Scribd Logo
Upload

Welcome to Scribd!

  • NBR Iso Iec 27005 - 2011 - Tecnologia Da Informacao Tecnicas de Seguranca Gestao de Riscos

    Uploaded by

    Jean Marcel
    52 views93 pages

    Original Title

    NBR ISO IEC 27005 - 2011 - TECNOLOGIA DA INFORMACAO TECNICAS DE SEGURANCA GESTAO DE RISCOS

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    52 views93 pages

    NBR Iso Iec 27005 - 2011 - Tecnologia Da Informacao Tecnicas de Seguranca Gestao de Riscos

    Uploaded by

    Jean Marcel

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    of 93
    NORMA ABNT NBR BRASILEIRA ISONEC 27005 ecg wt12001 Vii a pari de T2208 ‘Tecnologia da informagao — Técnicas de seguranca — Gestio de riscos de seguranca da informagio Jnformation technology = Security techniques = Infomation security isk managoeneae 18 38.080 SN OTD-E5-07-08086-B asoauche Nimera do refer as ABNT NBR ISOMEC 27008-2081 ‘emicas a7 paginas 180006 2011 -@ADNT 2001 oscnec20n Yodoa cu reson waervadon.A marin Qua apaciicado dedi moda, nerfs part deta pblcacho pode nar sepresure ou enemas pot papa ast sierorca ou ecaraca Retund: Meapea # SUMS HOM PTO: Pt (eri da ABDI. deco rgresertarte da 160 ro Yerieo Bena, ane 20 “eon ran arch A mar GL BIDAR OW OUD RGR Param DAN i BURCACHO BOM BAF workin ue por uaa ei, erica ou mecarica, chin expen mc, 68 perrlay sen ‘he Tree Ma, 13 29° 21-995 = Fao tr ‘ate i SaTdaKO Fax = 624 3976 EIa Stdaetegte weal ergr a {ROME D011 AID 2011 Ton rete enn SICRS°CPSEECE ER ER ES 28 2 ABNT NER ISGNEC Z700s-2011 Pag z "Cm ABB ere — ‘Visio gira do processo de gestso Ge riscas de sequeanga Ga Intormacks.. (Detinkeo do COMMA ns See TRS K REL EG HSH SS eves sas Processo de avaliagao de riscos de seguranga da Informacio .. (Descriptio geral do processo cs avaliapo de risces Ge seguranca dalinformagac. Aral de rhc ‘TWatamania do rise oe seguranca da informago..__.. Beggs [Reteriocias legais @ regulamentares aplicivels & organizapio Ad — Restrigtes que afetam oeacopo.._.. ‘Anexo (nkxatro) idence e valoragse dos aves e aval de impacto —— Exemplos de identificngbe de att = IeentiRicagie dos aties primétios o..— Jinexo 6 (informative) Exemplos de armengas COMUNE a ‘Anexo D (nkormative) Vulnarabllidades « métodos de weliscio dx vuinerabilidades ERY Exemplos bo vulrer abides enn [2 Miétodios para a avallago de wuineenbllidades tdeniems Anite E (itororve) ABSIEAGENE PATA G BroceEsO de AvallAgO Ge rHecOS Be soguEAnEa da eT er rom errr nen et 1 Proceso de avallacc de riscos de segurangs da informagia ~ Ertoqist dé alte eave. 5. 2 —_Processo dettthado de meliagdo de decos de eaguranga da lomo. E21 Exemplo 1 Matriz com valores pré-definidet on E22 — Exemplo2 Grvenago ce Amangas em Funcio do Risco. E23 — Exemplo 3 Avaliands « probabllidade © 2s posaivels consequincias doa riscos._70 Anexo F (efommava) Restrigoes paw a moditieagio do Fist... ‘Avex G {ictormateo} Dilerengas nas detinigbes entre » ABNT NBR ESCAEC 77006-2008 0 0 Figura 1-0 proceso de gestiio de riseos Figuea 2- Figura 2— Processo de gestho de slscos de seguranca da lnlormagso Figura 3 — A slividade de tentamento de rises, Tabelas, Tabela 1 - Alinkaenenis #6 protesso de SCSI 8 do process de gests de risecos, w {SEC NY AIT AY dn ton omen ABNT NBR ISOMEC 27005:2011 Pretacio Nacional A Associaghe Grasieim do Nomas Tienieas (ARNT) # a Foto Maciznal do Normatzagia. AS Norma Beasiairas, cuje Sorteids 6 86 responsabilidad dos Conds Brasileires (ABNT/CB), das Orgariarmos de Normalzagio. Setecial (ABNTIONS} @ das Comasdes de Estudo Expecials (ABNTICEE), abo ‘sdaboradis por Comvasten do Extudo (CE), lormadss por roprmstctantns doa setores. ervoiiaos, dolas tazendo parte: prockacens, conaumikores © neutros (untversiaces, abonahirias © outros). (Gs Documentos Tonkcos ABNT so elaborados conforme as regis da Dleeiva ABNT, Parte 2. 'A Associapio Brasileira de Normas Thonicas (ABNT) chama atongiio para a possbidade de que séguns tos nlomentos doote documento podem ser chjeta de dreito de patente. A ABNT niko deve Ber ‘considernda rosconsive! pela identficagda de quaaguer drehos de pakertos, |A NANT NBR RSOMEG 27006 fol elaormda no Comte Brastes a Comoutadres # Provessumento st ‘Dados (ABNTIGE-2"), pola Coriasii 08 Exlud0 Ot Sequranga da informagio (CE-21 227. 00).0 Projet Girouou em Consulta Nacional confoerne Editi nf 08, de 12.08 2011 a 12,08 208t, com o ndmera de Feajeto ABNT NEF ISOTEG 27005. Esta Norma # uma adage kidriica. em eaniedde ticnice, esinatura e redactin, ISCNEC 270052011, (qos fb elaborada pelo Technical Comrattes inkrmaton technoiogy (ISOIEC JTC 1), Subcommétes FT Secunty weenniques (SC 27). conforma ISONEC Guade 21-9:2005, Esta sogunds saigio canceia ¢ subsiRd a @ip%e anterior (ABNT NEA ISQMEC 27005-2008), ‘a qzal fo teenicamonte revisada. (0 Escape desta Noema lirastcia em ingle ¢ © seguinte: Scope This Standard provices guubtinds lor inkymatan security risk managenent, ‘Tha Stanaera supports the panama! concepts speciiad in AENT NER ISOIEC 27001 and ws designed ets wast y pinrmsea of matin scan Bas roe mea presi al he concepts. modbls, pescasses and laminologies described i ABNT NBR ISONEC 27001 and ABNT NEP ISOMEC 27002 is important a compiote understanding of this Standard. The Grandoe! agente fo al Doe of omantantoce (og, commerce! snferpieg, gewwrerene agencies, neorprolt organizations) which Jo manage sks that coud! compromise Ihe crpankzaton's information secuy. (ONC B01 AG ANNT 2011 Fon ee meron Introdugio ua Norma leenece diretizes fila 6 prOcesse de GOEEKS Ge MEG co Segura da iniermOgaO a uma crmanizagho, sendenda parlicularments O08 requisites. de um sisherat de gosths do: segura da inkormagio (SCSI) de ncords com a ABNT NBA ESONEC 27001, Extararte, sta Nora Intérrscional nko Kicks urn riltodo eapeciico para a geste de riscos de seguranga da Informagia. Cake & organiza delinir sua abordayem ao proceso de yeatiie de iacos, leven ‘om conla, por mmameia, @ excope do peu SGSI, © cantaxm da gresio de fscos © 0 sia Bator deo athidade econémica. Ha vivian metndbtogias que poder ser utlzadas dn acordo com a estrutura seria nesta Norma gam impmerMaY O8 ReELRAOS. da wn SSL. Esta Neema # 0b inteosse do gistores a pessoal arsichrides com a gustho de Mees de sopumnga a itermapo em uma rpaniearao 8, Quine apropriads. em entisades externas que dhe Suporte a essas atividaches. “ ‘SSC A AT 201 Tato een ears NOFIMA BRASIL EIR ADHT NOR ISQNEC 27005-2011 Tecnologia da informacéo ~ Técnicas de seguranca — Gestio de riscos de seguranga da informagaio. 1 Escopo Esta Moreh ence centres parn © praceas do gratia do Macon de sepunren da informa Esta Noema esti da scordo com oa concefize eapecticades na ABNT NBA ISQEG 27001 2 foi Esta Norma se aplica a todos os tpos de organizagiio por exemple, erprowrsenentos comerciais, agincias goremamenais, cepanizagien sam fet hicmitieca) cub peatendam parr 8 rscOs. Gat ederim compromaer a sequranca da informa da organizacio. 2 Referéncias normativas 12 as echcben mais macentns do retarite documento (inckuinds amencias) ISOREC 27000, Inewmanan Technalogy - Secunty techniques - Ineemanon securty management symtoms - Overview anc vocabeaay ABNT NBR ISQNEC 27001: 2008, Taenotagis ai Informapso~ Taenieas do eaguranga ~ Sistemas ce Gertho-cie neguranca di intoemapio — Riequintcs 3 Termos.¢ detinigces Pam. 0s eletos deste documento, picasa termes © detinicties da ISCMIEC 27000 e-0s saguintos. OTA ft Afrences err as ice ABHT HEFL ISOAED E7QS:2008 ea Homa sho earn ro Arman at consequéncia resultado de um evento (3.3) qua abeta os obpetvos- |ABNT ISO GUIA 7322000] WWORA 1 Un ert pe has a rm ei de crecpbecian, NOTA 2 Una contequlacda pode sir cir cu lect no conten de sepuinga, da nlemacie {pormatmenie. eapaiea oo ABNT NBR ISOREC 27005-2011 WEOTA 3 AR coneaquincas podem ear mpcennss quastanvs ov qarenatvarerts, INOTA.4 As consequtnons micas poown seseroadear reaps arn cadeia a ‘controle Pb ce Oath mMtICSr 6 FBO (3.0) IABNT ISO GUIA 73.2009) INGTA | Oi controls dia segaranga ga inlormalé inckuem quilqusr process. polled, precedents, ‘SOT, pALICA Ou OSULMG SIUBREEGORAY, que POSEN SOF SO AARITEER BMMWTERYaIP, ENKCK, QBFOFA! Cu lal. qa modiicam 6 isc sequrena Ga niornagia, YeOTA 2 On contre narn arrorm peneeGLEe REE @ BRED Oe MoRBCAT HO Brendon er pmUcD NOTA 3.0 contrla tambim @ ussdo coma um snirimo de sabvaguanda ou contramects, cE evento combines oy mudenga tm um canjania eipeciico de crcunstincis PASNT 190 GUIA 73:2009) NGA 1 Um irvenia pode consist a ma Gu ral Gecriincian © ode Be wirias cna. SOTA 2 Umevento poos consist em akgama coe milo Bconteoee NOTA 3. Um evento pode algunas vezes rat referito Gems un ncktosta” ou um "askterte” a4 ‘contexte eatarna enchinke earn Na qual a crBANKEEG Ha RUSE WENGE SOUR HELIO FABNT 180 GUA 72-2003] NOTA O.contea eatiens pode chr: — 9 ambien cufural, social poten, iagal regduniria, frances, wenstigen, eeantmicg natura @ ‘ompatthe Hea itermacers,naconal,ragonal ou cat, — stator chawe w.a8 lencindias qu tenham impacto sable 01 cbfetos da orgarizmo: © — aneagbes com pastes intereesandnsemternas o sua peoepptien watered, as ‘contexts feterno: ambiente interno no qual a cepanizago busca atiegir seus cbjetivas JABNT 1S0-GUIA 72:2009) NOTA C:conkarta ieee pode inchs — goveranca, extrutira oqarizacional, lengtes resporaabiiacie: 2 (© 0 201) ARNT 3011 cmon reds ABNT NBR ISOAEC 77005:2011 polices. obprivos e extrabtgan implernentacias pare weegtos, —_capecctades compreencias ern terros do recimos #corhecine [por exerpla cops, erp. pessoas, rncessos, satemas w ocr) — Sstmman de iniormacio, fue do inioemario @ procentos de tomar ch Goede tant Herma or, etormainh —_retagben com partes rumeesaci armas, © suas percepyoed # valores: = amar aa ogarieaco: — normas, arenes 4 mogsios sdctacos peta orparezacio:0 fora eaten ce etagtee conmamiais. a6 vel de rise mageitude de umn risco (2), expressa em termos da combinagho das consequincias (3.1) © de ‘sans probabilidades (iktaocd (27) TABNT ISO GUIA 73.200) az prababiliacse (Lunes ‘Chance de algo acontecer ASNT ISO.GULA 73.2009) OTA Na timinclogll de genlhs Oe Paced, pulawn “promanintas’ 4 wuzada pam vetasean @ chance de algo acontecer, niio emportando se, de forma detreda. meckda ou deierminada. otyetva ‘usb viocty altatyn ou pauluwarent bu se euctauc dose wea gras ou Peat [como pODERIKGEGE cu ITEQUéRGIA CUTER Lem DatErmnNeOO BETO Be HMBC. NOTA _G temo om hie “tno no tim ur eqaionn sons om wari lingua: vor Sis, o equnaierte do lermo ‘probably’ @ trequentemente volirado Eréretania. om inghbs. “probatylty” 6 mutias ests sterrotice tabtimocte como sens tapes malonubea Porarta, oa Nemisoope. de geste Se recon, “anetncod’ & wBlzada com a mesa BOM InhorBG So de ea © HAT “PrODIOAD” am er frst ston sort at 22 eo 38 rico residual Finca (3.9) remanatcente apd 6 tratamentada rises (3.17) [ant 1S0 GUIA 732009) NOTA Giiies sical peste center niscos mks sera, NOVEA 2 Cinco ses taba pote wer conta come “co rie 39 rete ‘testo da incerteza nos cofetvos [Aen 1S0 GUNA 732009) NOTA Um eis ¢um temo em rtagio mo eaperade ~ posites lou nepavs. (©HS FON CART Hon Tom ce eran a NOTA2 On cbjetwos poder tor diferentes mspectoa (tae rome melas tnanceiraa, do sauce © sequaNca, \samtsnrenis}e podemagiearae-em cterertesnivels (his corm estratégicn, erstoga aoepanizaSo.e projero, ‘de geosiatn 0 ge process. NOTA © isco 6 muias yazes caraciorinada pela rolorincia aos evenios (3.3) pulenciais ‘is commegutncing 3.0} eu urna cermbinagde dass, NOTA isco em segura da indormagic # mutas veres expressa am termes die uma combinarsio de ‘eonuaquinciia 0 um qverto (AckAde muMargad Rae UAAMACN) © a pHBABAdete (Nests (3.7) smssccinda de ncerstncia. NOTAS Amcenezs-6o etads, meemaque parcial, a cetcitnci das ndormaqtonretaconacas a UmeveRD, sun conpeeeral, sou confecimenta, sux consequbsdia ou sua probatsbdads. NOTA.G 0 vince do megurenca da ilormaciin eli) sstacieao coma polencial de que kmeacas possam a0 aniline deo riacos pprocessa de:compentedior & satu za do ekico @ deterrmicear © nivel de rico (3) JABNT 180 GULA 73-2000) NOR Asneten oe nce neces bar prs menersi.e rene parmex Gowdee tot 0 tatemerc NOTA2 Aandise si scos inca! a extimarivn se isco. an Process de avalingla de riscos Process Geel Se MCHA GAO Se coe (15), Amal do i8ES (3.10) avalinghe dw rises (3.14) IABNT 150 GULA 73-2009] MOTA BRASILENRA Pura ot olotos deste documento Wma rik assesument i weaurIdo come ‘proceciso de unalacla da siscca" (3.11) paru eva conto com o term isk ewaluaticn, que 86 trackarido ha ABST MIR 150 31000 coma “walapao a0 retoe” (3.14), Na ABNT NUR ISQONEC 27001-2008, fete terra wat tracuziso corte Tandisairaiacchs de rcON". aie ‘comunicapio e consulta processes cOrRinUDS @ RONmINES gue Urn eepAniZNGiO EonduE gra Korac, comgartIRA os obREF Ioan. 09 rvs ro alge com as parts leferesende (3.18) com coe gure TABNTT 180 GLIA 73-2009], NOTA As inlormagdes podem rolerese & exisiincia, nafureca, forma, probabiidade ((alihoou} severttads, avalighs, acmtaria @ kataments de racon NOTA 2 A conmuita dun procansa bidirecional dia communicate tsteratizada entre ur aniscio \f-suns pares immtrassacas Ou cUPSS antes Ge tomar uma GecisBo Ou Grecionay uma questi eapeciicn, sia — emia on pact uma oc ats. nabs wo ee pT — ura enon parc proceso tomar de cect, # ro uma tomad oe acta em conjures 4 {QUE DIEC BONY GAIN DONT Tas ou rae eed ABNT NER ISONEC 27005-2019 aa ‘eritdrios de rise fermoa de referdncia contra os quale a egnificincia de umiriaco (2.9) & means TABNT 180 GUIA F3-2008] NOTA! Ox crtorica te reco win Baseuctoe now objetvos orpantacoraie wa conte wxioend # COrkmNtD learn, NOTA 2 Gn erence ge nace podem ser Grevaaee de norman. We, BoAtCaR W SUITOR PequsEAo, ata aliagio de riscos PROCesSO Oe COMpaTAr OS rosuREGS Cm andlige Ge riscos (3.10) com as eriictoa de riueo (3.13) ara GiteHniar 88 6 FBS Bic Ba Magu @ BcRIVE ou Rolertee! [ABT 150 GUIA 72:2008] NOTA Aavaliagdo de races aurlia na decisio sobre © tratamento da riecos 345 ceminicagio de riscos ‘rocessa do busca, reconheckmento © dascrigio de riscos: TABNT 180 GUIA 73-2003] OTA1 A idertitongiio de riscos emote a ideniieacta das tones de rca, evenion. suas cosas fe sue consequincias potencias, NOTA? A ssorurcarao de races pode envciver gaae8 Naicos, andes WOricas oprices a pessoas ‘edocs © eapecaitlan, @ 88 recetdaden a bree iierasmaca, a8 ‘gestho deiscos: Atieidades coondoradas para cirigt © controlar uma organizacha no que sa rmlere a iscos TABNT 150 GUIA 73:2008] NOTA fata Norma visa tema ‘processes deacrever toda a geelioga neces Gx eammenion common po processa se pestta com tor chamades de “rvisades” Taman ao acon Processo para modticar 9 riseo IABNT 180. GUIA 7a:2008] NOTA Gtratamemo.de recopode erwaiver, 1 naga devrtaro rico pia deco de no niciar a desconimanr a abvidade que organ 80 race: assum ou sumentar 6 risca, a fm de buscar uma sportunidade: + amrmagto aa ted ce, (SHEE pene sOARNT 200) ate en 5 ADNT NBA ISQMEC 27005-2011 + mutoracio dn probabaiace (thon: * aumwracio das conseeputncian: +a cempartiharania do racs:com outa parte ou parle [nciunde contraion @ Wraneiamarta desncch @ 1 retengio a sco por uma escesh conser NOTA? Os tatamenton de rises reistvos a consequincias negatives io muites vezws relatos, ‘seme “nitigarde de nacos’, “elminacho de riscon’, ‘pmvenqdo de acca” @ “reduce de recon’, NOTA] © batamestn de riscos pade car nowce rion cu madiicar iacos aulsionios, a8 parte interesnada Pessoa cu crpanizaio que pode alotw, ser afetada, cu perceber-sa aloinda por uma deciaiho ou aban | TABHT 150 .GUIA 75.200] OTA Umtomaroe Ge deci pode ser ume parse ntressads, 4 Organizago desta Norma [Esta Norma coniém a desciipio o proceso de gestto de racos de seguanga sa intormagia ‘eas suns wividados Asinioemagées sobre-o coesto hisidrco silo apreseatadas na Sepia 5. [Usa visto. Qe do prociisa dé gostio Ge riscos de seguanga da informagdo & apresertacks ra Seo 6. ‘Todas. as altedados do gestho de riscos de seguranga dia brmacho apmsentadas na Sogo & ‘sho descrias nas segunins septies, + Detinigia-do contasto na Sepia'7, + Processa-de avakngiia de rescos na Sepieo 8, + Timtawonto oo rico na Sago = Romtagio do isco na Seo 10, = Comuricapio e consulta do risco na Sepio 11, + Monitoramento 2 ardilise critica de recos na Sagiha 12. fnformagées adicionais para ae atividades da geetio de riscos de eaguranca da informacio slo lapeesentadas nos anexos. & defieigido do comexa ¢ detaihada ma Anaxo JA (Dietininda 0 escape ss os limtoa da processes de pestia de tacos Ge adgurtinya da inleronagia}, A identifica 6 valarngh dos ativos o.a analiaghe Bo impacto aio discutdas no Anexs 8.0 Anaxo C det exernpins de ameacas, Spicas © 0 Anexo D npresonta vunerabiidades © métodos pam avalingiio de vuinerablidades. (Exampios de aborcugens paca o poceseo ce avaliagis de necos da seguanca da inormagio ‘tho apresentadios no Anirea E. 6 ‘monte aman pert tan cocina en ABNT NBR ISONEC zra0g:2011 Rieatciee relatives b modiicago do rikco ake apmbentadas 0 Ania F. AS diterngas nas detniphes entre 4 ABNT NGA ISGMEC 270082008 6 ABN NBA ISOMEG 270052011 aio apresentadas no Anew G. ‘As atyeciades de gestio de riscos, como apresanindas da Serko 7 atta Segfo 12, esto eetunuradas ‘da soguinin forma: Eninda: Wenstca aa inlormagées necessarins para roalzar a atvdode ‘Agha: Descreve a aniace, inetrinns paca imetementinlc: Fornece dieteizes para a eatcuria da acho. Akgimas desta dretrines podem nilo ser adequadas om todos os casos. Assim seo, Outs mancias de 5° execXEa# a a0 odiem ser mala aproprindsa, ‘Sakon Kentica as intormagoes tesuantes da exncurhe cn annie. 5 Contextualizagéo ‘Uma. abordagem ststemdien de gesita de riscos de sequmanca xa inkormarlo @ necessiria atm Inentiieat as necessidacas da cqjanizacha am relagke sca reauisios. co sequarga a nkemibo ‘e pam criar um seslema de pesto de seguranga da inlommapio (SE) que soja clicaz Convém que ‘aaa abordagem soja ndequada #2 ambiente da crpanizagda &, am particular, eataja wl com Ss processe: masor de gestha de risces coporatines. Condi que oa eskenis de seyuranga Ider ‘sue a gostho de niscos de seguranca da infomagiio sea parte intogrante das atividados de gestio st seaurnga da cern 0 can ti catana A noleertanie cutie A cow cess am ‘Comm que a gestio-de riscos de seguranca da inioemayito seja um processo continu Comat que ‘oprocesso defina oa conics iniemo © exiemo, avaite os fisc0s © bate os riscos usando um iano do taiamenio a tim de impiemeniar as recomendapées e decistes Conaim que a gestio de sca ‘analise 0s postivels aconiecmentos.e suas consequbncas, antes Ge dacdiro que send beta quanda ‘serh ofc. afin de recat 08 isco. um nel aceitvel ‘Comm qua a genic de riscos de seguanga da ivformaplic contribu para: + Abdaticapho de recon © O processed avakagéa de ricos 6m Fungo das consequinciak Ho negoCO « da prabaniidade de sua ocoerincia 1% A-comunicagho artendinsnto da probabiigade « das consequincias Geetes ricos * Gestabelecimenta da ordom pricetira para tratamerto do rinco + A prRRtagHO cis apes pan roca A eemONeN aos MCCS * OC omeivimeris das partes itomssadas quando as decistes de gestiio da riscos so tomadas ‘9 para que elas exjam martidas mirmadas sobee a situaciio da gestho de rhscos (SYEEIEE 201 AIT 201) Seen etn seer t ASNT NBR SQNEG 27005-2011 “| Astcacia de montoramenta de tatamenta dos tc © Omonitomments # andiise critica peridédica dos riscos @ do pmcesso de pesttia de riscos, ‘+ Acclota oe riormapbes. da loema a mePuxa a abordagam da gestin de iscos (© Otrminaments de gestones © pessoal a respeto dos riscos @ das ages para mitigé-tos O proceso Ge gashic Ge riscos Ge seguranca da inormario pode ser apicada:a Orpanizacia Coma um todo, @ uma Area espection da organizagio (por exemple. um degartamerta, um ince! fisien, lum servigo), a qualquer sisioma de infoemagies, a controles jt exisiontes, planojados ou apenas @ aspects particuiaes de Um controke (por exempio, o plang de continundade de negccs). 6 Visio geral do processo de gestito de riscos de sequranga da intormapio (Uma visio de alt nivel do proceso de geatlo de riacos # expecificada na ABNT NBFL ISO) 34000: 0 aprusentada na Figura 4 Figura 1-0 procesto de geette de riscos AA Figun 2 presenta como esta Norma se apiica ao process de gest de rcos. © proceso de gestio de riscos de soguranga da informagiio consiste ra defirigio da contexte (Gago 7), promen de svaliacho de ‘cos (Segie 6), tatamerto so race (Secho 9), acetiagio: do rico (SagSo 10), comunicario « pormuta oo recs (SepSo #1) @ montommenen anidiee cca do niscas (Saghe 12}. a (© 02081 ANN D011 eden tononnernton AQT NER ISGNEC 27008:2011 to mvallgio de rigcoe, de acetapia do rieco ou de Impacto), poseivelmenta em partes kmeadae do escope (ver Figura 2. Penta de Daciske 1), A.otcicia do trainerin do isco Gaperde dos reseliados do processn de maagio de sco aur gue a matimama da racos ames um processa cickeo Pauw: malar um matamanto do 200; © ecice sa 08 nines de risco resicual ako aceite 4 gerar um nove tatamenia do rsco #0 08 nivls rico nfo forem acetals: & avatar eficdicin do tratament. E poasivel que o tratamento do risca nba reste eum nivel de risco residual que soja acetivel Nessa stuicha, pode ser necessiria uma cura Reragha de pencesse de avalispho de riscos, com mudanga nas waritves do-contario (por exemple, oa cffidsics pam a processo de avalon de riacoa, Ge antago da rico 0 Ge impacta). nega por ure tate adkaonal de hatamento do rect (wor Fiquma.2, Ponts de Decisio 2), A mikicade oe aceitagtio do rico tom de assegurar que O& fecos reskhals seam explctamerts AcetDe polos gasmored da cegarizagia. Iso ¢ eapeciaimante imgorunte em uma etuagha em que 1 implemningio de controies ¢ omisda ou addada, pr exemplo, devid> wos custo Durante 2 peocesse do gestha do riscos de seperanca da informaghio ¢ importante qua 08 riscos a Keema com que alo tratados sojam comunicados a pessoal das éreas opesacionals # gesiores, apiepriadss. Masmo antes do bataments do naco, iterates sobre reco denificados podem ‘Sor muito utels pam o arenciamento da incidentes « pode mada w reduriv posstrals prajalzos A condcientizasa dos gealores @ pessoal no gaa ca rescenD Bos MCoa, A nalurana dos COrmOINS aplicadoa para miipirios « fs ens dotinidas como de intoresse pela crpanizacia, auniéa a far com 0 incidemes « evenias nda prevaice da mancira mais elobva, Comém qua oa msuhtadcs detamados de cada abvidade do processo dé gestho de rico de segueanca da inkemardo, asain como a dectetes subre-o procassa de avallacio de riscos © sobre o tratamants do risco (reprosentadas pelos ‘ols partes oe dacieso na gum) seam documentados. ALABNT NSF ISOMEC 27001:2006 eapection que os contois impiomertados no scope leriies © conexto do SG5i oivam ser basencins no eisco. A aplcapio da um process do esto de rscos Ge sequranga da informagée pode eather ease requesia. Hi virios mitedos alravés dos quais © processo pode ser implemerado com sucesso om urna organizagia. Conn que is oxparizagio ese omdeorio que maior se adeque asuas crcunsiincias, parm cada apkeachospecilicn do process Em um SGSI, u denise do conmeana © process Oe arAMNTSG GO riscas, 2 dosémOWmemD do line 80 ratareno de Fiske A AcekaRe do rico Rumor fet Kae “plane” a Hae "eteadar” 0 S651. as apes ecortroles necessdrios parm reduriros lacs aum nivel acetivo| ic implomentados 0 neces com 8 plume do Wratamanda do Hash Ma tase “Weicar eo SCSI, oa Gestares GotorminaelS 0 srcetsdade do rivibhe da avaliache @ tlamieds: Go Med & hz das incideries @ mudarEAs ras citunstinoas. Na fase “ag. a§ apes necessinas sic executadss, Inctindo a reapscario Go prmcesso do gestic oe isco de seguinnga da intormagk. ‘A Tabela 1 resume as athecades releantes de gestio de riscos de seguranca da iformapio para as quatre tess do peocmesa da SGSt: ABT NBR ISONEC 27005:2001 ‘Tabela 1 — Alinhamento to proceso de SGSie do proceso de gustio de riacos ‘6 seguranga da inoemaghe Process do SG51| _Pracessaide pesto de acon de veguranga da nfmaro Detrigbo do conten Pmcessa di mvalagi do isos “eosin Definigha do plane de tatamenta do sce ‘estar donsco Esecutar Imelementngio do plana de tatamento da viseo Veeticae Mondecarentn continuo arabe ent 8 com Lanter « methores 0 pcteaso de Gestio de Rlacos de Seguranga a a itera 7 [Definigio do contexto 7A Consideragées gerais Enwraci: Toca as informagties sobre-a erparizario relevantes para a dutninio do conerio da gesttio ‘de riscos. da sequrana da ietormachn. Agha Convim que 0 coniexio externa @ interno para gestio de riscos de seguranpa da iniormagiio ‘eja estabelocica. o.que eewciv a definicia dos critics hisicos necessieion para a gestlo de recos ‘de anguranga da nformagho (7.21, a delinicin do eaccpo dos imees (7.3) # o-estabelecrsanto. ‘do ues arganaaeke aprOpAATA lm Opera! A GESTS Oe races Oe SogueareA da informaGiG (7.4), E esencial deterinar © propel dia geatio de rscos da segurania da informa, pols eke afeta ‘opprocesse m geral w a detinigo de eontenio em particuar. Ease propesin pode ser + Siperta aum 56st © Conforricade legal ¢ evicincin da devia diighcia (due diligence) “+ Propamgio do um plano de coninuicaca de negdcns + Proparaio do um plane oe respaita a incxsantes + Descrighe dos requlsiion de seguanga da inbemarho pace um produin um servigo. ‘ou um mecanisma ‘As Gretrizes para implemantagio dos elementns da dafinicia do contarto necessivios para dav sports a um SCS! sia diseuides dotsihadamerts nas Segtes 7.2.7.6 74a negut NOTA AABNT NBA ISGREG 27601 266 nilo usu terme “comento" No entunta, a Sepbo Vulere-se nos reqlatoa “dofniro eaccco « teviies do GSI [4.2 tal] “defini umaplica parm a SGT |4.2.1.bi] e "deliir | aberdagom de andisalalarie de nacea [42.1 cih empecitcades na AUNT MBA ISC\TEG 27001-2008 Sada: A cepecticagsa dos criterias bisicos; 0 escape @ os limes do procesio de esto ce scos ‘de saguianga da inormagia. @ a osgarizacio respcnairvel pols peocessa. ‘9. 5081 - AMT BONN Tadon co on nro " ABNTNBRISGNEC 27005-2011 7.2 Critérios bhsicos 7.2.1 Abeedagem da gestae de riscos |Depandersdo do escopa m dos cbjesves da gestion tisoos, ierantas miaccios podern ser aplicados ‘O mdacdo também pode ser dterecte pica cada iheraghe do process. ‘Canvem que um maltada do gestiia do risces apecpmade soja salacionada ou dosanvohide & love ‘em conta enlérins bisicos, como: erféroe de avalagdo de riscos, emiérioa de impacto © critérioa de ‘acomagdo-do isc. Alden disso, comm que a omantrapio avalie se 0s recursos necestirios esto dispontsis parm: © Emoutar © proceso de avaliagso de riscos © estabelocer um piano de tratamento de riscos + Define @ implementar ponticas @ procedmantos, inckinda implemantagio dos controies: selecionados © Montorar cantales * Moniiorar © processo do geste de riscos che sogurana da informa NOTA er iamisden a ABNT NBR ISONEC 27001-2006 (Sep 5.2 1) com singin a proviiio de recursos ara a imolerareacdo 0 oparagda ot um BGS, 7.22 Critiios parm m avaliagiio de riseos ‘Convém que os orbdring pam a avalingio de risacs sejam deservolvides para wallar os riscoa da segurana da informagsasna eepanizacse, eansiserande o8 sequinies lens: = Orvalor estimtéigicn do mmncesso qun tia as inlormapies de negocio: + Acetic dos uth de inloemario ences ‘+ aquisnoa lopais @ regulandros, bem coms as cbriparces contratuas 1» Importincia, da panto de vista eperacional e dos negocios, da disponibiidade, da conidenciaiade eda integridace + Expectathms © percopetes chs partes inleressachs © consequincias nogathas parm o valor de mercade [em eapeciil, no que Se rete Boe lalores iekangivet. dese wake), a imagem eareestande ee disso, crtérios para avalagio On riscos podem ser usados para especificar as proridades: (para 0 traimmento da risco, 7.2] Gritrios de Impacto ‘Convém que o# crtirios de impacts eejam temenecividoe @ especticados em tunplin do montante ‘des anos ou custos & orpancaria causados pot wm everto mBlacionade com a segwanca da Informiagio, corssidarando 0 sage: + Mivalide claasiticartio do ative da iformaio afta 2 se isc tt aun got mama ees senate AABNT NBR ISOMEC 27008-2011 © Ccomincias de violagio da seguanpa dia informagiic (por exompia, porda da dsporibiidade, da Lecalksacias arm gut a orpanizaghe 86 encontia © sums caracterintcas goagratieas + Rlstagios que alten a engani + Expectaths das partes interessadas Ambiente saciocaitural * nteeaces (ou seja. a roca de inioemagiic com o ambiente} ‘Alden is80, convém que a organizacho lomeca jurlicatve para uaisnunr exclusdes do escopo, [Exemplos do escopo da gestio de iscos podem ser uma apiicago de T, a infmosiruiuia de Ti ‘am processe de negicios au uma parte dafrida da orpanizache, NOTA © escopo © co fetes cu gosta 0 macod oe seguranca du mkrmaca eslko relacionados ‘a0 e5ccpa © 208 mites GS, conforma requenda na ABNT NBT ISGNEG 27001-20064 2.1 a) Informagbes adicionais podem sor encontadas no Anexa A "4 (© EC 2019 AEE 211 nono rn eet ABNT NBR ISGMEC 270082011 7.4 Organizagio para pestio de riscos de seguranca da informagaia- Comes que a orgarizacho 0 x4 responanbiladies pamo peocesso de guste de riscos de BegurnaG di nfomapio sejam estabeleciias © mantidas. A saga estho os principaés papdis wresponsabikdades denen orpartzagte: Desenvolvimento do processe do gesilia de risces do seguranca da inbrmacia adequada organizagia + soeraneapi andiee ans partes mieressadas = Detnigao dos papas © meponsateaces Oe todas as paring. internas @ externas. A Organiza AS + ESOC is OISOS ACESMAS OME A ceQarratde @ as partes interossndas, das iferiaces com as lunges do aha nivel de gestio de riacos da arganizagto (por exnmii, a ptstha Oe risens eparacionai), assim coms as intoriaces com cutee peojates Ou mNdades relevanitos 4% Dotnigdo de algadas para a tomaca oe decisces + Espociticngio dos registens a sere maniios Carat a oa OrQANZARO Ha OWA polo Heston dex op NOTA A ABNT NDA ISCIEG 27001-20008 requer a Keriicapho @ a provisdo dos recursos necessrion ar eatbelacer, pln epic, actre,analisaeeicamente, moter @ lho um SOS! (52 1) ‘A ceganizago das opermgGes so geetio oe riscos pode ser considerada um dos recurs08 egundo a ABNT NOB ISCHIEC 2700 12008, & Processo de avaliagso de riscos de seguranca da intormagio 4.1 Descrigita geral do processo de avallapic de riscos de seguranga da informagéo: NOTA A aihidade do prncesso de menl8o do tacos. @ merida como pracessn de andiiselnvaiacso de rincon na ABN NBA ISOAEE 27001 00. Entrada Crtéiins bisioas, © escape 0 oa Imiles, «a organinacks de process da geste de racon de soguanca da informacia que we sid dotininds, Agha: Common que 8 riscos seam identiicades, quantticados ow dascritos qualtatvanenia, ‘pricetados om tungdo Gos cMbdvied de RAEIRO Ge NecOR @ Go cofENNES MeleaMNE da IBANERGAO. Dicetians para implementa: (Um rico @ a combinario das conequénciss advindas da cccmincia ce um evento indesejado 4a peotabillcade oe sua occerbncia. O proctsto de malaga da icon quantifica ou escsive 0 rikco cualtatvamone @capacta 08 gesiores a poarzay o6 rood o& acceda com a.sua gravidace percenica ‘ov Com exon crea oatabalacidoa, © processo de maliogia de escos consite ras equines atvdades: © ereficagho ie nscos (echo #2) + Aniloe de recs (Sogo 8:3) + Argo de scos Sorte 8.4) {60501 ARNT 21 cr 5 |ABNT NBR ESOREG 27005:2011 0 precesso de malingio de rscos setermina 0 valor dos ative de inkormartio, identifica Bs anes 8 vuinerabikdades apkciveds ustenies (ou que poderiam west), itentica ce conoles exisiontes, 4 Seu elinon no isco Klantikado, Getommins aa ConseqUbnKaS pORSnR & Hnalante, BrOTEA (08 recs dertades @ ordens-cs de acomco com os cniénos de avallacha ce reoos estabeleciios, a datinagio da conte, © prosease de avalinpis de rittos & exacuiada hecuentements em dus (ou mais) Rerapion Frimeimamorte, uma avaiagio de alo nivel ¢realizada para identfear os rsens potenciakmerée alos 3 quais messcem uma avalagis mais apclundads. A segunda feragdc pode considerar com mais ‘prolundnde cases riscos poioncisiments alos rovelasya na gemeira itempin. Se ela na lomneces ‘nlormogSes siiciortes pam malar 9 toa, entho ardises odicionais detabadas sho execuindes, ‘provaveimerts em partes da eacopo intal e possivelnania usando um oubo Método. (Gane crganizapto salecionar sou proprio mlscd para o pracesso de avakagho oe risces camibaso nos byevos © na meta do processo de avaiagie de iscos. Uma discuss sobs métodos viizados no processo de avaario de tiscos de sequmna da Informagie pode ber encornenda ne Anexo E. ‘Soa: Uma ker do races avalados, onienados por pricnando de accords com ox exRnO de RIG de ssc, 8.2 Identificagso de riscos. 821 imrodupto 4 klonticerio de rincos (O propdsto da kdensiicagio de riscos ¢ detarminar eventos que possars causar uma perda potencial (© dekar dare coma. ende 0 per que a perda pode acontecer. As eiapas descitas nas prixinas. subseies de 82 server para coletar dads de entrada para a atnvidase de andlse de riscos. Convom que a identticario 00 riecos inca os riscos cams fonins sina ou mio sot contre da cagartraio, meee Gut a hota ca a cana dos races ako Beja oviderde, Entrada Escopa « mites pam o processa ie avatacia te riscos.a.ser executada; ata de componente, comm meegoraati, Iocalidada, hinge ee, Agio, Conwéen Gue oS ties dénine do escopo estabelecida sejam Wenificados (refere-se WABNT NBALISOIEG 27001-2008, Segiio 42.4 ah ti). (Dicetrines para imepamantacio: Um ativa alge que tem valor para a organizagiia © que, partario, equ protepa. Para aidentiicagio os tivo. ebrvim que Se binha 6m manta cue um sistema de inkormagdo CompHeenEe mall Bb Gut harchvare © software, Conien que a idantitceriho dos ative Saja extestada com um datalhamento adequate que lornega Informacies evicienier para 9 processo de avalaco du recon O nivel de Getahe usados na santitesyio cos adios infUenCan 8 quRntdass geal oe inommagies reunidss Gurants © puneEEsO de avaagio de nieces. © detahamento pode wer aprofundado em cada iterarko do processn de malapio-de nscos. 16 (© SC pert AMT Po - oon ae rans ABNT NBR ISONEC 27008:2011 ‘Common gus un eign sie soja kenticade pan cuca ahr, a hen de cBicaray nua respencateitads 0 gaunt a poseibicade da respecwa prestaio de contas. O responsive pei ave pode nic tee ‘Se6toa de propriedade sobre did, mas tem teepcnsNteicads Kabee Buk BrOUGHA, GesdéchrimanS, manutendo, ueizarlioe segsran-a, coriseme apropriado. © reeponsitel polo avo # irequerernaris ‘pessoa mass adequidda pam detteminar @souvalee para a erGanizaGhe [vere 3.7 Hebe a RGD 8 th ‘Climbed andéiea crfica 60 perimetra dos atwos ca organtzagio a tere consicleradoa pela processa ‘de gestia de races de soguminga da infommario. Maia ieformacdes sobre a idantitcario w vaioraka dos atves, scb a perspectia da seguranca ‘da informagds, podem ser encontradas no-Anexo Bs Sia: Ur lista de ativos com riscos a serem Qecenciados © uma lista dos processas de negécia relacionadas acs tives @suan reinncins. B23 Mdentiticaio das ameagna [Ecteada: informapien notes amescas otras parted andiee critica de incidertes, dos responsive patos atives, oe usuliecs 2 de cutras tones, inckundo cataiogos exiernos de amenzas. Aci Condon quo as ameogas © sus fortes seh trices (roo-oe 4 AENIT NBR ISONEC: 27001 2008, Sept 42.1 2H, Uma ameaca tem © poencial Ge Comprometer afives (come infiwmacies. procasios # sistemas} +. por tsa, tab as ompanizaobes. Ameacas podem Sot de igh natural Gu humana. podom bir Beasentals Ou antioncianies Cormis que tanto ad footed daa arm act acacintinct Quant 4b cast ianconal, sajam Waniicagas. Uma amaaga pode ser de dent ou de fom cx orpanizagia. (Comin Gut as aoe As SAT KONBNCACEs Gene caTeNMe @ POL Clik (Por EmbTghO AGES Nid autoizadas, dancs tisicas, fahas toicas) 0, quando apropiado, que ameagas expeciicas soja iainticaa Soren dis classes pinericas. tio sgniiea gad norPkera amenpa & ered, ekande AS NAG preistas. mas que o volume de trabalho ego 6 briado. ‘Agumas ameazas podem aibtar mais de um ative. Nesses casos, elas podem provocar impacts \dlorentee dependence de quale wives who wletadca, Diadok de entra para a entiesci das ambarase aniline da prebablicade de ocorebeia (ver 8.3.3) adem sar cosdos dos reiponsiveis pelos stves ou dos usudrios, do pessoal. dos adeinistradores ‘das ferialigbes © dos espociatsms em seguanga dh rfermacia. a pertos em seguanca toca, -dadepartamerts juriciceede outras exgarizanées, inckinds ogaramos legais autoridades chmincas, ‘compantias da sequ08 @ autcridadas goveramentais nacionais. Agpectos cuturais @ relacionados ‘0 amBseme precisam sar consicemdas quando Se ExTENAM as ATER. ‘Comaim que expariincias interias de inckdertes @ avaliaptes aniariores das ameacas sojam coraidoradas Aa avalahe atual Pode Ser Utl a conéuta a outros ealaloges de aenearas (NEE mais eepeciicos a uma eganizapko ay negicio) alm de completar a ksia de amaagas gendricas, guards miovarne Carilogos de amnaras ¢ nskanistcas Ho degorebirades pot omjansenas sataras, _gowernog nacionals, organiamos legals, companhiaa de seguro ot. ‘Quando terom usados ealapo do ameapas cu oo roandeR Go uma mallagO amerioe das ameacas, coném que se lenha conscincia de que as ameacas mlevartes estho sompen madanda, especialmente seo amiiente de negicia ou s0 5 sistemas de inoeringes mauaram, “© 1S BOE GAT 41a mtn ern ” ABHT NBR ISOREC 27005-2011 Maia infoenabes sobmm toos de amenyas podem ser encortadas no Arex G ‘Saida: Ua Ista de ameagas coma Kentfteagio do Spo @ da tne das ameacas. 2A identificacio das conirctes existentes Entrada: Cocumentapio dos confeaies. panos de implementa 8 iatarmenta rs. ‘cia: Conv que os caniolesaistenios © os planajaos sejam konticados. Dieterae pamimemmentagaa: ‘Convéen que a identficagdo dos conmoles existontes weja reaizada para evar cusios © tabsho demnoceesared, pol eammela Aa Gupleaghe de cormaes Albm dasa, enquaia a eiciroles. feitareed ea Sendo EnIEadOR, comeien Gun ota Teka um vertCaGS pare aston ‘tus oles esti funcionands comaiarsanie ~ uma reloténcia aos relaivics jd exstortes de auctor ‘o SGSI pooe reduc © terpe gusta nesta aren, Ln conbose que nao Runcins como espera pode owen’ 0 eagimana de vunomtskindes. Coneim que sept vada de cenidemgo & possibec ‘de um contale selncionade (ou astadépi) thar durarie sua operacia Senda assim, corirles. -complemertares sto nacessirios para tier eleivamente 2 taco kenticado. Em um ESI, de corsa com a ABNT NBR ISGIEC 2700, isa @ mudlinda pela madigia da efcicia das conaies. Uma macsica paca estima 0 elite do contale 6 vero caanta alo redur. por um lad, apectablidide da aeneaga @ a tacikade com gus uma venensblidade pode ser expiorada aa. por outa lado. @ ApACID io incerta. A anise cries pela deerho @ reaténion de mudora também lmecem inoemaqies, sabre 0 eben dos contales exisiertos, ‘Consien quo os cortices que esthio planajados pam serem implementados de ncordn.com os ganas ‘de inplemetacio de tritamionio do rico tambien bajam considerndos, juntaerinte com amuales Quo esto mplementacos, Convotms ristertes cu planejados podem wer considerados ineficazes. inevicienans ou ndo: |ieadas. Convers que um contie insufcsente ou nia jusiieado cep venticado pata deceemnay ‘9 conséo que ele seja remavido, substtuldo por aul conimle mais adequada ou se convisn qua -9:contole permaneca ernvigo! Por wmemplo, em func dos Custos. Para a entsicagh den contol extents Gu planeIEe, ws Sequin aliektades pose tate chock + Anal de forma erica 86 dotunoias Eonlends mara oe Sabre Om COMING iit Omer ‘8 pianos dda implementacia de featamenta do mista). Se 08 procesaos de gestio da sequranca da infoemagks esihemm hem docunentades, coném que iodsa os controls axishertes ‘8y planojicas 0m sanyo da sun implementagKo eatsjam despre ‘+ ertioar com as pessoas reaponsdieis pala seguranga da inkeenacho [por examglo.< responded pola segetanga da inicrenagh, ¢ reaponsdvel pela seguianga da: sistema da inormacle 1 Gerente das instalngtes peeckais, 0 gorénte de opeaGoes} @ Com oe ubulrios Guals contol, relacionados ao prcesso de inloomacia au a0 sistema de ieformagie sob considerapio, estilo realmente mpbmereasos, ‘= Revisar, no Iocal, os coniroles Misicos, compaando os controles implementages com ain ‘80 quais contrcles conwim que astejam preserons. « variicar se nqutles irpiemantadcs watiio funcionando efethe @ corrmtamarie, ow + Anainar crticaranin os rasuttacios da muciorias. ‘Sach: Uma lista de todos 08 conmoles existentos © pianajadcs, sua Implemertagio staus de unzaco. 8 (© EC 201 ARNT 21 Teen cn ett ‘ABNT NBR ISOMEC: 27005-2011 B25 Wdomuneapho axa vulrdeapiidaces. rec: Ur sta do amaagas conheckdas, Kates da ethos controls anaherton ‘Aci: Conviem que as wuinessbaidades que podem se exclomdas por ameacas para compromater 08 imvos ou crpanizapio sejam iderbficadas (otere-s6 8. ABNT NBA ISCEC 2700 2006, Sepko 4.2.1 5 Diwbizns pam imgtomentactex: eirecabiades posers ser eantfcads Ras Sequins boas, + Grparizagho Processes # procedmenas + Ratna da goesio: + Rocursas humane + Arrbeone fsioo + Conigurage do seer de intormagio + Marteare, sltmare ou equpamenton de comunicanho + Depenctinicih de ered eterna presence de uma wurmabiidede nda causa proféro por a wh pois precisa havar urna smears Prosente para exploci-ia. Uma vuherabiidade que filo tem uma ameapa comesponderts pode no ‘equores a mplemaniay:do de um contole no presente momento, mas conve que ela sejareconhorida ‘coma tal ® morsforada, no cago de haver maxjangas. Comm notar que um controls implemantads iecometamanta, comimautuncianamena ou senda usado oe toma Grad BOs, Ho a ed apresNEa tena ménarablidade, Ur controle pac sar aca ou riko, dapendeedo do ambuinta ne Qual dle opera, Ineoramenta, ura. amsaga gut nio tonha uma vnerabielade cofrespenconte pode niko resent fen ue 8, \bseeabiidadie podem date Iida w propeidades db ative, a quale podem sor wanes oe urns forma ou para um props ferente daquele para o qual o atvo tol adgurido ou desenva¥vido, ‘irerabiidades cacomonies oe diferentes fonts precisam ser consideradas, por examen, ins intrinsic @ a entrinsoca 80 ate Empios de vuinerabisdack « mitodos para avalinciio de vulnerabiiciades podem er encontrado no Anas D, aida: Uma tain do tsrabitdedes ssancindas 08 atvos, amenpas © controle; uma isin te vulnerabdidades que ac se relore a nertma amea-a entficada parm arelese B26 Hemlitiagie das comequbncian Erman; Use lista cle Atieas, ura Kata GH pODESICS do NagdCiO & um Kata dO amORGAs rulerabsidades, quando apkoarel, relacionadas age athvos @ sua relevincia.. ABNT NBR ISGAEC 27005-2011 Ache: Consim que es conmequincies qua a peria de confienciaidads, de iniegskade ‘ede cheponitsitade podem ter exore.ce abvoe eajam isentiicacas (var ANT NBRISONEC 27001-2006 azigay. Ciratazes para impiamontagio: Uma. consequéncia pode sos, por exemplo, & perda da eicicia, condigtes adversas do oporagho, A parca ge oportunatadins de regocn, cep ear-ko abetada pm pina etc ssa evidade Menten © prejulze oy as consequbneias pen a orgwriEaGse Gt podem decorves de um condro da incidents. Urs cenir de hssdenin é a desen;éo do ura ameaga explored uma Carta vuinerablicade ou um conjuree vulnerablidacies em im incidents de wequranca da inkormaro. (ver ANT NBA ISONEC 27002-2008, Sepko 13]. lrpacto dos cendrios de inctieries ¢ deverminada: ‘consideeando-s8 08 cries ae mpacio deinkaos Guraniea anvidade de ein d-contexto, Ele pode bi AT Ou aks ath Gu pra Ba OT Bh. ABS. AGB BVO. ode er atibuNCS Aer corespordendo tanio aoe seus cusion fiancee, quanto A coneeuincias ao regikcko se Kren dariicadss ou compometides. Consequincas podem sor de rafuimes lamperdtia ou permanente Cerna ae a oclug Be ui ts. NOTA _A.ABNT NBFLESOREG 27007-2008 descree a goorincia de Cenarion oe inciaenea coma amas a segurancar, (Conve qua ns organizaptes Kiensiquem as consequincisa operacionais do cendrice de incxsertes. fem fungiorde (rie no sito a investgagiio etempe do repara + Tempo (de trabaPo) percido + Oponuniaace povtesn Sade © seueanga + Gusto tnanceira dis competincias eapeciicns necessdras para reparar o projuira imagem, sepiagto 2 valor de mercada (Detaines sobre a avaiagia de wéherabidaces nicricas podem sar encontradcs em &.3 — Avwincdo io impacto. akin: rate Gecomdton de rckdrion com meme creation nevoieen ce mbox procece 8.3 Aniline do riscos KT Metodologian de andilive de riacos ‘A andiise de riecos pode ser empmendda com dierenses graus de detaharents. dependonda da enibcidade dos ativos, da estensdo das vulvarablidades conheckias © dos incidenias anteriores: eevclvenda 8 caginizapl Ura metsdclogia para & andes de recat pode ser quiltatia ou quantratima ov una combinao de smbas. dapencendo das cecunetincias, Na pafica, a andise Gaal ¢ feeguentomerun UERZAdA em GemaO KuBAr PATA COT ura indeREAC Gora Ao nivel Ge ‘ica 8 pach revelar 08 grandes ricas. Depois. podem ser neceasiris eletair uma anbltte quanthativa ou mais expeciica nos grandes riscos, Isso acoree porque nomaksente 4 mencs

    You might also like