ISO IEC 27005 - Gestão de Riscos TI

ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) AGOSTO:2011
Tecnologia da informao Tcnicas de segurana Gesto de riscos de segurana da informao
APRESENTAO
1) Este Projeto de Reviso foi elaborado pela Comisso de Estudo de Tcnicas de Segurana (CE-21:027.00) do Comit Brasileiro de Computadores de Dados (ABNT/CB-21), nas reunies de:
23.02.2011
12.07.2011
__________
2) Este 1 Projeto de Reviso previsto para cancelar e substituir a edio anterior ABNT NBR ISO/IEC 27005:2008, quando aprovado, sendo que nesse nterim a referida norma continua em vigor; 3) Previsto para ser identica a ISO/IEC 27005:2011; 4) No tem valor normativo; 5) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta informao em seus comentrios, com documentao comprobatria; 6) Este Projeto de Norma ser diagramado conforme as regras de editorao da ABNT quando de sua publicao como Norma Brasileira. 7) Tomaram parte na elaborao deste Projeto: Participante BANCO DO NORDESTE CQSI MDULO MDULO TIVIT UNB Representante Francisco Nunes Ariosto Farias Junior Alberto Bastos Marcelo Gherman Lilian Pricola Edgard Costa
NO TEM VALOR NORMATIVO
1/97
Sumrio
Prefcio Nacional Introduo 1 2 3 4 5 6 7 7.1 7.2 7.2.1 7.2.2 7.2.3 7.2.4 7.3 7.4 8 8.1 8.2 8.2.1 8.2.2 8.2.3 8.2.4 8.2.5 8.2.6 8.3 8.3.2 8.3.3 8.3.4 8.4 9 9.1 9.2 Escopo Referncias normativas Termos e definies Organizao da Norma Contextualizao Viso geral do processo de gesto de riscos de segurana da informao Definio do contexto Consideraes Gerais Critrios bsicos Abordagem da gesto de riscos Critrios para a avaliao de riscos Critrios de impacto Critrios para a aceitao do risco Escopo e limites Organizao para gesto de riscos de segurana da informao Processo de avaliao de riscos de segurana da informao Descrio geral do processo de avaliao de riscos de segurana da informao Identificao de riscos Introduo identificao de riscos Identificao dos ativos Identificao das ameaas Identificao dos controles existentes Identificao das vulnerabilidades Identificao das consequncias Anlise de riscos Avaliao das consequncias Avaliao da probabilidade dos incidentes Determinao do nvel de risco Avaliao de riscos Tratamento do risco de segurana da informao Descrio geral do processo de tratamento do risco Modificao do risco NO TEM VALOR NORMATIVO
Pgina 4 5 5 5 5 10 11 12 16 16 17 17 17 18 18 19 20 21 21 22 22 22 23 23 24 25 26 25 27 29 30 30 31 31 34 2/97
8.3.1 Metodologias de anlise de riscos
9.3 9.4 9.5 10 11 12 12.1 12.2
Reteno do risco Ao de evitar o risco Compartilhamento do risco Aceitao do risco de segurana da informao Comunicao e consulta do risco de segurana da informao Monitoramento e anlise crtica de riscos de segurana da informao Monitoramento e anlise crtica dos fatores de risco Monitoramento, anlise crtica e melhoria do processo de gesto de riscos
35 35 35 36 37 38 38 39
Anexo A (informativo) Definindo o escopo e os limites do processo de gesto de riscos de segurana da informao 41 A.1 A.2 A.3 A.4 B.1 B.1.1 B.1.2 B.2 B.3 A anlise da organizao Restries que afetam a organizao Referncias legais e regulamentares aplicveis organizao Restries que afetam o escopo Exemplos de identificao de ativos Identificao dos ativos primrios Lista e descrio de ativos de suporte Valorao dos Ativos Avaliao do Impacto 41 42 45 45 47 47 47 48 54 58 60 63 63 67 69 71 72 75 76 78
Anexo B (informativo) Identificao e valorao dos ativos e avaliao do impacto
Anexo C (informativo) Exemplos de ameaas comuns Anexo D (informativo) Vulnerabilidades e mtodos de avaliao de vulnerabilidades D.1 D.2 E.1 E.2 E.2.1 E.2.2 E.2.3 Exemplos de vulnerabilidades Mtodos para a avaliao de vulnerabilidades tcnicas Processo de avaliao de riscos de segurana da informao - Enfoque de alto nvel Processo detalhado de avaliao de riscos de segurana da informao Exemplo 1 Matriz com valores pr-definidos Exemplo 2 Ordenao de Ameaas em funo do Risco Exemplo 3 Avaliando a probabilidade e as possveis consequncias dos riscos
Anexo E (informativo) Abordagens para o processo de avaliao de riscos de segurana da informao 69
Anexo F (informativo) Restries para a modificao do risco Anexo G (informativo) ISO/IEC 27005:2011 Bibliografia
Diferenas nas definies entre a ABNT NBR ISO/IEC 27005:2008 e a ABNT NBR 80 94
3/97
Tecnologia da informao Tcnicas de segurana Gesto de riscos de segurana da informao

Information technology Security techniques Information security risk management
Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional de Normalizao. As Normas Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais (ABNT/CEE), so elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros). Os documentos Tcnicos ABNT so elaborados conforme as regras da Diretiva ABNT, Parte 2.
A Associao Brasileira de Normas Tcnicas (ABNT) chama ateno para a possibilidade de que alguns dos elementos deste documento podem ser objeto de direito de patente. A ABNT no deve ser considerada responsvel pela identificao de quaisquer direitos de patentes. A ABNT NBR ISO/IEC 27005 foi elaborada no Comit Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21), pela Comisso de Estudo de Segurana da Informao (CE-21:027.00). Esta Norma uma adoo idntica, em contedo tcnico, estrutura e redao, ISO/IEC 27005: 2011, que foi elaborada pelo Comit Tcnico Information technology (ISO/IEC JTC 1), conforme ISO/IEC Guide 21-1:2005. Esta segunda edio cancela e substitui a primeira edio da ABNT NBR ISO/IEC 27005:2008 que foi revisada tecnicamente.
O Escopo desta Norma Brasileira em ingls o seguinte:
Scope
This Standard provides guidelines for information security risk management. This Standard supports the general concepts specified in ABNT NBR ISO/IEC 27001 and is designed to assist the satisfactory implementation of information security based on a risk management approach. Knowledge of the concepts, models, processes and terminologies described in ABNT NBR ISO/IEC 27001 and ABNT NBR ISO/IEC 27002 is important for a complete understanding of this International Standard. This International Standard is applicable to all types of organizations (e.g. commercial enterprises, government agencies, non-profit organizations) which intend to manage risks that could compromise the organizations information security.
4/97
Introduo
Esta Norma fornece diretrizes para o processo de Gesto de Riscos de Segurana da Informao de uma organizao, atendendo particularmente aos requisitos de um Sistema de Gesto de Segurana da Informao (SGSI) de acordo com a ABNT NBR ISO/IEC 27001. Entretanto, esta Norma Internacional no inclui um mtodo especfico para a gesto de riscos de segurana da informao. Cabe organizao definir sua abordagem ao processo de gesto de riscos, levando em conta, por exemplo, o escopo do seu SGSI, o contexto da gesto de riscos e o seu setor de atividade econmica. H vrias metodologias que podem ser utilizadas de acordo com a estrutura descrita nesta Norma Internacional para implementar os requisitos de um SGSI. Esta Norma do interesse de gestores e pessoal envolvidos com a gesto de riscos de segurana da informao em uma organizao e, quando apropriado, em entidades externas que do suporte a essas atividades.
1 Escopo
Esta Norma fornece diretrizes para o processo de gesto de riscos de segurana da informao. Esta Norma est de acordo com os conceitos especificados na ABNT NBR ISO/IEC 27001 e foi elaborada para facilitar uma implementao satisfatria da segurana da informao tendo como base uma abordagem de gesto de riscos. O conhecimento dos conceitos, modelos, processos e terminologias descritos na ABNT NBR ISO/IEC 27001 e na ABNT NBR ISO/IEC 27002 importante para um entendimento completo desta Norma Internacional. Esta Norma se aplica a todos os tipos de organizao (por exemplo: empreendimentos comerciais, agncias governamentais, organizaes sem fins lucrativos), que pretendam gerir os riscos que poderiam comprometer a segurana da informao da organizao.
2 Referncias normativas
Os documentos relacionados a seguir so indispensveis aplicao deste documento. Para referncias datadas, aplicam-se somente as edies citadas. Para referncias no datadas, aplicam-se as edies mais recentes do referido documento (incluindo emendas). ISO/IEC 27000, Information Technology Security techniques Information security management systems Overview and vocabulary ABNT NBR ISO/IEC 27001: 2006, Tecnologia da Informao Tcnicas de segurana Sistemas de gesto de segurana da informao Requisitos.
3 Termos e definies
Para os efeitos deste documento, aplicam-se termos e definies da ISO/IEC 27000 e os seguintes.
NOTA As diferenas entre as definies da ABNT NBR ISO/IEC 27005:2008 e esta norma so mostrados no Anexo G. NO TEM VALOR NORMATIVO 5/97
3.1 consequncia resultado de um evento (3.3) que afeta os objetivos [ABNT ISO GUIA 73:2009]
NOTA 1 Um evento pode levar a uma srie de consequncias.
NOTA 2 Uma consequncia pode ser certa ou incerta e, no contexto da segurana da informao, , normalmente, negativa. NOTA 3 NOTA 4 As consequncias podem ser expressas qualitativa ou quantitativamente. As consequncias iniciais podem desencadear reaes em cadeia.
3.2 controle medida que est modificando o risco (3.9) [ABNT ISO GUIA 73:2009]
NOTA 1 Os controles da segurana da informao incluem qualquer processo, poltica, procedimento, diretriz, prtica ou estrutura organizaconal, que pode ser de natureza administrativa, tcnica, gerencial ou legal que modificam o risco da segurana da informao. NOTA 2 NOTA 3 Os controles nem sempre conseguem exercer o efeito de modificao pretendido ou presumido. Controle tambm usado como um sinnimo de salvaguarda ou contramedida.
3.3 evento ocorrncia ou mudana em um conjunto especfico de circunstncias [ABNT ISO GUIA 73:2009]
NOTA 1 NOTA 2 NOTA 3 Um evento pode consistir em uma ou mais ocorrncias e pode ter vrias causas. Um evento pode consistir em alguma coisa no acontecer. Um evento pode algumas vezes ser referido como um "incidente" ou um "acidente".
3.4 contexto externo ambiente externo no qual a organizao busca atingir seus objetivos [ABNT ISO GUIA 73:2009]
NOTA O contexto externo pode incluir:
o ambiente cultural, social, poltico, legal, regulatrio, financeiro, tecnolgico, econmico, natural e competitivo, seja internacional, nacional, regional ou local; os fatoreschave e as tendncias que tenham impacto sobre os objetivos da organizao; e NO TEM VALOR NORMATIVO 6/97
as relaes com partes interessadas externas e suas percepes e valores.
3.5 contexto interno ambiente interno no qual a organizao busca atingir seus objetivos [ABNT ISO GUIA 73:2009]
NOTA O contexto interno pode incluir: governana, estrutura organizacional, funes e responsabilidades; polticas, objetivos e estratgias implementadas para atingilos; capacidades compreendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias); sistemas de informao, fluxos de informao e processos de tomada de deciso (tanto formais como informais); relaes com partes interessadas internas, e suas percepes e valores; cultura da organizao; normas, diretrizes e modelos adotados pela organizao; e forma e extenso das relaes contratuais.
3.6 nvel de risco magnitude de um risco (3.9), expressa em termos da combinao das consequncias (3.1) e de suas probabilidades (likelihood) (3.7) [ABNT ISO GUIA 73:2009] 3.7 probabilidade (likelihood) chance de algo acontecer [ABNT ISO GUIA 73:2009]
NOTA 1 Na terminologia de gesto de riscos, a palavra probabilidade" utilizada para referir-se chance de algo acontecer, no importando se de forma definida, medida ou determinada ainda que objetiva ou subjetivamente, qualitativa ou quantitativamente, ou se descrita utilizando-se termos gerais ou matemticos (tal como probabilidade ou frequncia durante um determinado perodo de tempo). NOTA 2 O termo em Ingls "likelihood" no tm um equivalente direto em algumas lnguas; em vez disso, o equivalente do termo "probability" frequentemente utilizado. Entretanto, em Ingls, "probability" muitas vezes interpretado estritamente como uma expresso matemtica. Portanto, na terminologia de gesto de riscos, likelihood" utilizado com a mesma ampla interpretao de que o termo "probability" tem em muitos outros idiomas alm do Ingls.
3.8 risco residual risco (3.9) remanescente aps o tratamento do risco (3.17)
NO TEM VALOR NORMATIVO 7/97
[ABNT ISO GUIA 73:2009]

NOTA 1 NOTA 2 O risco residual pode conter riscos no identificados. O risco residual tambm pode ser conhecido como "risco retido".
3.9 risco efeito da incerteza nos objetivos [ABNT ISO GUIA 73:2009]
NOTA 1 Um efeito um desvio em relao ao esperado positivo e/ou negativo.
NOTA 2 Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de sade e segurana e ambientais) e podem aplicarse em diferentes nveis (tais como estratgico, em toda a organizao, de projeto, de produto e de processo). NOTA 3 O risco muitas vezes caracterizado pela referncia aos eventos (3.3) potenciais e s consequncias (3.1), ou uma combinao destes. NOTA 4 O risco em segurana da informao muitas vezes expresso em termos de uma combinao de consequncias de um evento (incluindo mudanas nas circunstncias) e a probabilidade (likelihood) (3.7) associada de ocorrncia. NOTA 5 A incerteza o estado, mesmo que parcial, da deficincia das informaes relacionadas a um evento, sua compreenso, seu conhecimento, sua consequncia ou sua probabilidade. NOTA 6 O risco de segurana da informao est associado com o potencial de que ameaas possam explorar vulnerabilidades de um ativo de informao ou grupo de ativos de informao e, consequentemente, causar dano a uma organizao.
3.10 anlise de riscos processo de compreender a natureza do risco e determinar o nvel de risco (3.6) [ABNT ISO GUIA 73:2009]
NOTA 1 riscos. NOTA 2 A anlise de riscos fornece a base para a avaliao de riscos e para as decises sobre o tratamento de A anlise de riscos inclui a estimativa de riscos.
3.11 processo de avaliao de riscos processo global de identificao de riscos (3.15), anlise de riscos (3.10) e avaliao de riscos (3.14) [ABNT ISO GUIA 73:2009]
NOTA BRASILEIRA: Para os efeitos deste documento o termo risk assessment foi traduzido como processo de avaliao de riscos (3.11) para evitar conflito com o termo risk evaluation que foi traduzido na ABNT NBR ISO 31000 como avaliao de riscos (3.14). Na ABNT NBR ISO/IEC 27001:2006, este termo est traduzido como anlise/avaliao de riscos. NO TEM VALOR NORMATIVO 8/97
3.12 comunicao e consulta processos contnuos e iterativos que uma organizao conduz para fornecer, compartilhar ou obter informaes e se envolver no dilogo com as partes interessadas (3.18), com relao a gerenciar riscos (3.9) [ABNT ISO GUIA 73:2009]
NOTA 1 As informaes podem referir-se existncia, natureza, forma, probabilidade (likelihood) (3.7), severidade, avaliao, aceitao e tratamento de riscos. NOTA 2 A consulta um processo bidirecional de comunicao sistematizada entre uma organizao e suas partes interessadas ou outros, antes de tomar uma deciso ou direcionar uma questo especfica. A consulta : um processo que impacta uma deciso atravs da influncia ao invs do poder; e uma entrada para o processo de tomada de deciso, e no uma tomada de deciso em conjunto.
3.13
critrios de risco termos de referncia contra os quais a significncia de um risco (3.9) avaliada

NOTA 1 interno. NOTA 2 Os critrios de risco so baseados nos objetivos organizacionais e no contexto externo e contexto Os critrios de risco podem ser derivados de normas, leis, polticas e outros requisitos.
3.14 avaliao de riscos processo de comparar os resultados da anlise de riscos (3.10) com os critrios de risco (3.13) para determinar se o risco e/ou sua magnitude aceitvel ou tolervel [ABNT ISO GUIA 73:2009]
NOTA A avaliao de riscos auxilia na deciso sobre o tratamento de riscos.
3.15 identificao de riscos processo de busca, reconhecimento e descrio de riscos [ABNT ISO GUIA 73:2009]
NOTA 1 A identificao de riscos envolve a identificao das fontes de risco, eventos, suas causas e suas consequncias potenciais. NOTA 2 A identificao de riscos pode envolver dados histricos, anlises tericas, opinies de pessoas informadas e especialistas, e as necessidades das partes interessadas.
3.16 gesto de riscos

atividades coordenadas para dirigir e controlar uma organizao no que se refere a riscos [ABNT ISO GUIA 73:2009]
NOTA Esta Norma Internacional usa o termo processo para descrever toda a gesto de riscos. Os elementos contidos no processo de gesto de riscos foram chamados de atividades.
3.17 tratamento de riscos processo para modificar o risco [ABNT ISO GUIA 73:2009]
NOTA 1 O tratamento de risco pode envolver:
a ao de evitar o risco pela deciso de no iniciar ou descontinuar a atividade que d origem ao risco; assumir ou aumentar o risco, a fim de buscar uma oportunidade; a remoo da fonte de risco; a alterao da probabilidade (likelihood); a alterao das consequncias; o compartilhamento do risco com outra parte ou partes [incluindo contratos e financiamento do risco]; e a reteno do risco por uma escolha consciente. NOTA 2 Os tratamentos de riscos relativos a consequncias negativas so muitas vezes referidos como "mitigao de riscos", "eliminao de riscos", "preveno de riscos" e "reduo de riscos". NOTA 3 O tratamento de riscos pode criar novos riscos ou modificar riscos existentes.
3.18 parte interessada pessoa ou organizao que pode afetar, ser afetada, ou perceberse afetada por uma deciso ou atividade [ABNT ISO GUIA 73:2009]
NOTA Um tomador de deciso pode ser uma parte interessada.
Organizao da Norma
Esta Norma Internacional contm a descrio do processo de gesto de riscos de segurana da informao e das suas atividades. As informaes sobre o contexto histrico so apresentadas na Seo 5. Uma viso geral do processo de gesto de riscos de segurana da informao apresentada na Seo 6.
Todas as atividades de gesto de riscos de segurana da informao, apresentadas na Seo 6, so descritas nas seguintes sees: Definio do contexto na Seo 7, Processo de avaliao de riscos na Seo 8, Tratamento do risco na Seo 9, Aceitao do risco na Seo 10, Comunicao e consulta do risco na Seo 11, Monitoramento e anlise crtica de riscos na Seo 12. Informaes adicionais para as atividades de gesto de riscos de segurana da informao so apresentadas nos anexos. A definio do contexto detalhada no Anexo A (Definindo o escopo e os limites do processo de gesto de riscos de segurana da informao). A identificao e valorao dos ativos e a avaliao do impacto so discutidas no Anexo B (exemplos de ativos), o Anexo C d exemplos de ameaas tpicas e o Anexo D apresenta vulnerabilidades e mtodos para avaliao de vulnerabilidades. Exemplos de abordagens para o processo de avaliao de riscos de segurana da informao so apresentados no Anexo E. Restries relativas modificao do risco so apresentadas no Anexo F. As diferenas nas definies entre as normas ABNT NBR ISO/IEC 27005:2008 e a ABNT NBR ISO/IEC 27005:2011 so apresentadas no Anexo G. As atividades de gesto de riscos, como apresentadas da Seo 7 at a Seo 12, esto estruturadas da seguinte forma: Entrada: Identifica as informaes necessrias para realizar a atividade. Ao: Descreve a atividade. Diretrizes para implementao: Fornece diretrizes para a execuo da ao. Algumas destas diretrizes podem no ser adequadas em todos os casos. Assim sendo, outras maneiras de se executar a ao podem ser mais apropriadas. Sada: Identifica as informaes resultantes da execuo da atividade.
5 Contextualizao
Uma abordagem sistemtica de gesto de riscos de segurana da informao necessria para se identificar as necessidades da organizao em relao aos requisitos de segurana da informao e para criar um sistema de gesto de segurana da informao (SGSI) que seja eficaz. Convm que essa abordagem seja adequada ao ambiente da organizao e em particular esteja alinhada com o processo maior de gesto de riscos corporativos. Convm que os esforos de segurana lidem com riscos de maneira efetiva e no tempo apropriado, onde e quando forem necessrios. Convm que a gesto de riscos de segurana da informao seja parte integrante das atividades de gesto da segurana da informao e aplicada tanto implementao quanto operao cotidiana de um SGSI.
Convm que a gesto de riscos de segurana da informao seja um processo contnuo. Convm que o processo defina o contexto interno e externo, avalie os riscos e trate os riscos usando um plano de tratamento a fim de implementar as recomendaes e decises. Convm que a gesto de riscos analise os possveis acontecimentos e suas consequncias, antes de decidir o que ser feito e quando ser feito, a fim de reduzir os riscos a um nvel aceitvel. Convm que a gesto de riscos de segurana da informao contribua para: Identificao de riscos Processo de avaliao de riscos em funo das consequncias ao negcio e da probabilidade de sua ocorrncia Comunicao e entendimento da probabilidade e das consequncias destes riscos Estabelecimento da ordem prioritria para tratamento do risco Priorizao das aes para reduzir a ocorrncia dos riscos Envolvimento das partes interessadas quando as decises de gesto de riscos so tomadas e mantidas informadas sobre a situao da gesto de riscos Eficcia do monitoramento do tratamento do risco Monitoramento e a anlise crtica peridica dos riscos e do processo de gesto de riscos Coleta de informaes de forma a melhorar a abordagem da gesto de riscos Treinamento de gestores e pessoal a respeito dos riscos e das aes para mitig-los O processo de gesto de riscos de segurana da informao pode ser aplicado organizao como um todo, a uma rea especfica da organizao (por exemplo, um departamento, um local fsico, um servio), a qualquer sistema de informaes, a controles j existentes, planejados ou apenas a aspectos particulares de um controle (por exemplo: o plano de continuidade de negcios).
6 Viso geral do processo de gesto de riscos de segurana da informao

Uma viso de alto nvel do processo de gesto de riscos especificado na ABNT NBR ISO 31000:2009 e apresentado na Figura 1.
12/97
Figura 1 O processo de gesto de riscos A Figura 2 apresenta como esta Norma Internacional se aplica ao processo de gesto de riscos. O processo de gesto de riscos de segurana da informao consiste na definio do contexto (Seo 7), processo de avaliao de riscos (Seo 8), tratamento do risco (Seo 9), aceitao do risco (Seo 10), comunicao e consulta do risco (Seo 11) e monitoramento e anlise crtica de riscos (Seo 12).
13/97
Figura 2 - Processo de gesto de riscos de segurana da informao Como mostra a Figura 2, o processo de gesto de riscos de segurana da informao pode ser iterativo para o processo de avaliao de riscos e/ou para as atividades de tratamento do risco. Um enfoque iterativo na execuo do processo de avaliao de riscos torna possvel aprofundar e detalhar a avaliao em cada repetio. O enfoque iterativo permite minimizar o tempo e o esforo despendidos na identificao de controles e, ainda assim, assegura que riscos de alto impacto ou de alta probabilidade possam ser adequadamente avaliados.
14/97
Primeiramente, o contexto estabelecido. Em seguida, executa-se um processo de avaliao de riscos. Se ele fornecer informaes suficientes para que se determine de forma eficaz as aes necessrias para reduzir os riscos a um nvel aceitvel, ento a tarefa est completa e o tratamento do risco pode suceder-se. Por outro lado, se as informaes forem insuficientes, executa-se uma outra iterao do processo de avaliao de riscos, revisando-se o contexto (por exemplo: os critrios de avaliao de riscos, de aceitao do risco ou de impacto), possivelmente em partes limitadas do escopo (ver Figura 2, Ponto de Deciso 1). A eficcia do tratamento do risco depende dos resultados do processo de avaliao de riscos. Note que o tratamento de riscos envolve um processo cclico para: avaliar um tratamento do risco; decidir se os nveis de risco residual so aceitveis; gerar um novo tratamento do risco se os nveis de risco no forem aceitveis; e avaliar a eficcia do tratamento.
possvel que o tratamento do risco no resulte em um nvel de risco residual que seja aceitvel. Nessa situao, pode ser necessria uma outra iterao do processo de avaliao de riscos, com mudanas nas variveis do contexto (por exemplo: os critrios para o processo de avaliao de riscos, de aceitao do risco e de impacto), seguida por uma fase adicional de tratamento do risco (ver Figura 2, Ponto de Deciso 2). A atividade de aceitao do risco tem de assegurar que os riscos residuais sejam explicitamente aceitos pelos gestores da organizao. Isso especialmente importante em uma situao em que a implementao de controles omitida ou adiada, por exemplo, devido aos custos. Durante o processo de gesto de riscos de segurana da informao, importante que os riscos e a forma com que so tratados sejam comunicados ao pessoal das reas operacionais e gestores apropriados. Mesmo antes do tratamento do risco, informaes sobre riscos identificados podem ser muito teis para o gerenciamento de incidentes e ajudar a reduzir possveis prejuzos. A conscientizao dos gestores e pessoal no que diz respeito aos riscos, natureza dos controles aplicados para mitig-los e s reas definidas como de interesse pela organizao, auxiliam a lidar com os incidentes e eventos no previstos da maneira mais efetiva. Convm que os resultados detalhados de cada atividade do processo de gesto de riscos de segurana da informao, assim como as decises sobre o processo de avaliao de riscos e sobre o tratamento do risco (representadas pelos dois pontos de deciso na Figura 2), sejam documentados. A ABNT NBR ISO/IEC 27001:2006 especifica que os controles implementados no escopo, limites e contexto do SGSI devem ser baseados no risco. A aplicao de um processo de gesto de riscos de segurana da informao pode satisfazer esse requisito. H vrios mtodos atravs dos quais o processo pode ser implementado com sucesso em uma organizao. Convm que a organizao use o mtodo que melhor se adeque a suas circunstncias, para cada aplicao especfica do processo. Em um SGSI, a definio do contexto, o processo de avaliao de riscos, o desenvolvimento do plano de tratamento do risco e a aceitao do risco fazem parte da fase "planejar". Na fase "executar" do SGSI, as aes e controles necessrios para reduzir os riscos para um nvel aceitvel so implementados de acordo com o plano de tratamento do risco. Na fase verificar do SGSI, os gestores determinaro a necessidade de reviso da avaliao e tratamento do risco luz dos incidentes e
15/97
mudanas nas circunstncias. Na fase agir, as aes necessrias so executadas, incluindo a reaplicao do processo de gesto de riscos de segurana da informao. A Tabela 1 resume as atividades relevantes de gesto de riscos de segurana da informao para as quatro fases do processo do SGSI: Tabela 1 Alinhamento do processo do SGSI e do processo de gesto de riscos de segurana da informao
Processo do SGSI Processo de gesto de riscos de segurana da informao Definio do contexto Processo de avaliao de riscos Planejar Definio do plano de tratamento do risco Aceitao do risco Executar Verificar Agir Implementao do plano de tratamento do risco Monitoramento contnuo e anlise crtica de riscos Manter e melhorar o processo de Gesto de Riscos de Segurana da Informao
7 Definio do contexto
7.1 Consideraes Gerais
Entrada: Todas as informaes sobre a organizao relevantes para a definio do contexto da gesto de riscos de segurana da informao. Ao: Convm que o contexto externo e interno para gesto de riscos de segurana da informao seja estabelecido, o que envolve a definio dos critrios bsicos necessrios para a gesto de riscos de segurana da informao (7.2), a definio do escopo e dos limites (7.3) e o estabelecimento de uma organizao apropriada para operar a gesto de riscos de segurana da informao (7.4). Diretrizes para implementao: essencial determinar o propsito da gesto de riscos de segurana da informao, pois ele afeta o processo em geral e a definio do contexto em particular. Esse propsito pode ser: Suporte a um SGSI Conformidade legal e evidncia da devida diligncia (due diligence) Preparao de um plano de continuidade de negcios Preparao de um plano de resposta a incidentes
16/97
Descrio dos requisitos de segurana da informao para um produto, um servio ou um mecanismo As diretrizes para implementao dos elementos da definio do contexto necessrios para dar suporte a um SGSI so discutidas detalhadamente nas Sees 7.2, 7.3 e 7.4 a seguir.
NOTA A ABNT NBR ISO/IEC 27001:2006 no usa o termo contexto. No entanto, a Seo 7 refere-se aos requisitos definir o escopo e limites do SGSI [4.2.1.a)], definir uma poltica para o SGSI [4.2.1.b)] e definir a abordagem de anlise/avaliao de riscos [4.2.1.c)], especificados na ABNT NBR ISO/IEC 27001:2006.
Sada: A especificao dos critrios bsicos; o escopo e os limites do processo de gesto de riscos de segurana da informao; e a organizao responsvel pelo processo.
7.2 Critrios bsicos

7.2.1 Abordagem da gesto de riscos Dependendo do escopo e dos objetivos da gesto de riscos, diferentes mtodos podem ser aplicados. O mtodo tambm pode ser diferente para cada iterao do processo. Convm que um mtodo de gesto de riscos apropriado seja selecionado ou desenvolvido e leve em conta critrios bsicos, tais como: critrios de avaliao de riscos, critrios de impacto e critrios de aceitao do risco. Alm disso, convm que a organizao avalie se os recursos necessrios esto disponveis para: Executar o processo de avaliao de riscos e estabelecer um plano de tratamento de riscos Definir e implementar polticas e procedimentos, incluindo implementao dos controles selecionados Monitorar controles Monitorar o processo de gesto de riscos de segurana da informao
NOTA Ver tambm a ABNT NBR ISO/IEC 27001:2006 (Seo 5.2.1) com relao proviso de recursos para a implementao e operao de um SGSI.
7.2.2 Critrios para a avaliao de riscos Convm que os critrios para a avaliao de riscos sejam desenvolvidos para avaliar os riscos de segurana da informao na organizao, considerando os seguintes itens: O valor estratgico do processo que trata as informaes de negcio A criticidade dos ativos de informao envolvidos Requisitos legais e regulatrios, bem como as obrigaes contratuais Importncia do ponto de vista operacional e dos negcios, da disponibilidade, da confidencialidade e da integridade
Expectativas e percepes das partes interessadas e consequncias negativas para o valor de mercado (em especial, no que se refere aos fatores intangveis desse valor), a imagem e a reputao Alm disso, critrios para avaliao de riscos podem ser usados para especificar as prioridades para o tratamento do risco. 7.2.3 Critrios de impacto Convm que os critrios de impacto sejam desenvolvidos e especificados em funo do montante dos danos ou custos organizao causados por um evento relacionado com a segurana da informao, considerando o seguinte: Nvel de classificao do ativo de informao afetado Ocorrncias de violao da segurana da informao (por exemplo, perda da disponibilidade, da confidencialidade e/ou da integridade) Operaes comprometidas (internas ou de terceiros) Perda de oportunidades de negcio e de valor financeiro Interrupo de planos e o no cumprimento de prazos Dano reputao Violaes de requisitos legais, regulatrios ou contratuais
NOTA Veja tambm a ABNT NBR ISO/IEC 27001:2006 [Seo 4.2.1 d) 4] com relao identificao dos critrios de impacto, considerando a perda da confidencialidade, da integridade e/ou da disponibilidade.
7.2.4 Critrios para a aceitao do risco Convm que os critrios para a aceitao do risco sejam desenvolvidos e especificados. Os critrios de aceitao do risco dependem frequentemente das polticas, metas e objetivos da organizao, assim como dos interesses das partes interessadas. Convm que a organizao defina sua prpria escala de nveis de aceitao do risco. Convm que os seguintes tpicos sejam considerados durante o desenvolvimento: Critrios para a aceitao do risco podem incluir mais de um limite, representando um nvel desejvel de risco, porm precaues podem ser tomadas por gestores seniores para aceitar riscos acima desse nvel desde que sob circunstncias definidas Critrios para a aceitao do risco podem ser expressos como a razo entre o lucro estimado (ou outro benefcio ao negcio) e o risco estimado Diferentes critrios para a aceitao do risco podem ser aplicados a diferentes classes de risco, por exemplo: riscos que podem resultar em no conformidade com regulamentaes ou leis podem no ser aceitos, enquanto riscos de alto impacto podero ser aceitos se isto for especificado como um requisito contratual
Critrios para a aceitao do risco podem incluir requisitos para um tratamento adicional futuro, por exemplo: um risco poder ser aceito se for aprovado e houver o compromisso de que aes para reduzi-lo a um nvel aceitvel sero tomadas dentro de um determinado perodo de tempo Critrios para a aceitao do risco podem ser diferenciados de acordo com o tempo de existncia previsto do risco, por exemplo: o risco pode estar associado a uma atividade temporria ou de curto prazo. Convm que os critrios para a aceitao do risco sejam estabelecidos, considerando os seguintes itens: Critrios de negcio Aspectos legais e regulatrios Operaes Tecnologia Finanas Fatores sociais e humanitrios
NOTA Os critrios para a aceitao do risco correspondem aos critrios para aceitao do risco e identificao do nvel aceitvel dos mesmos especificados na ABNT NBR ISO/IEC 27001:2006 Seo 4.2.1.c) 2).
Mais informaes podem ser encontradas no Anexo A.
7.3 Escopo e limites

Convm que a organizao defina o escopo e os limites da gesto de riscos de segurana da
informao.
O escopo do processo de gesto de riscos de segurana da informao precisa ser definido para assegurar que todos os ativos relevantes sejam considerados no processo de avaliao de riscos. Alm disso, os limites precisam ser identificados [ver tambm a ABNT NBR ISO/IEC 27001:2006 Seo 4.2.1.a)] para permitir o reconhecimento dos riscos que possam transpor esses limites. Convm que as informaes sobre a organizao sejam reunidas para que seja possvel determinar o ambiente em que ela opera e a relevncia desse ambiente para o processo de gesto de riscos de segurana da informao. Ao definir o escopo e os limites, convm que a organizao considere as seguintes informaes: Os objetivos estratgicos, polticas e estratgias da organizao Processos de negcio As funes e estrutura da organizao Requisitos legais, regulatrios e contratuais aplicveis organizao A poltica de segurana da informao da organizao
A abordagem da organizao gesto de riscos Ativos de informao Localidades em que a organizao se encontra e suas caractersticas geogrficas Restries que afetam a organizao Expectativas das partes interessadas Ambiente sociocultural Interfaces (ou seja: a troca de informao com o ambiente) Alm disso, convm que a organizao fornea justificativa para quaisquer excluses do escopo. Exemplos do escopo da gesto de riscos podem ser: uma aplicao de TI, a infraestrutura de TI, um processo de negcios ou uma parte definida da organizao.
NOTA O escopo e os limites da gesto de riscos de segurana da informao esto relacionados ao escopo e aos limites do SGSI, conforme requerido na ABNT NBR ISO/IEC 27001:2006 4.2.1.a).
Informaes adicionais podem ser encontradas no Anexo A.
7.4 Organizao para gesto de riscos de segurana da informao

Convm que a organizao e as responsabilidades para o processo de gesto de riscos de segurana da informao sejam estabelecidas e mantidas. A seguir esto os principais papis e responsabilidades dessa organizao: Desenvolvimento do processo de gesto de riscos de segurana da informao adequado organizao Identificao e anlise das partes interessadas Definio dos papis e responsabilidades de todas as partes, internas e externas organizao Estabelecimento das relaes necessrias entre a organizao e as partes interessadas, das interfaces com as funes de alto nvel de gesto de riscos da organizao (por exemplo, a gesto de riscos operacionais), assim como das interfaces com outros projetos ou atividades relevantes Definio de aladas para a tomada de decises Especificao dos registros a serem mantidos Convm que essa organizao seja aprovada pelos gestores apropriados.
NOTA A ABNT NBR ISO/IEC 27001:2006 requer a identificao e a proviso dos recursos necessrios para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI [5.2.1.a)]. A organizao das operaes de gesto de riscos pode ser considerada como um dos recursos necessrios, segundo a ABNT NBR ISO/IEC 27001:2006. NO TEM VALOR NORMATIVO 20/97
8 Processo de avaliao de riscos de segurana da informao

8.1 Descrio geral do processo de avaliao de riscos de segurana da informao
NOTA A atividade do processo de avaliao de riscos referida como processo de anlise/avaliao de riscos na ABNT NBR ISO/IEC 27001:2006.
Entrada: Critrios bsicos, o escopo e os limites, e a organizao do processo de gesto de riscos de segurana da informao que se est definindo. Ao: Convm que os riscos sejam identificados, quantificados ou descritos qualitativamente, priorizados em funo dos critrios de avaliao de riscos e dos objetivos relevantes da organizao. Diretrizes para implementao: Um risco a combinao das consequncias advindas da ocorrncia de um evento indesejado e da probabilidade da ocorrncia do mesmo. O processo de avaliao de riscos quantifica ou descreve o risco qualitativamente e capacita os gestores a priorizar os riscos de acordo com a sua gravidade percebida ou com outros critrios estabelecidos. O processo de avaliao de riscos consiste nas seguintes atividades: Identificao de riscos (Seo 8.2) Anlise de riscos (Seo 8.3) Avaliao de riscos (Seo 8.4) O processo de avaliao de riscos determina o valor dos ativos de informao, identifica as ameaas e vulnerabilidades aplicveis existentes (ou que poderiam existir), identifica os controles existentes e seus efeitos no risco identificado, determina as consequncias possveis e, finalmente, prioriza os riscos derivados e ordena-os de acordo com os critrios de avaliao de riscos estabelecidos na definio do contexto. O processo de avaliao de riscos executado frequentemente em duas (ou mais) iteraes. Primeiramente, uma avaliao de alto nvel realizada para identificar os riscos potencialmente altos, os quais merecem uma avaliao mais aprofundada. A segunda iterao pode considerar com mais profundidade esses riscos potencialmente altos revelados na primeira iterao. Se ela no fornecer informaes suficientes para avaliar o risco, ento anlises adicionais detalhadas precisaro ser executadas, provavelmente em partes do escopo total e possivelmente usando um outro mtodo. Cabe organizao selecionar seu prprio mtodo para o processo de avaliao de riscos baseado nos objetivos e na meta do processo de avaliao de riscos. Uma discusso sobre mtodos utilizados no processo de avaliao de riscos de segurana da informao pode ser encontrada no Anexo E. Sada: Uma lista de riscos avaliados, ordenados por prioridade de acordo com os critrios de avaliao de riscos.
21/97
8.2 Identificao de riscos

8.2.1 Introduo identificao de riscos O propsito da identificao de riscos determinar eventos que possam causar uma perda potencial e deixar claro como, onde e por que a perda pode acontecer. As etapas descritas nas prximas subsees de 8.2 servem para coletar dados de entrada para a atividade de anlise de riscos. Convm que a identificao de riscos inclua os riscos cujas fontes estejam ou no sob controle da organizao, mesmo que a fonte ou a causa dos riscos no seja evidente.
NOTA Atividades descritas nas sees subsequentes podem ser executadas em uma ordem diferente dependendo da metodologia aplicada.
8.2.2 Identificao dos ativos Entrada: Escopo e limites para o processo de avaliao de riscos a ser executado; lista de componentes com responsveis, localidade, funo etc.. Ao: Convm que os ativos dentro do escopo estabelecido sejam identificados (refere-se ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1.d) 1)). Diretrizes para implementao: Um ativo algo que tem valor para a organizao e que, portanto, requer proteo. Para a identificao dos ativos convm que se tenha em mente que um sistema de informao compreende mais do que hardware e software. Convm que a identificao dos ativos seja executada com um detalhamento adequado que fornea informaes suficientes para o processo de avaliao de riscos. O nvel de detalhe usado na identificao dos ativos influenciar na quantidade geral de informaes reunidas durante o processo de avaliao de riscos. O detalhamento pode ser aprofundado em cada iterao do processo de avaliao de riscos. Convm que um responsvel seja identificado para cada ativo, a fim de oficializar sua responsabilidade e garantir a possibilidade da respectiva prestao de contas. O responsvel pelo ativo pode no ter direitos de propriedade sobre o mesmo, mas tem responsabilidade sobre sua produo, desenvolvimento, manuteno, utilizao e segurana, conforme apropriado. O responsvel pelo ativo frequentemente a pessoa mais adequada para determinar o valor do mesmo para a organizao (ver 8.3.2 sobre a valorao dos ativos). O limite da anlise crtica o permetro dos ativos da organizao a serem considerados pelo processo de gesto de riscos de segurana da informao. Mais informaes sobre a identificao e valorao dos ativos, sob a perspectiva da segurana da informao, podem ser encontradas no Anexo B. Sada: Uma lista de ativos com riscos a serem gerenciados, e uma lista dos processos de negcio relacionados aos ativos e suas relevncias.
22/97
8.2.3 Identificao das ameaas Entrada: Informaes sobre ameaas obtidas a partir da anlise crtica de incidentes, dos responsveis pelos ativos, de usurios e de outras fontes, incluindo catlogos externos de ameaas. Ao: Convm que as ameaas e suas ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1 d) 2)). Diretrizes para implementao: Uma ameaa tem o potencial de comprometer ativos (tais como, informaes, processos e sistemas) e, por isso, tambm as organizaes. Ameaas podem ser de origem natural ou humana e podem ser acidentais ou intencionais. Convm que tanto as fontes das ameaas acidentais, quanto as intencionais, sejam identificadas. Uma ameaa pode surgir de dentro ou de fora da organizao. Convm que as ameaas sejam identificadas genericamente e por classe (por exemplo, aes no autorizadas, danos fsicos, falhas tcnicas) e, quando apropriado, ameaas especficas identificadas dentro das classes genricas. Isso significa que, nenhuma ameaa ignorada, incluindo as no previstas, mas que o volume de trabalho exigido limitado. Algumas ameaas podem afetar mais de um ativo. Nesses casos, elas podem provocar impactos diferentes, dependendo de quais ativos so afetados. Dados de entrada para a identificao das ameaas e anlise da probabilidade de ocorrncia (ver 8.3.3) podem ser obtidos dos responsveis pelos ativos ou dos usurios, do pessoal, dos administradores das instalaes e dos especialistas em segurana da informao, de peritos em segurana fsica, do departamento jurdico e de outras organizaes, incluindo organismos legais, autoridades climticas, companhias de seguros e autoridades governamentais nacionais. Aspectos culturais e relacionados ao ambiente precisam ser considerados quando se examina as ameaas. Convm que experincias internas de incidentes e avaliaes anteriores das ameaas sejam consideradas na avaliao atual. Pode ser til a consulta a outros catlogos de ameaas (talvez mais especfico a uma organizao ou negcio) a fim de completar a lista de ameaas genricas, quando relevante. Catlogos de ameaas e estatsticas so disponibilizados por organismos setoriais, governos nacionais, organismos legais, companhias de seguro etc. Quando forem usados catlogos de ameaas ou os resultados de uma avaliao anterior das ameaas, convm que se tenha conscincia de que as ameaas relevantes esto sempre mudando, especialmente se o ambiente de negcio ou se os sistemas de informaes mudarem. Mais informaes sobre tipos de ameaas podem ser encontradas no Anexo C. Sada: Uma lista de ameaas com a identificao do tipo e da fonte das ameaas. 8.2.4 Identificao dos controles existentes Entrada: Documentao dos controles, planos de implementao do tratamento do risco. Ao: Convm que os controles existentes e os planejados sejam identificados. Diretrizes para implementao:
fontes
sejam
identificadas
(refere-se
Convm que a identificao dos controles existentes seja realizada para evitar custos e trabalho desnecessrios, por exemplo, na duplicao de controles. Alm disso, enquanto os controles existentes esto sendo identificados, convm que seja feita uma verificao para assegurar que eles esto funcionando corretamente - uma referncia aos relatrios j existentes de auditoria do SGSI pode reduzir o tempo gasto nesta tarefa. Um controle que no funcione como esperado pode provocar o surgimento de vulnerabilidades. Convm que seja levada em considerao a possibilidade de um controle selecionado (ou estratgia) falhar durante sua operao. Sendo assim, controles complementares so necessrios para tratar efetivamente o risco identificado. Em um SGSI, de acordo com a ABNT NBR ISO/IEC 27001, isso auxiliado pela medio da eficcia dos controles. Uma maneira para estimar o efeito do controle ver o quanto ele reduz, por um lado, a probabilidade da ameaa e a facilidade com que uma vulnerabilidade pode ser explorada ou, por outro lado, o impacto do incidente. A anlise crtica pela direo e relatrios de auditoria tambm fornecem informaes sobre a eficcia dos controles existentes. Convm que os controles que esto planejados para serem implementados de acordo com os planos de implementao de tratamento do risco tambm sejam considerados, juntamente com aqueles que j esto implementados. Controles existentes ou planejados podem ser considerados ineficazes, insuficientes ou nojustificados. Convm que um controle insuficiente ou no justificado seja verificado para determinar se convm que o mesmo seja removido, substitudo por outro controle mais adequado ou se convm que o controle permanea em vigor, por exemplo, em funo dos custos. Para a identificao dos controles existentes ou planejados, as seguintes atividades podem ser teis: Analisar de forma crtica os documentos contendo informaes sobre os controles (por exemplo, os planos de implementao de tratamento do risco). Se os processos de gesto da segurana da informao esto bem documentados, convm que todos os controles existentes ou planejados e a situao de sua implementao estejam disponveis; Verificar com as pessoas responsveis pela segurana da informao (por exemplo, o responsvel pela segurana da informao, o responsvel pela segurana do sistema da informao, o gerente das instalaes prediais, o gerente de operaes) e com os usurios quais controles, relacionados ao processo de informao ou ao sistema de informao sob considerao, esto realmente implementados; Revisar, no local, os controles fsicos, comparando os controles implementados com a lista de quais convm que estejam presentes; e verificar se aqueles implementados esto funcionando efetiva e corretamente, ou Analisar criticamente os resultados de auditorias. Sada: Uma lista de todos os controles existentes e planejados, sua implementao e status de utilizao. 8.2.5 Identificao das vulnerabilidades Entrada: Uma lista de ameaas conhecidas, listas de ativos e controles existentes.
24/97
Ao: Convm que as vulnerabilidades que podem se exploradas por ameaas para comprometer os ativos ou a organizao sejam identificadas (refere-se ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1 d) 3)). Diretrizes para implementao: Vulnerabilidades podem ser identificadas nas seguintes reas: Organizao Processos e procedimentos Rotinas de gesto Recursos humanos Ambiente fsico Configurao do sistema de informao Hardware, software ou equipamentos de comunicao Dependncia de entidades externas A presena de uma vulnerabilidade no causa prejuzo por si s, pois precisa haver uma ameaa presente para explor-la. Uma vulnerabilidade que no tem uma ameaa correspondente pode no requerer a implementao de um controle no presente momento, mas convm que ela seja reconhecida como tal e monitorada, no caso de haver mudanas. Note-se que um controle implementado, funcionando incorretamente ou sendo usado incorretamente, pode, por si s, representar uma vulnerabilidade. Um controle pode ser eficaz ou no, dependendo do ambiente no qual ele opera. Inversamente, uma ameaa que no tenha uma vulnerabilidade correspondente pode no resultar em um risco. Vulnerabilidades podem estar ligadas a propriedades do ativo, as quais podem ser usadas de uma forma ou para um propsito diferente daquele para o qual o ativo foi adquirido ou desenvolvido. Vulnerabilidades decorrentes de diferentes fontes precisam ser consideradas, por exemplo, as intrnsecas ao ativo e as extrnsecas. Exemplos de vulnerabilidades e mtodos para avaliao de vulnerabilidades podem ser encontrados no Anexo D. Sada: Uma lista de vulnerabilidades associadas aos ativos, ameaas e controles; uma lista de vulnerabilidades que no se refere a nenhuma ameaa identificada para anlise. 8.2.6 Identificao das consequncias Entrada: Uma lista de ativos, uma lista de processos do negcio e uma lista de ameaas e vulnerabilidades, quando aplicvel, relacionadas aos ativos e sua relevncia.
25/97
Ao: Convm que as consequncias que a perda de confidencialidade, de integridade e de disponibilidade podem ter sobre os ativos sejam identificadas (ver ABNT NBR ISO/IEC 27001:2006 4.2.1 d)4)). Diretrizes para implementao: Uma consequncia pode ser, por exemplo, a perda da eficcia, condies adversas de operao, a perda de oportunidades de negcio, reputao afetada, prejuzo etc. Essa atividade identifica o prejuzo ou as consequncias para a organizao que podem decorrer de um cenrio de incidente. Um cenrio de incidente a descrio de uma ameaa explorando uma certa vulnerabilidade ou um conjunto delas em um incidente de segurana da informao (ver ABNT NBR ISO/IEC 27002:2005, Seo 13). O impacto dos cenrios de incidentes determinado considerando-se os critrios de impacto definidos durante a atividade de definio do contexto. Ele pode afetar um ou mais ativos ou apenas parte de um ativo. Assim, aos ativos podem ser atribudos valores correspondendo tanto aos seus custos financeiros, quanto s consequncias ao negcio se forem danificados ou comprometidos. Consequncias podem ser de natureza temporria ou permanente como no caso da destruio de um ativo.
NOTA A ABNT NBR ISO/IEC 27001:2006 descreve a ocorrncia de cenrios de incidentes como falhas de segurana.
Convm que as organizaes identifiquem as consequncias operacionais de cenrios de incidentes em funo de (mas no limitado a): Investigao e tempo de reparo Tempo (de trabalho) perdido Oportunidade perdida Sade e Segurana Custo financeiro das competncias especficas necessrias para reparar o prejuzo Imagem, reputao e valor de mercado Detalhes sobre a avaliao de vulnerabilidades tcnicas podem ser encontrados em B.3 - Avaliao do Impacto. Sada: Uma lista de cenrios de incidentes com suas consequncias associadas aos ativos e processos do negcio.
8.3 Anlise de riscos

8.3.1 Metodologias de anlise de riscos A anlise de riscos pode ser empreendida com diferentes graus de detalhamento, dependendo da criticidade dos ativos, da extenso das vulnerabilidades conhecidas e dos incidentes anteriores envolvendo a organizao. Uma metodologia para a anlise pode ser qualitativa ou quantitativa ou uma combinao de ambos, dependendo das circunstncias. Na prtica, a anlise qualitativa
frequentemente utilizada em primeiro lugar para obter uma indicao geral do nvel de risco e para revelar os grandes riscos. Depois, poder ser necessrio efetuar uma anlise quantitativa ou mais especfica, nos grandes riscos. Isso ocorre porque normalmente menos complexo e menos oneroso realizar anlises qualitativas do que quantitativas. Convm que a forma da anlise seja coerente com o critrio de avaliao de riscos desenvolvida como parte da definio do contexto. Detalhes adicionais a respeito das metodologias para a anlise esto descritos a seguir: (a) Anlise qualitativa de riscos: A anlise qualitativa utiliza uma escala com atributos qualificadores que descrevem a magnitude das consequncias potenciais (por exemplo, Pequena, Mdia e Grande) e a probabilidade dessas consequncias ocorrerem. Uma vantagem da anlise qualitativa sua facilidade de compreenso por todas as pessoas envolvidas enquanto que uma desvantagem a dependncia escolha subjetiva da escala. Essas escalas podem ser adaptadas ou ajustadas para se adequarem s circunstncias e descries diferentes podem ser usadas para riscos diferentes. A anlise qualitativa pode ser utilizada: Como uma verificao inicial a fim de identificar riscos que exigiro uma anlise mais detalhada Quando esse tipo de anlise suficiente para a tomada de decises Quando os dados numricos ou recursos so insuficientes para uma anlise quantitativa Convm que a anlise qualitativa utilize informaes e dados factuais quando disponveis. (b) Anlise quantitativa de riscos: A anlise quantitativa utiliza uma escala com valores numricos (e no as escalas descritivas usadas na anlise qualitativa) tanto para consequncias quanto para a probabilidade, usando dados de diversas fontes. A qualidade da anlise depende da exatido e da integralidade dos valores numricos e da validade dos modelos utilizados. A anlise quantitativa, na maioria dos casos, utiliza dados histricos dos incidentes, proporcionando a vantagem de poder ser relacionada diretamente aos objetivos da segurana da informao e interesses da organizao. Uma desvantagem a falta de tais dados sobre novos riscos ou sobre fragilidades da segurana da informao. Uma desvantagem da abordagem quantitativa ocorre quando dados factuais e auditveis no esto disponveis. Nesse caso, a exatido do processo de avaliao de riscos e os valores associados tornam-se ilusrios. A forma na qual as consequncias e a probabilidade so expressas e a forma em que elas so combinadas para fornecer um nvel de risco ir variar de acordo com o tipo de risco e do propsito para o qual os resultados do processo de avaliao de riscos sero usados. Convm que a incerteza e a variabilidade tanto das consequncias, quanto da probabilidade, sejam consideradas na anlise e comunicadas de forma eficaz. 8.3.2 Avaliao das consequncias Entrada: Uma lista de cenrios de incidentes identificados como relevantes, incluindo a identificao de ameaas, vulnerabilidades, ativos afetados e consequncias para os ativos e processos do negcio.
Ao: Convm que o impacto sobre o negcio da organizao, que pode ser causado por incidentes (possveis ou reais) relacionados segurana da informao, seja avaliado levando-se em conta as consequncias de uma violao da segurana da informao, como por exemplo: a perda da confidencialidade, da integridade ou da disponibilidade dos ativos (refere-se ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1 e)1)). Diretrizes para implementao: Depois de identificar todos os ativos relevantes, convm que os valores atribudos a esses ativos sejam levados em considerao durante a avaliao das consequncias. O valor do impacto ao negcio pode ser expresso de forma qualitativa ou quantitativa, porm um mtodo para designar valores monetrios geralmente pode fornecer mais informaes teis para a tomada de decises e, consequentemente, permitir que o processo de tomada de deciso seja mais eficiente. A valorao dos ativos comea com a classificao dos mesmos de acordo com sua criticidade, em funo da importncia dos ativos para a realizao dos objetivos de negcios da organizao. A valorao ento determinada de duas maneiras: o valor de reposio do ativo: o custo da recuperao e da reposio da informao (se for possvel) e as consequncias ao negcio relacionadas perda ou ao comprometimento do ativo, tais como as possveis consequncias adversas de carter empresarial, legal ou regulatrias causadas pela divulgao indevida, modificao, indisponibilidade e/ou destruio de informaes ou de outros ativos de informao Essa valorao pode ser determinada a partir de uma anlise de impacto no negcio. O valor, determinado em funo da consequncia para o negcio, normalmente significativamente mais elevado do que o simples custo de reposio, dependendo da importncia do ativo para a organizao na realizao dos objetivos de negcios. A valorao dos ativos representa um dos aspectos mais importantes na avaliao do impacto de um cenrio de incidente, pois o incidente pode afetar mais de um ativo (por exemplo: os ativos dependentes) ou somente parte de um ativo. Diferentes ameaas e vulnerabilidades causaro diferentes impactos sobre os ativos, tais como perda da confidencialidade, da integridade ou da disponibilidade. A avaliao das consequncias est, portanto, relacionada valorao dos ativos baseada na anlise de impacto no negcio. As consequncias ou o impacto ao negcio podem ser determinados por meio da criao de modelos com os resultados de um evento, um conjunto de eventos ou atravs da extrapolao a partir de estudos experimentais ou dados passados. As consequncias podem ser expressas em funo dos critrios monetrios, tcnicos ou humanos, de impacto ou de outro critrio relevante para a organizao. Em alguns casos, mais de um valor numrico necessrio para especificar as consequncias tendo em vista os diferentes momentos, lugares, grupos ou situaes.
28/97
Convm que as consequncias expressas em tempo e valor financeiro sejam medidas com a mesma abordagem utilizada para a probabilidade da ameaa e as vulnerabilidades. A consistncia deve ser mantida com respeito abordagem quantitativa ou qualitativa. Mais informaes sobre valorao dos ativos e sobre a avaliao do impacto podem ser encontradas no Anexo B. Sada: Uma lista de consequncias avaliadas referentes a um cenrio de incidente, relacionadas aos ativos e critrios de impacto. 8.3.3 Avaliao da probabilidade dos incidentes Entrada: Uma lista de cenrios de incidentes identificados como relevantes, incluindo a identificao de ameaas, ativos afetados, vulnerabilidades exploradas e consequncias para os ativos e processos do negcio. Alm disso, listas com todos os controles existentes e planejados, sua eficcia, implementao e status de utilizao. Ao: Convm que a probabilidade dos cenrios de incidentes seja avaliada (refere-se ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1 e) 2)). Diretrizes para implementao: Depois de identificar os cenrios de incidentes, necessrio avaliar a probabilidade de cada cenrio e do impacto correspondente, usando tcnicas de anlise qualitativas ou quantitativas. Convm levar em conta a frequncia da ocorrncia das ameaas e a facilidade com que as vulnerabilidades podem ser exploradas, considerando o seguinte: a experincia passada e estatsticas aplicveis referentes probabilidade da ameaa para fontes de ameaas intencionais: a motivao e as competncias, que mudam ao longo do tempo, os recursos disponveis para possveis atacantes, bem como a percepo da vulnerabilidade e o poder da atrao dos ativos para um possvel atacante para fontes de ameaas acidentais: fatores geogrficos (como por exemplo, proximidade a fbricas e refinarias de produtos qumicos e petrleo), a possibilidade de eventos climticos extremos e fatores que poderiam acarretar erros humanos e o mau funcionamento de equipamentos vulnerabilidades, tanto individualmente como em conjunto os controles existentes e a eficcia com que eles reduzem as vulnerabilidades Por exemplo, um sistema de informao pode ter uma vulnerabilidade relacionada s ameaas de se forjar a identidade de um usurio e de se fazer mau uso de recursos. A vulnerabilidade relacionada ao uso forjado da identidade de um usurio pode ser alta devido, por exemplo, falta de um mecanismo de autenticao de usurio. Por outro lado, a probabilidade de utilizao indevida dos recursos pode ser baixa, apesar da falta de auteticao, pois os meios disponveis para que isso pudesse acontecer so limitados. Dependendo da necessidade de exatido, ativos podem ser agrupados ou pode ser necessrio dividir um ativo em seus componentes e relacionar estes aos cenrios. Por exemplo: conforme a localidade
geogrfica, a natureza das ameaas a um mesmo tipo de ativo ou a eficcia dos controles existentes podem variar. Sada: Probabilidade dos cenrios de incidentes (no mtodo quantitativo ou no qualitativo). 8.3.4 Determinao do nvel de risco Entrada: Uma lista de cenrios de incidentes com suas consequncias associadas aos ativos, processos de negcio e suas probabilidades (no mtodo quantitativo ou no qualitativo). Ao: Convm que o nvel de risco seja estimado para todos os cenrios de incidentes considerados relevantes (refere-se ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1 e) 4)). Diretrizes para implementao: A anlise de riscos designa valores para a probabilidade e para as consequncias de um risco. Esses valores podem ser de natureza quantitativa ou qualitativa. A anlise de riscos baseada nas consequncias e na probabilidade estimadas. Alm disso, ela pode considerar o custo-benefcio, as preocupaes das partes interessadas e outras variveis, conforme apropriado para a avaliao de riscos. O risco estimado uma combinao da probabilidade de um cenrio de incidente e suas consequncias. Exemplos de diferentes abordagens ou mtodos para anlise de riscos de segurana da informao podem ser encontrados no Anexo E. Sada: Uma lista de riscos com nveis de valores designados.
8.4 Avaliao de riscos

Entrada: Uma lista de riscos com nveis de valores designados e critrios para a avaliao de riscos. Ao: Convm que o nvel dos riscos seja comparado com os critrios de avaliao de riscos e com os critrios para a aceitao do risco (refere-se ABNT NBR ISO/IEC 27001:2006, Seo 4.2.1 e) 4)). Diretrizes para implementao: A natureza das decises relativas avaliao de riscos e os critrios de avaliao de riscos que iro ser usados para tomar essas decises teriam sido decididos durante a definio do contexto. Convm que essas decises e o contexto sejam revisados detalhadamente nesse estgio em que se conhece mais sobre os riscos identificados. Para avaliar os riscos, convm que as organizaes comparem os riscos estimados (usando os mtodos ou abordagens selecionadas como abordado no Anexo E) com os critrios de avaliao de riscos definidos durante a definio do contexto. Convm que os critrios de avaliao de riscos utilizados na tomada de decises sejam consistentes com o contexto definido, externo e interno, relativo gesto de riscos de segurana da informao e levem em conta os objetivos da organizao, o ponto de vista das partes interessadas etc. As decises tomadas durante a atividade de avaliao de riscos so baseadas principalmente no nvel de risco aceitvel. No entanto, convm que as consequncias, a probabilidade e o grau de confiana na identificao e anlise de riscos tambm sejam considerados. A agregao de vrios pequenos ou mdios riscos pode resultar em um risco total bem mais significativo e precisa ser tratada adequadamente.
Convm que os seguintes itens sejam considerados: Propriedades da segurana da informao: se um critrio no for relevante para a organizao (por exemplo: a perda da confidencialidade), logo, todos os riscos que provocam esse tipo de impacto podem ser considerados irrelevantes A importncia do processo de negcios ou da atividade suportada por um determinado ativo ou conjunto de ativos: se o processo tiver sido julgado de baixa importncia, convm que os riscos associados a ele sejam menos considerados do que os riscos que causam impactos em processos ou atividades mais importantes A avaliao de riscos usa o entendimento do risco obtido atravs da anlise de riscos para a tomada de decises sobre aes futuras. Convm que as seguintes questes sejam decididas: Convm que uma atividade seja empreendida As prioridades para o tratamento do risco, levando-se em conta os nveis estimados de risco Durante a etapa de avaliao de riscos, alm dos riscos estimados, convm que requisitos contratuais, legais e regulatrios tambm sejam considerados. Sada: Uma lista de riscos priorizada, de acordo com os critrios de avaliao de riscos, em relao aos cenrios de incidentes que podem levar a esses riscos.
9
9.1
Tratamento do risco de segurana da informao

Descrio geral do processo de tratamento do risco
Entrada: Uma lista de riscos priorizada, de acordo com os critrios de avaliao de riscos, em relao aos cenrios de incidentes que podem levar a esses riscos. Ao: Convm que controles para modificar, reter, evitar ou compartilhar os riscos sejam selecionados e o plano de tratamento do risco seja definido. Diretrizes para implementao: H quatro opes disponveis para o tratamento do risco: modificao do risco (ver 9.2), reteno do risco (ver 9.3), ao de evitar o risco (ver 9.4) e compartilhamento do risco (ver 9.5).
NOTA risco. A ABNT NBR ISO/IEC 27001:2006 4.2.1.f) 2) usa o termo aceitao do risco em vez de reteno do
A Figura 3 ilustra a atividade de tratamento do risco dentro do processo de gesto de riscos de segurana da informao como apresentado na Figura 2.
31/97
Figura 3 A atividade de tratamento do risco Convm que as opes do tratamento do risco sejam selecionadas com base no resultado do processo de avaliao de riscos, no custo esperado para implementao dessas opes e nos benefcios previstos. Quando uma grande modificao do risco pode ser obtida com uma despesa relativamente pequena, convm que essas opes sejam implementadas. Outras opes para melhorias podem ser muito dispendiosas e uma anlise precisa ser feita para verificar suas justificativas.
Em geral, convm que as consequncias adversas do risco sejam reduzidas ao mnimo possvel, independentemente de quaisquer critrios absolutos. Convm que os gestores considerem os riscos improvveis porm graves. Nesse caso, controles que no so justificveis do ponto de vista estritamente econmico podem precisar ser implementados (por exemplo, controles de continuidade de negcios concebidos para tratar riscos de alto impacto especficos). As quatro opes para o tratamento do risco no so mutuamente exclusivas. s vezes, a organizao pode beneficiar-se substancialmente de uma combinao de opes, tais como a reduo da probabilidade do risco, a reduo de suas consequncias e o compartilhamento ou reteno dos riscos residuais. Algumas formas de tratamento do risco podem lidar com mais de um risco de forma efetiva (por exemplo, o treinamento e a conscientizao em segurana da informao). Convm que um plano de tratamento do risco seja definido, identificando claramente a ordem de prioridade em que as formas especficas de tratamento do risco convm ser implementadas, assim como os seus prazos de execuo. Prioridades podem ser estabelecidas usando vrias tcnicas, incluindo a ordenao dos riscos e a anlise de custo-benefcio. de responsabilidade dos gestores da organizao equilibrar os custos da implementao dos controles e o oramento. A identificao de controles existentes pode nos fazer concluir que os mesmos excedem as necessidades atuais em funo da comparao de custos, incluindo a manuteno. Se a remoo de controles redundantes e desnecessrios tiver que ser considerada (especialmente se os controles tm altos custos de manuteno), convm que a segurana da informao e os fatores de custo sejam levados em conta. Devido influncia que os controles exercem uns sobres os outros, a remoo de controles redundantes pode reduzir a segurana em vigor como um todo. Alm disso, talvez seja menos dispendioso deixar controles redundantes ou desnecessrios em vigor do que remov-los. Convm que as opes de tratamento do risco sejam consideradas levando-se em conta: Como o risco percebido pelas partes afetadas As formas mais apropriadas de comunicao com as partes A definio do contexto (ver 7.2 - Critrios de avaliao de riscos) fornece informaes sobre requisitos legais e regulatrios com os quais a organizao precisa estar em conformidade. Nesse caso, o risco para organizao no estar em conformidade e convm que sejam implementadas opes de tratamento para limitar essa possibilidade. Convm que todas as restries - organizacionais, tcnicas, estruturais etc.- identificadas durante a atividade de definio do contexto, sejam levadas em conta durante o tratamento do risco. Uma vez que o plano de tratamento do risco tenha sido definido, os riscos residuais precisam ser determinados. Isso envolve uma atualizao ou uma repetio do processo de avaliao de riscos, considerando-se os efeitos previstos do tratamento do risco que foi proposto. Caso o risco residual ainda no satisfaa os critrios para a aceitao do risco da organizao, uma nova iterao do tratamento do risco pode ser necessria antes de se prosseguir aceitao do risco. Mais informaes podem ser encontradas na ABNT NBR ISO/IEC 27002:2005, Seo 0.3. Sada: O plano de tratamento do risco e os riscos residuais, sujeitos deciso de aceitao por parte dos gestores da organizao.
33/97
9.2 Modificao do risco

Ao: Convm que o nvel de risco seja gerenciado atravs da incluso, excluso ou alterao de controles, para que o risco residual possa ser reavaliado e ento considerado aceitvel. Diretrizes para implementao: Convm que controles apropriados e devidamente justificados sejam selecionados para satisfazer os requisitos identificados atravs do processo de avaliao de riscos e do tratamento dos mesmos. Convm que essa escolha leve em conta os critrios para a aceitao do risco assim como requisitos legais, regulatrios e contratuais. Convm que essa seleo tambm leve em conta custos e prazos para a implementao de controles, alm de aspectos tcnicos, culturais e ambientais. Com frequncia, possvel diminuir o custo total de propriedade de um sistema por meio de controles de segurana da informao apropriadamente selecionados. Em geral, os controles podem fornecer um ou mais dos seguintes tipos de proteo: correo, eliminao, preveno, minimizao do impacto, dissuaso, deteco, recuperao, monitoramento e conscientizao. Durante a seleo de controles, importante pesar o custo da aquisio, implementao, administrao, operao, monitoramento e manuteno dos controles em relao ao valor dos ativos sendo protegidos. Alm disso, convm que o retorno do investimento, na forma da modificao do risco e da possibilidade de se explorar novas oportunidades de negcio em funo da existncia de certos controles, tambm seja considerado. Adicionalmente, convm considerar as competncias especializadas que possam ser necessrias para definir e implementar novos controles ou modificar os existentes. A ABNT NBR ISO/IEC 27002 fornece informaes detalhadas sobre controles. H muitas restries que podem afetar a seleo de controles. Restries tcnicas, tais como requisitos de desempenho, capacidade de gerenciamento (requisitos de apoio operacional) e questes de compatibilidade, podem dificultar a utilizao de certos controles ou induzir erros humanos, chegando mesmo a anular o controle, a dar uma falsa sensao de segurana ou a tornar o risco ainda maior do que seria se o controle no existisse (por exemplo, exigir senhas complexas sem treinamento adequado leva os usurios a anotar as senhas por escrito). importante lembrar tambm que um controle pode vir a afetar o desempenho sobremaneira. Convm que os gestores tentem encontrar uma soluo que satisfaa os requisitos de desempenho e que possa, ao mesmo tempo, garantir um nvel suficiente de segurana da informao. O resultado dessa etapa uma lista de controles possveis, com seu custo, benefcio e prioridade de implementao. Convm que vrias restries sejam levadas em considerao durante a escolha e a implementao de controles. Normalmente, so consideradas as seguintes: Restries temporais Restries financeiras Restries tcnicas Restries operacionais Restries culturais
Restries ticas Restries ambientais Restries legais Facilidade de uso Restries de recursos humanos Restries ligadas integrao dos controles novos aos j existentes. Mais informaes sobre as restries que dizem respeito modificao do risco podem ser encontradas no Anexo F.
9.3 Reteno do risco

Ao: Convm que as decises sobre a reteno do risco, sem outras aes adicionais, sejam tomadas tendo como base a avaliao de riscos.
NOTA O tpico ABNT NBR ISO/IEC 27001:2006 4.2.1 f 2) "aceitao do risco, consciente e objetiva, desde que claramente satisfazendo as polticas da organizao e os critrios para aceitao do risco descreve a mesma atividade.
Diretrizes para implementao: Se o nvel de risco atende aos critrios para a aceitao do risco, no h necessidade de se implementar controles adicionais e pode haver a reteno do risco.
9.4 Ao de evitar o risco

Ao: Convm que a atividade ou condio que d origem a um determinado risco seja evitada. Diretrizes para implementao: Quando os riscos identificados so considerados demasiadamente elevados e quando os custos da implementao de outras opes de tratamento do risco excederem os benefcios, pode-se decidir que o risco seja evitado completamente, seja atravs da eliminao de uma atividade planejada ou existente (ou de um conjunto de atividades), seja atravs de mudanas nas condies em que a operao da atividade ocorre. Por exemplo, para riscos causados por fenmenos naturais, pode ser uma alternativa mais rentvel mover fisicamente as instalaes de processamento de informaes para um local onde o risco no existe ou est sob controle.
9.5 Compartilhamento do risco

Ao: Convm que um determinado risco seja compartilhado com outra entidade que possa gerenci-lo de forma mais eficaz, dependendo da avaliao de riscos. Diretrizes para implementao:
35/97
O compartilhamento do risco envolve a deciso de se compartilhar certos riscos com entidades externas. O compartilhamento do risco pode criar novos riscos ou modificar riscos existentes e identificados. Portanto, um novo tratamento do risco pode ser necessrio. O compartilhamento pode ser feito por um seguro que cubra as consequncias ou atravs da subcontratao de um parceiro cujo papel seria o de monitorar o sistema de informao e tomar medidas imediatas que impeam um ataque antes que ele possa causar um determinado nvel de dano ou prejuzo. Convm notar que possvel compartilhar a responsabilidade de gerenciar riscos, entretanto no normalmente possvel compartilhar a responsabilidade legal por um impacto. Os clientes provavelmente iro atribuir um impacto adverso como sendo falha da organizao.
10 Aceitao do risco de segurana da informao

Entrada: O plano de tratamento do risco e o processo de avaliao do risco residual sujeito deciso dos gestores da organizao relativa aceitao do mesmo. Ao: Convm que a deciso de aceitar os riscos seja feita e formalmente registrada, juntamente com a responsabilidade pela deciso (isso se refere ao pargrafo 4.2.1 h) da ABNT NBR ISO/IEC 27001:2006). Diretrizes para implementao: Convm que os planos de tratamento do risco descrevam como os riscos avaliados sero tratados para que os critrios de aceitao do risco sejam atendidos (ver Seo 7.2 Critrios para a aceitao do risco). importante que gestores responsveis faam uma anlise crtica e aprovem, se for o caso, os planos propostos de tratamento do risco, os riscos residuais resultantes e que registrem as condies associadas a essa aprovao. Os critrios para a aceitao do risco podem ser mais complexos do que somente a determinao se o risco residual est, ou no, abaixo ou acima de um limite bem definido. Em alguns casos, o nvel de risco residual pode no satisfazer os critrios de aceitao do risco, pois os critrios aplicados no esto levando em conta as circunstncias predominantes no momento. Por exemplo, pode ser vlido argumentar que preciso que se aceite o risco, pois os benefcios que o acompanham so muito atraentes ou porque os custos de sua modificao so demasiadamente elevados. Tais circunstncias indicam que os critrios para a aceitao do risco so inadequados e convm que sejam revistos, se possvel. No entanto, nem sempre possvel rever os critrios para a aceitao do risco no tempo apropriado. Nesses casos, os tomadores de deciso podem ter que aceitar riscos que no satisfaam os critrios normais para o aceite. Se isso for necessrio, convm que o tomador de deciso comente explicitamente sobre os riscos e inclua uma justificativa para a sua deciso de passar por cima dos critrios normais para a aceitao do risco. Sada: Uma lista de riscos aceitos, incluindo uma justificativa para aqueles que no satisfaam os critrios normais para aceitao do risco.
36/97
11 Comunicao e consulta do risco de segurana da informao

Entrada: Todas as informaes sobre os riscos obtidas atravs das atividades de gesto de riscos (ver Figura 2). Ao: Convm que as informaes sobre riscos sejam trocadas e/ou compartilhadas entre o tomador de deciso e as outras partes interessadas. Diretrizes para implementao: A comunicao do risco uma atividade que objetiva alcanar um consenso sobre como os riscos devem ser gerenciados, fazendo uso para tal da troca e/ou partilha das informaes sobre o risco entre os tomadores de deciso e as outras partes interessadas. A informao inclui, entre outros possveis fatores, a existncia, natureza, forma, probabilidade, severidade, tratamento e aceitabilidade dos riscos. A comunicao eficaz entre as partes interessadas importante, uma vez que isso pode ter um impacto significativo sobre as decises que devem ser tomadas. A comunicao assegurar que os responsveis pela implementao da gesto de riscos, e aqueles com interesses reais de direito, tenham um bom entendimento do por que as decises so tomadas e dos motivos que tornam certas aes necessrias. A comunicao bidirecional. A percepo do risco pode variar devido a diferenas de suposies, conceitos, necessidades, interesses e preocupaes das partes interessadas quando lidam com o risco ou quando tratam das questes sendo aqui discutidas. As partes interessadas iro, provavelmente, fazer julgamentos sobre a aceitabilidade do risco tendo como base sua prpria percepo do risco. Assim, particularmente importante garantir que a percepo do risco das partes interessadas, bem como a sua percepo dos benefcios, sejam identificadas e documentadas e que as razes subjacentes sejam claramente entendidas e consideradas. Convm que a comunicao do risco seja realizada a fim de: Fornecer garantia do resultado da gesto de riscos da organizao Coletar informaes sobre os riscos Compartilhar os resultados do processo de avaliao de riscos e apresentar o plano de tratamento do risco Evitar ou reduzir tanto a ocorrncia quanto as consequncias das violaes da segurana da informao que aconteam devido falta de entendimento mtuo entre os tomadores de deciso e as partes interessadas Dar suporte ao processo decisrio Obter novo conhecimento sobre a segurana da informao Coordenar com outras partes e planejar respostas para reduzir as consequncias de um incidente Dar aos tomadores de deciso e as partes interessadas um senso de responsabilidade sobre riscos
Melhorar a conscientizao Convm que a organizao desenvolva planos de comunicao dos riscos tanto para as operaes rotineiras como tambm para situaes emergenciais. Portanto, convm que a atividade de comunicao do risco seja realizada continuamente. A coordenao entre os principais tomadores de deciso e as partes interessadas pode ser obtida mediante a formao de uma comisso em que os riscos, a sua priorizao, as formas adequadas de trat-los e a sua aceitao possam ser amplamente discutidos. importante cooperar com o escritrio de relaes pblicas ou com o grupo de comunicao apropriado dentro da organizao para coordenar as tarefas relacionadas com a comunicao e consulta do risco. Isso vital no caso de aes de comunicao durante crises, por exemplo: em resposta a incidentes especficos. Sada: Entendimento contnuo do processo de gesto de riscos de segurana da informao da organizao e dos resultados obtidos.
12 Monitoramento e anlise crtica de riscos de segurana da informao

12.1 Monitoramento e anlise crtica dos fatores de risco
Entrada: Todas as informaes sobre os riscos obtidas atravs das atividades de gesto de riscos (ver Figura 2). Ao: Convm que os riscos e seus fatores (isto , valores dos ativos, impactos, ameaas, vulnerabilidades, probabilidade de ocorrncia) sejam monitorados e analisados criticamente, a fim de se identificar, o mais rapidamente possvel, eventuais mudanas no contexto da organizao e de se manter uma viso geral dos riscos. Diretrizes para implementao: Os riscos no so estticos. As ameaas, as vulnerabilidades, a probabilidade ou as consequncias podem mudar abruptamente, sem qualquer indicao. Portanto, o monitoramento constante necessrio para que se detectem essas mudanas. Servios de terceiros que forneam informaes sobre novas ameaas ou vulnerabilidades podem prestar um auxlio valioso. Convm que as organizaes assegurem que os seguintes itens sejam monitorados continuamente: Novos ativos que tenham sido includos no escopo da gesto de riscos Modificaes necessrias dos valores dos ativos, por exemplo, devido mudana nos requisitos de negcio Novas ameaas que podem estar ativas tanto fora quanto dentro da organizao e que no tenham sido avaliadas A possibilidade de que vulnerabilidades novas ou ampliadas venham a permitir que alguma ameaa as explore
38/97
As vulnerabilidades j identificadas, para determinar aquelas que esto se tornando expostas a ameaas novas ou ressurgentes As consequncias ou o impacto ampliado de ameaas, vulnerabilidades e riscos avaliados em conjunto - em um todo agregado, resultando em um nvel inaceitvel de risco Incidentes relacionados segurana da informao Novas ameaas, novas vulnerabilidades e mudanas na probabilidade ou nas consequncias, podem vir a ampliar os riscos anteriormente avaliados como pequenos. Convm que a anlise crtica dos riscos pequenos e aceitos considere cada risco separadamente e tambm em conjunto a fim de avaliar seu impacto potencial agregado. Se os riscos no estiverem dentro da categoria "baixo" ou "aceitvel", convm que eles sejam tratados utilizando-se uma ou mais de uma das opes consideradas na Seo 9. Fatores que afetam a probabilidade ou as consequncias das ameaas j ocorridas podem mudar, assim como os fatores que afetam a adequao ou o custo das vrias opes de tratamento. Convm que qualquer grande mudana que afete a organizao seja seguida por uma anlise crtica mais especfica. Assim sendo, convm que no s as atividades de monitoramento de riscos sejam repetidas regularmente, mas tambm as opes selecionadas para o tratamento do risco sejam periodicamente revistas. O resultado da atividade de monitoramento de riscos pode fornecer os dados de entrada para as atividades de anlise crtica. Convm que a organizao analise critica e regularmente todos os riscos e tambm quando grandes mudanas ocorrerem (de acordo com a ABNT NBR ISO/IEC 27001:2006, Seo 4.2.3)). Sada: Alinhamento contnuo da gesto de riscos com os objetivos de negcios da organizao e com os critrios para a aceitao do risco.
12.2 Monitoramento, anlise crtica e melhoria do processo de gesto de riscos

Entrada: Todas as informaes sobre os riscos obtidas atravs das atividades de gesto de riscos (ver Figura 2). Ao: Convm que o processo de gesto de riscos de segurana da informao seja continuamente monitorado, analisado criticamente e melhorado, quando necessrio e apropriado. Diretrizes para implementao: O monitoramento cotidiano e a anlise crtica so necessrios para assegurar que o contexto, o resultado do processo de avaliao de riscos e do tratamento do risco, assim como os planos de gesto, permaneam relevantes e adequados s circunstncias. Convm que a organizao se certifique que o processo de gesto de riscos de segurana da informao e as atividades relacionadas permaneam apropriadas nas circunstncias presentes. Convm tambm assegurar que as atividades sejam acompanhadas. Convm que quaisquer melhorias ao processo ou quaisquer aes necessrias para melhorar a conformidade com o processo sejam comunicadas aos gestores apropriados, para que se possa ter certeza que nenhum risco ou elemento do risco ser ignorado ou subestimado, que as aes necessrias esto sendo executadas e que as
decises corretas esto sendo tomadas a fim de se garantir uma compreenso realista do risco e a capacidade de reao. Alm disso, convm que a organizao verifique regularmente se os critrios utilizados para medir o risco e os seus elementos ainda so vlidos e consistentes com os objetivos de negcios, estratgias e polticas e se as mudanas no contexto do negcio so adequadamente consideradas durante o processo de gesto de riscos de segurana da informao. Convm que essa atividade de monitoramento e anlise crtica lide com (mas no seja limitada ao(s)): Contexto legal e ambiental Contexto da concorrncia Abordagem do processo de avaliao de riscos Valor e as categorias dos ativos Critrios de impacto Critrios para a avaliao de riscos Critrios para a aceitao do risco Custo total de propriedade Recursos necessrios Convm que a organizao assegure que os recursos necessrios para o processo de avaliao de riscos e o tratamento dos mesmos estejam sempre disponveis para rever os riscos, para lidar com ameaas ou vulnerabilidades novas ou alteradas e para aconselhar a direo da melhor forma possvel. O monitoramento da gesto de riscos pode resultar em modificao ou acrscimo da abordagem, metodologia ou ferramentas utilizadas, dependendo: Das mudanas identificadas Da iterao do processo de avaliao de riscos Do objetivo do processo de gesto de riscos de segurana da informao (por exemplo: a continuidade de negcios, a resilincia diante dos incidentes, a conformidade) Do objeto de interesse do processo de gesto de riscos de segurana da informao (por exemplo, a organizao, a unidade de negcios, o sistema de informao, a sua implementao tcnica, a aplicao, a conexo Internet) Sada: Garantia permanente da relevncia do processo de gesto de riscos de segurana da informao para os objetivos de negcios da organizao ou a atualizao do processo.
40/97
Anexo A (informativo) Definindo o escopo e os limites do processo de gesto de riscos de segurana da informao
A.1 A anlise da organizao

A anlise da organizao Este tipo de anlise destaca os elementos caractersticos que definem a identidade de uma organizao. Ela se preocupa com o propsito, o negcio, a misso, os valores e as estratgias da organizao. Convm que esses elementos sejam identificados ao lado daqueles que contribuem com o seu desenvolvimento (por exemplo: a subcontratao). A dificuldade aqui reside no entendimento exato de como a organizao est estruturada. A identificao de sua real estrutura permite um entendimento do papel e da importncia de cada rea no alcance dos objetivos da organizao. Por exemplo, o fato do gestor da segurana da informao se reportar alta direo ao invs de faz-lo aos gestores de TI pode indicar o envolvimento da alta direo nos assuntos relativos segurana da informao. O propsito principal da organizao O seu propsito pode ser definido como a razo pela qual a organizao existe (sua rea de atividade, seu segmento de mercado etc.). Seu negcio O negcio de uma organizao, definido pelas tcnicas e "know-how" de seus funcionrios, viabiliza o cumprimento de sua misso. especfico rea de atividade da organizao e frequentemente define sua cultura. Sua misso A organizao atinge seu propsito ao cumprir sua misso. Para bem identific-la, convm que os servios prestados e/ou produtos manufaturados sejam relacionados aos seus pblicos-alvos. Seus valores Valores consistem de princpios fundamentais ou de um cdigo de conduta bem definido, aplicados na rotina de um negcio. Podem incluir os recursos humanos, as relaes com agentes externos (clientes e outros), a qualidade dos produtos fornecidos ou dos servios prestados. Tomemos o exemplo de uma organizao cujo propsito seja o servio pblico, cujo negcio seja o transporte e cuja misso inclua o transporte de crianas de ida e de volta da escola. Os seus valores poderiam ser a pontualidade do servio e a segurana durante o transporte. A estrutura da organizao Existem diferentes tipos de estrutura: Estrutura departamental baseada em divises ou reas: cada diviso fica sob a autoridade de um gestor de rea responsvel pelas decises estratgicas, administrativas e operacionais relativas a sua unidade.
41/97
Estrutura baseada em funes: a autoridade relativa a cada funo exercida na forma dos procedimentos adotados, na determinao da natureza do trabalho e algumas vezes nas decises e no planejamento (por exemplo: produo, TI, recursos humanos, marketing etc.). Notas: Uma rea, em uma organizao com estrutura departamental, pode estruturar-se baseando-se em suas funes e vice-versa Uma organizao pode ser considerada como de estrutura matricial se possuir caractersticas de ambos os tipos de estrutura.
Em qualquer tipo de estrutura organizacional, os seguintes nveis podem ser distinguidos: o nvel de tomada de deciso (estabelecimento da orientao estratgica); o nvel da liderana (coordenao e gerenciamento); o nvel operacional (produo e atividades de apoio).
Organograma A estrutura da organizao esquematizada em seu organograma. Convm que essa representao deixe claro quem se reporta a quem, destacando tambm a linha de comando que legitimiza a delegao de autoridade. Convm que inclua tambm outros tipos de relacionamentos, os quais, mesmo que no sejam baseados em uma autoridade oficial, criam de qualquer forma caminhos para o fluxo de informao. A estratgia da organizao Ela requer a expresso formalizada dos princpios que norteiam a organizao. A estratgia determina a direo e o desenvolvimento necessrios para que a organizao possa se beneficiar das questes em pauta e das principais mudanas sendo planejadas.
A.2 Restries que afetam a organizao

Convm que todas as restries que afetam a organizao e determinam o direcionamento da segurana da informao sejam consideradas. As suas origens podem ser encontradas na prpria organizao, o que lhe d um certo controle sobre as restries ou talvez sejam externas organizao, o que as tornariam, provavelmente, "inegociveis". Recursos limitados (oramento, recursos humanos) e restries ligadas a emergncias esto entre as mais importantes. A organizao define seus objetivos (relativos ao seu negcio, comportamento etc.) e compromete-se a seguir um determinado caminho, possivelmente por um longo perodo. Ela define aquilo na qual deseja se tornar e tambm os meios necessrios para que tal possa ocorrer. Para especificar esse caminho, a organizao considera a evoluo das tcnicas e do know-how disponveis, assim como a vontade expressa de seus usurios, clientes, entre outros fatores. Esse objetivo pode ser expresso na forma de estratgias de operao ou de desenvolvimento com o fim de, por exemplo, cortar custos operacionais, melhorar a qualidade do servio etc. Essas estratgias provavelmente abrangem as informaes e os sistemas de informao (SI), os quais auxiliam a aplicao das estratgias. Consequentemente, as caractersticas relacionadas identidade, misso e estratgias da organizao so elementos fundamentais para a anlise do problema, pois a violao de qualquer aspecto da segurana da informao pode resultar na reformulao desses
objetivos estratgicos. Alm disso, essencial que propostas de novos requisitos de segurana da informao sejam consistentes com as regras, o uso e os meios empregados na organizao. A lista de restries inclui, mas no limitada a: Restries de natureza poltica Estas dizem respeito administrao governamental, s instituies pblicas ou, genericamente, a qualquer organizao que precise aplicar decises governamentais. Normalmente, trata-se de decises relativas orientao estratgica ou operacional determinada por uma rea do governo ou por uma entidade responsvel pelo processo decisrio e convm que sejam aplicadas. Por exemplo, a informatizao de notas fiscais ou de documentos administrativos introduz questes de segurana da informao. Restries de natureza estratgica Restries podem surgir de mudanas, sejam planejadas ou no, na estrutura ou na orientao da organizao. Elas so representadas nos planos estratgicos ou operacionais da organizao. Por exemplo, a cooperao internacional para o compartilhamento de informaes sensveis pode demandar acordos sobre a troca segura de dados. Restries territoriais A estrutura e/ou o propsito da organizao pode implicar restries, tais como com relao escolha de sua localizao e distribuio geogrfica, no pas e no estrangeiro. Exemplos incluem os servios postais, embaixadas, bancos, subsidirias de conglomerados industriais etc. Restries advindas do ambiente econmico e poltico A operao de uma organizao pode ser transtornada por eventos especficos, tais como greves ou crises nacionais e internacionais. Por exemplo, convm garantir a continuidade da prestao de alguns servios mesmo em caso de crises. Restries estruturais A natureza da estrutura de uma organizao (departamental, funcional ou outra qualquer) pode levar a uma poltica de segurana da informao e a uma organizao responsvel pela segurana, adaptadas a essa estrutura. Por exemplo, convm que uma estrutura internacional seja capaz de conciliar requisitos de segurana especficos de cada pas. Restries funcionais
43/97
Restries funcionais so aquelas derivadas diretamente da misso da organizao (seja nos seus aspectos gerais, seja nos especficos). Por exemplo, convm que uma organizao que opera 24 horas por dia seja capaz de assegurar que seus recursos estaro sempre disponveis. Restries relativas aos recursos humanos A natureza dessas restries varia consideravelmente. Esto associadas ao: nvel de responsabilidade, tipo de recrutamento, qualificao, treinamento, conscientizao em segurana, motivao, disponibilidade etc. Por exemplo, convm que todos os recursos humanos de uma organizao de defesa do pas tenham autorizao para manipular informaes altamente sigilosas. Restries advindas da agenda da organizao Esse tipo de restrio resulta, por exemplo, da reestruturao ou da definio de novas polticas nacionais ou internacionais que imponham algumas datas limites. Por exemplo, a criao de uma rea de segurana. Restries relacionadas a mtodos Mtodos apropriados para o know-how da organizao precisaro ser impostos com relao a alguns tpicos, tais como o planejamento, a especificao e o desenvolvimento de projetos, entre outros. Por exemplo, uma restrio desse tipo bastante comum a necessidade das obrigaes legais da organizao serem incorporadas poltica de segurana. Restries de natureza cultural Em algumas organizaes, hbitos de trabalho ou as caractersticas do negcio do origem a uma "cultura" especfica da organizao, a qual pode ser incompatvel com o estabelecimento de controles de segurana. Essa cultura usada pelos recursos humanos como sua principal referncia e pode ser determinada por vrios aspectos, incluindo educao, instruo, experincia profissional, experincia fora do trabalho, opinies, filosofia, crenas, status social etc. Restries oramentrias Os controles de segurana recomendados podem, algumas vezes, ter um alto custo. Apesar de no ser sempre apropriado ter apenas a taxa de custo-benefcio como base para os investimentos em segurana, uma justificativa econmica normalmente necessria para o departamento financeiro da organizao. Por exemplo, no setor privado e em algumas organizaes pblicas, convm que o custo total dos controles de segurana no exceda o custo potencial das possveis consequncias dos riscos. Assim, convm que a alta direo avalie os riscos e aceite uma parcela deles de forma consciente e calculada, para se evitar custos excessivos em segurana.
44/97
A.3 Referncias legais e regulamentares aplicveis organizao

Convm que os requisitos regulatrios aplicveis organizao sejam identificados. Eles consistem das leis, decretos, regulamentaes especficas que dizem respeito rea de atividade da organizao ou regulamentos internos e externos. Englobam tambm contratos, acordos e, mais genericamente, qualquer obrigao de natureza legal ou regulatria.
A.4 Restries que afetam o escopo

Ao identificar as restries possvel enumerar aquelas que causam um impacto no escopo e determinar quais so passveis de interveno. Elas complementam e talvez venham a corrigir as restries da organizao discutidas mais acima. Os pargrafos a seguir apresentam uma lista de tipos de restries, sem esgotar todas as possibilidades. Restries derivadas de processos pr-existentes Projetos de aplicaes no so desenvolvidos necessariamente de forma simultnea. Alguns dependem de processos pr-existentes. Mesmo que um processo possa ser quebrado em subprocessos, o processo no obrigatoriamente influenciado por todos os subprocessos de um outro processo. Restries tcnicas Restries tcnicas, relativas infraestrutura, surgem normalmente em funo do software e hardware instalados e dos aposentos e instalaes em que eles se encontram: Arquivos (requisitos referentes organizao, gesto de mdia, gerenciamento de regras de acesso etc.) Arquitetura comum (requisitos referentes topologia - centralizada, distribuda ou do tipo clienteservidor, arquitetura fsica etc.) Software aplicativo (requisitos referentes aos projetos de software especfico, padres de mercado etc.) Software de prateleira (requisitos referentes a padres, nvel de avaliao, qualidade, conformidade com normas, segurana etc.) Hardware (requisitos referentes a padres, qualidade, conformidade com normas etc.) Redes de comunicao (requisitos referentes cobertura, padres, capacidade, confiabilidade etc.) Infraestrutura predial (requisitos referentes engenharia civil, construo, alta voltagem, baixa voltagem etc.) Restries financeiras A implementao de controles de segurana frequentemente limitada pelo oramento que a organizao pode comprometer para tal. Entretanto, convm que restries financeiras sejam consideradas por ltimo j que alocaes oramentrias para segurana podem ser negociadas tendo como base a anlise da prpria segurana.
Restries ambientais Restries ambientais surgem em funo do ambiente geogrfico ou econmico no qual os processos so implementados: pas, clima, riscos naturais, situao geogrfica, ambiente econmico etc. Restries temporais Convm que o tempo requerido para a implementao de controles de segurana seja considerado em relao capacidade de atualizao do sistema de informao; se a implementao for muito demorada, os riscos para os quais os controles foram projetados podem j ter mudado. O tempo um fator determinante na seleo de solues e prioridades. Restries relacionadas a mtodos Convm que mtodos apropriados para o know-how da organizao sejam utilizados para o planejamento, a especificao e o desenvolvimento de projetos, entre outros. Restries organizacionais Vrias restries podem ser causadas por requisitos de ordem organizacional: Operao (requisitos referentes ao "tempo gasto na produo", fornecimento de servios, vigilncia, monitoramento, planos em caso de emergncia, operao reduzida etc.) Manuteno (requisitos para a investigao e soluo de incidentes, aes preventivas, correo rpida etc.) Gesto de recursos humanos (requisitos referentes ao treinamento de operadores e usurios, qualificao para cargos como administrador de sistema ou de dados etc.) Gerenciamento administrativo (requisitos referentes a responsabilidades etc.) Gerenciamento do desenvolvimento (requisitos referentes a ferramentas de desenvolvimento, engenharia de software assistida por computador, cronograma de aceite, organizao a ser estabelecida etc.) Gerenciamento de relacionamentos externos (requisitos referentes organizao das relaes com terceiros, contratos etc.)
46/97
Anexo B (informativo) Identificao e valorao dos ativos e avaliao do impacto
B.1 Exemplos de identificao de ativos

Para estabelecer o valor de seus ativos, uma organizao precisa primeiro identific-los (num nvel de detalhamento adequado). Dois tipos de ativos podem ser distinguidos: Ativos primrios: Processos e atividades do negcio Informao Ativos de suporte e infraestrutura (sobre os quais os elementos primrios do escopo se apoiam), de todos os tipos: Hardware Software Rede Recursos humanos Instalaes fsicas A estrutura da organizao
B.1.1 Identificao dos ativos primrios Para permitir a descrio do escopo de forma precisa, essa atividade consiste na identificao dos ativos primrios (processos e atividades do negcio, informao). A identificao conduzida por um grupo misto de trabalho que represente o processo (gestores, especialistas nos sistemas de informao e usurios). Os ativos primrios normalmente consistem dos principais processos e informaes das atividades includas no escopo. Outros ativos primrios, tais como os processos da organizao, podem tambm ser considerados, os quais sero teis para a elaborao da poltica de segurana da informao ou do plano de continuidade de negcios. Dependendo de seus propsitos, alguns estudos no iro demandar uma anlise exaustiva de todos os elementos presentes no escopo. Nesses casos, o estudo pode ser limitado aos elementos chave includos no escopo. Os ativos primrios so de dois tipos:
1 - Processos (ou subprocessos) e atividades do negcio, por exemplo: Processos cuja interrupo, mesmo que parcial, torna impossvel cumprir a misso da organizao Processos que contm procedimentos secretos ou processos envolvendo tecnologia proprietria Processos que, se modificados, podem afetar significativamente o cumprimento da misso da organizao Processos necessrios para que a organizao fique em conformidade com requisitos contratuais, legais ou regulatrios 2 Informao Genericamente, informao primria compreende: Informao vital para o cumprimento da misso de uma organizao ou para o desempenho de seu negcio Informao de carter pessoal, da forma em que definida nas leis nacionais referentes privacidade Informao estratgica necessria para o alcance dos objetivos determinados pelo direcionamento estratgico Informao de alto custo, cuja coleta, armazenamento, processamento e transmisso demanda um longo tempo ou incorre em um alto custo de aquisio Processos e informao que no so identificadas como sensveis aps essa atividade no recebero uma classificao especfica durante o restante do estudo. Isso significa que a organizao ir cumprir sua misso com sucesso mesmo no caso desses processos e informao terem sido comprometidos. Entretanto, eles iro frequentemente herdar controles implementados para a proteo de processos e informao identificados como sensveis. B.1.2 Lista e descrio de ativos de suporte Convm que o escopo consista de ativos que podem ser identificados e descritos. Esses ativos apresentam vulnerabilidades que podem ser exploradas por ameaas cujo objetivo comprometer os ativos primrios do escopo (processos e informao). Eles so de vrios tipos: Hardware O tipo hardware compreende os elementos fsicos que do suporte aos processos. Equipamento de processamento de dados (ativo) Equipamento automtico de processamento de dados incluindo os itens necessrios para sua operao independente. Equipamento mvel
Computadores portteis. Exemplos: laptops, agendas eletrnicas (Personal Digital Assistants - PDAs). Equipamento fixo Computadores utilizados nas instalaes da organizao. Exemplos: servidores, microcomputadores utilizados como estaes de trabalho. Perifricos de processamento Equipamento conectado a um computador atravs de uma porta de comunicao (serial, paralela etc.) para a entrada, o transporte ou a transmisso de dados. Exemplos: impressoras, unidades de disco removvel. Mdia de dados (passiva) Este tipo compreende a mdia para o armazenamento de dados ou funes. Mdia eletrnica Uma mdia com informaes que pode ser conectada a um computador ou a uma rede de computadores para o armazenamento de dados. Apesar de seu tamanho reduzido, esse tipo de mdia pode conter um grande volume de dados e pode ser utilizada com equipamentos computadorizados comuns. Exemplos: disco flexvel, CD ROM, cartucho de back-up, unidade de disco removvel, carto de memria, fita. Outros tipos de mdia Mdia esttica, no-eletrnica, contendo dados. Exemplos: papel, slides, transparncias, documentao, fax. Software O tipo software compreende todos os programas que contribuem para a operao de um sistema de processamento de dados. Sistema operacional Este tipo inclui os programas que fornecem as operaes bsicas de um computador, a partir das quais os outros programas (servios e aplicaes) so executados. Nele encontramos um ncleo ("kernel") e as funes ou servios bsicos. Dependendo de sua arquitetura, um sistema operacional pode ser monoltico ou formado por um "micro-kernel" e um conjunto de servios do sistema. Os principais elementos de um sistema operacional so os servios de gerenciamento do equipamento (CPU, memria, disco e interfaces de rede), os de gerenciamento de tarefas ou processos e os servios de gerenciamento de direitos de usurio.
Software de servio, manuteno ou administrao Software caracterizado pelo fato de servir como complemento dos servios do sistema operacional e no estar diretamente a servio dos usurios ou aplicaes (apesar de ser, normalmente, essencial e at mesmo indispensvel para a operao do sistema de informao como um todo). Software de pacote ou de prateleira Software de pacote ou software-padro aquele que comercializado como um produto completo (e no como um servio de desenvolvimento especfico) com mdia, verso e manuteno. Ele fornece servios para usurios e aplicaes, mas no personalizado ou especfico como, por exemplo, aplicaes de negcio o so. Exemplos: software para o gerenciamento de bases de dados, software de mensagens eletrnicas, "groupware" (software de gerenciamento de fluxo de trabalho), software de diretrio, servidores web etc. Aplicaes de negcio Aplicaes de negcio padronizadas Este tipo de software comercial projetado para dar aos usurios acesso direto a servios e funes que eles demandam de seus sistemas de informao, em funo das reas em que atuam profissionalmente. Existe uma gama enorme, teoricamente ilimitada, de campos de atuao. Exemplos: software de contabilidade, software para o controle de maquinrio, software para administrao do relacionamento com clientes, software para gesto de competncias dos recursos humanos, software administrativo etc. Aplicaes de negcio especficas Vrios aspectos desse tipo de software (principalmente o suporte, a manuteno e a atualizao de verses etc.) so desenvolvidos especificamente para dar aos usurios acesso direto aos servios e funes que eles demandam de seus sistemas de informao. Existe uma gama enorme, teoricamente ilimitada, de reas em que esse tipo de software encontrado. Exemplos: Administrao das notas fiscais de clientes para as operadoras de telecomunicao, aplicao para monitoramento em tempo real do lanamento de foguetes. Rede O tipo rede compreende os dispositivos de telecomunicao utilizados para interconectar computadores ou quaisquer outros elementos remotos de um sistema de informao. O meio fsico e a infraestrutura
50/97
Os equipamentos de comunicao ou de telecomunicao so identificados principalmente pelas suas caractersticas fsicas e tcnicas (ponto-a-ponto, de "broadcast") e pelos protocolos de comunicao utilizados (na camada de enlace de dados ou na camada de rede - nveis 2 e 3 do modelo OSI de 7 camadas). Exemplos: Rede telefnica pblica comutada ("Public Switching Telephone Network" ou PSTN), "Ethernet", "GigabitEthernet", Linha digital assimtrica para assinante ("Asymmetric Digital Subscriber Line" ou ADSL), especificaes de protocolo para comunicao sem fio (por exemplo, o WiFi 802.11), "Bluetooth", "FireWire". Pontes ("relays") passivas ou ativas Este subtipo no compreende os dispositivos que ficam nas extremidades lgicas da conexo (na perspectiva do sistema de informao), mas sim os que so intermedirios no processo de comunicao, repassando o trfego. Pontes so caracterizadas pelos protocolos de comunicao de rede com os quais funcionam. Alm da funo bsica de repasse do trfego, elas frequentemente so dotadas da capacidade de roteamento e/ou de servios de filtragem, com o emprego de comutadores de comunicao ("switches") e roteadores com filtros. Com frequncia, elas podem ser administradas remotamente e so normalmente capazes de gerar arquivos de auditoria ("logs"). Exemplos: pontes ("bridges"), roteadores, "hubs", comutadores ("switches"), centrais telefnicas automticas. Interface de Comunicao As interfaces de comunicao conectadas s unidades de processamento so, porm, caracterizadas pela mdia e protocolos com os quais funcionam; pelos servios de filtragem, de auditoria e de alerta instalados, se houver, e por suas funcionalidades; e pela possibilidade e requisitos de administrao remota. Exemplos: Servio Geral de Pacotes por Rdio ("General Packet Radio Service" ou GPRS), adaptador "Ethernet". Recursos humanos O tipo recursos humanos compreende todas as classes de pessoas envolvidas com os sistemas de informao. Tomador de deciso Tomadores de deciso so aqueles responsveis pelos ativos primrios (informao e processos) e os gestores da organizao ou, se for o caso, de um projeto especfico. Exemplos: alta direo, lderes de projeto. Usurios Usurios so recursos humanos que manipulam material sensvel no curso de suas atividades e que, portanto, possuem uma responsabilidade especial nesse contexto. Eles
podem ter direitos especiais de acesso aos sistemas de informao para desempenhar suas atividades rotineiras. Exemplos: gestores da rea de recursos humanos, gerentes financeiros, gestores dos riscos. Pessoal de produo/manuteno Estes so os recursos humanos responsveis pela operao e manuteno dos sistemas de informao. Eles possuem direitos especiais de acesso aos sistemas de informao para desempenhar suas atividades rotineiras. Exemplos: administradores de sistema; administradores de dados; operadores de backup, Help Desk e de instalao de aplicativos; especialistas em segurana. Desenvolvedores Desenvolvedores so responsveis pelo desenvolvimento dos sistemas aplicativos da organizao. Eles possuem acesso com alto privilgio a uma parte dos sistemas de informao, mas no interferem com os dados de produo. Exemplos: Desenvolvedores de aplicaes de negcio Instalaes fsicas O tipo instalaes compreende os lugares onde encontramos o escopo (ou parte dele) e os meios fsicos necessrios para as operaes nele contidas. Localidade Ambiente externo Compreende as localidades em que as medidas de segurana de uma organizao no podem ser aplicadas. Exemplos: os lares das pessoas, as instalaes de outra organizao, o ambiente externo ao local da organizao (reas urbanas, zonas perigosas). Edificaes Esse lugar limitado pelo permetro externo da organizao, isto por aquilo que fica em contato direto com o exterior. Isso pode ser uma linha de proteo fsica formada por barreiras ou por mecanismos de vigilncia ao redor dos prdios. Exemplos: estabelecimentos, prdios. Zona
52/97
Uma zona limitada por linhas de proteo fsica que criam parties dentro das instalaes da organizao. obtida por meio da criao de barreiras fsicas ao redor das reas com a infraestrutura de processamento de informaes da organizao. Exemplos: escritrios, reas de acesso restrito, zonas de segurana. Servios essenciais Todos os servios necessrios para que os equipamentos da organizao possam operar normalmente. Comunicao Servios de telecomunicao e equipamento fornecido por uma operadora. Exemplos: linha telefnica, PABX, redes internas de telefonia. Servios de Infraestrutura Servios e os meios (alimentao e fiao) necessrios para o fornecimento de energia eltrica aos equipamentos de tecnologia da informao e aos seus perifricos. Exemplos: fonte de alimentao de baixa tenso, inversor, central de circuitos eltricos. Fornecimento de gua Saneamento e esgoto Servios e os meios (equipamento, controle) para refrigerao e purificao do ar. Exemplos: tubulao de gua refrigerada, ar condicionados. Organizao O tipo organizao descreve a estrutura da organizao, compreendendo as hierarquias de pessoas voltadas para a execuo de uma tarefa e os procedimentos que controlam essas hierarquias. Autoridades Essas so as organizaes de onde a organizao em questo obtm sua autoridade . Elas podem ser legalmente afiliadas ou ter um carter mais externo. Isso impe restries organizao em questo com relao a regulamentos, decises e aes. Exemplos: corpo administrativo, sede da organizao. A estrutura da organizao Compreende os vrios ramos da organizao, multidisciplinares, sob controle de sua direo. incluindo suas atividades
53/97
Exemplos: gesto de recursos humanos, gesto te TI, gesto de compras, gerenciamento de unidade de negcio, servio de segurana predial, servio de combate a incndios, gerenciamento da auditoria. Organizao de projeto ou servio Compreende a organizao montada para um projeto ou servio especfico. Exemplos: projeto de desenvolvimento de uma nova aplicao, projeto de migrao de sistema de informao. Subcontratados / Fornecedores / Fabricantes Essas so organizaes que fornecem servios ou recursos para a organizao em questo segundo os termos de um contrato. Exemplos: empresa de gerenciamento de instalaes, empresa prestadora de servios terceirizados, empresas de consultoria.
B.2 Valorao dos Ativos

O passo seguinte, aps a identificao do ativo, determinar a escala de medida a ser usada e os critrios que permitam posicionar um ativo no seu correto lugar nessa escala, em funo de seu valor. Devido diversidade de ativos encontrados em uma organizao, provvel que alguns deles, aqueles que possuem um valor monetrio conhecido, possam ser avaliados atravs da moeda corrente local, enquanto outros ativos, aqueles com um valor expresso em termos qualitativos, talvez precisem ser avaliados atravs de uma lista de valores a serem selecionados, por exemplo: "muito baixo", "muito alto" etc. A deciso de se usar uma escala quantitativa ao invs de uma qualitativa (ou vice-versa) depende da preferncia da organizao, porm convm que seja pertinente aos ativos em avaliao. Ambos os tipos de avaliao podem ser utilizados para se determinar o valor de um mesmo ativo. Termos comuns usados em avaliaes qualitativas do valor de ativos incluem expresses como as seguintes: insignificante, muito pequeno, pequeno, mdio, alto, muito alto, e crtico. A escolha e o leque de termos adequados a uma organizao depende muito da sua necessidade de segurana, do seu tamanho, e de outros aspectos especficos da organizao. Critrios Convm que os critrios utilizados como base para atribuio do valor para cada ativo sejam redigidos de forma objetiva e sem ambiguidades. Esse um dos aspectos mais difceis da valorao dos ativos j que o valor de alguns deles talvez precise ser determinado de forma subjetiva, e tambm porque provavelmente vrias pessoas participaro do processo. Entre os possveis critrios utilizados para determinar o valor de um ativo esto: o seu custo original e o custo de sua substituio ou de sua recriao. Por outro lado, seu valor pode ser abstrato, por exemplo: o valor da reputao de uma organizao. Um outro enfoque para a valorao dos ativos considerar os custos decorridos da perda da confidencialidade, integridade e disponibilidade resultante de um incidente. Convm que a garantia de no-repdio e de responsabilizao, a autenticidade e a confiabilidade, se apropriadas, tambm sejam consideradas. Tal enfoque acrescenta uma dimenso muito importante atribuio do valor de um ativo, alm do custo de sua substituio, pois considera as consequncias adversas ao negcio
causadas por incidentes de segurana, tendo como premissa um conjunto determinado de circunstncias. Convm ressaltar tambm que as consequncias que esse enfoque identifica precisaro ser consideradas durante o processo de avaliao de riscos. Muitos ativos, durante o curso da avaliao, podem acabar recebendo vrios valores. Por exemplo: um plano de negcios pode ser avaliado em funo do esforo despendido no seu desenvolvimento, pode ter seu valor atribudo em funo do trabalho de entrar com os dados, e pode ainda ser valorado de acordo com seu valor para um competidor. Provavelmente, os valores atribudos sero consideravelmente diferentes. O valor atribudo pode ser o maior valor encontrado, a soma de alguns ou mesmo de todos os possveis valores. Em ltima anlise, convm pensar cuidadosamente quais ou qual valor so associados a um ativo, pois o valor final atribudo far parte do processo de determinao dos recursos a serem investidos na proteo do ativo. Definio de um denominador comum Ao final do processo, a valorao dos ativos precisa ter como base um denominador comum. Isso pode ser feito com a ajuda de critrios como os que se seguem. Critrios que podem ser utilizados para estimar as possveis consequncias resultantes da perda de confidencialidade, integridade, disponibilidade, assim como da capacidade de garantir o no-repdio, a responsabilizao, a autenticidade, e a confiabilidade, so os seguintes: Violao da legislao e/ou das regulamentaes Reduo do desempenho do negcio Perda de valor de mercado/efeito negativo sobre a imagem e a reputao Violao de segurana relacionada a informaes pessoais O perigo ocasionado segurana fsica das pessoas Efeitos negativos relacionados execuo da lei Violao de confidencialidade Violao da ordem pblica Perda financeira Interrupo de atividades do negcio O perigo ocasionado segurana ambiental Um outro mtodo para avaliar as consequncias poderia levar em conta o seguinte: Interrupo dos servios incapacidade de prestar os servios Perda da confiana do cliente
perda da credibilidade no sistema interno de informao dano reputao Interrupo de operao interna descontinuidade dentro da prpria organizao custo interno adicional Interrupo da operao de terceiros: descontinuidade das transaes entre a organizao e terceiros vrios tipos de prejuzos ou danos Infrao de leis / regulamentaes: incapacidade de cumprir obrigaes legais Violao de clusulas contratuais incapacidade de cumprir obrigaes contratuais Perigo ocasionado segurana fsica dos recursos humanos / usurios: perigo para os recursos humanos e usurios da organizao Ataque vida privada de usurios Perda financeira Custos financeiros para emergncias, reposio e consertos: em termos de recursos humanos, em termos de equipamentos, em termos de estudo, relatrios de especialistas Perda de bens/fundos/ativos Perda de clientes, perda de fornecedores Procedimentos e penalidades judiciais Perda de vantagem competitiva Perda da liderana tecnolgica/tcnica Perda de eficcia/confiana
Perda da reputao tcnica Enfraquecimento da capacidade de negociao Crise industrial (greves) Crise governamental Rejeio Dano material Esses critrios exemplificam os temas a serem considerados durante a valorao de ativos. Para a execuo desse tipo de avaliao, uma organizao precisa selecionar os critrios que sejam relevantes para o seu tipo de negcio e para os seus requisitos de segurana. Isso pode significar que alguns dos critrios listados acima no sejam aplicveis, e que outros talvez precisem ser adicionados lista. Escala de medio Aps estabelecer os critrios a serem considerados, convm que a organizao adote uma escala de medio para ser utilizada em todas as suas reas. O primeiro passo definir a quantidade de nveis da escala. No existem regras a respeito de qual seria o nmero de nveis mais adequado. Quanto mais nveis, maior a granularidade da medio, porm uma diferenciao muito tnue torna difcil garantir a consistncia das avaliaes realizadas nas diversas reas da organizao. Normalmente, qualquer quantidade de nveis entre 3 (por exemplo: baixo, mdio e alto) e 10 pode ser utilizada, desde que ela seja consistente com a abordagem que a organizao esteja usando para o processo de avaliao de riscos como um todo. Uma organizao pode definir seus prprios limites para os valores de seus ativos, tais como 'baixo', 'mdio' e 'alto'. Convm que esses limites sejam estimados de acordo com o critrio selecionado (por exemplo, para possveis perdas financeiras, convm que eles sejam estabelecidos atravs de valores monetrios; porm, para outros tipos de fatores, tais como o perigo ocasionado segurana fsica das pessoas, uma estimativa monetria pode ser por demais complexa e no apropriada a muitas organizaes). Por ltimo, cabe inteiramente organizao a deciso a respeito do que considerado de 'pequena', 'mdia' ou 'grande' consequncia. Uma consequncia desastrosa para uma pequena organizao pode ser pequena ou mesmo insignificante para uma grande organizao. Dependncias Quanto mais relevantes e numerosos os processos de negcio apoiados por um ativo, maior o seu valor. Convm que a dependncia de ativos a processos de negcio e a outros ativos tambm seja identificada, pois ela pode influenciar os valores dos ativos. Por exemplo: convm garantir a confidencialidade dos dados durante todo o seu ciclo de vida, inclusive durante o seu armazenamento e processamento. Em outras palavras, convm que os requisitos de segurana para o armazenamento de dados e para os programas que fazem o processamento correspondam ao valor da confidencialidade dos dados armazenados e processados. Da mesma forma, se um processo de negcios depende da integridade dos dados gerados por um programa, convm que os dados de entrada passados para o programa sejam confiveis. Mais importante do que isso, a integridade da informao depender do hardware e software utilizados para seu armazenamento e processamento. Adicionalmente, o hardware depender do suprimento de energia e, possivelmente, do ar condicionado. Assim, informaes sobre
dependncias sero de grande ajuda na identificao de ameaas e, em particular, de vulnerabilidades. Alm disso, ajudaro a assegurar que o real valor dos ativos (considerando as relaes de dependncia) ser-lhes- atribudo, dessa forma indicando o nvel de proteo apropriado. Convm que os valores dos ativos dos quais outros ativos dependem sejam modificados da seguinte maneira: Se os valores dos ativos dependentes (por exemplo: os dados) forem menores ou iguais ao valor do ativo em questo (por exemplo: o software), o valor desse ltimo permanece o mesmo Se os valores dos ativos dependentes (por exemplo: os dados) forem maiores do que o valor do ativo em questo (por exemplo: o software), convm que o valor desse ltimo aumente de acordo com: O grau de dependncia Os valores dos outros ativos
Uma organizao pode possuir alguns ativos que so disponibilizados mais de uma vez, tais como cpias de programas de software ou o tipo de computador usado na maioria dos escritrios. importante levar em conta esse fato quando estiver sendo executada a valorao dos ativos. Por um lado, esses ativos so facilmente ignorados e, por isso, convm que se tenha um cuidado especial em identific-los todos. Por outro lado, eles podem ser usados para minimizar problemas ligados falta de disponibilidade. Sada O resultado final dessa etapa a lista de ativos e respectivos valores relativos divulgao indevida de informaes (preservao da confidencialidade), a modificaes no autorizadas (garantia de integridade, autenticidade, no-repdio e responsabilizao), indisponibilidade e destruio do ativo (preservao de sua disponibilidade e confiabilidade), e ao custo de sua reposio.
B.3 Avaliao do Impacto

Um incidente envolvendo a segurana da informao pode trazer consequncias a vrios ativos ou apenas a parte de um nico ativo. O impacto est relacionado medida do sucesso do incidente. Por conseguinte, existe uma diferena importante entre o valor do ativo e o impacto resultante do incidente. Considera-se que o impacto tem um efeito imediato (operacional) ou uma consequncia futura (relativa ao negcio como um todo), a qual inclui aspectos financeiros e de mercado. O impacto imediato (operacional) pode ser direto ou indireto. Direto: a) O valor financeiro de reposio do ativo perdido (ou parte dele) b) O custo de aquisio, configurao e instalao do novo ativo ou do back-up c) O custo das operaes suspensas devido ao incidente at que o servio prestado pelos ativos afetados seja restaurado.
d) Consequncias resultantes de violaes da segurana da informao Indireto: a) Custo de oportunidade (recursos financeiros necessrios para repor ou reparar um ativo poderiam estar sendo utilizados para outro fim) b) O custo das operaes interrompidas c) Mau uso das informaes obtidas atravs da violao da segurana d) Violao de obrigaes estatutrias ou regulatrias e) Violao dos cdigos ticos de conduta Dessa forma, a primeira avaliao (sem controles de qualquer tipo) resultar em uma estimativa do impacto muito prxima aos valores (combinados) dos ativos afetados. Para qualquer outra iterao que se faa relativa a esses ativos, o impacto ser diferente (normalmente muito menor) devido presena e eficcia dos controles implementados.
59/97
Anexo C (informativo) Exemplos de ameaas comuns

A Tabela contm exemplos de ameaas tpicas. A lista na Tabela pode ser usada durante o processo de avaliao das ameaas. Ameaas podem ser intencionais, acidentais ou de origem ambiental (natural) e podem resultar, por exemplo, no comprometimento ou na paralisao de servios essenciais. A lista tambm indica, para cada tipo de ameaa, se ela pode ser considerada I (intencional), A (acidental) ou N (natural). A letra I utilizada para indicar as aes intencionais direcionadas contra os ativos de informao; a letra A usada para indicar as aes de origem humana que podem comprometer acidentalmente os ativos de informao; e a letra N utilizada para todos os incidentes que no so provocados pela ao dos seres humanos. Os grupos de ameaas no so apresentados em ordem de prioridade.
Tipo
Dano fsico
Eventos naturais
Paralisao de servios essenciais Distrbio causado por radiao
Comprometimento da informao
Ameaas Fogo gua Poluio Acidente grave Destruio de equipamento ou mdia Poeira, corroso, congelamento Fenmeno climtico Fenmeno ssmico Fenmeno vulcnico Fenmeno Meteorolgico Inundao Falha do ar condicionado ou do sistema de suprimento de gua Interrupo do suprimento de energia Falha do equipamento de telecomunicao Radiao eletromagntica Radiao trmica Pulsos eletromagnticos Interceptao de sinais de interferncia comprometedores Espionagem distncia Escuta no autorizada Furto de mdia ou documentos Furto de equipamentos Recuperao de mdia reciclada ou descartada Divulgao indevida Dados de fontes no confiveis Alterao do hardware Alterao do software Determinao da localizao
Origem A, I, N A, I, N A, I, N A, I, N A, I, N A, I, N N N N N N A, I A, I, N A, I A, I, N A, I, N A, I, N I I I I I I A, I A, I I A, I I
60/97
Tipo
Ameaas Falha de equipamento Defeito de equipamento Saturao do sistema de informao Defeito de software Violao das condies de uso do sistema de informao que possibilitam sua manuteno Uso no autorizado de equipamento Cpia ilegal de software Uso de cpias de software falsificadas ou ilegais Comprometimento dos dados Processamento ilegal de dados Erro durante o uso Abuso de direitos Forjamento de direitos Repdio de Aes Indisponibilidade de recursos humanos
Falhas tcnicas
Origem A A A, I A A, I I I A, I I I A A, I I I A, I, N
Aes no autorizadas
Comprometimento de funes
Convm que ateno especial seja dada s fontes de ameaas representadas por seres humanos. A Tabela C.2 enumera essas fontes:
Origem das Ameaas
Hacker, cracker
Motivao
Desafio Ego Rebeldia Status Dinheiro
Possveis Consequncias
Hacking Engenharia social Invaso de sistemas, infiltraes e entradas no-autorizadas Acesso no autorizado ao Sistema Crime digital (por exemplo, perseguio no mundo digital) Ato fraudulento (p. ex.: reutilizao indevida de credenciais e dados transmitidos, fazer-se passar por uma outra pessoa, interceptao) Suborno por Informao Spoofing (fazer-se passar por outro) Invaso de sistemas
Criminoso digital
Destruio de informaes Divulgao ilegal de informaes Ganho monetrio Alterao de dados no autorizada
Terrorista
Chantagem Destruio Explorao Vingana Ganho Poltico
Bomba/Terrorismo Guerra de Informao Ataque a sistemas (p. ex.: ataque distribudo de negao de servio). Invaso de sistema Alterao do sistema
61/97
Origem das Ameaas
Motivao
Cobertura da Mdia
Possveis Consequncias
Fonte Ameaas
Espionagem industrial (servios de inteligncia, empresas, governos
de
Motivao
Vantagem competitiva Espionagem econmica
Aes que Ameaas:
representam
Garantir a vantagem de um posicionamento defensivo Garantir uma vantagem poltica Explorao econmica Furto de Informao Violao pessoas da privacidade das
estrangeiros, outros grupos de interesse ligados ao governo) Pessoal interno (funcionrios mal treinados, insatisfeitos, mal intencionados, negligentes, desonestos ou dispensados) Curiosidade Ego Obteno de informaes teis para servios de inteligncia Ganho monetrio Vingana Erros e omisses no intencionais (p. ex.: erro na entrada de dados, erro de programao)
Engenharia social Invaso de sistema Acesso no autorizado ao Sistema (acesso a informao restrita, de propriedade exclusiva, e/ou relativa tecnologia) Agresso a funcionrio Chantagem Vasculhar informao propriedade exclusiva Uso imprprio computacional Fraude e furto Suborno por Informao Entrada de dados falsificados ou corrompidos Interceptao Cdigo malicioso (p. ex.: vrus, bomba lgica, Cavalo de Tria) Venda de informaes pessoais Defeitos ("bugs") no sistema Invaso de sistemas Sabotagem de sistemas Acesso no autorizado ao Sistema de de
recurso
62/97
Anexo D (informativo) Vulnerabilidades e mtodos de avaliao de vulnerabilidades
D.1 Exemplos de vulnerabilidades

A Tabela fornece exemplos de vulnerabilidades em diversas reas da segurana, incluindo exemplos de ameaas que poderiam explorar tais vulnerabilidades. As listas na Tabela D.1 podem ser de auxlio durante a avaliao das ameaas e vulnerabilidades a fim de se determinar os cenrios relevantes de incidentes. Nota-se que, em alguns casos, outras ameaas so tambm capazes de explorar as mesmas vulnerabilidades.
Tipos Exemplos de vulnerabilidades Manuteno insuficiente/Instalao defeituosa de mdia de armazenamento Falta de uma rotina de substituio peridica Sensibilidade umidade, poeira, sujeira Sensibilidade radiao eletromagntica Hardware Inexistncia de um controle eficiente de mudana de configurao Sensibilidade a variaes de voltagem Sensibilidade a variaes de temperatura Armazenamento no protegido Falta de cuidado durante o descarte Realizao de cpias no controlada Procedimentos de teste de software insuficientes ou inexistentes Falhas conhecidas no software Software No execuo do "logout" ao se deixar uma estao de trabalho desassistida Descarte ou reutilizao de mdia de armazenamento sem a execuo dos procedimentos apropriados de remoo dos dados Exemplos de ameaas Violao das condies de uso do sistema de informao que possibilitam sua manuteno Destruio de equipamento ou mdia Poeira, corroso, congelamento Radiao eletromagntica Erro durante o uso Interrupo do suprimento de energia Fenmeno Meteorolgico Furto de mdia ou documentos Furto de mdia ou documentos Furto de mdia ou documentos Abuso de direitos Abuso de direitos Abuso de direitos Abuso de direitos
63/97
Atribuio errnea de direitos de acesso Software amplamente distribudo Utilizar programas aplicativos com um conjunto errado de dados (referentes a um outro perodo) Interface de usurio complicada Documentao inexistente Configurao de parmetros incorreta Datas incorretas Inexistncia de mecanismos de autenticao e identificao como, por exemplo, para a autenticao de usurios Tabelas de senhas desprotegidas Gerenciamento de senhas mal feito Servios desnecessrios permanecem habilitados Software novo ou imaturo Especificaes confusas ou incompletas para os desenvolvedores Inexistncia de um controle eficaz de mudana Download e uso no controlado de software Inexistncia de cpias de segurana (back-up) Inexistncia de mecanismos de proteo fsica no prdio, portas e janelas Inexistncia de relatrios de gerenciamento Inexistncia de evidncias que comprovem o envio ou o recebimento de mensagens Linhas de Comunicao desprotegidas Rede Trfego sensvel desprotegido Junes de cabeamento mal feitas Ponto nico de falha
Abuso de direitos Comprometimento dos dados Comprometimento dos dados Erro durante o uso Erro durante o uso Erro durante o uso Erro durante o uso Forjamento de direitos Forjamento de direitos Forjamento de direitos Processamento ilegal de dados Defeito de software Defeito de software Defeito de software Alterao do software Alterao do software Furto de mdia ou documentos Uso no equipamento autorizado de
Repdio de Aes Escuta no autorizada Escuta no autorizada Falha do equipamento telecomunicao Falha do equipamento telecomunicao de de
64/97
Tabela D.1 Exemplos de vulnerabilidades (continuao)

No identificao e no autenticao do emissor e do receptor Arquitetura insegura da rede Transferncia de senhas em claro Gerenciamento de rede inadequado (quanto flexibilidade de roteamento) Conexes de redes pblicas desprotegidas Ausncia de recursos humanos Procedimentos de recrutamento inadequados Treinamento insuficiente em segurana Recursos humanos Uso incorreto de software e hardware Falta de conscientizao em segurana Inexistncia de mecanismos de monitoramento Trabalho no supervisionado de pessoal de limpeza ou de terceirizados Inexistncia de polticas para o uso correto de meios de telecomunicao e de troca de mensagens Uso inadequado ou sem os cuidados necessrios dos mecanismos de controle do acesso fsico a prdios e aposentos Local ou instalaes Localizao em rea suscetvel a inundaes Fornecimento de energia instvel Inexistncia de mecanismos de proteo fsica no prdio, portas e janelas Inexistncia de um procedimento formal para o registro e a remoo de usurios Inexistncia de processo formal para a anlise crtica dos direitos de acesso (superviso) Forjamento de direitos Espionagem distncia Espionagem distncia Saturao do sistema de informao Uso no autorizado equipamento Indisponibilidade recursos humanos de de
Destruio de equipamento ou mdia Erro durante o uso Erro durante o uso Erro durante o uso Processamento ilegal de dados Furto de documentos mdia ou de
Uso no autorizado equipamento
Destruio de equipamento ou mdia Inundao Interrupo do suprimento de energia Furto de equipamentos Abuso de direitos Abuso de direitos
Organizao
65/97
Provises (relativas segurana) insuficientes ou inexistentes, em contratos com clientes e/ou terceiros Inexistncia de procedimento de monitoramento das instalaes de processamento de informaes Inexistncia de auditorias peridicas (superviso) Inexistncia de procedimentos para a identificao, anlise e avaliao de riscos Inexistncia de relatos de falha nos arquivos ("logs") de auditoria das atividades de administradores e operadores Resposta inadequada do servio de manuteno
Abuso de direitos
Abuso de direitos Abuso de direitos Abuso de direitos Abuso de direitos
Violao das condies de uso do sistema de informao que possibilitam sua manuteno Violao das condies de uso do sistema de informao que possibilitam sua manuteno Violao das condies de uso do sistema de informao que possibilitam sua manuteno Comprometimento dos dados Comprometimento dos dados Dados de fontes no confiveis
Acordo de nvel de servio (SLA - da sigla do termo em ingls) inexistente ou insuficiente Inexistncia mudanas de procedimento de controle de
Organizao
Inexistncia de um procedimento formal para o controle da documentao do SGSI Inexistncia de um procedimento formal para a superviso dos registros do SGSI Inexistncia de um autorizao das publicamente processo formal para a informaes disponveis
Atribuio inadequada das responsabilidades pela segurana da informao Inexistncia de um plano de continuidade Inexistncia de poltica de uso de correspondncia eletrnica (e-mail) Inexistncia de procedimentos para a instalao de software em sistemas operacionais Ausncia de registros nos arquivos de auditoria ("logs") de administradores e operadores Inexistncia de procedimentos para a manipulao NO TEM VALOR NORMATIVO
Repdio de Aes Falha de equipamento Erro durante o uso Erro durante o uso Erro durante o uso Erro durante o uso 66/97
de informaes classificadas Ausncia das responsabilidades ligadas segurana da informao nas descries de cargos e funes Provises (relativas segurana) insuficientes ou inexistentes, em contratos com funcionrios Inexistncia de um processo disciplinar no caso de incidentes relacionados segurana da informao Inexistncia de uma poltica formal sobre o uso de computadores mveis Inexistncia de controle sobre ativos fora das dependncias Organizao Poltica de mesas e telas limpas ("clear desk and clear screen") inexistente ou insuficiente Inexistncia de autorizao para as instalaes de processamento de informaes Inexistncia de mecanismos estabelecidos para o monitoramento de violaes da segurana Inexistncia de anlises crticas peridicas por parte da direo Inexistncia de procedimentos para o relato de fragilidades ligadas segurana Inexistncia de procedimentos para garantir a conformidade com os direitos de propriedade intelectual Erro durante o uso
Processamento ilegal de dados Furto de equipamentos Furto de equipamentos Furto de equipamentos Furto de mdia ou documentos Furto de mdia ou documentos Furto de mdia ou documentos Uso no autorizado de equipamento Uso no autorizado de equipamento Uso de cpias de software falsificadas ou ilegais
D.2 Mtodos para a avaliao de vulnerabilidades tcnicas

Mtodos pr-ativos, tal como testar os sistemas de informao, podem ser utilizados para identificar as vulnerabilidades existentes, dependendo da criticidade do sistema de Tecnologia da Informao e Comunicao (TIC) e dos recursos disponveis (por exemplo: verba alocada, tecnologia disponvel, profissionais com a experincia necessria para a realizao do teste). Entre os mtodos de teste temos: Ferramentas automatizadas de procura por vulnerabilidades Avaliao e testes da segurana Teste de Invaso
67/97
Anlise crtica de cdigo Ferramentas automatizadas de procura por vulnerabilidades so utilizadas para varrer um grupo de computadores ou uma rede em busca de servios reconhecidamente vulnerveis (por exemplo: o protocolo de transferncia annima de arquivos - "anonymous FTP" - e o recurso de retransmisso do "sendmail" - "sendmail relaying"). Convm ressaltar, contudo, que nem todas as potenciais vulnerabilidades encontradas pela ferramenta necessariamente representam vulnerabilidades reais no contexto do sistema e de seu ambiente. Por exemplo, algumas dessas ferramentas de varredura avaliam as vulnerabilidades potenciais sem levar em considerao o ambiente da instalao e os seus requisitos. Algumas das vulnerabilidades encontradas pelo software de varredura podem no representar uma vulnerabilidade real em uma determinada instalao, mas sim o resultado de uma configurao exigida por seu ambiente. Assim, esse mtodo de teste pode gerar falsos positivos. A avaliao e testes da segurana (ATS) uma outra tcnica que pode ser utilizada na identificao de vulnerabilidades em sistemas de TIC durante o processo de avaliao de riscos. Ela inclui o desenvolvimento e a execuo de planos de teste (por exemplo: roteiros e procedimentos para testes, lista de resultados previstos). O propsito dos testes da segurana do sistema verificar a eficcia dos controles de segurana de um sistema de TIC, considerando-se a forma com que esto implementados no ambiente operacional. O objetivo assegurar que os controles aplicados satisfazem as especificaes de segurana do software e do hardware, implementam a poltica de segurana da organizao, e/ou atendem aos padres de mercado. Testes de invaso podem ser usados para complementar o processo de anlise crtica dos controles de segurana, assegurando-se que as diversas facetas do sistema de TIC esto protegidas. Testes de invaso, quando utilizados durante o processo de avaliao de riscos, servem para avaliar a capacidade do sistema de TIC de resistir a tentativas intencionais de se driblar a segurana do sistema. O objetivo testar o sistema de TIC do ponto de vista da fonte da ameaa, identificando possveis falhas no esquema de proteo do sistema. A anlise crtica de cdigo a mais minuciosa (embora tambm a mais dispendiosa) forma de avaliao de vulnerabilidades. Os resultados desses tipos de testes de segurana ajudam a identificar as vulnerabilidades de um sistema. importante notar que ferramentas e tcnicas de invaso podem gerar resultados falsos quando a vulnerabilidade no explorada com sucesso. Para explorar vulnerabilidades especficas, a exata configurao do sistema, da aplicao e das atualizaes ("patches") instaladas no sistema testado precisa ser conhecida. Se esses dados no so conhecidos quando o teste est sendo realizado, pode no ser possvel explorar uma determinada vulnerabilidade com sucesso (por exemplo: o acesso remoto a "shell" reverso); no entanto, ainda assim, talvez seja possvel causar uma pane no sistema ou processo testado ou mesmo forar o seu reincio. Nesse caso, convm que o objeto testado seja considerado vulnervel. Entre os mtodos existentes, temos os seguintes: Entrevistas com pessoas e usurios Questionrios Inspeo fsica
Anlise de documentos
69/97
Anexo E (informativo) Abordagens para o processo de avaliao de riscos de segurana da informao
E.1 Processo de avaliao de riscos de segurana da informao - Enfoque de alto nvel

Uma avaliao de alto nvel permite definir prioridades e uma cronologia para a execuo das aes. Por vrias razes, como por exemplo o oramento, talvez no seja possvel implementar todos os controles simultaneamente e, com isso, somente os riscos mais crticos podem ser tratados durante o processo de tratamento do risco. Da mesma forma, pode ser prematuro dar incio a uma forma de gesto de riscos muito detalhada se a implementao s ser contemplada aps um ou dois anos. Para alcanar esse objetivo, uma avaliao de alto nvel pode comear com um exame tambm de alto nvel das consequncias, em vez de comear por uma anlise sistemtica das ameaas, vulnerabilidades, ativos e consequncias. Outra razo para comear por uma avaliao de alto nvel permitir a sincronizao com outros planos relacionados gesto de mudanas (ou da continuidade de negcios). Por exemplo, no razovel completar a implementao da segurana de um sistema ou aplicao se estiver sendo planejada a sua terceirizao em um futuro prximo, embora possa ainda ser til a realizao do processo de avaliao de riscos, para que se possa definir os termos do contrato da terceirizao. Entre as caractersticas de uma iterao, com um enfoque de alto nvel, do processo de avaliao de riscos temos que: O processo de avaliao de riscos com enfoque de alto nvel pode se preocupar com uma viso mais global da organizao e de seus sistemas de informao, considerando os aspectos tecnolgicos de forma independente das questes de negcio. Dessa forma, a anlise do contexto incide mais sobre o negcio e o ambiente operacional do que sobre os elementos tecnolgicos. O processo de avaliao de riscos com enfoque de alto nvel pode se preocupar com uma lista menor de ameaas e vulnerabilidades, agrupando-as em domnios pr-definidos, ou, para acelerar o processo, pode focar a sua ateno nos cenrios de risco ou ataque, em vez de em seus elementos. Os riscos cobertos por uma avaliao com enfoque de alto nvel podem ser entendidos mais como categorias (ou classes gerais) de risco do que, propriamente, como riscos identificados com especificidade. Como os cenrios ou as ameaas so agrupados em domnios, o tratamento do risco prope listas de controle para esses domnios. Ento, em primeiro lugar, durante as atividades de tratamento do risco, prope-se e selecionam-se os controles comuns vlidos em todo o sistema. Contudo, por raramente tratar de detalhes tecnolgicos, o processo de avaliao de riscos com enfoque de alto nvel mais adequado para fornecer controles organizacionais e no-tcnicos, alm dos aspectos gerenciais de controles tcnicos e mecanismos tcnicos de proteo comuns e muito importantes, tais como cpias de segurana (back-ups) e antivrus.
70/97
As vantagens do processo de avaliao de riscos com um enfoque de alto nvel so as seguintes: Com a incorporao de uma primeira abordagem simples mais provvel que se obtenha a aceitao do programa do processo de avaliao de riscos. Convm que seja possvel criar uma viso estratgica de um programa corporativo de segurana da informao, ou seja, uma viso que possa auxiliar durante o planejamento. Recursos e verbas podem ser aplicados onde forem mais vantajosos, e os sistemas que esto, provavelmente, precisando de mais proteo sero tratados primeiro. Como as anlises de risco iniciais so feitas com um enfoque de alto nvel (potencialmente, portanto, sendo menos exatas), h o perigo de que alguns processos de negcio ou sistemas possam acabar, erroneamente, no sendo identificados entre aqueles que requerem uma segundo processo de avaliao de riscos, mais detalhado. Isso pode ser evitado se houver informao adequada sobre todos os aspectos da organizao, das informaes que utiliza e de seus sistemas, incluindo dados obtidos atravs da avaliao dos incidentes de segurana da informao. O processo de avaliao de riscos com enfoque de alto nvel considera os valores para o negcio dos ativos de informao, e os riscos do ponto de vista de negcio da organizao. No primeiro ponto de deciso (veja Figura 2), vrios fatores ajudam a determinar se a avaliao de alto nvel adequada para o tratamento do risco; esses fatores podem incluir os seguintes itens: Os objetivos de negcios a serem alcanados atravs de vrios ativos de informao; O quanto o negcio da organizao depende de cada ativo de informao, ou seja, o quanto as funes que a organizao considera fundamentais para a sua sobrevivncia ou para a conduo eficaz do negcio depende dos ativos, ou da confidencialidade, da integridade, da disponibilidade, da garantia do no-repdio, da responsabilizao, da autenticidade e da confiabilidade das informaes armazenadas e processadas nesses ativos; O nvel de investimento em cada ativo de informao, em termos do desenvolvimento, da manuteno ou da reposio do ativo, e Os ativos de informao, para cada um dos quais a organizao atribui um valor. Quando esses fatores so avaliados, a deciso torna-se mais fcil. Se a funo de um ativo extremamente importante para a conduo do negcio da organizao ou se o ativo est exposto a riscos de alto impacto ou probabilidade, ento convm que uma segunda iterao, com um processo de avaliao detalhado de riscos, seja executada tendo em vista o ativo de informao especfico (ou parte dele). Uma regra geral para ser aplicada a seguinte: se a falta de segurana da informao puder resultar em consequncias adversas significativas para a organizao, para os seus processos de negcio ou para os seus ativos, uma segunda iterao, mais detalhada, do processo de avaliao de riscos ser necessria para a identificao de riscos potenciais.
E.2 Processo detalhado de avaliao de riscos de segurana da informao

O processo de avaliao de riscos de segurana da informao detalhado envolve a minuciosa identificao e valorao dos ativos, a avaliao das ameaas aos ativos, e a avaliao das
vulnerabilidades. Os resultados dessas atividades so, ento, usados para avaliar os riscos e, depois, para identificar o tratamento do risco. A etapa detalhada normalmente demanda bastante tempo, esforo e experincia, e pode, portanto, ser mais adequada para os sistemas de informao de alto risco. A etapa final do processo de avaliao de riscos desegurana da informao detalhado consiste no clculo do risco total, que o assunto deste anexo. As consequncias podem ser avaliadas de vrias maneiras, incluindo a abordagem quantitativa (usando-se, por exemplo, uma unidade monetria), a qualitativa (que podem ser baseada no uso de adjetivos qualificadores tais como moderado ou severo) ou ainda uma combinao de ambas. Para avaliar a probabilidade de ocorrncia de uma ameaa, convm que se estabelea o perodo no qual o ativo considerado como de valor ou durante o qual ele precisar ser protegido. A probabilidade da ocorrncia de uma ameaa especfica afetada pelos seguintes itens: A atratividade do ativo ou do impacto potencial, aplicvel quando uma ameaa intencional de origem humana est sendo considerada A facilidade de se converter a explorao de uma vulnerabilidade de um ativo em recompensa, aplicvel quando uma ameaa intencional de origem humana est sendo considerada A capacitao tcnica do agente da ameaa, aplicvel a ameaas intencionais de origem humana e A susceptibilidade da vulnerabilidade explorao, aplicvel tanto a vulnerabilidades tcnicas quanto a no-tcnicas Muitos mtodos fazem uso de tabelas, e combinam medidas empricas com medies subjetivas. importante que a organizao use um mtodo com o qual ela se sinta confortvel, no qual ela acredite, e que produza resultados reproduzveis. Alguns exemplos de mtodos baseados em tabelas so apresentados a seguir.
Para orientaes adicionais sobre tcnicas que podem ser utilizadas para o processo detalhado de avaliao de riscos de segurana da informao, veja IEC 31010. Os seguintes exemplos utilizam nmeros para descrever avaliaes qualitativas. Convm que o usurio destes mtodos esteja consciente que pode no ser vlido executar operaes matemticas com estes nmeros que so resultados qualitativos produzidos por mtodos de avaliao de riscos qualitativos.
E.2.1 Exemplo 1 Matriz com valores pr-definidos Neste tipo de mtodo para o processo de avaliao de riscos, ativos fsicos, existentes ou planejados, so valorados conforme seus custos de reposio ou reconstruo (ou seja, medidas quantitativas). Esses custos so ento convertidos para a mesma escala qualitativa usados para a valorao das informaes (veja abaixo). ativos do tipo software, existentes ou planejados, valores so atribudos da mesma forma que ativos fsicos, com os custos de aquisio ou redesenvolvimento sendo identificados e ento convertidos para a mesma escala qualitativa usada para a valorao das informaes. Alm disso, se um software aplicativo tiver o seu prprio conjunto de requisitos de
72/97
confidencialidade ou de integridade (por exemplo, se o seu cdigo fonte, por si s, for susceptvel a questes comerciais), ele deve ser valorado da mesma forma que as informaes. Os valores atribudos s informaes so obtidos entrevistando-se uma parte seleta da direo do negcio (os "responsveis pelos dados"), aqueles que podem falar autoritativamente sobre os dados. Assim determinam-se o valor e a sensibilidade dos dados em uso, armazenados, sendo processados ou acessados. As entrevistas facilitam a avaliao do valor e da sensibilidade da informao, tendo em vista os cenrios com os piores impactos que possam ser previstos a partir das consequncias adversas ao negcio causadas pela divulgao ou modificao no autorizadas da informao, por sua indisponibilidade durante diferentes perodos de tempo ou ainda por sua destruio. A valorao realizada usando diretrizes para a valorao da informao, as quais cobrem alguns temas, tais como: Segurana fsica das pessoas Informaes pessoais Obrigaes legais e regulatrias Cumprimento das leis Interesses comerciais e econmicos Perda financeira/interrupo de atividades Ordem pblica Poltica e operaes do negcio Perda de valor de mercado (em especial com referncia a aspectos intangveis) Contrato ou acordo com clientes As diretrizes facilitam a identificao dos valores em uma escala numrica, como a escala de 0 a 4 apresentada adiante na forma de uma matriz. Assim, permite-se o reconhecimento de valores quantitativos, sempre que possvel e lgico, e de valores qualitativos quando valores quantitativos no so possveis, por exemplo: em ocasies em que a vida humana colocada em perigo. A prxima atividade importante a concluso de pares de questionrios, para cada tipo de ameaa e para cada agrupamento de ativos relacionado a um tipo de ameaa, a fim de permitir a avaliao do nvel das ameaas (probabilidade de ocorrncia) e das vulnerabilidades (facilidade com que uma ameaa pode explorar uma vulnerabilidade e provocar consequncias adversas). Cada questo respondida indica uma pontuao. Essas pontuaes so acumuladas em uma base de conhecimento e comparadas a intervalos. Isso identifica o nvel da ameaa em uma escala, digamos, de alto a baixo e, de forma similar, os nveis das vulnerabilidades - como ilustrado no exemplo da matriz mais adiante. Diferenciam-se os tipos de consequncias na medida de suas relevncias. Convm que informaes para completar os questionrios sejam reunidas a partir de entrevistas com as pessoas responsveis pelas acomodaes, os recursos humanos e os tcnicos envolvidos, assim como tambm a partir de inspees fsicas dos locais e da anlise crtica de documentos.
Os valores dos ativos, e os nveis de ameaa e vulnerabilidade, relacionados a cada tipo de consequncia, so emparelhados em uma matriz como a apresentada a seguir, a fim de identificar, para cada combinao, a medida do risco em uma escala de 0 a 8. Os valores so colocados na matriz de uma maneira estruturada. Um exemplo dado a seguir:
Tabela E.1 a)
Probabilidade da ocorrncia Ameaa Facilidade de Explorao 0 Valor do Ativo 1 2 3 4 B 0 1 2 3 4 Baixa Mdia Alta
M 1 2 3 4 5
A 2 3 4 5 6
B 1 2 3 4 5
M 2 3 4 5 6
A 3 4 5 6 7
B 2 3 4 5 6
M 3 4 5 6 7
A 4 5 6 7 8
Para cada ativo, as vulnerabilidades relevantes e respectivas ameaas so consideradas. Se houver uma vulnerabilidade sem uma ameaa correspondente, ou uma ameaa sem uma vulnerabilidade correspondente, ento no h risco nesse momento (mas convm que cuidados sejam tomados no caso dessas situaes mudarem). A linha apropriada identificada na matriz pelo valor do ativo, e a coluna apropriada identificada pela probabilidade da ocorrncia da ameaa e a facilidade de explorao. Por exemplo, se o ativo tem o valor 3, a ameaa "alta", e a vulnerabilidade "baixa", a medida do risco 5. Suponha que um ativo tenha um valor 2 (por exemplo, para modificaes), o nvel de ameaa "baixo" e a facilidade de explorao "alta", logo, a medida de risco 4. O tamanho da matriz pode ser adaptado s necessidades da organizao, ajustando-se o nmero das colunas representando a probabilidade de ocorrncia das ameaas ou daquelas que representam a facilidade de explorao, assim como as linhas que representam a valorao dos ativos. A adio de Colunas e linhas implicar novas medidas de risco. A vantagem dessa abordagem est na ordenao dos riscos a serem tratados. Uma matriz similar como apresentada na Tabela E.1 b) mostra a relao entre probabilidade de um cenrio de incidente e o impacto estimado, do ponto de vista do negcio. A probabilidade de um cenrio de incidente dada pela probabilidade de uma ameaa vir a explorar uma vulnerabilidade. A Tabela relaciona o impacto ao negcio, relativo ao cenrio de incidente, quela probabilidade. O risco resultante medido em uma escada de 0 a 8, e pode ser avaliado tendo como base os critrios para a aceitao do risco. Essa escala de risco pode tambm ser convertida em uma classificao simples, mais genrica, do risco, como por exemplo: Baixo Risco: 0-2 Mdio Risco: 3-5 Alto Risco: 6-8
74/97
Tabela E.1 b)
Probabilidade do Muito baixa Baixa cenrio de incidente (Muito improvvel) (Improvvel) Muito Baixo Impacto ao Negcio Baixo Mdio Alto Muito Alto 0 1 2 3 4 1 2 3 4 5 Mdia (Possvel) 2 3 4 5 6 Alta (Provvel) 3 4 5 6 7 Muito Alta (Frequente) 4 5 6 7 8
E.2.2 Exemplo 2 Ordenao de Ameaas em funo do Risco Uma tabela ou matriz como apresentada na Tabela E.2 pode ser usada para relacionar as consequncias (representadas pelo valor do ativo) probabilidade de ocorrncia de uma ameaa (incluindo assim os fatores ligados s vulnerabilidades). A primeira etapa consiste em avaliar as consequncias (atravs do valor do ativo) em uma escala pr-definida, por exemplo, de 1 a 5, para cada ativo ameaado (coluna b na Tabela). Na segunda etapa, estima-se a probabilidade de ocorrncia da ameaa em uma escala pr-definida, por exemplo, de 1 a 5, para cada ameaa (coluna c na tabela). Na terceira etapa, calcula-se a medida de risco multiplicando (b x c). Por ltimo, as ameaas podem ser ordenadas em sequncia conforme suas respectivas medidas de risco. Note que nesse exemplo, 1 representa a menor consequncia e a menor probabilidade de ocorrncia. Tabela E.2
Rtulo identificador da Ameaa (a) Ameaa A Ameaa B Ameaa C Ameaa D Ameaa E Ameaa F Valor da consequncia (do ativo) (b) 5 2 3 1 4 2 Probabilidade de ocorrncia da ameaa (c) 2 4 5 3 1 4 Medida do risco (d) 10 8 15 3 4 8 Ordem da ameaa (e) 2 3 1 5 4 3
Como mostrado acima, esse procedimento permite que diferentes ameaas, com consequncias e probabilidade de ocorrncias distintas, sejam comparadas e ordenadas por prioridade. Em alguns casos, ser necessrio associar valores monetrios s escalas empricas aqui utilizadas.
75/97
E.2.3 Exemplo 3 Avaliando a probabilidade e as possveis consequncias dos riscos Nesse exemplo, a nfase dada s consequncias dos incidentes de segurana da informao (ou seja: aos cenrios de incidentes) e convm que a atividade determine quais sistemas sejam priorizados. Isso feito estimando-se dois valores para cada par de ativo e risco, os quais, combinados, iro determinar a pontuao para cada ativo. Quando as pontuaes de todos os ativos do sistema so somadas, uma medida do risco ao qual o sistema est submetido pode ento ser determinada. Primeiramente, um valor designado para cada ativo. Esse valor refere-se s possveis consequncias adversas que podem surgir quando o ativo ameaado. O valor (do ativo) definido para cada ameaa aplicvel ao ativo. Depois, estima-se um valor para a probabilidade. Ela avaliada combinando-se a probabilidade de ocorrncia da ameaa e a facilidade com que a vulnerabilidade pode ser explorada. Veja, na Tabela 3, a representao da probabilidade de um cenrio de incidente. Tabela E.3
Probabilidade da Ameaa Nvel da vulnerabilidade Probabilidade do cenrio de incidente B Baixa Mdia Alta
Em seguida, na Tabela E.4, uma pontuao referente ao par ativo/ameaa definida pelo encontro da coluna com o valor do ativo e da linha com a probabilidade. As pontuaes referentes aos pares ativos/ameaa so totalizadas para cada ativo, produzindo-se uma pontuao total do ativo. Esse valor pode ser usado para diferenciarmos os ativos que fazem parte de um mesmo sistema, entre si. Tabela E.4
Valor do ativo Probabilidade 0 1 2 3 4 0 1 2 3 4 1 2 3 4 5 2 3 4 5 6 3 4 5 6 7 4 5 6 7 8 0 1 2 3 4
76/97
Na etapa final, somam-se as pontuaes dos ativos do sistema, estabelecendo-se a pontuao do sistema. Isso pode ser usado para diferenciarmos os sistemas entre si, e convm determinar qual sistema seja protegido com maior prioridade. Nos exemplos a seguir todos os valores foram escolhidos aleatoriamente. Suponha que o Sistema S tenha trs ativos A1, A2 e A3. Suponha tambm que existam duas ameaas, T1 e T2, aplicveis ao sistema S. Estabeleamos que o valor de A1 3, que o valor do ativo A2 2 e que o valor do ativo A3 4. Se, para A1 e T1, a probabilidade da ameaa baixa e a facilidade de explorao da vulnerabilidade mdia, ento o valor da probabilidade 1 (ver Tabela E.3). A pontuao referente ao par ativo/ameaa A1/T1 pode ser obtida na Tabela E.4, no encontro da coluna com o valor 3 (referente ao valor do ativo) e da linha com o valor 1 (referente probabilidade). O valor assim obtido 4. Do mesmo modo, para A1/T2, se a probabilidade da ameaa for mdia e a facilidade de explorao da vulnerabilidade for alta, o resultado ser uma pontuao de 6, referente ao par A1/T2. Agora, TA1, que a pontuao total do ativo A1, pode ser calculada, e o resultado 10. A pontuao total do ativo calculada para cada ativo levando-se em conta todas as ameaas aplicveis. A pontuao total do sistema calculada atravs da adio TA1 + TA2 + TA3, obtendo-se TS. Assim, sistemas diferentes podem ser comparados, assim como diferentes ativos dentro do mesmo sistema, para estabelecermos as prioridades. Apesar do exemplo acima envolver apenas sistemas de informao, uma abordagem similar pode ser aplicada aos processos de negcio.
77/97
Anexo F (informativo) Restries para a modificao do risco
Ao considerar as restries para a modificao do risco, convm que as seguintes restries sejam consideradas: Restries temporais: Pode haver muitos tipos de restries de tempo. Por exemplo, convm que os controles sejam implementados dentro de um perodo de tempo aceitvel para os gestores da organizao. Outro tipo de restrio temporal se um controle pode ser implementado durante o perodo de vida til da informao ou do sistema. Um terceiro tipo de restrio temporal pode ser representado pelo perodo de tempo que os gestores da organizao definem como aceitvel para ficar-se exposto a um determinado risco. Restries financeiras: Convm que a implementao ou a manuteno dos controles sejam menos dispendiosas do que o valor dos riscos que eles foram projetados para combater, exceto nos casos em que a conformidade obrigatria (por exemplo, no caso de legislaes especficas). Convm que todos os esforos sejam feitos para que os oramentos alocados no sejam excedidos, e tambm para que vantagens financeiras, atravs do uso de controles, sejam obtidas. Contudo, em alguns casos, talvez no seja possvel implementar a segurana desejada e alcanar o nvel de risco formalmente aceito, devido a restries oramentrias. Essa situao exigir, ento, uma deciso dos gestores da organizao para a sua resoluo. Convm que se tenha muito cuidado no caso de restries oramentrias provocarem a reduo do nmero ou da qualidade dos controles a serem implementados, pois isso pode levar aceitao implcita de mais riscos do que o planejado. Convm que a utilizao do oramento alocado para os controles como fator limitante, se necessria, seja acompanhada por cuidados especiais. Restries tcnicas: Problemas tcnicos, como a compatibilidade de hardware ou de programas, podem ser facilmente evitados se forem levados em conta durante a seleo dos controles. Alm disso, a implementao retroativa dos controles em um processo ou sistema existente frequentemente dificultada por restries tcnicas. Essas dificuldades podem deslocar o foco dos controles em direo aos aspectos procedurais e fsicos da segurana. Pode ser necessrio revisar os programas de segurana da informao, a fim de alcanar os objetivos de segurana. Isso pode ocorrer quando controles no conseguem atingir os resultados previstos na modificao do risco sem afetar a produtividade. Restries operacionais: Restries operacionais, como por exemplo a necessidade de manter as operaes em um regime de 24x7 e, ainda assim, executar back-ups, podem resultar em controles de implementao complexa e onerosa, a menos que eles sejam incorporados ao projeto desde o incio.
Restries culturais: As restries culturais em relao seleo de controles podem ser especficas a um pas, a um setor, a uma organizao ou mesmo a um departamento dentro de uma organizao. Nem todos os controles podem ser aplicados em todos os pases. Por exemplo, pode ser possvel implementar buscas em bolsas e bagagens em partes da Europa, mas no em partes do Oriente Mdio. Aspectos culturais no podem ser ignorados, pois muitos controles contam com o apoio ativo do pessoal. Se o pessoal no compreende a necessidade do controle ou no acham que ele seja culturalmente aceitvel, o controle se tornar ineficaz ao passar do tempo. Restries ticas: As restries ticas podem ter grandes implicaes sobre os controles na medida em que a tica muda tendo como base as normas sociais. Isso pode impedir a implementao de alguns controles em alguns pases, como por exemplo a varredura de correspondncia eletrnica ("email scanning). A privacidade das informaes pode ser entendida de diferentes maneiras dependendo da tica da regio ou do governo. Essas questes podem causar maiores preocupaes em alguns setores de atividade econmica do que em outros, por exemplo: o setor governamental e o da sade. Restries ambientais: Fatores ambientais, tais como a disponibilidade de espao, condies climticas extremas e o meio geogrfico natural ou urbano, podem influenciar a seleo de controles. Por exemplo, instalaes prova de terremoto podem ser necessrias em alguns pases, porm desnecessrias em outros. Restries legais: Fatores legais tais como provises relativas proteo de dados pessoais ou do cdigo penal referentes ao processamento de informaes, podem afetar a seleo de controles. A conformidade legislao e a normas pode exigir certos tipos de controles, como por exemplo, a proteo de dados e a auditoria financeira. Por outro lado, ela pode tambm impedir o uso de alguns controles, por exemplo: a criptografia. Outras leis e regulamentaes, tais como a legislao do trabalho, as normas do corpo de bombeiros, da rea da sade e da segurana, e regulamentaes do setor econmico, tambm podem afetar a escolha de controles. Facilidade de uso: Uma interface de usurio mal projetada resultar em erro humano e pode tornar o controle intil. Convm que os controles selecionados sejam de fcil utilizao, alm de garantirem um nvel aceitvel de risco residual ao negcio. Os controles de difcil utilizao tm sua eficcia prejudicada, j que os usurios tentaro contorn-los ou ignor-los tanto quanto possvel. Controles de acesso complexos dentro da organizao podem estimular os usurios a acharem algum mtodo de acesso alternativo no autorizado. Restries de recursos humanos: Convm que sejam considerados o custo salarial e a disponibilidade de profissionais com as competncias especializadas necessrias para a implementao dos controles, bem como a capacidade de deslocar o pessoal em condies adversas de operao. O conhecimento necessrio para a implementao dos controles planejados pode no estar prontamente disponvel ou pode representar um custo excessivo para a organizao. Outros aspectos tais como a tendncia de parte
do pessoal discriminar outros membros da equipe que no passaram por verificaes de segurana, podem ter grandes implicaes para as polticas e prticas de segurana. Alm disso, a necessidade de achar e contratar as pessoas certas para o trabalho pode resultar na sua contratao antes que as verificaes de segurana sejam concludas. Exigir que a verificao de segurana seja finalizada antes da contratao a prtica normal e a mais segura. Restries ligadas integrao dos controles novos aos j existentes: A integrao de controles novos a uma infraestrutura existente e a interdependncia entre controles so fatores frequentemente ignorados. Controles novos podem no ser facilmente implementados se houver incongruncia ou incompatibilidade com controles existentes. Por exemplo, um plano para usar dispositivos de identificao biomtrica para controle de acesso fsico pode conflitar com um sistema que se baseie na digitao de nmeros de identificao pessoal (PIN, conforme a sigla em Ingls) para o controle de acesso. Convm que o custo da mudana dos controles existentes para os planejados inclua tambm os itens a serem adicionados ao custo geral do tratamento do risco. Talvez no seja possvel implementar alguns dos controles selecionados devido aos conflitos com os controles atuais.
80/97
Anexo G (informativo) Diferenas nas definies entre a ABNT NBR ISO/IEC 27005:2008 e a ABNT NBR ISO/IEC 27005:2011
NOTA: Este Anexo dedicado aos usurios da ABNT NBR ISO/IEC 27001:2006. Como alguns termos e definies so diferentes na ABNT ISO Guia 73:2009, comparados com os utilizados na ABNT NBR ISO/IEC 27001:2006, e subsequentemente na ABNT NBR ISO/IEC 27005:2008, este Anexo sintetiza todas as alteraes relevantes. Termos definidos na ABNT NBR ISO/IEC 27005:2008 n/a Termos definidos na ISO/IEC 27000:2009 utilizados na ABNT NBR ISO/IEC 27005:2008 n/a Termos definidos na ABNT NBR ISO/IEC 27005:2011
3.1 consequncia resultado de um evento (3.3) que afeta os objetivos [ABNT ISO GUIA 73:2009]
NOTA 1 Um evento pode levar a uma srie de consequncias. NOTA 2 Uma consequncia pode ser certa ou incerta e pode ter efeitos positivos ou negativos sobre os objetivos. NOTA 3 NOTA 4 As consequncias podem ser expressas qualitativa ou quantitativamente. As consequncias iniciais podem desencadear reaes em cadeia.
81/97
Termos definidos na ABNT NBR ISO/IEC 27005:2008 n/a
Termos definidos na ISO/IEC 27000:2009 utilizados na ABNT NBR ISO/IEC 27005:2008 Controle Meio de gerenciar riscos, incluindo polticas, procedimentos, diretrizes, prticas ou estruturas organizacionais que podem ser de natureza administrativa, tcnica, gerencial ou legal. NOTA: Controle tambm usado como sinnimo de salvaguarda ou contramedida. [ABNT NBR ISO/IEC 27002:2005]
Termos definidos na ABNT NBR ISO/IEC 27005:2011
3.2 controle
medida que est modificando o risco (3.9) [ABNT ISO GUIA 73:2009]
NOTA 1 Os controles da segurana da informao incluem qualquer processo, poltica, procedimento, diretriz, prtica ou estrutura organizaconal, que pode ser de natureza administrativa, tcnica, gerencial ou legal que modificam o risco da segurana da informao. NOTA 2 Os controles nem sempre conseguem exercer o efeito de modificao pretendido ou presumido. NOTA 3 Controle tambm usado como um sinnimo de salvaguarda ou contramedida.
n/a
n/a
3.3
evento
ocorrncia ou mudana em um conjunto especfico de circunstncias

NOTA 1 NOTA 2 NOTA 3 Um evento pode consistir em uma ou mais ocorrncias e pode ter vrias causas. Um evento pode consistir em alguma coisa no acontecer. Um evento pode algumas vezes ser referido como um "incidente" ou um "acidente".
82/97
Termos definidos na ISO/IEC 27000:2009 utilizados na ABNT NBR ISO/IEC 27005:2008 n/a
n/a
3.4
contexto externo
ambiente externo no qual a organizao busca atingir seus objetivos

NOTA O contexto externo pode incluir:
o ambiente cultural, social, poltico, legal, regulatrio, financeiro, tecnolgico, econmico, natural e competitivo, seja internacional, nacional, regional ou local; os fatoreschave e as tendncias que tenham impacto sobre os objetivos da organizao; e as relaes com partes interessadas (3.2.1.1) externas e suas percepes e valores.
3.1 Impacto
mudana adversa no nvel obtido dos objetivos de negcios
A definio foi removida.
3.2 riscos de segurana informao
A definio foi removida (ver Nota 6 em 3.9).
da
83/97
Termos definidos na ABNT NBR ISO/IEC 27005:2008 a possibilidade de uma determinada ameaa explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organizao
NOTA medido em funo da combinao da probabilidade de um evento e de sua consequncia.
Termos definidos na ISO/IEC 27000:2009 utilizados na ABNT NBR ISO/IEC 27005:2008
n/a
n/a
3.5 contexto interno
ambiente interno no qual a organizao busca atingir seus objetivos

NOTA O contexto interno pode incluir: governana, estrutura organizacional, funes e responsabilidades; polticas, objetivos e estratgias implementadas para atingilos; capacidades compreendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias); sistemas de informao, fluxos de informao e processos de tomada de deciso (tanto formais
84/97
como informais); relaes com partes interessadas internas, e suas percepes e valores; cultura da organizao; normas, diretrizes e modelos adotados pela organizao; e forma e extenso das relaes contratuais.
n/a
n/a
3.6
nvel de risco magnitude de um risco (3.9), expressa em termos da combinao das consequncias (3.1) e de suas probabilidades (likelihood) (3.7) [ABNT ISO GUIA 73:2009] n/a n/a
3.7
probabilidade (likelihood)
chance de algo acontecer

NOTA 1 Na terminologia de gesto de riscos, a palavra probabilidade" utilizada para referir-se chance de algo acontecer, no importando se de forma definida, medida ou determinada ainda que objetiva ou subjetivamente, qualitativa ou quantitativamente, ou se descrita utilizando-se termos gerais
85/97
ou matemticos (tal como probabilidade (3.6.1.4) ou frequncia (3.6.1.5) durante um determinado perodo de tempo). NOTA 2 O termo em Ingls "likelihood" no tm um equivalente direto em algumas lnguas; em vez disso, o equivalente do termo "probability" frequentemente utilizado. Entretanto, em Ingls, "probability" muitas vezes interpretado estritamente como uma expresso matemtica. Portanto, na terminologia de gesto de riscos, likelihood" utilizado com a mesma ampla interpretao de que o termo "probability" tem em muitos outros idiomas alm do Ingls.
n/a
3.9 risco residual

risco remanescente tratamento de riscos aps o
3.8 risco residual

risco (3.9) remanescente aps o tratamento do risco (3.17) [ABNT ISO GUIA 73:2009]
NOTA 1 O risco residual pode conter riscos no identificados. NOTA 2 O risco residual tambm pode ser conhecido como "risco retido".
[ABNT NBR ISO/IEC 27001:2006]
risco
3.9
risco
Combinao da probabilidade de um evento e sua efeito da incerteza nos objetivos consequncia

[ABNT ISO GUIA 73:2009] NO TEM VALOR NORMATIVO 86/97
Termos definidos na ISO/IEC 27000:2009 utilizados na ABNT NBR ISO/IEC 27005:2008 [ABNT NBR ISO/IEC 27002:2005]
NOTA 1
Um efeito um desvio em relao ao esperado positivo e/ou negativo.
NOTA 2 Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de sade e segurana e ambientais) e podem aplicarse em diferentes nveis (tais como estratgico, em toda a organizao, de projeto, de produto e de processo). NOTA 3 O risco muitas vezes caracterizado pela referncia aos eventos (3.3) potenciais e s consequncias (3.1), ou uma combinao destes. NOTA 4 O risco muitas vezes expresso em termos de uma combinao de consequncias de um evento (incluindo mudanas nas circunstncias) e a probabilidade (likelihood) (3.7) de ocorrncia associada. NOTA 5 A incerteza o estado, mesmo que parcial, da deficincia das informaes relacionadas a um evento, sua compreenso, seu conhecimento, sua consequncia ou sua probabilidade. NOTA 6 O risco de segurana da informao est associado com o potencial de que ameaas possam explorar vulnerabilidades de um ativo de informao ou grupo de ativos de informao e, consequentemente, causar dano a uma organizao.
n/a
anlise de riscos
uso sistemtico da informao para identificar as fontes e processo de compreender a natureza do risco (3.9) e determinar o nvel de risco (3.6) estimar o risco
[ABNT NBR ISO/IEC 27001:2006] [ABNT ISO GUIA 73:2009] 87/97
3.10 anlise de riscos
NOTA 1 A anlise de riscos fornece a base para a avaliao de riscos (3.11) e para as decises sobre o tratamento de riscos (3.17). NOTA 2 A anlise de riscos inclui a estimativa de riscos.
anlise/avaliao de riscos
3.11
processo completo de anlise processo global de identificao de riscos (3.15), anlise de riscos (3.10) e avaliao de e avaliao de riscos
riscos (3.14) [ABNT ISO GUIA 73:2009]
processo de avaliao de riscos
3.3 ao de evitar o risco

deciso de no se envolver ou agir de forma a se retirar de uma situao de risco [ABNT ISO/IEC GUIA 73:2005]
Este termo contemplado atualmente pelo tratamento do risco.
3.4 comunicao do risco
3.12
comunicao e consulta processos contnuos e iterativos que uma organizao conduz para fornecer, compartilhar ou obter informaes e se envolver no dilogo com as partes interessadas (3.18) e outros, com relao a gerenciar riscos (3.9) NO TEM VALOR NORMATIVO 88/97
troca ou compartilhamento de informao sobre risco entre o tomador de deciso e outras
Termos definidos na ABNT NBR ISO/IEC 27005:2008 partes interessadas [ABNT ISO/IEC GUIA 73:2005]

NOTA 1 As informaes podem referir-se existncia, natureza, forma, probabilidade (likelihood) (3.7), severidade, avaliao, aceitabilidade, tratamento ou outros aspectos da gesto de riscos. NOTA 2 A consulta um processo bidirecional de comunicao sistematizada entre uma organizao e suas partes interessadas ou outros, antes de tomar uma deciso ou direcionar uma questo especfica. A consulta : um processo que impacta uma deciso atravs da influncia ao invs do poder; e uma entrada para o processo de tomada de deciso, e no uma tomada de deciso em conjunto.
n/a
n/a
3.13
critrios de risco
termos de referncia contra os quais a significncia de um risco (3.9) avaliada

NOTA 1 Os critrios de risco so baseados nos objetivos organizacionais e no contexto externo (3.4) e contexto interno (3.5). NOTA 2 Os critrios de risco podem ser derivados de normas, leis, polticas e outros requisitos.
89/97
3.5 estimativa de riscos

processo utilizado para atribuir valores probabilidade e consequncias de um risco [ABNT ISO/IEC GUIA 73:2005]
NOTA 1 No contexto desta Norma o termo "atividade" usado no lugar do termo "processo" para a estimativa de riscos. NOTA 2 No contexto desta Norma o termo probabilidade usado para a estimativa de riscos.
Este termo foi removido.
n/a
avaliao de riscos processo de comparar o risco estimado com critrios de risco predefinidos para determinar a importncia do risco [ABNT NBR ISO/IEC 27001:2006]
3.14
avaliao de riscos processo de comparar os resultados da anlise de riscos (3.10) com os critrios de risco (3.13) para determinar se o risco (3.9) e/ou sua magnitude aceitvel ou tolervel
90/97

NOTA A avaliao de riscos auxilia na deciso sobre o tratamento de riscos (3.17).
3.6 identificao de riscos

processo para localizar, listar e caracterizar elementos do risco [ABNT ISO/IEC GUIA 73:2005]
NOTA No contexto desta Norma o termo "atividade" usado no lugar do termo "processo" para a identificao de riscos.
3.15
identificao de riscos
processo de busca, reconhecimento e descrio de riscos (3.9)

NOTA 1 A identificao de riscos envolve a identificao das fontes de risco, eventos (3.3), suas causas e suas consequncias (3.1) potenciais. NOTA 2 A identificao de riscos pode envolver dados histricos, anlises tericas, opinies de pessoas informadas e especialistas, e as necessidades das partes interessadas (3.18).
n/a
gesto de riscos
3.16
atividades coordenadas para direcionar e controlar uma atividades coordenadas para dirigir e controlar uma organizao no que se refere a organizao no que se refere a riscos (3.9) riscos
gesto de riscos
Termos definidos na ISO/IEC 27000:2009 utilizados na ABNT NBR ISO/IEC 27005:2008 NOTA A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos, a aceitao de riscos e a comunicao de riscos. [ABNT NBR ISO/IEC 27001:2006]

NOTA Esta Norma Internacional usa o termo processopara descrever o toda a gesto de riscos. O elementos contidos no processo de gesto de riscos foram chamados de atividades.
3.7 reduo do risco

aes tomadas para reduzir a probabilidade, as consequncias negativas, ou ambas, associadas a um risco [ABNT ISO/IEC GUIA 73:2005]
NOTA No contexto desta Norma o termo probabilidade usado para a estimativa de riscos
Este termo substitudo por modificao do risco e contemplado atualmente pelo tratamento do risco.
3.8 reteno do risco

aceitao do nus da perda ou do benefcio do ganho associado
Este termo contemplado atualmente pelo tratamento do risco.
92/97
Termos definidos na ABNT NBR ISO/IEC 27005:2008 a um determinado risco [ABNT ISO/IEC GUIA 73:2005]
NOTA No contexto dos riscos de segurana da informao, somente consequncias negativas (perdas) so consideradas para a reteno do risco.
93/97
3.9 transferncia do risco

compartilhamento com uma outra entidade do nus da perda ou do benefcio do ganho associado a um risco [ABNT ISO/IEC GUIA 73:2005]
NOTA No contexto dos riscos de segurana da informao, somente consequncias negativas (perdas) so consideradas para a transferncia do risco.
Este termo substitudo por compartilhamento do risco e contemplado atualmente pelo tratamento do risco.
n/a
3.15 tratamento do risco

processo de seleo e implementao de medidas para modificar um risco NOTA Nesta Norma o termo controle usado como um sinnimo para
3.17 tratamento de riscos

processo para modificar o risco (3.9) [ABNT ISO GUIA 73:2009]
NOTA 1 O tratamento de risco pode envolver:
94/97
Termos definidos na ISO/IEC 27000:2009 utilizados na ABNT NBR ISO/IEC 27005:2008 medida. [ABNT NBR ISO/IEC 27001:2006]
a ao de evitar o risco pela deciso de no iniciar ou descontinuar a atividade que d origem ao risco; assumir ou aumentar o risco, a fim de buscar uma oportunidade; a remoo da fonte de risco; a alterao da probabilidade (likelihood) (3.7); a alterao das consequncias (3.1); o compartilhamento do risco com outra parte ou partes [incluindo contratos e financiamento do risco]; e a reteno do risco por uma escolha consciente. NOTA 2 Os tratamentos de riscos relativos a consequncias negativas so muitas vezes referidos como "mitigao de riscos", "eliminao de riscos", "preveno de riscos" e "reduo de riscos". NOTA 3 O tratamento de riscos pode criar novos riscos ou modificar riscos existentes.
n/a
n/a
3.18 parte interessada

pessoa ou organizao que pode afetar, ser afetada, ou perceberse afetada por uma deciso ou atividade
95/97

NOTA Um tomador de deciso pode ser uma parte interessada.
ameaa causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao [ABNT NBR ISO/IEC 27002:2005]
A definio atual da ISO/IEC 27000:2009 se aplica.
96/97
ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 AGOSTO:2011
Bibliografia
[1] ABNT ISO Guia 73: 2009, Gesto de riscos Vocabulrio Recomendaes para uso em normas [2] ISO/IEC 16085: 2006, Systems and Software Engineering Life Cycle Processes Risk Management [3] ABNT NBR ISO/IEC 27002:2005, Tecnologia da informao Tcnicas de segurana Cdigo de pratica para a gesto de segurana da informao [4] ABNT NBR ISO 31000:2009, Gesto de riscos Princpios e diretrizes [5] NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook [6] NIST Special Publication 800-30, Risk Management Guide for Information Technology Systems, Recommendations of the National Institute of Standards and Technology
94/97

ISO IEC 27005 - Gestão de Riscos TI

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ISO IEC 27005 - Gestão de Riscos TI

Uploaded by

Copyright:

Available Formats

ABNT/CB-21 PROJETO DE REVISO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) AGOSTO:2011

Tecnologia da informao Tcnicas de segurana Gesto de riscos de segurana da informao

NO TEM VALOR NORMATIVO

8.3.1 Metodologias de anlise de riscos

9.3 9.4 9.5 10 11 12 12.1 12.2

Anexo B (informativo) Identificao e valorao dos ativos e avaliao do impacto

Anexo E (informativo) Abordagens para o processo de avaliao de riscos de segurana da informao 69

NO TEM VALOR NORMATIVO

Tecnologia da informao Tcnicas de segurana Gesto de riscos de segurana da informao

O Escopo desta Norma Brasileira em ingls o seguinte:

NO TEM VALOR NORMATIVO

as relaes com partes interessadas externas e suas percepes e valores.

[ABNT ISO GUIA 73:2009]

[ABNT ISO GUIA 73:2009]

3.16 gesto de riscos

6 Viso geral do processo de gesto de riscos de segurana da informao

NO TEM VALOR NORMATIVO

NO TEM VALOR NORMATIVO

NO TEM VALOR NORMATIVO

NO TEM VALOR NORMATIVO

NO TEM VALOR NORMATIVO

7.2 Critrios bsicos

Mais informaes podem ser encontradas no Anexo A.

7.3 Escopo e limites

Informaes adicionais podem ser encontradas no Anexo A.

7.4 Organizao para gesto de riscos de segurana da informao

8 Processo de avaliao de riscos de segurana da informao

NO TEM VALOR NORMATIVO

8.2 Identificao de riscos

NO TEM VALOR NORMATIVO

NO TEM VALOR NORMATIVO

NO TEM VALOR NORMATIVO

8.3 Anlise de riscos

NO TEM VALOR NORMATIVO

8.4 Avaliao de riscos

Tratamento do risco de segurana da informao

NO TEM VALOR NORMATIVO

NO TEM VALOR NORMATIVO

9.2 Modificao do risco

9.3 Reteno do risco

9.4 Ao de evitar o risco

9.5 Compartilhamento do risco

NO TEM VALOR NORMATIVO

10 Aceitao do risco de segurana da informao

NO TEM VALOR NORMATIVO

11 Comunicao e consulta do risco de segurana da informao

12 Monitoramento e anlise crtica de riscos de segurana da informao

NO TEM VALOR NORMATIVO

12.2 Monitoramento, anlise crtica e melhoria do processo de gesto de riscos

NO TEM VALOR NORMATIVO

A.1 A anlise da organizao

NO TEM VALOR NORMATIVO

A.2 Restries que afetam a organizao

NO TEM VALOR NORMATIVO

NO TEM VALOR NORMATIVO

A.3 Referncias legais e regulamentares aplicveis organizao

A.4 Restries que afetam o escopo

NO TEM VALOR NORMATIVO

Anexo B (informativo) Identificao e valorao dos ativos e avaliao do impacto

B.1 Exemplos de identificao de ativos

NO TEM VALOR NORMATIVO

NO TEM VALOR NORMATIVO

NO TEM VALOR NORMATIVO