Você está na página 1de 8

Nmer o da Nor ma Compl ement a r R e v i s o E m i s s o F o l h a

04/IN01/DSIC/GSI/PR

01

15/FEV/13

1/8


PRESIDNCIA DA REPBLICA
Gabinete de Segurana Institucional
Departamento de Segurana da Informao
e Comunicaes

ORIGEM
Departamento de Segurana da Informao e Comunicaes

REFERNCIA NORMATIVA
Decreto n 3.505, de 13 de junho de 2000.
Instruo Normativa n 01 do Gabinete de Segurana Institucional, de 13 de junho de 2008.
Norma Complementar 01/DSIC/GSIPR de 13 de outubro de 2008.
Norma Complementar 02/DSIC/GSIPR de 13 de outubro de 2008.
Norma Complementar 10/DSIC/GSIPR de 30 de janeiro de 2012.
ABNT NBR ISO/IEC 27001:2006.
ABNT NBR ISO/IEC 27002:2005.
ABNT NBR ISO/IEC 27005:2011.

CAMPO DE APLICAO
Esta Norma Complementar se aplica no mbito da Administrao Pblica Federal, direta e
indireta.

SUMRIO
1. Objetivo
2. Fundamento Legal da Norma Complementar
3. Conceitos e Definies
4. Princpios e Diretrizes
5. Procedimentos
6. Responsabilidades
7. Vigncia
8. Anexo


INFORMAES ADICIONAIS
No h


APROVAO



RAPHAEL MANDARINO JUNIOR
Diretor do Departamento de Segurana da Informao e Comunicaes



GESTO DE RISCOS DE SEGURANA DA
INFORMAO E COMUNICAES GRSIC


Nmer o da Nor ma Compl ement a r R e v i s o E m i s s o F o l h a
04/IN01/DSIC/GSI/PR

01

15/FEV/13

2/8


1 OBJETIVO

Estabelecer diretrizes para o processo de Gesto de Riscos de Segurana da Informao e
Comunicaes GRSIC nos rgos ou entidades da Administrao Pblica Federal - APF,
direta e indireta.

2 CONSIDERAES INICIAIS

2.1 A implantao do processo de Gesto de Riscos de Segurana da Informao e
Comunicaes busca identificar as necessidades da organizao em relao aos requisitos
de segurana da informao e comunicaes, bem como, criar um sistema de Gesto de
Segurana da Informao (SGSI) eficaz;

2.2 Convm que o processo de Gesto de Riscos de Segurana da Informao e
Comunicaes esteja alinhado ao planejamento estratgico da organizao e tambm,
com o processo maior de gesto de riscos corporativos, se esse existir;

2.3 A Gesto de Riscos de Segurana da Informao e Comunicaes, objeto desta norma
complementar, est limitada ao escopo das aes de Segurana da Informao e
Comunicaes e tais aes compreendem apenas as medidas de proteo dos ativos de
informao, conforme definido nesta norma.

3 FUNDAMENTO LEGAL DA NORMA COMPLEMENTAR

Conforme disposto no inciso II do art. 3 da Instruo Normativa n 01, de 13 de Junho de 2008,
do Gabinete de Segurana Institucional da Presidncia da Repblica GSI/PR, compete ao
Departamento de Segurana da Informao e Comunicaes DSIC, estabelecer normas
definindo os requisitos metodolgicos para implementao da Gesto de Segurana da
Informao e Comunicaes pelos rgos e entidades da APF, direta e indireta.


4 CONCEITOS E DEFINIES

Para os efeitos desta Norma Complementar so estabelecidos os seguintes conceitos e
definies:
4.1 Ameaa conjunto de fatores externos ou causa potencial de um incidente indesejado,
que pode resultar em dano para um sistema ou organizao;
4.2 Anlise de riscos uso sistemtico de informaes para identificar fontes e estimar o
risco;
4.3 Anlise/avaliao de riscos processo completo de anlise e avaliao de riscos;

Nmer o da Nor ma Compl ement a r R e v i s o E m i s s o F o l h a
04/IN01/DSIC/GSI/PR

01

15/FEV/13

3/8


4.4 Ativos de Informao os meios de armazenamento, transmisso e processamento, os
sistemas de informao, bem como os locais onde se encontram esses meios e as pessoas
que a eles tm acesso;
4.5 Avaliao de riscos processo de comparar o risco estimado com critrios de risco
predefinidos para determinar a importncia do risco;
4.6 Comunicao do risco troca ou compartilhamento de informao sobre o risco entre o
tomador de deciso e outras partes interessadas;
4.7 Estimativa de riscos processo utilizado para atribuir valores probabilidade e
consequncias de um risco;
4.8 Evitar risco uma forma de tratamento de risco na qual a alta administrao decide no
realizar a atividade, a fim de no se envolver ou agir de forma a se retirar de uma
situao de risco;
4.9 Gesto de Riscos de Segurana da Informao e Comunicaes conjunto de
processos que permitem identificar e implementar as medidas de proteo necessrias
para minimizar ou eliminar os riscos a que esto sujeitos os seus ativos de informao, e
equilibr-los com os custos operacionais e financeiros envolvidos;
4.10 Identificao de riscos processo para localizar, listar e caracterizar elementos
do risco;
4.11 Reduzir risco uma forma de tratamento de risco na qual a alta administrao
decide realizar a atividade, adotando aes para reduzir a probabilidade, as
consequncias negativas, ou ambas, associadas a um risco;
4.12 Reter risco uma forma de tratamento de risco na qual a alta administrao
decide realizar a atividade, assumindo as responsabilidades caso ocorra o risco
identificado;
4.13 Riscos de Segurana da Informao e Comunicaes potencial associado
explorao de uma ou mais vulnerabilidades de um ativo de informao ou de um
conjunto de tais ativos, por parte de uma ou mais ameaas, com impacto negativo no
negcio da organizao;
Nmer o da Nor ma Compl ement a r R e v i s o E m i s s o F o l h a
04/IN01/DSIC/GSI/PR

01

15/FEV/13

4/8


4.14 Transferir risco uma forma de tratamento de risco na qual a alta administrao
decide realizar a atividade, compartilhando com outra entidade o nus associado a um
risco;
4.15 Tratamento dos riscos processo e implementao de aes de segurana da
informao e comunicaes para evitar, reduzir, reter ou transferir um risco;
4.16 Vulnerabilidade conjunto de fatores internos ou causa potencial de um
incidente indesejado, que podem resultar em risco para um sistema ou organizao, os
quais podem ser evitados por uma ao interna de segurana da informao.

5 PRINCPIOS E DIRETRIZES

5.1 As diretrizes gerais do processo de Gesto de Riscos de Segurana da Informao e
Comunicaes GRSIC devero considerar, prioritariamente, os objetivos estratgicos, os
processos, os requisitos legais e a estrutura do rgo ou entidade da APF, direta e indireta, alm
de estarem alinhadas respectiva Poltica de Segurana da Informao e Comunicaes do rgo
ou entidade;

5.2 O processo de Gesto de Riscos de Segurana da Informao e Comunicaes GRSIC deve
ser contnuo e aplicado na implementao e operao da Gesto de Segurana da Informao e
Comunicaes;

5.3 O processo de Gesto de Riscos de Segurana da Informao e Comunicaes GRSIC deve
estar alinhado ao modelo denominado PDCA (Plan-Do-Check-Act), conforme definido na
Norma Complementar n 02/DSIC/GSIPR, publicada no Dirio Oficial da Unio n 199, Seo
1, de 14 de outubro de 2008, de modo a fomentar a sua melhoria contnua;

5.4 A Gesto de Riscos de Segurana da Informao e Comunicaes GRSIC dever produzir
subsdios para suportar o Sistema de Gesto de Segurana da Informao e Comunicaes e a
Gesto de Continuidade de Negcios.


Nmer o da Nor ma Compl ement a r R e v i s o E m i s s o F o l h a
04/IN01/DSIC/GSI/PR

01

15/FEV/13

5/8


6 PROCEDIMENTOS

Nos itens abaixo ser apresentada uma abordagem sistemtica do processo Gesto de Riscos de
Segurana da Informao e Comunicaes GRSIC, com o objetivo de manter os riscos em
nveis aceitveis. Esse processo composto pelas etapas de definies preliminares,
anlise/avaliao dos riscos, plano de tratamento dos riscos, aceitao dos riscos, implementao
do plano de tratamento dos riscos, monitorao e anlise crtica, melhoria do processo de Gesto
de Riscos de Segurana da Informao e Comunicaes e comunicao do risco, conforme
apresentado no Anexo A desta Norma.

6.1 Definies preliminares: nesta fase, deve-se realizar uma anlise da organizao visando
estruturar o processo de gesto de riscos de segurana da informao e comunicaes, sendo
consideradas as caractersticas do rgo ou entidade e as restries a que esto sujeitas. Esta
anlise inicial permite que os critrios e o enfoque da Gesto de Riscos de Segurana da
Informao e Comunicaes GRSIC sejam os mais apropriados para o rgo, apoiando-o na
definio do escopo e na adoo de uma metodologia.

6.1.1 Definir o escopo de aplicao da Gesto de Riscos de Segurana da Informao e
Comunicaes GRSIC a fim de delimitar o mbito de atuao. Esse escopo pode abranger o
rgo ou entidade como um todo, um segmento, um processo, um sistema, um recurso ou um
ativo de informao;

6.1.2 Adotar uma metodologia de Gesto de Riscos de Segurana da Informao e
Comunicaes GRSIC que atenda aos objetivos, diretrizes gerais e o escopo definido
contemplando, no mnimo, os critrios de avaliao e de aceitao do risco.

6.2 Anlise/avaliao dos riscos: nesta fase, inicialmente sero identificados os riscos,
considerando as ameaas e as vulnerabilidades associadas aos ativos de informao para, em
seguida, serem estimados os nveis de riscos de modo que eles sejam avaliados e priorizados.

6.2.1 Realizar inventrio e mapeamento dos ativos de informao, no mbito do escopo
estabelecido, e conforme as diretrizes da NC 10/IN01/DSIC/GSIPR;

6.2.2 Identificar os riscos associados ao escopo definido, considerando:

a) as ameaas envolvidas;
b) as vulnerabilidades existentes nos ativos de informao; e
c) as aes de Segurana da Informao e Comunicaes SIC j adotadas.

6.2.3 Estimar os riscos levantados, considerando os valores ou nveis para a probabilidade e
para a consequncia do risco associados perda de disponibilidade, integridade,
confidencialidade e autenticidade nos ativos considerados;

6.2.4 Avaliar os riscos, determinando se so aceitveis ou se requerem tratamento, comparando
a estimativa de riscos com os critrios estabelecidos no item 5.1.2;

6.2.5 Relacionar os riscos que requeiram tratamento, priorizando-os de acordo com os critrios
estabelecidos pelo rgo ou entidade.
Nmer o da Nor ma Compl ement a r R e v i s o E m i s s o F o l h a
04/IN01/DSIC/GSI/PR

01

15/FEV/13

6/8



6.3 Plano de Tratamento dos Riscos

6.3.1 Determinar as formas de tratamento dos riscos, considerando as opes de reduzir, evitar,
transferir ou reter o risco, observando:

a) a eficcia das aes de Segurana da Informao e Comunicaes SIC j existentes;
b) as restries organizacionais, tcnicas e estruturais;
c) os requisitos legais; e
d) a anlise custo/ benefcio.

6.3.2 Formular um plano para o tratamento dos riscos, relacionando, no mnimo, as aes de
Segurana da Informao e Comunicaes SIC, responsveis, prioridades e prazos de
execuo necessrios sua implantao.

6.4 Aceitao do Risco: verificar os resultados do processo executado, considerando o plano de
tratamento, aceitando-os ou submetendo-os nova avaliao.

6.5 Implementao do Plano de Tratamento dos Riscos: executar as aes de Segurana da
Informao e Comunicaes SIC includas no Plano de Tratamento dos Riscos aprovado.

6.6 Monitorao e anlise crtica: detectar possveis falhas nos resultados, monitorar os riscos,
as aes de Segurana da Informao e Comunicaes SIC e verificar a eficcia do processo
de Gesto de Riscos de Segurana da Informao e Comunicaes GRSIC.

6.6.1 Do processo de gesto: monitorar e analisar criticamente o processo de Gesto de Riscos
de Segurana da Informao e Comunicaes GRSIC de forma a mant-lo alinhado s
diretrizes gerais estabelecidas e s necessidades do rgo ou entidade;

6.6.2 Do risco: manter os riscos monitorados e analisados criticamente, a fim de verificar
regularmente, no mnimo, as seguintes mudanas:

a) nos critrios de avaliao e aceitao dos riscos;
b) no ambiente;
c) nos ativos de informao;
d) nas aes de Segurana da Informao e Comunicaes SIC; e
e) nos fatores do risco (ameaa, vulnerabilidade, probabilidade e impacto).

6.7 Melhoria do Processo de GRSIC

6.7.1 Propor autoridade decisria do rgo ou entidade a necessidade de implementar as
melhorias identificadas durante a fase de monitoramento e anlise crtica;

6.7.2 Executar as aes corretivas ou preventivas aprovadas;

Nmer o da Nor ma Compl ement a r R e v i s o E m i s s o F o l h a
04/IN01/DSIC/GSI/PR

01

15/FEV/13

7/8


6.7.3 Assegurar que as melhorias atinjam os objetivos pretendidos.

6.8 Comunicao do Risco: manter as instncias superiores informadas a respeito de todas as
fases da gesto de risco, compartilhando as informaes entre o tomador da deciso e as demais
partes envolvidas e interessadas.


7 RESPONSABILIDADES

7.1 Cabe Alta Administrao do rgo ou entidade da APF, direta e indireta, aprovar as
diretrizes gerais e o processo de Gesto de Riscos de Segurana da Informao e Comunicaes
GRSIC observada, dentre outras, a respectiva Poltica de Segurana da Informao e
Comunicaes;

7.2 Os Gestores de Segurana da Informao e Comunicaes, no mbito de suas atribuies,
so responsveis pela coordenao da Gesto de Riscos de Segurana da Informao e
Comunicaes nos rgos e entidades da APF, direta e indireta;

7.3 De acordo com as necessidades de cada rgo ou entidade, os Gestores de Segurana da
Informao e Comunicaes podero indicar responsveis pelo gerenciamento de atividades, a
quem sero conferidas, no mnimo, as seguintes atribuies:

7.3.1 Anlise/avaliao e tratamento dos riscos; e

7.3.2 Elaborao sistemtica de relatrios para os Gestores de Segurana da Informao e
Comunicaes, em cujo contedo constar a anlise quanto aceitao dos resultados obtidos, e
consequente proposio de ajustes e de medidas preventivas e proativas Alta Administrao.


8 VIGNCIA

Esta Norma entra em vigor na data de sua publicao.


9 ANEXO

A - Processo de Gesto de Riscos de Segurana da Informao e Comunicaes












Nmer o da Nor ma Compl ement a r R e v i s o E m i s s o F o l h a
04/IN01/DSIC/GSI/PR

01

15/FEV/13

8/8






ANEXO A

PROCESSO DE GESTO DE RISCOS DE
SEGURANA DA INFORMAO E COMUNICAES



Anlise/avaliao dos
riscos
Definies
Preliminares
Plano de Tratamento
dos riscos
Aceitao dos riscos
Implementao do
Plano de Tratamento
dos Riscos
Monitorao e Anlise
crtica
D
C
A
C
o
m
u
n
i
c
a

o

P
M
e
l
h
o
r
i
a

d
o

P
r
o
c
e
s
s
o

d
e

G
R
S
I
C