Scribd Logo
Upload

Welcome to Scribd!

  • IEC 27005 de 10.2019 - IsO Tecnologia Da Informação - Técnicas de Segurança - Gestão de Riscos de Segurança Da Informação

    Uploaded by

    Gustavo Favoretto
    58 views73 pages

    Original Title

    IEC 27005 de 10.2019 - IsO Tecnologia Da Informação — Técnicas de Segurança — Gestão de Riscos de Segurança Da Informação

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    Download as pdf
    58 views73 pages

    IEC 27005 de 10.2019 - IsO Tecnologia Da Informação - Técnicas de Segurança - Gestão de Riscos de Segurança Da Informação

    Uploaded by

    Gustavo Favoretto

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    Download as pdf
    of 73
    NORMA ABNT NBR BRASILEIRA ISO/IEC 27005 Torcoira edigso 24.10.2019, Tecnologia da informagao — Técnicas de seguranca — Gestao de riscos de seguranga da informagao Information technology — Secunty techniques — Information secur risk ‘managomont les 35.040 ISBN 978-85-07-08205-8, Numero de referéncia NEE Seastea ABNT NBR ISO/IEC 27005:2019 TECNICAS Be cae © ISONEC 2018 - ©ABNT 2019 ABNT NBR ISO/IEC 27005:2019 ‘© 1soneC 2018 ‘Todos 0: drelosreservades. Amenos que especiicado de outro modo, nenhuma pate desta publcago pode sor ‘reprodinss cu weed por qualquer reo, eevérico ou Mecano, ieundo loocipa emicofime, sem perissio Por ‘tonto da ABNT, nico represertarte da EC no tert basi, ‘OABNT 2019 ‘Todos os drelos reservades. Amenos que eepeciicad de outro modo, nenhums pate desta pablcagdo pode sor reprodunés cu wad por qualquer mo, sevSrico ou mactric,iehndofolocopaa @ microtime, em petMmss80 Por ‘seito da ABNT. ABNT ‘Teze de Malo, 13~ 28° andor 2031-901 - Ro ce Janero- RJ Jol: 55.21 99742300 Fax: + 55 21 3074-2546 abni@abntorg br vamwabntorgt i (@180NEC 2018-@ABNT 2019 Toon ca don ese ABNT NBR ISOMEC 27005:2019 ‘Sumario Pagina Prefacio Nacional Tormos e definigées.. Organizagio deste documento. Contextualizagao. Visao geral do proceso de gestio de: Definigso do contexto.. Consideragées gerais.. Critérios basicos. ‘Abordagem da gestio de riscos. Critérios para a avaliacdo de riscos. Critérios de impacto.. Critérios para a aceitacao do risco.. Escopo e limites ae Organizagio para gestdo de riscos de seguranca da informagio...... Processo de avaliagao de riscos de seguranga da informaga Descricdo geral do proceso de avaliagao de riscos de seguranga da informagao 1 Identificagao de riscos. Introdugdo & identificagao de riscos. Identificagao dos ativos. dentificacao das ameagas. Identificacao dos control dentificacao das vuinerabilidades dentificacao das consequéncias. Analise de riscos. sen Metodologias de andlise de riscos Avaliaco das consequéncias ‘Avaliacdo da probabilidade dos incidentes. Determinagio do nivel de risco a ‘Avaliacio de riscos Tratamento do risco de seguranga da informacéo. Descrigéo geral do proceso de tratamento do risco Modificagio do risco... Retengao do risco Agao de evitar o risco.. ‘Compartiihamento do risco..... Aceltagao do risco de seguranga da informagéo. ‘Comunicagao e consulta do risco de seguranga da informagao Monitoramento e andlise ertica de riscos de seguranca da informacao. {©1SONEC 2018- © ABNT2019- Todos ox dretonrcarados ii Fa. ABNT NBR ISO/IEC 27005:2019 421 Monitoramento e anilise critica dos fatores de risco. 422 Monitoramento, andlise critica e melhoria do processo de gestio de riscos. ‘Anexo A informativo) Definindo o escopo ¢ os limites do processo de gestio de riscos de sguranga da informagao A1 —_ Estudo da organizacao. A2 Lista de restrigdes que afetam a organizacao.. A3 Lista de restrigdes que afetam 0 escopo...... 7 ‘Anexo B (informativo) Identificacao e valoragao dos ativos e avaliagao do impacto B.A Exemplos de identificagao de ativos. B.1 — Generalidades. e j oe B.1.2__ Identificagao dos ativos primarios... B.1.3 Lista e descrigéo de ativos de suporte B.2 —_Valoragio dos Ativos. B21 Generalidades. B22 — Critérios. 40 B.2.3__Definicdo de um denominador comum. 40 B24 Escala demedicao. 2 B25 —_Dependéncias. " i — 42 B26 — Saida, 43 B.3—_Avaliago do Impacto.. 43 ‘Anexo C (informativo) Exemplos de ameagas comune... J ) ‘Anexo D (informative) Vulnerabilidades e métodos de avaliagdo de vulnerabilidad« 49 DA —_Exemplos de vulnerabilidade: 49 D.2 _Métodos para a avaliacdo de vulnerabilidades técnicas. 53 ‘Anexo E (informativo) Abordagens para o processo de avaliagao de riscos de seguranga da informagao... 55 E41 —_Processo de avaliacao de riscos de seguranga da informacao ~ Enfoque de alto nivel $5 Proceso detalhado de avaliacao de riscos de seguranca da informagao. Gonoralidades. Exemplo 1 — Matriz com valores predofinidos Exemplo 2~ Ordenaco de Ameagas em fungao do Risco ...... E24 — Exemplo 3 —Avaliando a probabilidad ‘Anexo F (informativo) Restri¢des para a modificagao do risco Bibliografia.. Figuras Figura 1-0 proceso de gestio de riscos.. Figura 2 ~ Processo de gestio de riscos de seguranga da informagao. Figura 3 ~A atividade de tratamento do risco. Fu ABNT NBR ISO/IEC 27005:2019 Tabela E.1 Tabe(n Eee eee, As. ABNT NBR ISOMEC 27005:2019 Prefacio Nacion: ‘AAssociacao Brasileira de Normas Técnicas (ABNT) ¢ 0 Foro Nacional de Normalizacao. As Norms, Brasileras, cujo conteddo é de responsablidade dos Comités Brasileiros (ABNTICB), dos Organismos. de Normaliza¢o Setorial (ABNTIONS) e das Comiss6es de Estudo Especiais (ABNTICEE), s80 elaboradas por Comissées de Estudo (CE), formadas pelas partes interessadas no tema objeto da normalizagao. (Os Documentos Técnicos ABNT séo elaborados conforme as regras da ABNT Diretiva 3. ‘AABNT chama a atengao para que, apesar deter sido solictada manifestago sobre eventusls direitos {de patentes durante a Consulta Nacional, estes podem ocorer @ devem ser comunicados & ABNT ‘a qualquer momento (Lei? 9.279, de 14 de maio de 1996). (Os Documentos Técnicos ABNT, assim como as Normas Internacionais (ISO @ IEC), 380 voluntarios, € nao incluem requisites contratuais, legais ou estatutdrios. Os Documentos Técnicos ABNT nao substituem Leis, Decretos ou Regulamentos, aos quais os usuarios devem atender, tendo precedéncia, ‘sobre qualquer Documento Técnico ABNT. Ressalta-se que 0s Documentos Técnicos ABNT podem ser objeto de citagao em Regulamentos ‘Técnicos. Nestes casos, 0s érgaos responsaveis polos Regulamentos Técnicos podem determinar as datas para exigéncia dos requisitos de quaisquer Documentos Técnicos ABNT. ‘AABNT NBR ISO/IEC 27005 fol elaborada no Comité Brasileiro de Computadores @ Processamento de Dados (ABNTICB-021), pela Comissao de Estudo de Técnicas de Seguranca (CE-021:000.027). ‘© Projeto de Revisdo circulou em Consulta Nacional conforme Edital n® 08, de 09.08.2019 09.09.2019. AABNT NBR ISO/IEC 27005 @ uma adogdo idéntica, em conteddo técnico, estrutura e redacao, & ISONEC 27005:2018, que foi elaborada pelo Technical Committee Information technology (ISONEC JTC 1), Subcommittee IT Security techniques (SC 27), AABNT NBR ISO/IEC 27005:2019 cancela e substitui a ABNT NBR ISOVIEC 27005:2011, a qual foi tecnicamente revisada ‘© Escopo da ABNT NBR ISO/IEC 27005 em inglés ¢ 0 seguinte: Scope ‘This document provides guidelines for information security risk management. This document supports the general concepts specified in ABNT NBR ISO/IEC 27001 and is designed to assist the satisfactory implementation of information security based on arisk management approach. of the concepts, models, processes and tarminologios desorbod in ABNT NBR ISONEC 27001 ‘and ABNT NBR ISO/IEC 27002 is important for a complete understanding of this document. This document is applicable to all types of organizations (e.g. commercial enterprises, goverment ‘agencies, non-profit organizations) which intend to manage risks that can compromise the organization's, information secu. ABNT NBR ISO/IEC 27005:2019 Introdugao Este documento fomece diretrizes para a gestdo de riscos de seguranga da informagso em uma organizagao. Entretanto, este documento nao fornece um método especifice para a gestao de riscos de seguranga da informagao. Cabe a organizagao definir sua abordagem ao proceso de gestdo, de risc0s, considerando, por exemplo, 0 escopo de um sistema de gestdo de seguranca (SCSI), © contexto da gestio de riscos e 0 seu setor de atividade econémica. HA varias metodologias que podem ser ullizadas de acordo com a estrutura descrita neste documento para implementar os requisitos de um SGSI. Este documento é baseado no método de identifcagdo de riscos de ativos, ‘ameacas © vuinerabilidades, que no 6 mais requerido pela ABNT NBR ISO/IEC 27001, Existem utras abordagens que podem ser usadas, Este documento néo contém orientagao direta sobre a implementago dos requisitos do SGSI fomecidos na ABNT NBR ISO/IEC 27001. Este documento 6 aplicdvel a gestores e pessos! envolvidos com a gestio de riscos de seguranga dda informaco em uma organizacao e, quando apropriado, em entidades externas que dao suporte a essas atividades. fa. NORMA BRASILEIRA ‘ABNT NBR ISO/IEC 27005:2019 Tecnologia da informagao — Técnicas de seguranca — Gestdo de riscos de seguranga da informacao 1. Escopo Este documento fomece diretrizes para o proceso de gestio de riscos de seguranca da informacao, Este documento estabelece os conceitos gerais especificados na ABNT NBR ISO/IEC 27001 ¢ foi ‘laborado para facilitar uma implementacao satisfatoria da seguranca da informacao tendo como base uma abordagem de gestéo de riscos. (© conhecimento dos _conceitos, modelos, processos_e terminologias descritos na ABNT NBR ISO/IEC 27001 e na ABNT NBR ISO/IEC 27002 ¢ importante para um entendimento, completo deste documento, Este documento ¢ aplicavel a todos os tipos de organizagao (por exemplo: empreendimentos comer- ciais, agéncias governamentais, organizagdes sem fins lurativos), que pretendam gerenciar os riscos ue podem comprometer a seguranca da informacao da organizacao. 2. Referéncia normativa © seguinte documento 6 referenciado no texto de tal forma que partes ou todo o seu conteido Constituem requisites deste documento, Para as referénoias com datas, apenas a odigdo citada se aplica, Para as referéncias sem data, aplica-se apenas a edigdo mais recente do referido documento (incluindo quaisquer corregdes) ISO/IEC 27000, Information Technology ~ Security techniques — Information security management systems ~ Overview and vocabulary 3. Termos e definicdes. Para os efeitos deste documento, aplicam-se 06 tormos @ definigbes a seguir @ os da ISOMEC 27000. ISO @ a IEC mantém bases de dados terminoligicos para uso na normalizagao nos seguintes endereros: — Plataforma de navegagao online !SO: disponivel em htipsJiwwwiso.org/obp — IEC Electropedia: disponivel em http:/wwww.electropedia org! 4 Organizacao deste documento Este documento contém a descrigao do processo de gestdo de riscos de seguranca da informagao das suas atividades. {As informagées sobre 0 contexte histérico so apresentadas na Segdo 5. ‘1S EC 2018-© ANT 201 Todo 8 ret resiratot 1 ABNT NBR ISOMEC 27005:2019 [Uma visto geral do processo de gestio de riscos de seguranca da informagio 6 apresentada na Segao 6, ‘Todas as atividades de gestio de riscos de seguranca da informagao, apresentadas na Seco 6, s30, descritas nas seguintes segées: = definigo do contexto na Seco 7, — proceso de avaliacdo de riscos na Secéo 8, — tratamento do isco na Serdo 8, — aceitagao do risco na Segao 10, — comunicagio e consulta do risco na Sogo 11, = monitoramento e andlise critic de riscos na Secao 12. Informagies adicionais para as atividades de gastao de riscos de seguranca da informagao so apre- ssentadas nos Anexos. Adefinicao do contexto é detalhada no Anexo A (Definindo o escopo e os limites. {do processo de gestio de riscos de seguranca da informaco). A identiicago e valoragao dos ativos 2 avaliagao do impacto so discutidas no Anexo B. © Anexo C fomece exemplos de ameagas tipicas © 0 Anexo D apresenta vulnerabilidades e métodos para avaliacao de vulnerabildades. Exemplos de. ‘abordagens para o processo de avaliacao de riscos de seguranga da informacao sao apresentados no Anexo E, Restriges relativas & modificacao do risco sao apresentadas no Anexo F As alvidades de gestio de riscos, como apresentadas da Seco 7 até a Segao 12, esto estruturadas. dda saguinte forma: Entrada: identifica as informagSes necessarias para realizar a atvidade, ‘Acdo: Descreve a atividade. Direttizes para_implementaco: Fomece orientago para a execugdo da ago. Algumas destas Crientagdes podem ndo ser adequadas em todos os casos @ assim sendo, outras maneiras de se ‘executar a ago podem ser mais apropriadas. ‘Salda: Identfica as informagdes resultantes da execupao da atividade. 5 Contextualizagao [Uma abordagem sistemitica de gestio de riscos de seguranca da informagaio é necesséria para se feniicar as necessidades da organizag3o em relacZo aos requisitos de seguranca da informagao « para criar um sistema de gesto de seguranga da informago (SGSI) que seja eficaz. Convém que festa abordagem seja adequada 20 ambiente da organizacao e em particular esteja alinhada com 0 ‘proceso maior de gestdo de riscos corporativos. Convém que os esforgos de seguranca lidem com. riscos de maneira efetiva e no tempo apropriado, onde e quando forem necessérios. Convém que ‘a gestao de riscos de seguranca da informacdo seja parte inlagrante das atvidades de gestio da ‘seguranga da informacao e seja aplicada tanto a implementacdo quanto @ operagao cotidiana de um SSI. 2 (eisonec 2018-@ABNT 20 ado 8 ras rverodor Fuso. ABNT NBR ISO/IEC 27005:2019 Convém que a gestao de riscos de seguranga da informagao seja um proceso continuo. Convém que 0 processo defina 0 contexto interno e externa, avalie os riscos e os trate usando um plano de tratamento a fim de implementar as recomendagées e decisdes. Convém que a gestao de riscos analise os possiveis acontecimenios e suas consequéncias, antes de decidir o que sera feito e quando. sera feito, afim de reduzir os riscos a um nivel aceitével Convém que a gastio de riscos de seguranga da informagao contibua para o seguinte: — identiicagao de riscos; — _processo de avaliacao de riscos em fungio das consequéncias ao negécio e da probabilidade de ‘sua ocorréncia; — _comunicagao e entendimento da probabilidade e das consequéncias destes riscos; — estabelecimento da ordem prioritaria para tratamento do risco: — tiorizagao das agdes para reduzir a ocorréncia dos riscos; — envolvimento das partes interessadas nas decisBes de gestio de riscos tomadas e para informa- ‘920 sobre a situagao da gestao de riscos; — eficéicia do monitoramento do tratamento do risco; — monitoramento e andlise critica periédica dos riscos e do proceso de gestdo de riscos; — coleta de informacdes de forma a melhorar a abordagem da gestio de riscos; — treinamento de gestores © pessoal sobre os riscos @ as agées para mitigé-los, 0 proceso de gestao de riscos de seguranga da informaco pode ser aplicado a organizagao como, lum todo, a uma éree especifica da organizagao (por exemplo: um departamento, um local fsico, lum servigo), a qualquer sistema de informagées, 2 controles ja existentes, planejados ou apenas 4 aspectos particulares de um controle (por exemplo: 0 plano de continuidade de negdcios). 6 Visao geral do processo de gestao de riscos de seguranca da informagao. Uma vise de alto nivel do processo de gestéo de riscos € especiicado na ABNT NBR ISO 31000 apresentado na Figura 1. ‘©1S OVE 2018- © ANT 2019- Todos ox dean reservados 3 ust ABNT NBR ISO/IEC 27005:2019 Cora a musi) i _etra — qa | peter — 3 Aa pees i § 3 Td (= Pores ay Figura 1-0 processo de gestio de riscos ‘A Figura 2 apresenta como este documento ¢ aplicado ao proceso de gestlo de riscos. ‘processo de gosto de riscos de segurancadalnformagdo consisena defini¢do do contexto (S007), proceso de avaliagao de riscos (Sega 8), tralamento do risco (Sera0 9), acetagdo do risco (Seqdo 10), comunicagao e consulta do risco (Sago 11) ¢ monitoramento e andlise rica de riscos (©1S0N€C 2018-©ABNT 2019 Tos ox crete rxorados ABNT NBR ISO/IEC 27005:2019 (ee | ES PONTO DE DECISKO 2 ‘Tatamonto satisttério, FIM DA PRIMEIRA OU DAS DEMAIS ITERAGOES Figura 2 ~ Processo de gestdo de riscos de seguranca da informagao Como mostra a Figura 2, 0 processo de gestao de riscos de seguranga da informagao pode ser iterativo para 0 processo de avaliar3o de riscos e/ou para as atividades de tratamento do risco. Um enfoque iterativo na execugdo do proceso de avaliacdo de riscos torna possivel aprofundar © detalnar a avaliacao em cada repetic0. O enfoque iterativo permite minimizar 0 tempo e 0 esforgo. despendidos na identiicacao de controles e, ainda assim, assegura que riscos de alto Impacto ou de alta probablidade possam ser adequadamente avaliados Primeiramente, 0 contexto estabelecido, Em sequida, executa-se um proceso de avaliagao de riscos. Se ele fomecer informagdes suficientes para que se determine de forma eficaz as agoes ecossarias para reduzir os riscos a um nivel aceitvel, entZo a tarefa est completa e o tratamento do risco pode ser realizado. Por outro lado, se as informacdes forem insuficientes, executa-se uma outra iteragdo do proceso de avaliagao de riscos, revisando-se o contexto (por exemplo: os critérios de avaliagdo de riscos, de aceitago do risco ou de impacto), possivelmente em partes limitadas do. ‘escopo (ver Figura 2, Ponto de Decisao 1). AAcficdcia do tratamento do risco depende dos resultados do processo de avaliagéo de riscos. ‘ersovec 2018 5 ABNT 2019 Tado 8 rats reservar 5 ns. ABNT NBR ISOMEC 27005:2019 "Notar que o tratamento do risco envolve um processo ciclico para —avaliar um tratamento do isco: — decidir s0 08 niveis de risco residual s8o aceitaveis; —_gerar um nove tratamento do rsco se os niveis de rsco no forem aceitéveis; © —avaliar a eficacia do tratamento. possival que o tratamento do risco néo resulte em um nivel de rsco residual que soja aceitéve ‘Nessa situacéo, pode ser necesséria uma our teragdo do proceso de avaliagdo de riscos, com ‘mudancas nas variveis do cntexto (por exemplo: os citéios parao process0 de avaliagdo derscos,

    You might also like