objetivos de negécios da organizagao ou a atualizagao do processo. 34 (© ISOIEC 2011 -© ABNT 2011 - Todos 08 direitos reservados -Fuo-ABNT NBR ISO/IEC 27005:2011 Anexo A (informativo) indo o escopo e os limites do processo de gestao de riscos de seguran¢a da informagao A.A Anilise da organizagao A andlise da organizacao Este tipo de andlise destaca os elementos caracteristicos que definem a identidade de uma organizacao. Ela se preocupa com 0 propésito, o negécio, a misao, os valores e as estratégias da organizacao. Convém que esses elementos sejam identificados ao lado daqueles que contribuem para 0 seu desenvolvimento (por exemplo, a subcontratacao).A dificuldade desta atividade reside no entendimento exato de como a organizagao esta estruturada. A identificagdo de sua real estrutura permite um entendimento do papel e da importancia de cada area no alcance dos objetivos da organizacao. Por exemplo, 0 fato de o gestor da seguranga da informagéo se reportar a alta direcdo em vez de fazé- lo aos gestores de TI pode indicar o envalvimento da alta direedo nos assuntos relativos a seguranga da informagao. propésito principal da organizagao O seu propésito pode ser definido como a razao pela qual a organizacie existe (sua rea de atividade, seu segmento de mercado ete.) Seu_negécio O negécio de uma organizacdo, definido pelas técnicas e Know-how de seus funcionérios, viabiliza 0 cumprimento de sua miss4o. E especifico a area de atividade da organizac¢ao e frequentemente define sua cultura. Sua missao A organizagao atinge seu propésito ao cumprir sua misséo. Para bem identificé-la, convém que 0s servigos prestados e/ou produtos manufaturados sejam relacionados aos seus publicos-alvos. Seus valores Valores consistem em principios fundamentais ou em um cédigo de conduta bem definido, aplicados na rotina de um negécio. Podem incluir os recursos humanos, as relagdes com agentes externos (clientes e outros), a qualidade dos produtos fornecidos ou dos servigos prestados. Tomar 0 exemplo de uma organizagao cujo propésito seja o servigo publico, cujo negécio seja a transporte e cuja isso inclua o transporte de criancas de ida de volta da escola. Os caus valores poderiam ser a pontualidade do servico e a seguranca durante o transporte. A estrutura da organizagao Existem diferentes tipos de estrutura: * _ Estrutura departamental baseada em divisdes ou dreas: cada divisdo fica sob a autoridade de um gestor de area responsavel pelas decisées estratégicas, administrativas e operacionais relativas a sua unidade + Estrutura baseada em fungdes: a autoridade relativa a cada funcdo é exercida na forma dos procedimentos adotados, na determinagao da natureza do trabalho e algumas vezes nas decisdes e no planejamento (por exemplo, produgo, TI, recursos humanos, marketing etc.) ©ISONEC 2011 - © ABNT 2011 - Todos 08 direitos reservados: 35 “FutABNT NBR ISO/EC 27005:2011 ‘Observagéco: * Uma rea, em uma organizacao com estrutura departmental, pode estruturar-se baseando-se em suas fungoes e vice-versa * Uma organizagao pode ser considerada de estrutura matricial se possuir caracteristicas de ambos 08 tipos de estrutura * Em qualquer tipo de estrutura organizacional, os seguintes niveis podem ser \quidos: + onivel de tomada de decisao (estabelecimento da orientagao estratégica); * — onivel da lideranga (coordenagao e gerenciamento); * onivel operacional (produgo e atividades de apoio). Organograma A estrutura da organizagao 6 esquematizada em seu organograma. Conver que essa representacao deixe claro quem se reporta a quem, destacando também a linha de comando que legitimiza a delegacao de autoridade. Convém que inclua também outros tipos de relacionamentos, 08 quais, mesmo que nao sejam baseados em uma autoridade oficial, criam de qualquer forma ‘caminhos para o fluxo de informacao. AestratégiadaorganizacaoElarequera expressaoformalizadadosprincipiosquenorteiamaorganizacao. A estratégia determina a diregéo e 0 desenvolvimento necessérios para que a organizagao possa se beneficiar das quest6es em pauta e das principais mudangas sendo planejadas. A.2 Restrigdes que afetam a organizagao Convém que todas as restrigSes que afetam a organizacéo e determinam o direcionamento da seguranga da informagao sejam consideradas. As suas origens podem ser encontradas na propria ‘organizaco, o que lhe da um certo controle sobre as restrigGes, ou talvez sejam externas a organizacao, ‘© que as tornariam, provavelmente, inegociaveis. Recursos limitados (orgamento, recursos humanos) e restrigdes ligadas a emergéncias estao entre as mais importantes. A organizagao define seus objetivos (relativos ao seu negécio, comportamento etc.) e compromete- se @ Segui! ul Uvtelminady caminhy, pussivelniente por unt lonyy periods. Ela define ayuilu no que deseja se tornar e também os meios necessdrios para que isso possa ocorrer. Para especificar esse caminho, a organizacao coneidera a evolugo das técnicas © do know-how dieponiveie, assim como a vontade expressa de seus usuarios, clientes, entre outros fatores. Esse objetivo pode ser expresso na forma de estratégias de operacao ou de desenvolvimento com o fim de, por exemplo, cortar custos ‘operacionais, melhorar a qualidade do servigo ete. Essas estratégias provavelmente abrangem as informagdes e os sistemas de informacdo (SI), os quais auxiliama aplicacao das estratégias. Consequentemente, as caracteristicas relacionadas a identidade, misao e estratégias da organizacao sao elementos fundamentais para a analise do problema, pois a violagzio de qualquer aspecto da soguranga da informagéio pode resultar na reformulagdo desses objetivos estratégicos. Além disso, é essencial que propostas de novos requisitos de seguranca da informagao sejam consistentes com as regras, 0 uso e os meios empregados na organizagao. A lista do restrigdes inclui, mas nao 6 limitada a: Restri¢des de natureza politica Estas dizem respeito @ administragdo governamental, as instituigdes publicas ou, genericamente, a qualquer organizagao que precise aplicar decisées governamentais. Normalmente, trata-se de 36 © ISOEC 2011 -© ABNT 2011 - Todos os direitos reservados Fua2-ABNT NBR ISO/IEC 27005:2011 dociedes relativas a orientagdo eatratégica ou operacional determinada por uma érea do governo ou por uma entidade responsdvel pelo processo dec'sério e convém que sejam aplicadas. Por exemplo, a informatizagao de notas fiscais ou de documentos administrativos introduz quest6es de seguranga da informagao. Restrigdes de natureza estratégica Restrigées podem surgir de mudangas, sejam planejadas ou nao, na estrutura ou na orientagdo da organizagao. Elas sao representadas nos planos estratégicos ou operacionais da organizacao. Por exemplo, a cooperagao internacional para 0 compartilhamento de informagées sensiveis pode demandar acordos sobre a troca segura de dados. Restricdes territoriais A estrutura efou o propésito da organizagao pode implicar restrigdes, como a escolha de sua localizagao e distribuigdo geogratica, no pais e no estrangeiro. Exemplos incluem os servigos postais, embaixadas, bancos, subsidirias de conglomerados industriais ete. Restri¢es advindas do ambiente econémico e politico A operagao de uma organizagao pode ser transtornada por eventos especificos, tais como greves ou crises nacionais e internacionais. Por exemplo, convém garantir a continuidade da prestacdo de alguns servigos mesmo em caso de crises. Restri truturaii ‘A natureza da estrutura de uma organizagao (departamental, funcional ou outra qualquer) pode levar ‘a uma politica de seguranga da informagao e a uma organizacao responsavel pela seguranga adaptadas a essa estrutura. Por exemplo, convém que uma estrutura internacional seja capaz de conciliar requisites de seguranca especificos de cada pais. Restrigdes funcionais Restrigdes funcionais sao aquelas derivadas diretamente da misso da organizacao (seja nos seus aspectos gerais, seja nos especificos). Por exemplo, convém que uma organizagéo que opera 24 h por dia seja capaz de assegurar que seus recursos estejam sempre disponives. Restricdes relativas aos recursos humanos ‘Anatureza dessas restrig6es varia consideravelmente. Estao associadas ao: nivel de responsabilidade, tipo de recrutamento, qualificacao, treinamento, conscientizagéo em seguranca, motivagao, Por exemplo, convém que todos os recursos humanos de uma organizagao de defesa do pais tenham autorizagao para manipular informagées altamente sigilosas. © ISONEC 2011 - © ABNT 2011 - Todos os drltos reservados 37 “FLS-ABNT NBR ISO/IEC 27005:2011 RestigGes auvinuas Ua agenda da uryanizayaiv Esse tipo de restrigao resulta, por exemplo, da reestruturacao ou da definigdio de novas politicas nacionais ‘ou internacionais que imponham algumas datas-limite, Por exemplo, a criagao de uma rea de seguranga. Restrigd lacion: meé' Métodos apropriados para o know-how da organizagao precisarao ser impostos com relacdo a alguns t6picos, como o planejamento, a especificagao e o desenvolvimento de projetos, entre outros. Por exempio, uma restriga0 desse tipo bastante comum é a necessidade de as obrigagdes legals da organizagao serem incorporadas a politica de seguranga Restricdes de natureza cultural Em algumas organizagées, habitos de trabalho ou as caracteristicas do negocio dao origem a uma “cultura’ especifica da organizacao, a qual pode ser incompativel com o estabelecimento de controles de seguranga. Essa cultura é usada pelos recursos humanos como sua principal referéncia e pode ser determinada por varios aspectos, incluindo educacéo, instrugao, experiéncia profissional, experiénci fora do trabalho, opiniées, filosofia, creneas, status social etc. rias Os controles de seguranca recomendados podem, algumas vezes, ter um alto custo. Apesar de nao ser sempre apropriado ter apenas a taxa de custo-beneficlo como base para os Investimentos em seguranga, uma justificativa econdmica é normalmente necessaria para o departamento financeiro da organizagao. Por exemplo, no setor privado e em algumas organizacoes publicas, convém que o custo total dos controles de seguranca ndo exceda o custo potencial das possiveis consequéncias dos riscos. Assim, convém que a alta direcao avalie os riscos e aceite uma parcela deles de forma consciente e calculada, para evitar custos excessivos em seguranca. A.3 Referéncias legais e regulamentares aplicaveis a organizagao Convém que os requisitos regulatorios aplicaveis & organizagao sejam identificados. Eles consistem em leis, decretos, regulamentagdes especificas que dizem respeito a area de atividade da organizacao ‘ou regulamentos internos e externos. Englobam também contratos, acordos e, mais genericamente, qualquer obrigagao de natureza legal ou regulator. A4_ Restrigdes que afetam o escopo Ao identificar as restrigdes 6 possivel enumerar aquelas que causam um impacto no escopo e determinar quais so passiveis de intervencao. Elas complementam e talvez venham a cortigit as restrigdes da organizagao discutidas anteriormente. Os pardgrafos a seguir apresentam uma lista de tipos de restrigdes, sem esgotar todas as possibilidades, 38 © ISO/IEC 2011 - © ABNT 2011 - Todos os direitos reservados “Fu.ABNT NBR ISO/IEC 27005:2011 Restrigdes derivadas de processus preexistentes Projetos de aplicagdes no séo desenvolvidos necessariamente de forma simultanea. Alguns dependem de processos preexistentes. Mesmo que um processo possa ser quebrado em subprocessos, 0 processo nao é obrigatoriamente influenciado por todos os subprocessos de um outro processo. Restricdes técnice Restrigdes técnicas, relativas a infraestrutura, surgem normalmente em fungao do software e hardware instalados e dos aposentos e instalages em que eles se encontram: * Arquivos (requisitos referentes a organizacao, gestéo de midia, gerenciamento de regras de acesso etc.) * Arquitetura comum (requisitos referentes a topologia (centralizada, distribuida ou do tipo cliente- servidor) & arquitetura fisica etc.) * Software aplicativo (requisitos referentes aos projetos de software especitico, padrdes de mercado etc.) * Software de prateleira (requisitos referentes apadrdes, nivel de avaliacdo, qualidade, conformidade com normas, seguranga etc.) * Hardware (requisitos referentes a padrées, qualidade, conformidade com normas etc.) * Redes de comunicagao (requisitos referentes @ cobertura, padrdes, capacidade, confiabilidade etc.) + Infraestrutura predial (requisites referentes & engenharia civil, construgdo, alta voltagem, baixa voltagem etc.) Restrigdes financeiras A implementagao de controles de seguranga é frequentemente limitada pelo orgamento que a organizacao pode comprometer para tal. Entretanto, convém que restri¢des financeiras seiam consideradas por tiltimo jd que alocagdes orcamentarias para seguranca podem ser negociadas tendo como base a andlise da prdpria seguranca. Restricdes ambientais RestrigGes ambientais surgem em fungao do ambiente geogréifico ou econémico no qual os processos ‘280 implementados: paio, elima, ricco naturals, ctuagao geografica, ambiente eeonémico ete. Restric6es temporais Convém que o tempo requerido para a implementacao de controles de seguranga seja considerado em relagao a capacidade de atualizacao do sistema de informagao; se a implementagao for muito demorada, 0s riscos para os quais os controles foram projetados podem ja ter mudado. O tempo é um fator determinante na selegdo de solugées e prioridades. Restrigdes relacionadas a métodos Convém que métodos apropriados para o know-how da organizacdo sejam utilizados para © planejamento, a especificagao e o desenvolvimento de projetos, entre outros. ©ISONEC 2011 -@ ABNT 2011 - Todos 0s dritos reservados 39 “FLUS-ABNT NBR ISO/IEC 27005:2011 RestigGes uiyariizavior Varias restri¢des podem ser causadas por requisitos de ordem organizacional: * Operagao (requisitos referentes ao tempo gastona produgao, fornecimento de servigos, vigilancia, monitoramento, planos em caso de emergéncia, operagao reduzida etc.) ‘+ Manutengao (requisitos para a investigagao e solugao de incidentes, agdes preventivas, correo rapida etc.) + Gestéo de recursos humanos (requisitos referentes ao treinamento de operadores € usuérios, qualificagao para cargos como administrador de sistema ou de dados etc.) © Gerenciamento adr strativo (requisitos referentes a responsabilidades etc.) * Gerenciamento do desenvolvimento (requisitos referentes a ferramentas de desenvolvimento, engenharia de software assistida por computador, cronograma de aceite, organizagao a ser estabelecida etc.) * Gerenciamento de relacionamentos externos (requisites referentes a organizagao das relagdes com terceiros, contratos etc.) 40 (© ISOIEC 2011 - © ABNT 2011 - Todos 08 direitos reservados “Fus-ABNT NBR ISO/EC 27005:2011 Anexo B (informativo) “ago e valoragao dos ativos e avaliagao do impacto B.1_ Exemplos de identificagao de ativos Para estabelecer 0 valor de seus ativos, uma organizacao precisa primeiro identificd-los (em um nivel de detalhamento adequado). Dois tipos de ativos podem ser distinguidos: = Ativos primérios: + Processos e atividades do negécio + Informagao + Ativos de suporte e infraestrutura (sobre os quais os elementos primdrios do escopo se apoiarn), de todos os tipos: Hardware * Software © Rede Recursos humanos + Instalagées fisicas © Estrutura da organizacao B.1.1__Identificagao dos ativos primarios Para permitir a descrigo do escopo de forma precisa, essa atividade consiste na identificagao dos ativos primarios (processos e atividades do negécio. informacao). A identificacao é conduzida por um grupo misto de trabalho que represente o proceso (gestores, especialistas nos sistemas de informagao e usuarios). s ativos primarios normalmente consistem nos principais processos e informagdes das atividades incluidas no escopo. Outros ativos primarios, como os processos da organizacdo, podem também ser considerados, 08 quais serdo titeis para a elaboracao da politica de seguranga da informacao ou do plano de continuidade de negécios. Dependendo de seus propésitos, alguns estudos nao iréo demandar uma andlise exaustiva de todos os elementos presentes no escopo. Nesses casos, 0 estudo pode ser limitado aos elementos-chave incluidos no escopo. Os ativos primérios sao de dois tipos: 1~ Processos (ou subprocessos) e atividades do negocio, por exemplo: + Processos cuja interrupgaio, mesmo que parcial, torna impossivel cumprir a misao da organizacao + Processos que contém procedimentos secretos ou processos envolvendo tecnologia proprietaria © ISO/EC 2011 -© ABNT 2011 - Todos 08 direitos reservados 4t “Fur.ABNT NBR ISO/EC 27005:2011 + Processes que, 26 modificadoo, pedem afetar cignificativamente © cumprimento da micotio da organizagao + Processos necessarios para que a organizagao fique em conformidade com requisitos contratuais, legais ou regulatérios 2=Informacao Genericamente, informagao priméria compreende: + Informagao vital para o cumprimento da missao de uma organizagao ou para o desempenho de seu negécio + Informacao de caréter pessoal, da forma em que é definida nas leis nacionais referentes & privacidade + Informagao estratégica necessaria para o alcance dos objetivos determinados pelo direcionamento estratégico * Informagao de alto custo, cuja coleta, armazenemento, processamento e transmissao demandam um longo tempo ou incorrem em um alto custo de aquisigao Processos e informagao que no edo identificados como sensiveis apés essa atividade nao receberao uma classificacdo especifica durante 0 restante do estudo. Isso significa que a organizacao ira cumprir sua misso com sucesso mesmo no caso desses processos e informacao terem sido comprometidos. Etretanto, eles iréo frequentemente herdar controles implementados para a protege de processos e informagao identificados como sensiveis, B.1.2 Lista e descrigao de ativos de suporte Convém que 0 escopo consista em ativos que podem ser identificados e descritos. Esses ativos apresentam vulnerabilidades que podem ser exploradas por ameagas cujo objetivo ¢ comprometer 08 ativos primarios do escopo (processos e informagao). Eles sao de varios tipos: Hardware tipo hardware compreende os elementos fisicos que dao suporte aos processos. Equipamento de processamento de dados (etivo) Equipamento automatico de processamento de dados incluindo os itens necessdrios para sua operacao independente. Equipament 7 Computadores portateis. Exemplos: laptops, agendas eletronicas (Personal Digital Assistants - PLAS), Equipamento fixo Computadores utilizados nas instalages da organizacao. 42 (© ISONEC 2011 -© ABNT 2011 - Todos os direitos reservados “FUs-ABNT NBR ISO/IEC 27005:2011 Exomploc: corvidoros, microcomputadores utilizade como ostagéoe do trabalho. Periféricos de processamento Equipamento conectado a um computador através de uma porta de comunicagao (serial, paralela etc.) para a entrada, o transporte ou a transmisséo de dados. Exemplos: impresoras, unidades de disco removivel Midia de dados (passiva Este tipo compreende a midia para o armazenamento de dados ou fungdes. Midia oletrénica Uma midia com informagdes que pode ser conectada a um computador ou a uma rede de computadores para 0 armazenamento de dados. Apesar de seu tamanho reduzido, esse tipo de midia pode conter um grande volume de dados e pode ser utilizada com equipamentos computadorizados comuns. Exemplos: disco flexivel, CD ROM, cartucho de back-up, unidade de disco removivel, cartéo de memoria, fita. Outros tipos de mi Midia estatica, néoeletrénica, contendo dados. Exemplos: papel, slides, transparéncias, documentagao, fax. Software © tipo software compreende todos os programas que contribuem para a operagao de um sistema de processamento de dados. ‘Sistema operacional Este tipo inclui os programas que fornecem as operagdes basicas de um computador, a partir as quals os outros programas (Servicos e aplicagbes) sao executados. Nele sao encontracos um ndcleo kernel e as funcdes ou servigos basicos. Dependendo de sua arquitetura, um sistema operacional pode ser monolitico ou formado por um micro-kernel e um conjunto de servigos dosistema. Osprincipaiselementos de um sistema operacional s4o osservicos de gerenciamento do equipamento (CPU, meméria, disco e interfaces de rede), os de gerenciamento de tarefas ou processos e os servigos de gerenciamento de direitos de usuario, Software de servigo, manuteneao ou administraco Software caracterizado pelo fato de servir como complemento dos servigos do sistema operacional e nao estar diretamente a servico dos usuarios ou aplicagdes (apesar de ser, normalmente, essencial e até mesmo indispensdvel para a operacao do sistema de informacao como um todo). ‘Software de pacote ou de prateleira Software de pacote ou software-padrao aquele que é comercializado como um produto completo (e no como um servico de desenvolvimento especifico) com midia, verso @ manutencao. Fle fornece servigos para usudrios e aplicagdes, mas nao é personalizado ou especifico como, por exemplo, aplicages de negécio sao. © ISONEC 2011 -© ABNT 2011 - Todos os dtitos reservados 43 FasABNT NBR ISO/IEC 27005:2011 Exemplos: software para o gerenciamento de basce de dados, software de mensageno eletronicas, “groupware” (software de gerenciamento de fluxo de trabalho), software de diret6rio, servidores web etc. Aplicacées de negécio Rede Aplicacdes de negécio padronizadas Este tipo de software comercial é projetado para dar aos usuarios acesso direto a servigos @ funcdes que eles demandam de seus sistemas de informagao, em fungao das areas em que atuam profissionalmente. Existe uma gama enorme, teoricamente ilimitada, de campos de atuagao. Exemplos: software de contabilidade, software para 0 controle de maquinario, software para administragao do relacionamento com clientes, software para gestdio de competéncias dos recursos humanos, software administrativo etc. Aplicagdes de negocio especificas Varios aspectos desse tipo de software (principalmente 0 suporte, a manutengao @ a atualizacao de versées etc.) so desenvolvidos especificamente para dar aos usuarios acesso direto aos servigos e fungdes que eles demandam de seus sistemas de informacao. Existe uma gama enorme, teoricamente ilimitada, de Areas em que esse tipo de software 6 encontrado. Exemplos: Administragao das notas fiscais de clientes para as operadoras de telecomunicacdo, aplicacdo para monitoramento em tempo real do lancamento de foquetes. tipo rede compreende os dispositivos de telecomunicacao utilizados parainterconectar computadores ‘u quaisquer outros elementos remotos de um sistema de informacdo. meio fi infr Os equipamentos de comunicagéo ou de telecomunicagéo sao _identificados principalmente pelas suas caracteristicas fisicas e técnicas (ponto a ponto, de broadcast) © pelos protocolos de comunicagao utilizados (na camada de enlace de dados ou na camada de rede - niveis 2 e 3 do modelo OSI de 7 camadas). Exemplos: Rede telefénica_piblica comutada (Public Switching Telephone Network ou PSTN), Ethernet, GigabitEthernct, Linha digital assimétrica para asvinante (Asymmetric Digital Subscriber Line ou ADSL), especticagdes de protocolo para comunicago sem fio (por exemplo, 0 WiFi 802.11), Bluetooth’, “FireWire. Pontes (relays) passivas ou ativas Este subtipo néo compreende os dispositivos que ficam nas extremidades ldgicas da conexo (na perspectiva do sistema de informagao), mas sim os que sao intermediarios Mo processo de comunicacdo. repassando o trafego. Pontes sao caracterizadas pelos protocolos de comunicagao de rede com os quais funcionam. Além da funcao basica de repasse do trafego, elas frequentemente so dotadas da capacidade de roteamento e/ou de servigos de filtragem, com 0 emprego de comutadores de comunicagao (switches) e roteadores com filtros. Com frequéncia, elas podem ser administradas remotamente e sao normalmente capazes de gerar arquivos de auditoria (logs). © ISOEC 2011 -© ABNT 2011 - Todos os direitos reservados -FU50-ABNT NBR ISO/IEC 27005:2011 Exomploe: pontes (bridgoe), roteadoree, hube, comutadoroe (ewitchoe), contraic tolofénicac automaticas. Inter comuni As interfaces de comunicagao conectadas as unidades de processamento sao, porém, caracterizadas pela midia e protocolos com os quais funcionam; pelos servigos de filtragem, de auditoria e de alerta instalados, se hcuver, e por suas funcionalidades; e pela possibilidade @ requisitos de administragao remota. Exemplos: Servigo Geral de Pacotes por Radio (General Packet Radio Service ou GPRS), adaptador Ethernet. Recursos humanos © tipo recursos humanos compreende todas as classes de pessoas envolvidas com os sistemas de informagao. ‘Tomador de decisao Tomadores de deciséo sao aqueles responsaveis pelos ativos primérios (informacao e processos) e os gestores da organizacao ou, se for 0 caso, de um projeto especifico. Exemplos: alta diregao, lideres de projeto. Isudrios Usuarios sAo recursos humanos que manipulam material sensivel no curso de suas atividades e que, portanto, possuem uma responsabilidade especial nesse contexto. Eles podem ter direitos especiais de acesso aos sistemas de informacao para desempenhar ‘suas atividades rotineiras. Exemplos: gestores da area de recursos humanos, gerentes financeiros, gestores dos riscos. Pessoal de producéo/manutencéa Estes so os recursos humanos responsaveis pela operacao e manutengao dos sistemas de informagao. Eles possuem direitos especiais de acesso aos sistemas de informagao para desempenhar suas atividades rotineiras. Exemplos: administradores de sistema: administradores de dados; operadores de back-up, Holp Desk de instalagio de aplicatives; especialistas om seguranga. Desenvolvedores Desenvolvedores _sdo responsaveis pelo desenvolvimento dos sistemas aplicativos da organizacao. Eles possuem acesso com alto privilégio a uma parte dos sistemas de informagao, mas nao interferem com os dados de produgao. Exemplos: Desenvolvedores de aplicages de negécio Instalagées fisicas O tipo instalagdes compreende os lugares onde sao encontrados 0 escopo (ou parte dele) e os meios fisicos necessarios para as operagdes nele contidas. © ISONEC 2011 -© ABNT 2011 - Todos os dtitos reservados 45 “FSIABNT NBR ISO/IEC 27005:2011 Localidade Ambiente externo Compreende as localidades em que as medidas de seguranga de uma organizagéo nao podem ser aplicadas. Exemplos: os lares das pessoas, as instalagdes de outra organizagao, o ambiente externo a0 local da organizagao (areas urbanas, zonas perigosas), Edificagdes Ecce lugar ¢ limitado pelo porimotro oxterno da organizagao, isto 6 por aquilo que fica om contato direto com o exterior. Isso pode ser uma linha de protegao fisica formada por barr vigilancia ao redor dos prédios. ras OU por mecanismos de Exemplos: estabelecimentos, prédios. Zona Uma zona é limitada por linhas de protecao fisica que criam particdes dentro das instalages da organizagao. E obtida por meio da criagao de barreiras fisicas ao redor das areas com a infraestrutura de processamento de informacdes da organizacao. Exemplos: escrit6rios, areas de acesso restrito, zonas de seguranga. Servigos essenciais Todos os servigos necessarios para que os equipamentos da organizagao possam operar normalmente. Comunicagao Servigos de telecomunicagao e equipamento fornecido por uma operadora, Exemplos: linha telefénica, PABX, redes internas de telefonia. infraestn Servigns @ as meins (alimentacén a fiagia) nacassdrins para a fornecimanta da enargia elétrica aos equipamentos de tecnologia da informacao e aos seus periféricos. Exemplos: fonte de alimentacao de baixa tensao, inversor, central de circuitos elétricos. Fornecimento de agua Saneamento e esgoto Servigos e os meios (equipamento, controle) para retrigeracao e punticagao do ares. Exemplos: tubulagao de agua refrigerada, ar condicionados, 46 © ISO/IEC 2011 - © ABNT 2011 - Todos os drotos reservados -FL52-ABNT NBR ISO/EC 27005:2011 Organizaga O tipo organizagao descreve a estrutura da organizacao, compreendendo as hierarquias de pessoas voltadas para a execueao de uma tarefa e os procedimentos que controlam essas hierarquias. Autoridades Essas sdo as organizagées de onde a organizagao em questo obtém sua autoridade. Elas podem ser legalmente afiliadas ou ter um cardter mais externo. Isso impde restrigdes A organizagao em questao, com relacdo a regulamentos, decisdes e acces. Exemplos: corpo administrativo, sede da organizagao. A estrutura da organizac: Compreende os varios ramos da organiza¢ao, incluindo suas atividades muttidisciplinares, sob controle de sua diregao. Exemplos: gestao de recursos humancs, gestao de TI, gesto de compras, gerenciamento de unidade de negécio, servigo de seguranca predial, servico de combate a incéndios, gerenciamento da auditoria. Organizacao de projeto ou servigo Compreende a organizagao montada para um projeto ou servigo especitico. Exemplos: projeto de desenvolvimento de uma nova aplicagao, projeto de migragao de sistema de informagao. ‘Subcontratados/Fornecedores/Fabricantes Essas sao organizagdes que fornecem servigos ou recursos para a organizagao em questo segundo os termos de um contrato. Exemplos: empresa de gerenciamento de instalagdes, empresa prestadora de servigos terceirizados, empresas de consultoria. B.2_ Valoragao dos ativos passo seguinte, apés a identificagdo do ative, ¢ determinar a escala de medida a ser usada € 08 critérios que permitam posicionar um ativo no seu correto lugar nessa escala, em funcao de seu valor. Devido a diversidade de ativos encontrados em uma organizacAo. é provavel que alguns deles, aqueles que possuem um valor monetario conhecido, possam ser avaliados através da moeda corrente local, enquanto outros ativos, aqueles com um valor expresso em termos qualitativos, talvez precisem ser avaliados através de uma lista de valores a serem selecionados, por exemplo: ‘muito baixo", "muito alto" etc. A decisdo de se usar uma escala quantitativa em vez de uma qualitativa (ou vice-versa) depende da preferéncia da organizacao, porém convém que seja pertinente aos ativos ‘em avaliagao. Ambos os tipos de avaliagao podem ser utiizados para se determinar o valor de um mesmo ativo. ‘Termos comuns usados em avaliagdes qualitativas do valor de ativos incluem expressdes como as seguintes: insignificante, muito pequeno, pequeno, médio, alto, muito alto e critico. A escolha e oleque de termos adequados a uma organizacao dependem muito da sua necessidade de seguranca, do seu tamanho e de outros aspectos especificos da organizagao. © ISONEC 2011 -@ ABNT 2011 - Todos 0s direitos reservados 47 “FUSSABNT NBR ISO/EC 27005:2011 Gritérios Convém que os critérios utilizados como base para atribui¢ao do valor para cada ativo sejam redigidos de forma objetiva e sem ambiguidades. Esse é um dos aspectos mais dificeis da valoragao dos ativos, jd que o valor de alguns deles talvez precise ser determinado de forma subjetiva e também porque provavelmente varias pessoas participarao do processo. Entre os possiveis critérios utilizados para determinar 0 valor de um ativo estao 0 seu custo original e 0 custo de sua substituicéo ou de sua recriaco. Por outro lado, seu valor pode ser abstrato, por exemplo, o valor da reputagao de uma organizacao. Um outro enfoque para a valoragdo dos ativos 6 considerar os custos decorridos da perda da confidencialidade, integridade e disponibilidade resultante de um incidente. Convém que a garantia de ndoreptidio e de responsabilizagao, a autenticidade e a confiabilidade, se apropriadas, também sejam consideradas. Tal enfoque acrescenta uma dimensao muito importante a atribuigéo do valor de um ativo, além do custo de sua substituicao, pois considera as consequéncias adversas ao negécio causadas por incidentes de seguranga, tendo como premissa um conjunto determinado de circunstancias. Convém ressaltar também que as consequéncias que esse enfoque identifica precisardo ser consideradas durante 0 processo de avaliagao de riscos. Muitos ativos, durante 0 curso da avaliago, podem acabar recebendo varios valores. Por exemplo, um plano de negécios pode ser avaliado em fungao do esforgo despendido no seu desenvolvimento, pode terseu valor atribuido em fun¢ao do trabalho de entrar com os dados e pode ainda ser valorado de acordo ‘com seu valor para um competidor. Provavelmente, os valores atribuidos serao consideraveimente diferentes. O valor atribufdo pode ser 0 maior valor encontrado, a soma de alguns ou mesmo de todos ‘08 possiveis valores. Em ultima andlise, convém pensar cuidadosamente quallis) valor(es) (sao) associado(s) a um ativo. pois 0 valor final atribuido faré parte do proceso de determinacéo dos recursos a serem investidos na protegao do ativo. Definigaio de um denominador comum Ao final do processo, a valoracao dos ativos precisa ter como base um denominador comum. Isso pode ser feito com a ajuda de critérios como os a seguir. Critérios que podem ser utilizados para estimar as possiveis consequéncias resultantes da perda de confidencialidade, integridade, disponibilidade, assim como da capacidade de garantir 0 ndorepidio, a responsal € a confiabilidade, so os seguintes: + Violagdo da legislacao e/ou das regulamentaces * Redugao do desempenho do negécio ‘* Perda de valor de mercado/efeito negativo sobre a imagem e a reputagao * Violagao de seguranga relacionada a informagées pessoais © O perigo ocasionado & seguranga fisica das pessoas + Efeitos negativos relacionados a execugao da lei + Violagdo de confidencialidade + Violagao da ordem publica © Perda financeira 48 © ISOIEC 2011 -© ABNT 2011 - Todos os direitos reservados “FSABNT NBR ISO/IEC 27005:2011 + Interrupgéio de atividades do negécio + Operigo ocasionado a seguranga ambiental Um outro método para avaliar as consequéncias poderia levar em conta o seguinte: + Interrupgao dos servigos + incapacidade de prestar os servigos Perda da confianga do cliente + perda da credibilidade no aiatema interno de informagéo * — dano a reputacao Interrupgéio de operagao interna + descontinuidade dentro da propria organizagdo * custo interno adicional Interrupgao da operagao de terceiros + descontinuidade das transacdes entre a organizacao e terceiros * varios tinas de prejuizos ou danas Infrago de leis/regulamentagdes * incapacidade de cumprir obrigagées legais Violagao de clausulas contratuais. * incapacidade de cumprir obrigag6es contratuais Perigo ocasionado & seguranga fisica dos recursos humanos/usudrios * perigo para os recursos humanos e usuérios da organizacao Ataque & vida privada de usudrios Perda financeira Custos financeiros para emergéncias, reposigaio e consertos * em termos de recursos humanos, * em termos de equipamentos, * em termos de estudo, relatorios de especialistas © ISONEC 2011 - © ABNT 2011 - Todos os drltos reservados 49 “FASSABNT NBR ISO/IEC 27005:2011 + Perda de bena/fundos/ativos + Perda de clientes, perda de fornecedores + Procedimentos e penalidades judiciais + Perda de vantagem competitiva + Perda da lideranga tecnolégica/técnica * Perda de eficacia/confianca + Perda da reputacdo técnica + Enfraquecimento da capacidade de negociagao = Crise industrial (greves) * Crise governamental + Rejeigao * Dano material Esses critérios exemplificam os temas a serem considerados durante a valoracado de ativos. Para a execucdo desse tipo de avaliagaio, uma organizacao precisa selecionar os critérios que sejam relevantes para 0 seu tipo de negécio e para os seus requisitos de seguranga. Isso pode significar que alguns dos critérios listados acima nao sao aplicaveis e que outros talvez precisem ser adicionados lista. Escala ‘Apés estabelecer os critérios a serem considerades, convém que a organizagéo adote uma escala de medigao para ser utiizada em todas as suas areas. O primeiro passo é definir a quantidade de niveis da escala. Nao existem regras a respeito de qual seria 0 ntimero de niveis mais adequado. Quanto mais niveis, maior ¢ a granularidade da medi¢ao, porém uma diferenciagao muito ténue torna dificil qarantira consisténciadas avaliacdes realizadas nas diversas 4reas da organizacao. Normalmente, qualquer quantidade de niveis entre 3 (por exemplo, baixo, médio e alto) e 10 pode ser utilizada, desde que ela seja consistente com a abordagem que a organizacao esteja usando para 0 processo de avaliagao de riscos como um todo Uma organizagao pode definir seus proprios limites para os valores de seus ativos, como ‘baixo’, ‘médio’ e ‘alto’. Convém que esses limites sejam estimados de acordo com o critério selecionado (por exemplo, para possiveis perdas financeiras, convém que eles sejam estabelecidos através de valores monetarios; porém, para outros tipos de fatores, como 0 perigo ocasionado a seguranga fisica das pessoas, uma estimativa monetaria pode ser por demais complexa e nao apropriada a muitas organizagdes). Por uitimo, cabe inteiramente @ organizagao a decisdo a respeito do que 6 considerado ‘pequena’, ‘média’ ou ‘grande’ consequéncia. Uma consequéncia desastrosa para uma pequena organizagao pode ser pequena ou mesmo insignificante para uma grande organizagao. Dependéncias Quanto mais relevantes @ numerosos os processos de negécio apoiados por um ative, maior 6 0 seu valor. Convém que a dependéncia de ativos a processos de negécio € a outros ativos também seja identificada, pois ela pode influenciar os valores dos ativos. Por exemplo, convém garantir a confidencialidade dos dados durante todo o seu ciclo de vida, inclusive durante o seu 50 © ISO/IEC 2011 - © ABNT 2011 - Todos os direitos reservados FU56-ABNT NBR ISO/IEC 27005:2011 armazenamento @ processamento. Em outras palavras, convém que os requisites de seguranga para ‘© armazenamento de dados e para os programas que fazem 0 processamento correspondam ao valor da confidencialidade dos dados armazenados e processados. Da mesma forma, se um processo de negécios depender da integridade dos dados gerados por um programa, convém que os dados de entrada passados para o programa sejam co Mais importante do que isso, a integridade da informagao dependera do hardware e software utlizados para seu armazenamento e processamento. ‘Adicionalmente, o hardware dependera do suprimento de energia e, possivelmente, do ar-condicionado. Assim, informagées sobre dependéncias serdo de grande ajuda na identificagao de ameacas e, em particular, de vulnerabllidades. Além disso, ajudaraoa assequrarque o real valor dos ativos (considerando as relagdes de dependéncia) sera atribuido, dessa forma indicando o nivel de protegao apropriado. Convém que os valores dos ativos dos quais outros ativos dependem sejam modificados da seguinte maneira’ * Ses valores dos ativos dependentes (por exemplo, os dados) forem menores ou iguais ao valor do ativo em questao (por exemplo, o software), 0 valor deste tltimo permanece o mesmo * Se os valores dos ativos dependentes (por exemplo, os dados) forem maiores do que o valor do ativo em questao (por exemplo, o software), convém que o valor desse ultimo aumente de acordo com: — Ograu de dependéncia — 0s valores dos outros ativos Uma organizagao pode possuir alguns ativos que so disponibilizados mais de uma vez, como cépias de programas de software ou 0 tipo de computador usado na maloria dos escritorios. € importante levar ‘em conta este fato quando estiver sendo executada a valoragao dos ativos. Por um lado, esses ativos so faciimente ignorados e, por isso, convém que se tenha um cuidado especial em identificar todos. Por outro lado, eles podem ser usados para minimizar problemas ligados @ falta de disponibilidade. Se ida resultado final dessa etapa é a lista de ativos e respectivos valores relativos a divulgacao indevida de informagGes (preservagao da confidencialidade), a modificagdes nao autorizadas (garantia de integridade, autenticidade, ndorepidio e responsabilizacao), & indisponibilidade e destruicao do ativo (preservagao de sua disponibilidade e confiabilidade) e ao custo de sua reposicao. B.3 Avaliagao do impacto Um incidente envolvendo a seguranga da informagao pode trazer consequéncias a varios ativos ou apenas a uma parte de um tnico ativo. O impacto esta relacionado & medida do sucesso do incidente. Por conseguinte, existe uma diferenga importante entre o valor do ativo e o impacto resultante do incidente. Considera-se que o impacto tem um efeito imediato (operacional) ou uma consequéncia futura (relativa ao negécio como um todo), a qual inclui aspectos financeiros e de mercado. O impacto imediato (operacional) pode ser direto ou indireto. Direto: a) O valor financeiro de reposigao do ativo perdido (ou parte dele) (© ISONEC 2011 -© ABNT 2011 - Todos 08 dritos reservados 51 FISTABNT NBR ISO/IEC 27005:2011 b) Occusto de aquisicao. configuracdo e instalaco do novo ativo ou do back-up ©) O custo das operagées suspensas devido ao incidente, até que o servigo prestado pelos ativos afetados seja restaurado 4) Consequéncias resultantes de violagdes da seguranga da informagao Indireto; a) Custo de oportunidade (recursos financeiros necessdrios para repor ou reparar um ativo poderiam estar sendo utilizados para outro fim) b) OQ custo das aneracées interrompidas ©) Mau uso das informagées obtidas através da violagao da seguranga d) Violagao de obrigagées estatutarias ou regulatorias ©) Violagdo dos cédigos éticos de conduta Dessa forma, a primeira avaliagéo (sem controles de qualquer tipo) resultara em uma estimativa do impacto muito préxima aos valores (combinados) dos ativos afetados. Para qualquer outra iteracao que se faga relativa a esses ativos, o impacto sera diferente (normalmente muito menor) devido a presenga e & eficacia dos controles implementados 52 (© ISONEC 2011 - © ABNT 2011 - Todos 08 direitos reservados -FuS8-ABNT NBR ISO/IEC 27005:2011 Anexo C (informativo) Exemplos de ameagas comuns ATabela contém exemplos de ameacas tipicas. A lista na Tabela pode ser usada durante o processo de avaliagao das ameagas. Ameagas podem ser intencionais, acidentais ou de origem ambiental (natural) e podem resultar, por exemplo, no comprometimento ou na paralisacao de servicos essenciais. A lista também indica, para cada tipo de ameaga, se ela pode ser considerada I (intencional), A (acidental) ‘ou N (natural). A letra | é utilizada para indicar as aces intencionais direcionadas contra os ativos de informagao; a letra A é usada para indicar as agdes de origem humana que podem comprometer acidentalmente os ativos de informacao; e a letra N é utilizada para todos os incidentes que nao sao provocados pela agao dos seres humanos. Os grupos de ameacas nao sao apresentados em ordem de prioridade. Tipo “Ameagas Origem Fogo ALN regia ALN Potuigao ALN Dano tisico Aoidente grave ALN Destruigao de equipamento ou midia ALN Poeira, corroséo, congelamento ALN Fenémeno cimatico N Fenémeno sismico N Eventos naturals | Fendmeno vuleénico N Fenémeno meteorolgico N Inundacao N Falha do ar-condlcionado ou do sistema de suprimento de agua | A,! Paseago tor Teme do sper dere AI Falha do equipamento de telecomunicagao Al Radiagao eletromagneética ALN oe fares TO" | Radacdo térmica ALN Pulsos eletromagnéticos ALN © 1SONEC 2011 © ABNT 2011 -Todos os dios rsorvades 53 -FL59-ABNT NBR ISO/IEC 27005: Tipo ‘Ameagas Origen Interceptagao de sinais de interferéncia comprometedores 1 Espionagem a distancia Il Escuta nao autorizada I Furto de midia ou documentos I Furto de equipamentos t Comprometimento da prac Recuperacao de midia reciclada ou descartada ' Divulgagao indevida Al Dados de fontes nao configveis Al ‘Alteragao do naraware ' Alteragao do software Al Determinago da localizagao Il Falha de equipamento A Defeito de equipamento A Saturagao do sistema de intormagao All A Falhas técnicas Defeito de software Violacao das condigdes de uso do sistema de informacao que possibiltam sua manutengao Uso no autorizado de equipamento i Cépia ilegal de software i Uso de cépias de software alsificadas ou ilegais All Agoes no autorizadas ‘Comprometimento dos dacos It Processamento ilegal de dados j Erro durante o uso ‘Abuso de direitos ny Comprometimento de Forjamento de direitos l fungdes Repiidio de agdes It Indisponibilidade de recursos humanos ALN 54 © ISOEC 2011 -© ABNT 2011 - Todos os direitos reservados -Fu60-ABNT NBR ISO/IEC 27005:2011 Convenn que alengau especial seja Uaua as funles Ue alieagas lepresenladas por sees humaros, A sequinte tabela enumera essas fontes: Origem das 4 Motivacao Possiveis consequéncias © Hacki Desafio iid + Engenharia social Ego 5 * Invasdo de sistemas, Hacker, cracker | Rebeldia infiltragdes e entradas nao Status aulorizadas Dinheiro. + Avesso nao autorizado ao sistema, Criminoso digital Destruigéio de informagoes Divulgagao ilegal de informacdes Ganho monetario + Crime digital (por exemplo, perseguigao no mundo digital) + Ato fraudulento (por exemplo, reutilizacao \devida de credenciais e dados transmitidos, fazer-se passar por uma outra pessoa, interceptagao) Alteracdo no autorizada de dados + Giorno por formas * Spoofing (fazer-se passar Por outro) + Invasao de sistemas cane + Bombalterrorismo - + Quetta Ue informaya Destruigaéo 7 Exploragao i Ataque aavamen (por exemplo, ataque aaa Vinganga distribuido de negacao = de servico). Ganho politico Cobertura da Midia + Invasao de sistema = Alteragao do sistema “Fst 55ABNT NBR ISO/IEC 27005:2011 Fonte de = an Motivagao Possiveis consequéncias Espionagem —_| Vantagem competitiva * Garantir a vantagem de industrial Espionagem econémica um posicionamento defensivo (servigos de * Garantir uma vantagem inteligéncia, politica aon + Exploragao econémica ae * Furto de informagao eeerceteay * Violagao da privacidade das ‘outros grupos pe + Engenharia social de interesse eter + Invasao de sistema ligados ao é + Acesso ndo autorizado ao governo) ‘sistema (acesso a informagao restrita, de propriedade exclusiva e/ou relativa A tecnologia) Pessoal Curiosidade + Agressao a funciondrio interno Ego *Chantagem (funciondrios | Obtengo de informagdes titeis para servigos | * Vasculhar informacao de mal treinados, | de inteligéncia propriedade exclusiva insatisfeitos, | Ganhe monetario + Uso impréprio de recurso mal Vinganga ‘computacional intencionados, | Erros e omissées nao intencionais (por * Fraude e furto exemplo, erro na entrada de dados, erro de _| » Subomno por informagao negligentes, aay programagao) * Entrada de dados falsificados : 4 ‘ou corrompidos scpeteaice) * Interceptagao * Codigo malicioso (por exemploo, virus, bomba légica, Cavalo de Trdia) * Venda de informagées pessoais + Nafeitos (hugs) na sistema * Invasao de sistemas + Sabotagem de sistemas * Acesso no autorizado ao sistema 56 Fu2- © ISOIIEC 2011 -© ABNT 2011 - Todos os dieitos reservadosAnexo D (informativo) ABNT NBR ISO/EC 27005:2011 Vulnerabilidades e métodos de avaliagao de vulnerabilidades D.1 Exemplos de vulnerabilidades A Tabela fornece exemplos de vulnerabilidades em diversas areas da seguranga, incluindo exemplos de ameagas que poderiam expiorar tals vulnerabilidades. As listas na tabela podem ser de auxiliar durante a avaliagao das ameagas e vulnerabilidades, a fim de determinar os cendrios relevantes de incidentes. Nola-se que, em alguns casos, oulras ameayas sau também capazes de explorar as mesmas vulnerabilidades. Tipos Exemplos de vulnerabilidades Exemplos de ameagas Manutengao insuficiente/instalagao defeituosa de midia de armazenamento Violagao das condigées de uso do sistema de informagao que possibilitam sua manuteng&o Falta de uma rotina de substituigao periédica Destruigao de equipamento ou midia Sensibilidade a umidade, poeira, sujeira Poeira, corrosdo, congelamento Sensibilidade a radiacao eletromagnética Radiagao eletromagnética Hardware | Inexisténcia de um controle eficiente de mudanga de configuragao Erro durante o uso Sensi lade a variagdes de voltagem Interrupgao do suprimento de energia Sensibilidade a variagdes de temperatura Fenémeno meteorolégico Armazenamento nao protegido Furto de midia ou documentos Falta de cuidado durante o descarte Furto de midia ou documentos. Realizagao de cépias nao controlada Furto de midia ou documentos Procedimentos de teste de software insuticientes ou inexistentes Abuso de direitos Falhas conhecidas no software Abuso de direitos Nao execugo do logout ao se deixar uma Software | estacao de trabalho desassistida Abuso de direitos Descarte ou reutilizagdo de midia de armazenamento sem a execugao dos procedimentos apropriados de remogéio dos dados Abuso de direitos (© ISO/EC 2011 -@ ABNT 2011 - Todos 0s diritos reservados “Fs 87ABNT NBR ISO/IEC 27005:2011 Atribuigao errénea de direitos de acesso Abuso de direitos Software amplamente distribuido Comprometimento dos dados Utilizar programas aplicativos com um conjunto errado de dados (referentes a um outro periodo) com prorneti aaa ene) Interface de usuério complicada Erro durante 0 uso Documentagao inexistente Erro durante 0 uso Configuragao de parametros incorreta Erro durante 0 uso Datas incorretas Etro durante 0 uso Inexisténcia de mecanismos de autenticegao e identifica- ‘G0 como, por exemplo, para a autenticacao de usuarios Forjamento de direitos Tabelas de senhas desprotegidas Forjamento de direitos, Goronciamento de senhas mal foito Forjamento de diroitos Servicos desnecessérios que permangcem habiltados | F"ressamento ilegal de dados Software novo ou imaturo Defeito de software Esper confusas ou incompletas para os desen- | 1. tito de software Inexisténcia de um controle eficaz de mudanga Defeito de software Download e uso nao controlado de software Alteragao do software Inexisténcia de cépias de seguranga (back-up) Alteracao do software Inexisténcia de mecanismos de protegéo fisica no pré- | Furto de midia ou dio, portas e janelas documentos Uso no autorizado Inexisténcia de relatorios de gerenciamento de equipamento 58 © ISOIIEC 2011 -© ABNT 2011 - Todos os direitos reservados “FsABNT NBR ISO/IEC 27005:2011 Inexisténcia de evidéncias que comprovem o envio ou 0 recebimento de mensagens Reptidio de ages Linhas de comunicagao desprotegidas Escuta nao autorizada Trétego sensivel desprotegido Escuta nao autorizada Jungées de cabeamento mal feitas Fallua do equipamento de telecomunicagao Ponto Unico de falha Falha do equipamento de telecomunicagao Rede Nao Identificag¢ao e nao autenticacao do emissor odo Toca Forjamento de direitos ‘Arquitetura insegura da rede Espionagem a distancia ‘Transferéncia de senhas em claro Espionagem a distancia Gerenciamento de rede inadequado (quanto ‘Saturacao do sistema a flexibilidade de roteamento) de informagao . te Uso nao autorizado Conexdes de redes publicas desprotegidas Beaueanene Indisponibiidade de Auséncia de recursos humanos recursos humanos ‘ Destruigéio de Procedimentos de recrutamento inadequados ueahons eee ‘Teinamento insuniciente em seguranga Etro durante 0 uso Uso incorreto de software e hardware Erro durante 0 uso Recursos humanos | Falta de conscientizagao em seguranga Etro durante 0 uso Inexisténcia de mecanismos de monitoramento Processamento ilegal de dados Trabalho no supervisionado de pessoal de limpeza ou de terceirizados Furto de midia ou documentos Inexisténcia de politicas para 0 uso correto de meios de telecomunicagao e de troca de mensagens Uso nao autorizado de equipamento © ISOMEC 2011 -@ ABNT 2011 - Todos 08 direitos reservados “FBS 59ABNT NBR ISO/IEC 27005:2011 Uso inadequado ou sem os cuidados Desiruicio de‘equipamento: necessarios dos mecanismos de controle do E0108 equ: ici clic ou midia acesso fisico a prédios e aposentos Localizagao em area suscetivel a « Local ou inundagdes nandes instalagdes 1 aoe ; ia interrupgo do suprimento Fornecimento de energia instavel eee Inexisténcia de mecanismos de protego fisica no prédio, portas e janelas Furto.de.equipamentos: Inexisténcia de um procedimento formal para ; © registro e a remogao de usuarios Able. decane Inexisténcia de proceso formal para a andlise critica dos direitos de acesso ‘Abuso de direitos (superviséo) Provis6es (relativas & seguranca) insuficientes ou inexistentes, em contratos Abuso de direitos com clientes e/ou terceiros Inexisténcia de procedimento de monitoramento das instalagées de ‘Abuso de direitos processamento de informacées Inexisténcia de auditorias periédicas es (superviséo) Inexisténcia de procedimentos para a F identificagao, andlise e avaliagao de riscos | AbUS0 de direitos c a Inexisténcia de relatos de falha nos arquivos roateze (logs) de auditoria das atividades de Abuso de direitos administradores e operadores Resposta inadequada do servigo de Violago das condigoes manutengao de uso do sistema de informagao que possibilitam sua manutengao Acordo de nivel de servigo (SLA) inexistente | yioiagéo das condigées ou insuficiente de uso do sistema de informagaio que NOTA BRASILEIRA SLA é uma sigla de possibilitam sua termos em inglés. manutengao Inexisténcia de procedimento de controle de | Violagéo das condicées mudangas de uso do sistema de informagao que possibilitam sua manutencao 60 © ISOVIEC 2011 -© ABNT 2011 -Todos 0 direitos reservados -FS6-ABNT NBR ISO/IEC 27005:2011 Organizagao Inexisténcia de um procedimento formal para o controle da documentagao do SGSI Comprometimento dos dados Inexisténcia de um procecimento formal para a supervisdio dos rogistros do SGSI Comprometimento dos dados Inexisténcia de um processo formal para a autorizacaio das informagées disponiveis ‘Datos 0 tonite bi! publicamente Atrbuigdo inadequada das responsabiidades pela | ravi de agdes seguranga da informagao Inexisténcia de um plano de continuidade Falha de equipamento Inexisténcia de politica de uso de correspondéncia eletrénica (email) Erro durante 0 uso Inexisténcia de procedimentos para a instalagao de software em sistemas operacionais Erro durante 0 uso ‘Auséncia de registros nos arquivos de auditoria (/ogs) de administradores e operadores Erro durante 0 uso Inexisténcia de procedimentos para a manipulagao de informagées classificadas Erro durante 0 uso ‘Auséncia das responsabilidades ligadas & seguranga da informagao nas descricoes de cargos e fungdes Erro durante 0 uso Provisées (relativas & seguranca) insuficientes ou inexistentes, em contratos com funciondirios Processamento ilegal de dados Inexisténcia de um processo disciplinar no caso de incidentes relacionados & seguranga da informagao Furto de equipamentos Inexisténcia de uma politica formal sobre 0 uso de computadores méveis Furto de equipamentos Inexisténcia de controle sobre ativos fora das dopendéncias Furto de equipamentos Politica de mesas e telas limpas (clear desk and clear screen) inexistente cu insuficiente Furto de midia ou documentos Inexieténcia de autorizagiio para ae inetalagéoc de processamento de informagdes Furto do midia ou documentos Inexisténcia de mecanismos estabelecidos para o monitoramento de violagdes da seguranca Furto de midia ou documentos Inexisténcia de analises citicas periédicas por Uso nao autorizado de parte da diregao equipamento Inexisténcia de procedimentos para relato de | Uso nao autorizado de fragilidades ligadas seguranca equipamento Inexisténcia de procedimentos para garantir a Uso de cépias de conformidade com os direitos de propriedade software falsificadas ou intelectual ilegais ©ISOMEC 2011 -@ ABNT 2011 - Todos os diitos reservados “FT. 61ABNT NBR ISO/IEC 27005:2011 D.2 Métodos para a avaliagao de vulnerabilidades técnicas Métodos pré-ativos, tal como testar os sistemas de informagao, podem ser utilizados para identificar as vulnerabilidades existentes, dependendo da criticidade do sistema de Tecnologia da Informagao e Comunicagao (TIC) e dos recursos disponiveis (por exemplo, verba alocada, tecnologia disponivel, profissionais com a experiéncia necessaria para a realizacao do teste). Entre os métodos de teste ten-se’ + Ferramentas automatizadas de procura por vulnerabilidades © Avaliagdo e testes da seguranca © Teste Ue invasu + Andlise critica de cédigo Ferramentas automatizadas de procura por vulnerabilidades sao utilizadas para varrer um grupo de computadores ou uma rede em busca de servigos reconhecidamente vulneraveis (por exemplo, © protocolo de transferéncia anénima de arquivos - ‘anonymous FTP" - @ 0 recurso de retransmissa0 do “sendmait’ - “sendmail relaying’). Convém ressaltar, contudo, que nem todas as potenciais vulnerabilidades encontradas pela ferramenta necessariamente representam vulnerabilidades reais no contexto do sistema e de seu ambiente. Por exemplo, algumas dessas ferramentas de varredura avaliam as vulnerabilidades potenciais sem levar em consideragao 0 ambiente da instalacao @ 08 seus requisitos. Algumas das vulnerabilidades encontradas pelo software de varredura podem nao representar uma vulnerabilidade real em uma determinada instalagdo, mas sim 0 resultado de uma configura¢ao exigida por seu ambiente. Assim, esse método de teste pode gerar falsos positivos. A avaliacdo e testes da seguranga (ATS) é uma outra técnica que pode ser utilizada na identificagao de vulnerabilidades em sistemas de TIC durante 0 processo de avaliagao de riscos. Ela inciui © desenvolvimento a execugéo de planos de teste (por exemplo, roteiros e procedimentos para testes, lista de resultados previstos). O propésito dos testes da seguranga do sistema é verificar a eficdcia dos controles de seguranga de um sistema de TIC, considerando-se a forma com que estdo implementados no ambiente operacional. O objetivo ¢ assegurar que os controles aplicados satisfacam as especificagdes de sequranga do software e do hardware, implementem a politica de seguranga da organizaco e/ou atendam aos padrdes de mercado. Testes de invasao podem ser usados para complementar 0 processo de analise critica dos controles de seguranga, assegurando-se que as diversas ‘acetas do sistema de TIC estejam protegidas. Testes de invaséo, quando utilizados durante 0 processo de avaliagao de riscos, servem para avaliar a capacidade do sistema de TIC de resistir a tentativas intencionais de se driblar a seguranga do sistema. O objetivo é testar o sistema de TIC do ponto de vista da fonte da ameaca, identificando possiveis falhas no esquema de protegdo do sistema. Aanilise critica de cédigo é a mais minuciosa (embora também a mais dispendiosa) forma de avaliagao de vulnerabilidades. Os resultados desses tipos de testes de seguranga ajudam a identiicar as vulnerabilidades de um sistema. E importante notar que ferramentas e técnicas de invaséo podem gerar resultados falsos, quando a vulnerabilidade nao é explorada com sucesso. Para explorar vulnerabilidades especificas, a exata configuracao do sistema, da aplicagao e das atualizagdes (patches) instaladas no sistema testado precisa ser conhecida. Se esses dados nao forem conhecidos quando o teste esta sendo realizado, 62 © ISOIIEC 2011 -© ABNT 2011 - Todos os direitos reservadosABNT NBR ISO/IEC 27005:2011 pode no ser possivel explorar uma determinada vulnerabilidade com aucesse (por exemplo, 0 acca00 Temoto a shell reverso); no entanto, ainda assim, talvez seja possivel causar uma pane no sistema ou processo testado ou mesmo forcar o seu reinicio. Nesse caso, convém que o objeto testado seja considerado vulnerével. Entre os métodos existentes, podem ser incluidos os seguintes: ‘+ Entrevistas com pessoas e usuarios © Questionarios © Inspegao fisica © Andlise de documentos © ISO/IEC 2011 -@ ABNT 2011 - Todos 08 dvitos reservados 6 Fuss.ABNT NBR ISO/IEC 27005:2011 Anexo E (informativo) Abordagens para 0 processo de avaliacdo de riscos de seguranca da informagao E.1 Processo de avaliagao de de alto nivel cos de seguranga da informagao — Enfoque Uma avaliagao de alto nivel permite definir prioridades e uma cronologia para a execucdo das acdes. Por varias razées, como, por exemplo, 0 orcamento, talvez néo seja possivel implementar todos 08 controles simultaneamente e, com isso, somente os riscos mais criticos podem ser tratados durante © processo de tratamento do risco. Da mesma forma, pode ser prematuro dar inicio a uma forma de gestao de riscos muito detalhada se a implementaco sé serd contamplada aps um au dois anos. Para alcangar esse objetivo, uma avaliacdo de alto nivel pode comegar com um exame também de alto nivel das consequéncias, em vez de comegar por uma analise sistematica das ameacas, vulnerabilidades, ativos e consequéncias. Outra razao para comegar por uma avaliagao de altonivel é permitira sincronizagao com outros planos relacionados a gestao de mudancas (ou da continuidade de negécios). Por exemplo, nao é razoavel completar a implementagao da seguranga de um sistema ou aplicagao, se estiver sendo planejada a sua terceirizagéo em um futuro préximo, embora possa ainda ser util a realizagao do processo de avaliagao de riscos, para que possam ser definidos os termos do contrato da terceirizacao. Entre as caracteristicas de uma iterago, com um enfoque de alto nivel, do processo de avaliagao de riscos pode ser incluido o seguinte: + 0 processo de avaliagao de riscos com enfoque de alto nivel pode se preocupar com uma visdo mais global da organizacdo e de seus sistemas de informagdo, considerando os aspectos tecnologicos de forma Independente das questCes de negocio. Dessa forma, a analise do contexto incide mais sobre o negécio e o ambiente operacional do que sobre os elementos tecnolégicos. * O proceso de avaliagdo de riscos com enfoque de alto nivel pode se preocupar com uma lista menor de ameacas e vulnerabilidades, agrupando-as em dominios predefinidos, ou, para acelerar © processo, pode focar a sua atengao nos cenarios de risco ou ataque, em vez de em seus elementos. ‘* Os tiscos cobertos por uma avaliagao com enfoque de alto nivel podem ser entendidos mais como categorias (ou classes gerais) de risco do que, propriamente, como riscos identificados com especilicidade. Como os cenatios ou as ameagas sao agrupados em dominios, 0 tratamento do risco propée listas de controle para esses dominios. Entdo, em primeiro lugar, durante a atividades de tratamento do risco, so propostos e selecionados os controles comuns validos em todo o sistema. * Contudo, por raramente tratar de detalhes tecnolégicos, o proceso de avaliagao de riscos com enfoque de alto nivel ¢ mais adequado para fornecer controles organizacionais nao técnicos, além dos aspectos gerenciais de controles técricos e mecanismos técnicos de protegao comuns muito importantes, como cépias de seguranga (back-ups) e antivirus. 64 (© ISOIIEC 2011 -© ABNT 2011 - Todos os direitos reservados -FuI0-ABNT NBR ISO/IEC 27005:2011 As vantagens do processo de avaliagéo de riscos com um enfoque de alto nivel so as seguintes: * Com a incorporagao de uma primeira abordagem simples, é mais provavel que se obtenha a aceitagao do programa do processo de aveliago de riscos. + Convém que seja possivel criar uma visdo estratégica de um programa corporativo de seguranca da informacao, ou seja, uma visao que possa auxiliar durante o planejamento. * Recursos e verbas podem ser aplicados onde forem mais vantajosos, e os sistemas que provavelmente esto precisando de mais protegao serdo tratados primeiro. Como as andlises de risco iniciais sao feitas com um enfoque de alto nivel (potencialmente, portanto, sendo menos exatas), ha 0 perigo de que alguns processes de negécio ou sistemas possam acabar, erroneamente, nao sendo identificados entre aqueles que requerem um segundo processo de avaliagio de riscos, mais detalhado. Isso pode ser evitado se houver informacaio adequada sobre todos os aspectos da organizagao, das informagées que utiliza e de seus sistemas, incluindo dados obtidos através da avaliagao dos incidentes de seguranga da informacao. O processo de avaliagao de riscos com enfoque de alto nivel considera os valores para 0 negécio dos ativos de informacdio, e os riscos do ponto de vista de negécio da organizagao. No primeiro ponto de decisao (ver Figura 2), varios fatores ajudam a determinar se a avaliacao de alto nivel é adequada para o tratamento do risco; esses fatores podem incluir os seguintes itens: ‘* Os objetivos de negécios a serem alcangados através de varios ativos de informagao; ‘+ O quanto 0 negécio da organizagao depende de cada ativo de informagao, ou seja, 0 quanto as fungdes que a organizacao considera fundamentais para a sua sobrevivéncia ou para a conducao eficaz do negécio depende dos ativos, ou da confidencialidade, da integridade, da disponibilidade, da garantia do nao repudio, da responsablizagao, da autenticidade e da confiabilidade das informagdes armazenadas e processadas nesses ativos; * © nivel de investimento em cada ativo de informacéo, em termos do desenvolvimento, da manutengao ou da reposicao do ativo; ‘+ Osativos de informagao, que a organizacao atribui valor diretamente. Quando esses fatores sao avaliados, a deciséo torna-se mais facil. Se a fungao de um ativo for extremamente importante para a condugao do negécio da organizagao ou se o ativo estiver exposto a riscos de alto impacto ou probabilidade, entao convém que uma segunda iteragao, com um processo de avaliagdo detalhado de riscos, seja executada tendo em vista 0 ativo de informacao especifico (ou parte dele). Uma regra geral para ser aplicada é a seguinte: se a falta de seguranca da informacao puder resultar em consequéncias adversas significativas para a organizagao, para os seus processos de negécio ou para os seus ativos, uma segunda iteracdo, mais detalhada, do processo de avaliacdo de riscos 6 necesséria para a identificagao de riscos potenciais. E.2 Processo detalhado de avaliacao de riscos de seguranc¢a da informacao © proceso detalhado de avaliagéo de riscos de seguranga da informacao envolve a minuciosa identificagéo e valoragéo dos ativos, a avaliacéo das ameagas aos ativos e a avaliagao das vulnerabilidades. Os resultados dessas atividades séo, entdo, usados para avaliar os riscos e, depois, para identificar o tratamento do risco. © ISONEC 2011 -© ABNT 2011 - Todos 0s dirctos reservados 65 “Furt-ABNT NBR ISO/IEC 27005:2011 A otapa dotalhada normalmonto demanda bactanto tompo, ocforgo © oxperiéncia, © pode, portanto, ser mais adequada para os sistemas de informagao de alto risco. ‘A etapa final do processo detalhado de avaliacao de riscos de seguranga da informagao consiste no céilculo do risco total, que € 0 assunto deste anexo. As consequéncias podem ser avaliadas de varias maneiras, incluindo a abordagem quantitativa (usando-se, por exemplo, uma unidade monetaria), a qualitativa (que pode ser baseada no uso de adjetivos qualificadores, como moderado ou severo) ou ainda uma combinagao de ambas. Para avaliar a probabilidade de ocorréncia de uma ameaga, convém que se estabeleca 0 perfodo no qual o ativo 6 considerado como de valor ou durante o qual ele precisard ser protegido. A probabilidade da ocorréncia de uma ameaca especifica é afetada pelos seguintes itens: * A attratividade do ativo ou do impacto potencial, aplicével quando uma ameaca intencional de origem humana esta sendo considerada * A facilidade de se converter a exploragao de una vulnerabilidade de um ativo em recompensa, aplicével quando uma ameaga intencional de origem humana esta sendo considerada © Acapacitagao técnica do agente da ameaca, aplicavel a ameagas intencionais de origem humana e + A suscetibilidade da vulnerabilidade @ exploragao, aplicével tanto a vulnerabilidades técnicas quanto a ndo técnicas Muitos métodos fazem uso de tabelas e combinan medidas empiricas com medigdes subjetivas. E importante que @ oryanizagao use umn meétodo com o qual ela se sinta confortavel, m0 qual ela acredite e que produza resultados reproduziveis. Alguns exemplos de métodos baseados em tabelas sdo apresentados a seguir. Para orientacdes adicionais sobre técnicas que podem ser utilizadas para o processo detalhado de avaliagao de riscos de seguranga da informagao, ver IEC 31010. Qs seguintes exemplos utilizam ntimeros para descrever avaliacdes qualitativas. Convém que o usuario destes metodos esteja consciente de que pode nao ser valido executar operagoes matematicas com estes nuimeros, que sao resultados qualitativos produzidos por métodos de avaliacao de riscos qualilativos. £.2.1_Exemplo1 Matriz com valores pré-definidos Neste tipo de método para o processo de avaliacao de riscos, ativos fisicos, existentes ou planejados so valorados conforme seus custos de reposigdo ou reconstrugao (ou seja, medidas quantitativas).. Esses custos so entdo convertidos para a mesma escala qualitativa usada para a valoracao das informagdes (ver abaixo). Aos ativos do tipo software, existentes ou planejados, valores sao atribuidos da mesma forma que aos attvos fisicos, com os custos de aquisigao ou redesenvolvimento sendo identificados e entéo convertidos para a mesma escala qualitativa usada para a valoragao das informagdes. Além disso, se um software aplicativo tiver 0 seu proprio conjunto de requisitos de confidencialidade ou de integridade (por examplo, se 0 seu eddigo-fonte, por si s6, for suscetival a questdes comerciais), ele deve ser valorado da mesma forma que as informacdes. Os valores atribuidos as informagdes so obtidos entrevistando-se uma parte seleta da diregao do negécio (os “responsaveis pelos dados"), aqueles que podem falar com autoridade sobre os dados. 66 © ISONIEC 2011 - © ABNT 2011 - Todos os direitos reservados FUR.ABNT NBR ISO/IEC 27005:2011 Assim determinam’se 0 valor ¢ a sensibilidade des dados em uso, armazenados, sendo processados ou acessados. As entrevistas facilitam a avaliagao do valor e da sensibilidade da informagao, tendo em vista os cendrios com os piores impactos que possam ser previstos a partir das consequéncias adversas ao negécio causadas pela divulgacao ou modificagao nao autorizadas da informacao, por sua indisponibilidade durante diferentes perodos de tempo ou ainda por sua destrulgao. A valoragao ¢ realizada usando diretrizes para a valoragao da informagao, as quais cobrem alguns temas, tais como: ‘© Seguranca fisica das pessoas ‘* Informagdes pessoais © Obrigagées legais e regulatérias ‘© Cumprimento das leis ‘* _ Interesses comerciais e econdmicos ‘+ Perda financeira/interrupgao de atividades © Ordem publica ‘* Politica e operagdes do negécio + Perda de valor de mercado (em especial com referéncia a aspectos intangiveis) ‘© Contrato ou acordo com clientes As diretrizes facilitam a identificagéo dos valores em uma escala numérica, como a escala de 0 a4 apresentada adiante, na forma de uma matriz. Assim, permite-se 0 reconhecimento de valores quantitativos, sempre que possivel e ldgico, e de valores qualitativos, quando valores quantitativos nao so possiveis, por exemplo, em ocasides em que a vida humana é colocada em perigo. A pidxina alividade importante ¢ a cunciusdv de pares Ue questiundrivs, para cada lipo de aneaya e para cada agrupamento de ativos relacionado a um tipo de ameaca, a fim de permitir a avaliagao do nivel das ameagas (probabilidade de ocorréncia) ¢ das vulnerabilidades (facilidade com que uma ameaca pode explorar uma vulnerabilidade e provocar consequéncias adversas). Cada questo respondida indica uma pontuagao. Essas pontuagées sao acumuladas em uma base de conhecimento comparadas a intervalos. Isso identifica o nivel da ameaga em uma escala, de alto a baixo ©, de forma similar, 0s niveis das vulnerabilidades - como ilustrado no exemplo da matriz mais adiante. Diferenciam-se os tipos de consequéncias na medida de suas relevancias. Convém que informagées para completar os questionérios sejam reunidas a partir de entrevistas com as pessoas responsaveis pelas acomodacées, os recursos humanos e os técnicos envolvidos, assim como também a partir de inspegoes fisicas dos locais e da andlise critica de documentos. Os valores dos ativos, e os niveis de ameaga e vulnerabilidade, relacionados a cada tipo de consequéncia, sao emparelhados em uma matriz como a apresentada a seguir, a fim de identificar, para cada combinagao, a medida do risco em uma escala de 0 a 8. Os valores sao colocados na matriz de uma maneira estruturada. Um exemplo ¢ dado a seguir: © ISOMEC 2011 -@ ABNT 2011 - Todos 08 direitos reservados 67 “FUABNT NBR ISO/IEC 27005:2011 Tabela C.1 a) Probabilidade da ocorréncia — Baixa Média Alta ‘Ameaga Facilidade de Exploraco 0 oO il 1 Valor oe als Ativo & «|r alalon olela a] alalon olela oln nlala alo olela ol slala alo 2 3 4 FS Para cada ativo, as vulnerabilidades relevantes e respectivas ameagas sao consideradas. Se houver uma vulnerabilidade sem uma ameaga correspondente, ou uma ameaga sem uma vulnerabilidade correspondente, entéo no ha risco nesse momento (mas convém que cuidados sejam tomados no caso dessas situagdes mudarem). A linha apropriada é identificada na matriz pelo valor do ativo, ea coluna apropriada é identificada pela probabilidade da ocorréncia da ameaca e a facilidade de exploracao. Por exemplo, se o ativo tiver 0 valor 3, a ameaca é ‘alta’, a vulnerabilidade é "ba e, a medida do risco ¢ 5. Supondo que um ativo tenha um valor 2 (por exemplo, para modificagdes), © nivel de ameaca 6 “haixa’ @ a facilidade de exploracaa 6 “alta”, logo, a medida de risco 6 4 tamanho da matriz pode ser adaptado as necessidades da organizacao, ajustando-se o numero das colunas, representando a probabilidade de ocorréncia das ameacas ou daquelas que representam a facilidade de exploracao, assim como as linhas que representam a valoracao dos ativos. A adigao de Colunas e linhas implicaré novas medidas de risco. A vantagem dessa abordagem est na ordenagao dos riscos a serem tratados. Uma matriz similar, como apresentada na Tabela E.1 b), mostra a relacao entre a probabilidade de um cenério de incidente ¢ impacto estimado, do ponto de vista do negécio. A probabilidade de um cenérrio de incidente é dada pela probabilidade de uma ameaga vir a explorar uma vulnerabilidade. A Tabela relaciona 0 impacto ao negécio, relativo ao cenério de incidente, aquela probabilidade. Orisco resultante 6 medido em uma escada de 0 a 8, e pode ser avaliado tendo como base os critérios para a aceitagao do risco. Essa escala de risco pode também ser convertida em uma classificagao simples, mais genérica, do risco, como, por exemplo: * Baixo risco: 0-2 * Médio risco: 3-5 © Alto risco: 6-8 68 © ISONIEC 2011 -© ABNT 2011 - Todos 08 direitos reservados “FuraABNT NBR ISO/IEC 27005:2011 Tabela E.1 b) eS. | Baixa Média Ata | Muito Alta eet imate | (improvdve) | (Possivel) | (Provével) | (Frequent) Muito Baixo ° 1 2 3 4 Baixo 1 2 3 4 5 Impacto 20 Médio 2 3 4 5 é Negécio Ato 3 4 5 6 7 Muito Alto 4 5 6 7 8 E.2.2 Exemplo2 Ordenagao de Ameacas em Fungao do Risco Uma tabela ou matriz, como apresentada na Tabela E.2, pode ser usada para relacionar as consequéncias (representadas pelo valor do ativo) & probabilidade de ocorréncia de uma ameaga (incluindo assim os fatores ligados as vulnerabilidades). A primeira etapa consiste em avaliar as consequéncias (através do valor do ativo) em uma escala predefinida, por exemplo, de 1 a 5, para cada ativo ameacado (coluna ‘b’ na Tabela). Na segunda etapa, estima-se a probabilidade de ocorréncia da ameaca em uma escala predefinida, por exemplo, de 1 a 5, para cada ameaca (coluna ‘c’ na tabela). Na terceira etapa, calcula-se a medida de risco multiplicando (b x c). Por tiltimo, as ameacas podem ser ordenadas em sequéncia, conforme suas respectivas medidas de risco. Notar que, nesse exemplo, 1 representa a menor consequéncia e a menor probabilidade de ocorréncia. Tabela E.2 Rétulo Valor da Probabilidade | — Medida do Ordem da identificador consequéncia_| de ozorréncia risco ameaga da ameaca (do ativo) da ameaca (a) (b) (c) @ (e) ‘Ameaga A 5 2 10 2 Ameaga B 2 4 8 3 ‘Ameaga C 3 5 15 1 ‘Ameaga D 1 3 3 5 Ameaca E 4 1 4 4 ‘Ameaga F 2 4 8 3 Como mostrado acima, esse procedimento permite que diferentes ameagas, com consequéncias © probabilidade de ocoréncias distintas, sejam comparadas © ordenadas por privridade. Em alguns casos, seré necessdrio associar valores monetarios as escalas empiricas aqui utilizadas. © ISOMEC 2011 -@ ABNT 2011 - Todos 08 direitos reservados 69 “FUABNT NBR ISO/IEC 27005:2011 E.2.3 Exemplo9 Avaliando a probabilidade ¢ as possiveis consequéncias dos riscos Nesse exemplo, a énfase ¢ dada as consequéncias dos incidentes de seguranga da informagao (ou seja, aos cenarios de incidentes) e convém que a atividade determine quais sistemas devem ser priorizados. Isso é feito estimando-se dois valores para cada par de alivo e risco, os quais, combinados, irdo determinar a pontuagao para cada ativo. Quando as pontuagdes de todos os ativos do sistema so somadas, uma medida do risco ao qual o sistema estd submetido pode entao ser determinada. Primeiramente, um valor é designado para cada ativo. Esse valor refere-se as possiveis consequéncias adversas que podem surgir quando 0 ativo é ameagado. O valor (do ativo) é definido para cada ameaca aplicavel ao ativo, Depois, estima-se um valor para a probabilidade. Ela € avaliada combinando-se a probabilidade de ocorréncia da ameaca e a facilidade com que a vulnerabilidade pode ser explorada. Ver, ria Tabela 3, a represertagao da probabilidade de um cendtrio de incidente. Tabela E.3 Probabilidade da : ‘Ameaca Baixa Media Ata Ida vulnerabilidade Bj M)]a;}se}|m]altsp|mla Probabilidade do cendrio de incidente | 1 2)1 aa) | 2) 3 | 4 Em seguida, na Tabela E.4, uma pontuacao referente ao par ativo/ameaga é definida pelo encontro da coluna com o valor do ativo e da linha com a probabilidade. As pontuag6es referentes aos pares ativos/ ameaga sao totalizadas para cada ativo, produzindo-se uma pontuacao total do ativo. Esse valor pode ser usado para diferenciar os ativos que fazem parte de um mesmo sistema entre si. Tabela E.4 Valor do aa 0 1 2) 3 4 ° ° 1 2 3 4 1 1 2 3 4 5 2 2 3 4 5 6 8 3 4 5) 6 7 4 4 5 6 7 8 Na etapa final, somam-se as pontuagdes dos ativos do sistema, estabelecendo-se a pontuagao do sistema. Isso pode ser usado para diferenciar os sistemas entre si, e convém determinar qual sistema deve ser protegido com maior prioridade, 70 © ISOIEC 2011 -© ABNT 2011 - Todos os direitos reservados “FLT6-ABNT NBR ISO/IEC 27005:2011 Noe oxomploe a coguir todos o¢ valoroe foram eecolhidoe aleatoriamento. Supondo que o Sistema S tenha trés ativos, A1, A2 e A3, e supondo também que existam duas ameacas, T1 e T2, aplicaveis ao sistema S, estabelece-se que o valor de A1 ¢ 3, que 0 valor do ativo A262 ¢ que 0 valor do ativo AS é 4. Se, para A1 eT1, a probabilidade da ameaga for baixa e a facilidade de exploragao da vulnerat for média, entdo 0 valor da probabilidade é 1 (ver Tabela E.3). lade ‘A pontuagao referente ao par ativo/ameaca A1/T1 pode ser obtida na Tabela E.4, no encontro da coluna com o valor 3 (referente ao valor do ative) e da linha com 0 valor 1 (referente a probabilidade). O valor assim obtido é 4. Do mesmo modo, para A1/T2, se a probabilidade da ameaca for média ea facilidade de exploragéo da vulnerabilidade foraita, o resultado sera uma pontuagao de 0, referente ao par A1/T2, ‘Agora, TA1, que € a pontuagao total do ative A1, pode ser calculada, e 0 resultado 6 10. A pontuagao total do ativo é calculada para cada ativo levando-se em conta todas as ameacas aplicdveis. ‘A pontuagao total do sistema é calculada através da adicao TA + TA2 + TA, obtendo-se TS. Assim, sistemas diferentes podem ser comparados, assim como diferentes ativos dentro do mesmo sistema, para estabelecer as prioridades. ‘Apesar do exemplo acima envolver apenas sistemas de informagao, uma abordagem similar pode ser aplicada aos processos de negécio. © ISONEC 2011 - © ABNT 2011 - Todos 0s deitos reservados 71 “fu.ABNT NBR ISO/IEC 27005:2011 Anexo F (informativo) Restrigées para a modificago do ‘Ao considerar as restri¢des para a modificagao do risco, convém que as seguintes restrigoes sejam consideradas: Restricdes temporais: Pode haver muitos tipos de restrigSes de tempo. Por exemplo, convém que os controles sejam implementados dentro de um perfodo de tempo aceitavel para os gestores da organizagao. Outro tipo de restricéo temporal é se um controle pode ser implementado durante o periodo de vida util da informacao ou do sistema. Um terceiro tipo de restricao temporal pode ser representado pelo periodo de tempo que os gestores da organizacao definem como aceitavel para ficar exposto a um determinado risco. Restrigées financeiras: Convém que a implementagao ou a manutengao cos controles sejam menos dispendiosas do que © valor dos riscos que eles foram projetados para combater, exceto nos casos em que a conformidade 6 obrigatéria (por exemplo, no caso de legislagdes especificas). Convém que todos os esforcos sejam feitos para que os orcamentos alocados nao sejam excedidos e também para que vantagens financeiras, através do uso de controles, sejam obtidas. Contudo, em alguns casos, talvez nao seja Possivel implementar a seguranga desejada e alcancar 0 nivel de risco formalmente aceito, devido a restrigdes orgamentarias. Essa situagao exigira, entdo, uma decisdo dos gestores da organizagao para a sua resolucao. Convém que se tenha muito cuidado no caso de restrigdes orgamentarias provocarem a redugdo do niimero ou da qualidade dos controles a serem implementados, pois isso pode levar & aceitagao implicita de mais riscos do que o planejado. Convém que a utilizacdo do orcamento alocado para 08 controles como fator limitante, se necesséria, seja acompanhada por cuidados especiais. Restric6es técnicas: Problemas técnicos, como a compatibilidade de hardware ou de programas, podem ser facilmente evitados se forem levados em conta durante a selecdo dos controles. Além disso, a implementacao retroativa dos controles em um process ou sistema existente € frequentemente dificultada por restrig¢des técnicas. Essas dificuldades podem deslocar 0 foco dos controles em diregao aos aspectos procedutais e fisicos da seguranca. Pode ser necessdrio revisar os programas de seguranga da informagao, a fim de alcancar os objetivos de seguranga. Isso pode ocorrer quando controles no conseguem atingir os resultados previstos na modificacao do risco sem afetar a produtividade. Restrig6es operacionais: Restrigdes operacionais, como, por exemplo, a necessidade de manter as operagdes em um regime de 24x7 e, ainda assim, executar back-ups, podem resultar em controles de implementagao complexa @ onerosa, a menos que eles sejam incorporados ao projeto desde 0 inicio. 72 © ISOC 2011 -© ABNT 2011 - Todos 08 direitos reservados “FueABNT NBR ISO/IEC 27005:2011 Restrigées culturaio: As restrigdes culturais em relago a selegéo de controles podem ser especificas a um pais, um setor, a uma organizacdo ou mesmo a um departamento dentro de uma organizacao. Nem todos 8 controles podem ser aplicados em todos os paises. Por exemplo, pode ser possivel implementar buscas em bolsas e bagagens em partes da Europa, mas nao em partes do Oriente Médio. Aspectos culturais nao podem ser ignorados, pois muitos controles contam com o apoioative do pessoal. Se 0 pessoal nao compreende a necessidade do controle ou ndo acha que ele seja culturalmente aceitavel, 0 controle se tornara ineficaz com o passar do tempo. Restricdes éticas: AS restrigoes éticas podem ter grandes implicagdes sobre os controles na medida em que a etica muda, tendo como base as normas sociais. Isso pode impedir a implementagao de alguns controles em alguns paises, como, por exemplo, a varredura de correspondéncia eletrénica (email scanning). A privacidade das informagdes pode ser entendida de diferentes maneiras, dependendo da ética da regio ou do governo. Essas questées podem causar mais preocupacdes em alguns setores de atividade econémica do que em outros, por exemplo, 0 setor governamental e o da satide. Restricdes ambientais: Fatores ambientais, como a disponibilidade de espaco, condigdes climaticas extremas e 0 meio geografico natural ou urbano, podem influenciar a selec de controles. Por exemplo, instalagdes & prova de terremoto podem ser necessérias em alguns paises, porém desnecessérias em outros. Restricdes legais: Fatores legais, como provisées relativas @ protegao de dados pessoais ou do cédigo penal, referentes ao processamento de informagées, podem afetar a selegao de controles. A conformidade a legislagao e a normas pode exigir certos tipos de controles, como, por exemplo, a protegdo de dados e a auditoria financeira. Por outro lado, ela pode também impedir 0 uso de alguns controles, por exemplo, a criptografia. Outras leis e regulamentagées, como a legislagao do trabalho, as normas do corpo de bombeiros, da area da satide e da seguranga, e regulamentagées do setor econémico, também podem afetar a escolha de controles. Facilidade de uso: Uma interface de usudrio mal projetada resultara em erro humano e pode tornar o controle inutil. Convém que os controles selecionados sejam de facil utilizagao, além de garantirem um nivel aceitavel de risco residual ao negécio. Os controles de dificil utlizagdo tém sua eficadcia prejudicada, ja que os usuérros tentarao contorné-los ou ignoré-los tanto quanto possivel. Controles de acesso complexos dentro da organizagao podem estimular os usudrios a acharem algum método de acesso alternativo nao autorizado. Restrigdes de recursos humanos: Convém que sejam considerados 0 custo salarial e a disponibilidade de profissionais com as competéncias especializadas necessarias para a implementacdo dos controles, bem como a capacidade de desiocar 0 pessoal em condigées adversas de operagao. O conhecimento necessario para a implementagao dos controles planejados pode nao estar prontamente disponivel ou pode Tepresentar um custo excessivo para a organizacao. Outros aspectos, como a tendéncia de parte do pessoal discriminar outros membros da equipe que nao passaram por verificagdes de seguranca, podem ter grandes implicagdes para as politicas e praticas de seguranga. Além disso, a necessidade ©ISOMEC 2011 -@ ABNT 2011 - Todos os diitos reservados 73 “FSABNT NBR ISO/IEC 27005:2011 de achar ¢ contratar as pessoas certas para o trabalho pode resultar na sua contratagéo antes que as verificagdes de seguranca sejam concluidas. Exigir que a verificagao de seguranga seja finalizada antes da contratagao ¢ a pratica normal e a mais segura. Resirigdes ligadas a integragao dos controles novos aos jé existentes: A integracao de controles novos a uma infraestrutura existente e a interdependéncia entre controles 0 fatores frequentemente ignoradas. Controles novos podem nao ser facilmente implementados se houver incongruéncia ou incompatibilidade com controles existentes. Por exemplo, um plano para usar dispositivos de identificagao biométrica para controle de acesso fisico pode conflitar com um sistema que se baseie na digitacao de nimeros de identificacdo pessoal (PIN), conforme a sigla em Inglés) para 0 controle de acesso. Convém que 0 custo da mudanga dos controles existentes para 08 planejados inclua também os itens a serem adicionados ao custo geral do tratamento do risco. Talvez nao seja possivel implementar alguns dos controles selecionados devido aos conflitos com Os controles atuals. NOTA BRASILEIRA PIN é uma sigla de termos em inglés, 74 © ISOIIEC 2011 -© ABNT 2011 - Todos os direitos reservados -Fa0-ABNT NBR ISO/IEC 27005:2011 Anexo G (informativo) Diferengas nas definig6es entre a ABNT NBR ISO/IEC 27005:2008 ea ABNT NBR ISO/IEC 27005:2011 NOTA Este Anexo dedicado aos usuérios da ABNT NBR ISO/IEC 27001:2006. Como alguns termos e definigdes so diferentes no ABNT ISO Guia 73:2009, comparados com os _utilizados na ABNT NBR ISO/IEC 27001:2008, e subsequentemente na ABNT NBR ISO/IEC 27005:2008, este Anexo sintetiza todas as alteragdes relevantes. Temmnos detinidos | Termas Tendo na] Termos ——definidos na na ABNT NBR ISO/IEC 27005:2008 | ISOMEC 27000-2009, _utlizados | ABNT NBR ISO/IEC 27005:2011 ‘na ABNT NBR ISO/IEC 27005:2008 nla n/a 34 consequéncia resultado de um evento (3:3) que afeta os objetivos [ABNT ISO GUIA 73:2009} NOTA1 Um evento pode levar a uma série de consequéncias. NOTA2 Uma consequéncia pode ser corta ou incerta e, no contexto da, sseguranga da informagao, é, normal mente, negativa NNOTAS As consequéncias podem ‘er expressas qualtativa ou quantta- tivamente, NNOTA4 As consequéncias inicais podem desencadeer reagdes em cadeia. (© ISONEC 2011 -© ABNT 2011 - Todos 08 diritos reservados 75ABNT NBR ISO/IEC 27005:2011 Tae SRRIE | Tore SBI a Terms ——aarasos as na ABNT NBR ISOEC 27005:2008 | ISOEC —27000:2009, _utlizados | ABNT NBR ISO/IEC 27005:2011 na ABNT NBR ISO/IEC 27005:2008 Wa Controle z Meio de gerenciarrscos, incluindo controle poltcas, procedimentos, diretrizes, ‘medida que esta modificando préticas ou estruturas organizacionais | 0 "isco (3.9) ‘que podem ser de natureza IABNT ISO GUIA 73:2009] administratva, técnica, gerencial ou legal. | NOTA Os controles da NOTA Controle tamtém 6 usado sseguranga da informagao incluem ‘como sindnimo de salvaguarda ou qualquer processo, politica, contramedida. procedimente, dire, piética [ABNT NBR ISO/IEC 27002:2005} (ou estrutura organizacional, que podem ser de natureza administrativa, tecnica, gerencial ‘u legal, que modifica o risco {da seguranga da informagao. NOTA2 Os controies nem sempre conseguem exercer © efeito de modificago pretendido ou presumido. NOTA 0 controle também 6 usado como um sindnimo de salvaguarda ou contramedida. nla nla 33 evento focorréncia ou mudanga em um cconjunto especifico de circuns- tancias [ABNT ISO GUIA 73:2009} NOTA1 Um evento pode consstr ‘om uma ou mais ocorréncias e pode tor vias causas. NOTA2 Um evento pode consstr ‘em alguma coisa ndo acontecer. NOTA Um evento pode algumas vezes ser referdo como um “incden- 1" ou um “acidento” 76 (© ISOEC 2011 -© ABNT 2011 - Todos os direitos reservadosABNT NBR ISO/IEC 27005:2011 Tenor TEATS | Terma TETAS na Termes ——aetinidos nar na ABNT NBR ISO/IEC 27005:2008 | ISOMEC —27000:2009, _utlizados | ABNT NBR ISO/IEC 27005:2011 na ABNT NBR ISO/IEC 27008:2008 wa a aa contexto externo ambiente externo no quall a organizagao busca atingir seus objetivos [ABNT ISO GUIA 73:2009] NOTA O contexto externo pode inclu: ‘ambiente cultural, social, politico, legal, regulatri ‘inancerro, tecnologico, econdmico, natural e competitivo, seja internacional, nacional, regional ou local; 0S fatores-chave e as tendéncias que tenham impacto sobre os objetivos da organizagao; e a relagoes com partes interessadas externas e suas ercepcdes e valores. aa ‘A dofinigao fol removida. Impacto mudanga adversa no nivel obtido dos objetivos de negécios a2 ‘A definicgo foi removida riscos de seguranga da informacao (ver NOTA 6 em 3.9) a possibilidade de uma determinada ameaca explorar _vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a corganizagao NOTA & medido em fungéo da combinayéo da probebiidede de um evento e de sua consequéncia, (© ISONEC 2011 -© ABNT 2011 - Todos os dietos reservados 7ABNT NBR ISO/IEC 27005:2011 Tome SORES ‘na ABNT NBR ISO/IEC 27005:2008 Tooe SETTTISS 7 ISONEC 270002009, _utilizados na ABNT NBR ISO/IEC 27005:2008 “Temnss ——aornraos —ns ABNT NBR ISOVIEC 27005:2011 nla nla 35 contexto interno ambiente interno no qual a organizagéo busca atingir seus objetivos IABNT ISO GUIA 73:2009] NOTA Ocontexto interno pode inci: — govemanga, estruta orga rizacional, fungées © respon- sablidades; — polticas, cbjetivos @ estratégias implementadas para ating-os; | capacidades _compreendidas fom termes de recursos @ conhecimento (por exem- pl, capital, tempo, pessoas, processos, sistemas @ tecno- logias); |— sistemas de informagio, fxos 1 inlormagiio © pracessae do tomada de decisdo (tanto formais come informa); |= rwlagdes com partesinteressadas Intermas, © suas percepeoes @ valores; — cultura da organizacéo; — normas, drotiaee © medeloe adotados peta organizagao; € — forma © extoncio dae rolagdoe contratuais nla 36 nivel de risen magnitude de um risco (3.9), ‘expressa em termos da combinacao das consequéncias (3.1) ede suas probabilidades (Uiketinood) (3.7) [ABNT ISO GUIA 73:2009] 78 (© ISONEC 2011 -© ABNT 2011 - Todos os direitos reservadosABNT NBR ISO/IEC 27005:2011 Termes aennTaes na ABNT NBR ISO/IEC 27005:2008 Terma aerATaeS 7a ISONEC — 27000:2009, _utlizados ‘na ABNT NBR ISO/IEC 27005:2008 “Termes ——aernvaos ABNT NBR ISO/IEC 27005:2011 nla a7 probabilidade (Iikelihood) ‘chance de algo acontecer IABNT ISO GUIA 73:2009] NOTA 1 Na terminologia de gestdo {de riscos, a palavra “probablidade" 6 utlizada para releric-se a chance de ‘algo acontecer, nao importanao se, do forma defnia, medida ou deter rminada, objetva ou subjetamente, ‘quaitativa ou quanttatvamente, cu se doserta utiizande-se temas gerais ‘ou matematicos (como probabildade u frequéncia durante um detormina- {0 periodo de tempo). NOTA2 tormo em Inglés “tke: linood" no tem um equivalente dreto ‘om algumas lingua: om vez deco, ‘equivalente do termo de “probability” 6 trequentemente utlizado. Entetan- ta, em Inglés, ‘probabiity” 6 muitas -vez0s interpretado estitamente como ‘uma expresso matematica. Porta, ra terminglogia de gest de rscos, “kainood’ é uilizado com @ mesma, ‘ample interpretago de que o termo “probabity’ tem em multos outros idiomas além do ngls. isco residual risco remanescente apés 0 tratamento de fiscos. [ABNT NBR ISO/EC 27001:2006) 38 risco residual Hyco (9.9) remsnesixtite apes U tratamento do risco (3.17) [ABNT ISO GUIA 73:2009] NOTA Oriscoresidual pode conter Fiscos no identiicados. NOTA2 © ‘isco residual também pode ser conhecido como “isco rete’ © ISONEC 2011 -©ABNT 2011 - Todos 06 dieitos reservadosABNT NBR ISO/IEC 27005:2011 Termes TORATEOS | Toros eas ‘na | Termes ——aetaos na na ABNT NBR ISO/IEC 27005:2008 | ISOEC —27000:2009, _utlizados | ABNT NBR ISO/IEC 270052011, na ABNT NBR ISO/IEC 27005:2008 isco 38 Combinagao da probabilidade de um | risco evento e sua consequéncia feito da incerteza nos objetivos [ABNT NBR ISOVIEC 27002:2005) IABNT ISO GUIA 73:2009] NOTA1 Um efeito um desvio em {elago 20 esperado — postivo e/ou negative. NOTA2 Os objetwos podem ter Sforontes acpocte (Yale come motao financeiras, de saide e seguranca ‘¢ ambiertais)e podem antcarse em diferentes niveis (ais como cstratgico, om toda a orgarizagao, e proto, de produto de processo). NOTAS Oriscoé mutas vezes caracterizado pela reeréncia 208 eventos (3.3) potenciais © as consequéncias (8.1), ou uma combinagao destes. NOTA Orisco em seguranca a inflormago 6 mutas vezes ‘expresso om termos de uma combinagdo de consequéncias de lum evento (incuindo mudangas nas cStcunstancia) ¢ a probabifdade (Wkelinood) (8.7) associada de cocoa NOTAS Aincerteza 6 0 estado, ‘mesmo que parcial, da deticiéncia das informagoes relacionadas a um evento, sua compreensao, seu ‘conhecimento, sua consequéncia ou ‘va probablidade. NOTAS Orisco de seguranca da Informagao esta associado com 0 potencial de que ameacas possam ‘explorer vulnerabiidades de um atvo o informagdo ou grupo de ativos de Informagao e, consequentemente, causar dano a uma organizagéo. 80 (© ISONIEC 2011 -© ABNT 2011 - Todos 08 direitos reservadosABNT NBR ISO/IEC 27005:2011 Termes aera na ABNT NBR ISO/IEC 27005:2008 Termes Tena 7a ISONEC 27000-2009, _utlizados. nna ABNT NBR ISO/IEC 27005:2008 “Termes ——aerintaes ABNT NBR ISO/IEC 27005:2011 nla iilise de riscos 1s0 sistematico da informagao para identi] 1 fontes e estimar o risco [ABNT NBR ISO/IEC 270012006) 310 anélise de riscos processo de compreender a natu- reza do risco (3.9) ¢ determinar 0 nivel de risco (3.8) [ABNT ISO GUIA 73:2003] NOTA A andiise de riscos formece 2 base para a avalacso de riscos para as decisdes sobre o tratamento de rs008, NOTA2 A analise de rscos inclu a ‘etimativa do riscos. ‘andlise/avaliago de riscos proceso completo de andlise e avaliacao de niscos att processo de avaliago de riscos processo global de Identificagao de riscos (3.15), andlise de ris 05 (3.10) ¢ avaliagao de riscos (3.14) [ABNT ISO GUIA 73:2009} aco de evitar 0 risco decisdo de nao se envolver ou agir de forma a se retirar de uma situagao de isco IABNT ISO/IEC GUIA 73:2005), Este termo contemplado atualmente pelo tratamento do risco. 34 comunicagao do risco roca ou comparthamento de informago sobre isco entre 0 Tomador de decisao @ outras partes interessadas [ARNT ISO/IEC GLIA 73-7008), a2 comunicagao e consulta processos continuos ¢ iterativos que uma organizagao conduz para fornoser, comparithar ou ob ter informagdes e se envolver no dilogo com as partes interessa- das (3.18) € outros, com relagéo a ‘gestdo de riscos (3.9) [ABNT ISO GUIA 73:2009] NOTA1 As informacées podem releri-se & existéncia, natureza, forma, probabiidade —(Skehood), severidade, avallagdo, aceitacao «© tratamento de rsc0s, (© ISONEC 2011 -© ABNT 2011 - Todos 0 dietos reservados “Fur. 81ABNT NBR ISO/IEC 27005:2011 Termes TERRES ina ABNT NBR ISO/IEC 27005:2008 Termes eas a ISONEC 270002009, _utlizados. na ABNT NBR ISO/IEC 27005:2008 “Termes ——aetnass nas ‘ABNT NBR ISO/IEC 27005:2011 NOTA2 A consulta 6 um processo bidirecional de comunicagao siste- matizada entre uma organiza¢ao ¢ suas partes interessadas ou ou- tos, antes de tomar uma deciséo ‘ou direcionar uma questao espect- fica. A consulta: — um processo que impac- ta uma decisdo através da influencia ao inves do poder; € ‘uma entrada para © pro cesso de tomada de d cisdo, endo uma tomada de decisdo em conjunto. nla termos de referéncia contra os quais a significéncia de um risco (3.9) ¢ avaliada NOTA1 Os erties de rsco ‘ho baseados nos objetivos ‘orgeniracionale ena conterta extern @ context interna NOTA2 Os ertras de isco ‘podem ser derivados de normas, kis, polices w ouros requisites. 38 estimativa de riscos proceso utilizado para atribuir valores & probabilidade e consequéncias de um risco [ABNT ISO/IEC GUIA 73:2006), NOTA1 — Nocontexto desta Norma ‘termo “atmigade”@ usad0 no ugar do term *processo" para a estimatva de NOTA2 — Nocontexto desta Norma terme probabiidade é usado para a cestimativa de riscos. Este termo foi removido. 82 (© ISONIEC 2011 -© ABNT 2011 - Todos os direitos reservadosABNT NBR ISO/IEC 27005:2011 Termes TORTTEES na ABNT NBR ISO/IEC 27005:2008 Tonos TORRTESS 7a ISONEC — 27000:2009, —_utlizados na ABNT NBR ISO/IEC 27008:2008 ermss arrose ‘ABNT NBR ISO/IEC 27005:2011 nla 36 identificagao de riscos pprocesso para localizar, listar e caracterizar elementos do risco IABNT ISO/IEC GUIA 73:2005], Nova No contexte desta Norma 6 terme “atividade" 6 usado no lugar do termo “processo" para a idenificagao de avaliagao de riscos processo de comparar o risco estimado ‘com critérios de risco predefinidos para determinar a importancia do risco [ABNT NBR ISO/IEC 27001:2006) 3.14 avaliacao de riscos processo de comparar os resultados da andlise de riscos (8.10) com os eritérios de risco (3.13) para determinar se o risco ‘fou sua magnitude 6 aceitével ou tolerdvel IABNT ISO GUIA 73:2009] NOTA A avalingdo de riscos aux lia na deciséo sobre o tratamento de 3.15 identificagao de riscos processo de busca, reconheci- mento e descrigao de riscos IABNT ISO GUIA 73:2009] NOTA 1 A identiticagio de riscos ‘emvolve a identiicagio das fontes de Fisco, eventos, suas causas e suas cconsequéncias potenciais, NOTA2 A identiicagio de riscos pode emoher dados histricos, and- lises te6ricas, opinides de pessoas informadas @ especiatstas, © as ne- cossidads das parts intorossadas. nla gestio de riscos alividades coordenadas para direcionar e controlar uma organizago no que se re- fre a riscos NOTA A gostio de iscos goralmente inclu a andlise/avaliagdo de riscos, 0 trtamento de Viscos, a aceitagdo de riscos © a comunicagio de rsc0s, IABNT NBR ISOEC 27001:2006) 3.16 ‘gestio de riscos alvidades coordenadas para ai fire controlar uma organizagéo no que se refere ariscos IABNT ISO GUIA 73:2009] NOTA “proceczo" para doverever ‘gestdo de riscos. Os elementos con tidos no processo de gestio de rsc0s foram chamados de “atvidades". Esta Norma usa o termo toda a (© ISONEC 2011 -© ABNT 2011 - Todos os dietos reservadosABNT NBR ISO/IEC 27005:2011 Termes TORATEOS | Toros eas ‘na | Termes ——aeaos na na ABNT NBR ISOMIEC 27005:2008 | ISOEC —_27000:2009, _utlizados | ABNT NBR ISO/IEC 270052011 na ABNT NBR ISO/IEC 27005:2008 ar te termo & substituido por redugao do risco “modificagao do risco” e é con- agées tomades para reduzir a templado atualmente pelo tra- probabilidade, as consequéncias tamento do risco. nnegativas, ou ambas, associadas a um risco| [ABNT ISO/IEC GUIA 73:2005), NOTA Nocontexto desta Norma otermo probabilidade é usado para aestimativa de 3.8 Este termo 6 contemplado atu- retengao do risco almente pelo tratamento do aceitagao do énus da perda ou do isco. bbeneficio do ganho associado a um determinado risco [ABNT ISOEC GUIA 32005] NOTA No contexto dos riscos de seguranga da informaglo, somente consequéncias negativas (pordas) io Consideradas para a rtongio do risco. 39 Este termo 6 substituido por transferéncia do risco “compartithamento do risco” Ccomparihamento com uma outra © 6 contemplado atualmento entidade do énus da perda ou do pelo tratamento do risoo, bbeneticio do ganho associado a um [ABNT ISO/IEC GUIA 73:2005) OIA No contexo dos nscos ae seguranga da elormaci, somente consequéncias negatives (perdas) fo consideradas para a transferéncia 0 race. 84 (© ISONIEC 2011 -© ABNT 2011 - Todos 08 direitos reservadosABNT NBR ISO/IEC 27005:2011 Termes aennTaes na ABNT NBR ISO/IEC 27005:2008 Terma aerATaeS 7a ISONEC — 27000:2009, _utlizados. ‘na ABNT NBR ISO/IEC 27005:2008 “Termes ——aernvaos ABNT NBR ISO/IEC 27005:2011 tratamento do risco proceso de selegao e implementagao de ‘medidas para modificar um risco NOTA Nesta Norma o trmo control" é usado como tum sinénimo para ‘medida’ [ABNT NBR ISO/IEC 27001:2006) a7 tratamento de riscos pprocesso para modificar 0 risco IABNT ISO GUIA 73:2009] Nowa1 cemvotver: ‘© tratamento de risco pode © a.agdo de evitar 0 risco pela deciso de nao iniciar ou descontinuar a atividade ue da origem ao risco; © assumir ou aumentar 0 risco, a fim de buscar uma coportunidade; + aremogao da fonte de risco; © aalteragao da probabilidade (iketinooa); + @ alteragdo das _conse- quéncias; +0 compartithamento do risco com outra(s) parte(s) [incluindo contratos e finan- ciamento do risco}; € ‘© aretengao do risco por uma cescolha consciente. NOTA2 Os tratamentos de riscos Felatives a consequéncias negativas ‘so muitas vezes eleidos como “mitigagao de riscos’, "elminacao de Fiscos’ "prevengao de rscos"e redue 0 de riscos”. NOTAS © tatamento de riscos pode criar nows riscos ou modificar Fiscos exstontes, © ISONEC 2011 -©ABNT 2011 - Todos 06 dieitos reservados 91ABNT NBR ISO/IEC 27005:2011 Termar TORTIE] TOPO SBMATIOE 7a" Toms ——aornigos ——ns na ABNT NBR ISO/IEC 27005:2008 | ISO/IEC 270002009, _utlizados | ABNT NBR ISO/IEC 27005:2011 na ABNT NBR ISO/IEC 27005:2008 nla na 3.18 parte interessada pessoa ou organizagao que pode afetar, ser afetada, ou perceber- 0 afetada por uma decisao ou atvidade [ABNT ISO GUIA 73:2008] NOTA Um tomador de decisio pode ser uma part interessada, ameaca ‘A dafinigao —atuat da ISOMEC 27000:2009 se aplica. causa potencial de um incidente indesejado, que pode resultar em danopara um sistema ou organizagao [ABNT NBR ISO/IEC 27002:2005] 86 © ISOIEC 2011 - © ABNT 2011 - Todos os direitos reservados1 ABNT NBR ISO/IEC 27005:2011 Biblivgrafia ABNT ISO Guia 73: 2009, Gestao de riscos — Vocabulario — Recomendagdes para uso em normas [2] ISONEC 16085: 2006, Systems and Software Engineering — Life Cycle Processes ~ Risk ‘Management [3] ABNT NBR ISO/IEC 27002:2005, Tecnologia da informagdo — Técnicas de seguranga — Cédigo de pratica para a gestdo de seguranca da informagao [4] ABNT NBR ISO 31000:2009, Gesto de riscos Principios e diretrizes [5] NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook [6] NIST Special Publication 800-30, Risk Manegement Guide for Information Technology Systems, Recommendations of the National Institute of Standards and Technology ‘©1S01EC 2011 -© ABNT 2011 - Todos 0 deits reservados 87