Você está na página 1de 2

ABNT NBR ISO/IEC 17799:2005

4 Analise/avaliacao e tratamento de riscos

4.1 Analisando/avaliando os riscos de seguranca da informacao

Convem que as analises/avaliacdes de riscos identifiquem, quantifiquem e priorizem os riscos com base em
criterios para aceitagao dos riscos e dos objetivos relevantes para a organizagao. Convem que os resultados
orientem e determinem as agoes de gestao apropriadas e as prioridades para o gerenciamento dos riscos de
seguranca da informacao, e para a implementacao dos controles selecionados, de maneira a proteger contra
estes riscos. O processo de avaliar os riscos e selecionar os controles pode precisar ser realizado varias vezes,
de forma a cobrir diferentes partes da organizacao ou de sistemas de informacao especificos.

Convem que a analise/avaliagao de riscos inclua urn enfoque sistematico de estimar a magnitude do risco
(analise de riscos) e o processo de comparar os riscos estimados contra os criterios de risco para determinar a
significancia do risco (avaliacao do risco).

Convem que as analises/avaliagoes de riscos tambem sejam realizadas periodicamente, para contemplar as
mudancas nos requisites de seguranca da informacao e na situagao de risco, ou seja, nos ativos, ameacas,
vulnerabilidades, impactos, avaliagao do risco e quando uma mudanga significativa ocorrer. Essas analises/
avaliagoes de riscos devem ser realizadas de forma metodica, capaz de gerar resultados comparaveis e
reproduziveis.

Convem que a analise/avaliagao de riscos de seguranga da informagao tenha urn escopo claramente definido
para ser eficaz e inclua os relacionamentos com as analises/avaliagoes de riscos em outras areas, se
necessario.

O escopo de uma analise/avaliagao de riscos pode tanto ser em toda a organizagao, partes da organizagao,
em urn sistema de informacao especifico, em componentes de urn sistema especlfico ou em servigos onde isto
seja praticavel, realistico e util. Exemplos de metodologias de analise/avaliagao de riscos sao discutidas no
ISO/IEC TR 13335-3 (Guidelines for the management of IT security: Techniques for the management of IT
Security).

4.2 Tratando os riscos de seguranca da informagao

Convem que, antes de considerar o tratamento de urn risco, a organizagao defina os criterios para determinar
se os riscos podem ser ou nao aceitos. Riscos podem ser aceitos se, por exemplo, for avaliado que o risco e
baixo ou que o custo do tratamento nao e economicamente viavel para a organizagao. Convem que tais
decisoes sejam registradas.

Para cada urn dos riscos identificados, seguindo a analise/avaliagao de riscos, uma decisao sobre o tratamento
do risco precisa ser tomada. Possiveis opgoes para o tratamento do risco, incluem:

a) aplicar controles apropriados para reduzir os riscos;

b) conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente a politica da
organizagao e aos criterios para a aceitagao de risco;

c) evitar riscos, nao permitindo agoes que poderiam causar a ocorrencia de riscos;

d) transferir os riscos associados para outras partes, por exemplo, seguradoras ou fomecedores.

6 ©ABNT 2005 - Todos os direitos reservados


ABNT NBR ISO/IEC 17799:2005

Convem que, para aqueles riscos onde a decisao de tratamento do risco seja a de aplicar os controles
apropriados, esses controles sejam selecionados e implementados para atender aos requisites identificados
pela analise/avaliagao de riscos. Convem que os controles assegurem que os riscos sejam reduzidos a um
nivel aceitavel, levando-se em conta:

a) os requisites e restrigoes de legislagoes e regulamentagoes nacionais e internacionais;

b) os objetivos organizacionais;

c) os requisites e restrigoes operacionais;

d) custo de implementagao e a operagao em relagao aos riscos que estao sendo reduzidos e que
permanecem proporcionais as restrigoes e requisites da organizagao;

e) a necessidade de balancear o investimento na implementagao e operagao de controles contra a


probabilidade de danos que resultem em falhas de seguranga da informagao.

Os controles podem ser selecionados desta Norma ou de outros conjuntos de controles, ou novos controles
podem ser considerados para atender as necessidades especificas da organizagao. E importante reconhecer
que alguns controles podem nao ser aplicaveis a todos os sistemas de informagao ou ambientes, e podem nao
ser praticaveis para todas as organizagoes. Como um exemplo, 10.1.3 descreve como as responsabilidades
podem ser segregadas para evitar fraudes e erros. Pode nao ser possivel para pequenas organizagoes
segregar todas as responsabilidades e, portanto, outras formas de atender o mesmo objetivo de controle
podem ser necessarias. Em um outro exemplo, 10.10 descreve como o uso do sistema pode ser monitorado e
as evidencias coletadas. Os controles descritos, como, por exemplo, eventos de "logging", podem conflitar com
a legislagao aplicavel, tais como a protegao a privacidade dos clientes ou a exercida nos locais de trabalho.

Convem que os controles de seguranga da informagao sejam considerados na especificagao dos requisites e
nos estagios iniciais dos projetos e sistemas. Caso isso nao seja realizado, pode acarretar custos adicionais e
solugoes menos efetivas, ou mesmo, no pior caso, incapacidade de se alcangar a seguranga necessaria.

Convem que seja lembrado que nenhum conjunto de controles pode conseguir a seguranga completa, e que
uma agio gerencial adicional deve ser implementada para monitorar, avaliar e melhorar a eficiencia e eficacia
dos controles de seguranga da informagao, para apoiar as metas da organizagao.

©ABNT 2005 - Todos os direitos reservados 7

Você também pode gostar