Scribd Logo
Upload

Welcome to Scribd!

  • 12 views

    Iso 27005

    Uploaded by

    paulo

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content

    You might also like

    Iso 27005

    Uploaded by

    paulo
    12 views61 pages

    Original Title

    ISO 27005

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    Download as pdf
    12 views61 pages

    Iso 27005

    Uploaded by

    paulo

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    Download as pdf
    of 61
    Convénio ABNT - Sistema Confea/Crea/Mutua NORMA ABNT NBR BRASILEIRA ISO/IEC 27005 Primeira edigéo 07.07.2008 Valida a partir de 07.08.2008 Tecnologia da informagao — Técnicas de segurancga — Gestao de riscos de seguranga da informagao Information technology — Security techniques — Information security risk management MARCOLINO - 631.898, 959-53 RNP-2305421796 (Pedido 196469 Impresso: 30/09/2009) Palavras-chave: Tecnologia da informagao. Técnicas de seguranca. Gestao de Descriptors: Information technology. Securty techniques. Risk management. Ics 35.040 ISBN 978-85-07-00811-8 para uso exclusivo - CLAUDIO CEZAR CAVALCANT: fecatant Numero de referéncia TECNICAS 55 paginas © ISO/IEC 2008 - © ABNT 2008 Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631.898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 © ISOMEC 2008 Todos 08 dir'tos reservados. A menos que especticado de outro modo, nenhuma parte desta publicagao pode ser reproduzida 01 utlizada por qualquer meio, eletrdnico ou mecdnico, incluindo fotocépia e microflme, sem permisso por escrito pela ABNT. nico representante da IEC no teritério brasileiro. © ABNT 2008 Todos 08 direitos reservados. A menos que especiicado de outro modo, nenhuma parte desta publicagdo pode ser reproduzida 04 utlizada por qualquer meio, eletrSnico ou mecdnico, incluindo fotocépia @ microfme, sem permissB0 por escrito pela ABNT. ABNT ‘Ay-Treze de Malo, 13 - 28° andar 20031-801 - Rio de Janeiro - RJ Tol: + 55.21 3974-2300 Fax: +55 21 2220-1762 abnt@abni.org be ‘wwe. abntorg. br Impresso no Brasil ii {© ISOVIEC 2008 - © ABNT 2008 - Todos os dretos reservados Convénio ABNT - Sistema Confea/Crea/Mutua MARCOLINO - 631.898, 959-53 RNP:2305421796 (Pedido 196469 Impresso: 30/09/2009) ara uso exclusive - CLAUDIO CEZAR CAVALCANT! ABNT NBR ISO/IEC 27005:2008 Sumario Pagina Prefacio Nacional. Introdugao vi Escopo.... 1 2 Referéncias normativas... 3 Termos e definigées. 4 Organizagao da Norma. 5 6 7 Contextualizagio Visao geral do processo de gest de riscos de seguranga da informa Definicao do contexto 74 Consideragdes gerais 72 Critérios basicos..... 7.3 Escopoe limites, 7.4 — Organizagao para gestio de riscos de seguranca da informagao. 8 —_Anélise/avaliagao de riscos de seguranca da informagao. 2:1 Descrigto geral do processo de andisaavaliaglo de riacos ce seguranga da Informagto... 82 Anélise de riscos 8.2.4 Identificagao de riscos. 8.2.2 Estimativa de riscos... 8.3 Avaliagdo de riscos 9 Tratamento do risco de soguranca da informagao. 9.1. Descrigao geral do processo de tratamento do risco 9.2 Reducdo do risco. 9.3 Retengao do risc 9.4 Acdo de evitar o risco 9.5 Transferéncia do risco. 10 Aceltagao do risco de seguranca da informagao. 11 Comunicagao do risco de seguranga da informagao. 12 Monitoramento e analise critica de riscos de seguranca da informagao. 12.1 Monitoramento e andlise critica dos fatores de risco 122 —Monitoramento, andlise critica e melhoria do processo de gestao de riscos Anexo A (informative) Definindo 0 escope e os limites do proceso de gestdo de riscos de seguranca da informagio .. AA Aanilise da organizagao. A2 — Restrigdes que afetam a organizacao 3 Legislagdes © regulamentagées aplicavels 4 organizagao. 28 Ad Restrigdes que afetam 0 escopo Anexo B (informative) Identificagao e valoracao dos ativos e avaliagéo do impacto 30 B.1__ Exemplos de identificagao de ativos. B.1.1__Identificagao dos ativos primarios. B.1.2 Lista e descricao de ativos de suporte e infra-estrutura, B2 _Valoragdo dos Ativos B.3_Avaliagao do Impacto.. Anexo C (informative) Exemplos de ameacas comuns. 39 Anexo D (informative) Vulnerabilidades e métodos de avaliagao de vulneral D1 Exemplos de vulnerabilidades... 1801 IEC 2008 - © ABNT 2008 - Todos os dreitos reservados Convénio ABNT - Sistema Confea/Crea/Mutua MARCOLINO - 631.898, 959-53 RNP:2305421796 (Pedido 196469 Impresso: 30/09/2009) ara uso exclusive - CLAUDIO CEZAR CAVALCANT! ABNT NBR ISO/IEC 27005:2008 D.2 _ Métodos para a avaliagao de vulnerabilidades técnicas.. 48 Anexo E (informative) Diferentes abordagens para andlise/avaliacdo de riscos de seguranga da informagao E11 Anilise/avaliagao de riscos de seguranca da informagao - Enfoque de alto nivel 47 E2 —Analise/avaliacao detalhada de riscos de seguranga da informagao. E21 Exemplo 1 Matriz com valores pré-definides .. E22 Exemplo 2 Ordenacao de Am E23 Exemplo 3 Avaliando a probabilidade e as possivels consequléncias dos riscos... Anexo F (informativa) Restrigdes que afetam a redugéo do risco, Bibliografia, iv {8 ISOVIEC 2008 - © ABNT 2008 - Todos os crtos reservados Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Prefacio Nacional A Associagao Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalizagdo. As Normas Brasieiras, cujo contetido & de responsabilidade dos Comités Brasileiros (ABNTICB), dos Organismos de Normalizacao Setorial (ABNT/ONS) e das Comissoes de Estudo Especiais (ABNTICEE), séo elaboradas por Comissées de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores @ neutros (universidade, laboratério e outros). (Os Documentos Técnicos ABNT so elaboradas conforme as regras das Diretivas ABNT, Parte 2. ‘A Associagao Brasileira de Normas Técnicas (ABNT) chama atengao para a possibiidade de que alguns dos elementos deste documento podem ser objeto de direito de patente. A ABNT ndo deve ser considerada responsavel pela identficacao de quaisquer direitos de patentes. A. ABNT NBR ISO/IEC 27005 foi elaborada no Comité Brasileiro de Computadores e Processamento de Dados (ABNTICB.21), pela Comissao de Estudo de Tecnologia da Informagao (CE-21:027). O Projeto circulou em Consulta Nacional conforme Edital n° 03, de 13.03.2008 a 11.04.2008, com o ntimero de Projeto 21:027.00-017. Esta Norma 6 uma adogdo idéntica, em conteddo técnico, estrutura © redagdo, @ ISOVIEC 27005:2008, que foi elaborada pelo Technical Committee Information technology (ISO/IEC JTC 1), conforme ISO/IEC Guide 21-1:2005. (© Escopo desta Norma Brasileira em inglés 6 0 seguinte: Scope This International Standard provides guidelines for information securty risk management. This Intemational Standard supports the general concepts specified in ISO/IEC 27001 and is designed to assist the satisfactory implementation of information security based on a risk management approach. ‘Knowledge of the concepts, models, processes and terminologies described in ISO/IEC 27001 and ISO/IEC 27002 is important for a complete understanding of this International Standard, This International Standard is applicable to all types of organizations (e.g. commercial enterprises, government agencies, non-profit organizations) which intend to manage risks that could compromise the organization's information security. © ISOIEC 2008 - © ABNT 2008 - Todos 0 dretos reservados v Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Introdugao Esta Norma fornece direrizes para 0 processo de Gestio de Riscos de Seguranga da Informagao de uma ‘organizagdo, atendendo particularmente aos requisites de um SGSI de acordo com a ABNT NBR ISOIEC 27001 Entretanto, esta Norma nao inclui uma metodologia especifica para a gestio de riscos de seguranca da informagao. Cabe a organizagao definir sua abordagem ao proceso de gestdo de riscos, levando em conta, por exemplo, o escopo do seu SGSI, 0 contexto da gestao de riscos € o seu setor de atividade econdmica. Ha varias metodologias que podem’ ser utilizadas de acordo com a estrutura descrita nesta Norma para implementar os requisitos de um SGSI Esta Norma é do interesse de gestores e pessoal envolvidos com a gesto de riscos de seguranga da informagao ‘em uma organizagao e, quando aplicavel, em entidades externas que dao suporte a essas alividades. vi (© ISONEC 2008 - © ABNT 2008 - Todos os artos reservados Convénio ABNT - Sistema Confea/Crea/Mutua MARCOLINO - 631.898, 959-53 RNP:2305421796 (Pedido 196469 Impresso: 30/09/2009) ara uso exclusive - CLAUDIO CEZAR CAVALCANT! NORMA BRASILEIRA ABNT NBR ISO/IEC 270052008 Tecnologia da informagao — Técnicas de seguranga — Gestao de riscos de seguranga da informagao 1 Escopo Esta Norma fornece direrizes para o processo de gestao de riscos de seguranga da informagao. Esta Norma esta de acordo com os conceites especificados na ABNT NBR ISO/IEC 27001 e foi elaborada para facitar uma implementagdo satisfatéria da sequranca da informagao tendo como base a gestio de riscos, © conhecimento dos conceitos, modelos, processos @ terminologias descritos na ABNT NBR ISO/IEC 27001 ena ABNT NBR ISO/IEC 27002’¢ importante para um entendimento completo desta Norma. Esta Norma se aplica a todos 08 tipos de organizagao (por exemplo: empreendimentos comerciais, agéncias governamentais, organizagSes som fins lucrativos), que pretendam gerir 08 riscos que poderiam comprometer 2 seguranca da informagso da organizagéo. 2. Referéncias normativas (Os documentos citados a seguir so indispenséveis para a correta aplicagao desta Norma. Para as referéncias com datas, apenas a edigéo citada é valida. Para as referéncias sem data especifica, vale apenas a versio oficial ‘mais recente do referido documento (incluindo possiveis correces). ABNT NBR ISO/IEC 27001:2006, Tecnologia da Informacao ~ Técnicas de seguranga ~ Sistemas de gestéo de ‘seguranca da informagao ~ Requisitos. ABNT NBR ISO/IEC 27002:2005, Tecnologia da Informacao ~ Técnicas de seguranca ~ Cédigo de pratica para ‘a gestao da seguranga da informagao 3 Termos e definigdes Para_os efeitos deste documento, aplicam-se os termos @ definicées das ABNT NBR ISO/IEC 27001 e ABNT ISONIEC 27002, e os seguintes, 34 impacto ‘mudanga adversa no nivel obtido dos abjetivas de negécios 32 riscos de seguranga da informacao a possibilidade de uma determinada ameaca explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organizacao NOTA E medida em fungio da combinagdo da probablidads de um evento e de sua consequéncia, 1801 IEC 2008 -© ABNT 2008 - Todos os draios reservados 1 Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 33 agao de evitar o risco dacisdo de nao se envolver ou agir de forma a se retirar de uma situagao de risco (ABNT ISO/IEC GUIA 73:2005] 34 ‘comunicagao do risco toca ou compartihhamento de informagao sobre isco entre o tomador de decisao e outras partes interessadas [ABNT ISO/IEC GUIA 73:2005} 35 estimativa de riscos processo utlizado para alribuir valores probabilidade e conseqiéncias de um risco [ABNT ISO/IEC GUIA 73:2005] NOTA1 — No contexto desta Norma, o termo “atvidade’ é usado na lugar do terme “processo" para a estimativa de rscos, NOTA 2 No contexta desta Norma, o termo probabilidade é usado para a estimatva de rscos, 36 identificagao de riscos processo para localizar, listar e caracterizar elementos do risco [ABNT ISO/IEC GUIA 73:2005] NOTA No contexto desta Norma o termo, “atvidade? & usado no lugar do temo “processo" para a identicagao de rscos ar redugao do risco agbes tomadas para reduzir a probabilidade, as conseqiiéncias negativas, ou ambas, associadas a um tisco [ABNT ISO/IEC GUIA 73:2005] NOTA No contexto desta Norma, o trma probabilidade 6 usado para a estimativa de rscos, 3.8 retongao do risco aceitagao do Snus da perda ou do beneficio do ganho associado a um determinado risco [ABNT ISO/IEC GUIA 73:2005] NOTA No contexta dos riscos de seguranga da Informagso, somente conseqléncias negativas (perdas) sdo consideradas para a retenga do risco. 39 transferéncia do risco ‘compartiihamento com uma outra entidade do Gnus da perda ou do beneficio do ganho associado a um risco [ABNT ISO/IEC GUIA 73:2005] NOTA No contexta dos rscos de seguranga da Informagio, somente conseqléncias negativas (perdas) sdo consideradas para a transferéncia do isco 2 {© ISOVIEC 2008 - © ABNT 2008 - Todos os dts reservados Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 4 Organizagao da Norma Esta Norma contém a descrigéo do processo de gestio de riscos de seguranga da informagao e das suas alvidades. {As informagSes sobre o contexto hist6rico sao apresentadas na Segao 5, Uma visio geral do processo de gestao de riscos de seguranga da informacao 6 apresentada na Segdo 6. AAs atividades de gestdo de riscos de seguranca da informago, apresentadas na Secdo 6, sdo descritas nas soguintes segdes: + Definigao do contexto na Segao 7, + Analise/avaliagao de riscos na Segao 8, + Tratamento do risco na Segao 9, + Aceltagao do risco na Secao 10, + Comunicagao do risco na Segao 11, + Monitoramento e andlise erica de riscos na Segao 12 ‘Além disso, informacées adicionais para as atividades de gestéo de riscos de seguranga da informacao ‘S40 apresentadas nos anexos. A definigao do contexto é detalnada no Anexo A (Definindo 0 escopo e os limites do proceso de gestéo de riscos de seguranga da informagao). A identificagdo e valoragao dos alivos, @ a avaliagéo do impacto s40 discutidas no Anexo B (exemplos de atives), Anexo C (exemplos de ameagas comuns) e Anexo D (exemplos de vulnerabilidades comuns) Exemplos de diferentes abordagens de andlise/avaliagao de riscos de seguranca da informagao so apresentados no Anexo E. Restrigbes relativas a redugao do risco so apresentadas no Anexo F. AAs atividades de gestao de riscos, como apresentadas da Secdo 7 até a Segdo 12, estdo estruturadas da seguinte forma: Entrada: Identitica as informagSes necessérias para o desempenho da atividade. Aciio: Descreve a atividade. Diretrizes para implementagao: Fornece diretrizes para a execucao da apo. Algumas destas diretrizes podem no Ser adequadas em todos os casos. Assim sendo, outras maneiras de se executar a agao podem ser mais apropriadas ‘aida: Identitica as informacdes resultantes da execugao da atividade. 5 Contextualizagao Uma abordagem sistematica de gestao de riscos de seguranga da informagéo necesséria para se identificar as necessidades da organizagdo em relagdo aos requisites de seguranga da informagao e para criar um sistema de gestao de seguranga da informagéo (SCS!) que seja eficaz. Convem que essa abordagem seja adequada ‘a0 ambiente da organizagao e em particular esteja alinhada com o process maior de gestdo de riscos corporatives. Convém que os esforgos de seguranca lidem com riscos de maneira efetiva e no tempo apropriado, ‘onde © quando forem necessarios. Convém que a gosto de riscos de seguranga da informacao soja parte integrante das atividades de gestéo da seguranca da informagao e aplicada tanto 4 implementagao quanto operacao cotidiana de um SGSI. Convém que a gestio de riscos de seguranca da informagao soja um processo continuo. Convém que 0 processo defina 0 contexto, avalie os riscos trate os riscos usando um plano de tratamento a fim de implementar ‘as recomendagées e decisées, Convém que a gestéo de riscos analise os possiveis acontecimentos e suas conseqiéncias, antes de decidir 0 que seré feito e quando sera feito, a fim de reduzit 05 riscos a um nivel aceitavel 1801 IEC 2008 -© ABNT 2008 - Todos os draios reservados 3 Convénio ABNT - Sistema Confea/Crea/Mutua Exemplar para uso exclusivo - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:2305421796 (Pedido 195469 Impresso: 30/09/2009) ABNT NBR ISO/IEC 27005:2008 Gonvém que a gestae de riscos de seguranga da informagao contrbua para: + Identificagao de riscos + Andlsefavaliagso de riscos om fungao das conseqiiéncias ao negécio e da probabildade de sua ocorréncia + Comunicagao e entendimento da prababilidade e das conseqiiéncias destes riscos + Eslabelecimento da ordem prioritria para tratamento do risco + Priorizagao das agdes para reduzir a ocorréncia dos riscos + Envolvimento das partes interessadas quando as decisées de gestio de riscos so tomadas e mantidas informadas sobre a situacao da gestio de riscos Eficacia do monitoramento do tratamento do risco + Monitoramento e a andlise critica regular de riscos e do processo de gestéo dos mesmos + Coleta de informagées de forma a melhorar a abordagem da gestao de riscos + Treinamento de gestores e pessoal a respeito dos riscos e das agdes para mitiga-ios (© processo de gestéo de riscos de seguranga da informagao pode ser aplicado a organizagao como um todo, a uma érea espectfica da organizagao (por exemplo: um departamento, uma localidade, um servigo), a um sistema de informagées, a controles jé existentes, planejados ou apenas a aspectos particulares de um controle (por exemplo: o plano de continuidade de negécios). 6 Visao geral do proceso de gestao de riscos de seguranga da informacao © processo de gestdo de riscos de seguranga da informagao consiste na definigao do contexto (Segao 7) andliselavaliagao de riscos (Seco 8), tratamento do risco (Se¢ao 9), aceitagao do risco (Sego 10), comunicacao do isco (Secao 11} e monitoramento e andlise critica de riscos (Seco 12) 4 {© ISOVIEC 2008 - © ABNT 2008 - Todos os dts reservados Convénio ABNT - Sistema Confea/Crea/Mutua ABNT NBR ISO/IEC 27005:2008 Pale tes a) Deu de ol) cs (Pedido 195469 Impresso: 30/09/2009) EVE es SD LT ry Pe el Pete oh oe) FIM DA PRIMEIRA OU DAS DEMAIS ITERAGOES Figura 1 - Proceso de gestdo de riscos de seguranga da informagao, ‘Como mostra a Figura 1, 0 processo de gestdo de riscos de seguranca da informagdo pode ter as atividades de andlise/avaliagao de riscos e/ou de tratamento do risco sendo realizadas mais de uma vez. Um enfoque iterative nna execugao da andlise/avaliacao de riscos toma passivel aprofundar e detalhar a avaliagao em cada repeticao. © enfoque iterative permite minimizar 0 tempo e 0 esforgo despendidos na identificago de controles e, ainda assim, assegura que riscos de allo impacto ou de alta probabilidade possam ser adequadamente avaliados. Exemplar para uso exclusive - CLAUDIO CEZAR CAVALCANTE MARCOLINO - 631,898.959-53 RNP:23054217% (© ISONEC 2008 - AANT 2008 - Todos 9 dretos reservados 5 Convénio ABNT - Sistema Confea/Crea/Mutua ABNT NBR ISO/IEC 27005:2008 Primeiramente, 0 contexto 6 estabelecido. Em soguida, executa-se uma andliselavaliagio de riscos. ‘Se ela fornecer informacdes suficientes para que se determine de forma eficaz as ages necessérias para reduzir ‘8 riscos a um nivel accitavel, entéo a tarefa esta completa © o tratamento do risco pode suceder-so. Por outro lado, se as informagdes forem insuficientes, execula-se uma oulra iteragio da andlise/avaliagso de riscos, revisando-se 0 contexto (por exemplo: os cfitérios de avaliagao de riscas, de aceitagao do risco ‘ou de impacto), possivelmente em partes limitadas do escopo (ver Figura 1, Ponto de Decisdo 1). A eficdcia do tratamento do risco depende dos resultados da analiselavaliagao de riscos. E possivel que © tratamento do risco néo resulte em um nivel de risco residual que seja aceitavel, Nesta situacao, pode ser necessdria uma outra iterago da andlise/avaliago de riscos, com mudangas nas variaveis do contexto (or exemplo: os critérios para a anliselavaliacao de riscos, de aceitacao do risco e de impacto), seguida por uma fase adicional de tratamento do risco (ver Figura 1, Ponto de Decisao 2), A atividade de aceitagao do risco tem de assegurar que os riscos residuais sejam explicitamente aceitos pelos

    You might also like