Curso On-Line

Segurana da Informao

Normas de Segurana da Informao 27005

Aula 5
Prof. M.Sc. Gleyson Azevedo
professor.gleyson@gmail.com
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

Roteiro

NBR 27005 Introduo

NBR 27005 Escopo

NBR 27005 Referncias Normativas

NBR 27005 Termos e Definies

NBR 27005 Organizao da Norma

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

Roteiro

NBR 27005 Contextualizao

NBR 27005 Viso Geral do Processo de Gesto
de Riscos de Segurana da Informao
NBR 27005 Definio do Contexto

NBR 27005 Anlise/Avaliao de Riscos de

Segurana da Informao

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27005 Introduo

A Norma NBR ISO/IEC 27005 fornece diretrizes para o

processo de Gesto de Riscos de Segurana da Informao
(GRSI) de uma organizao, atendendo particularmente
aos requisitos de um SGSI de acordo com a ABNT NBR
ISO/IEC 27001.
Esta norma no inclui uma metodologia especfica para a
gesto de riscos de segurana da informao.
Cabe organizao definir sua abordagem ao processo de
riscos, levando em conta, por exemplo, o escopo dos seu
SGSI, o contexto da gesto de riscos e o seu setor de
atividade econmica.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27005 Introduo

Esta norma do interesse de gestores e pessoal envolvidos

com a gesto de riscos de segurana da informao em
uma organizao e, quando aplicvel, em entidades
externas que do suporte a essa atividade.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27005 Escopo

Esta norma est de acordo com os conceitos especificados

na ABNT NBR ISO/IEC 27001 e foi elaborada para facilitar
uma implementao satisfatria da segurana da
informao tendo como base a gesto de riscos.
Esta norma se aplica a todos os tipos de organizao que
pretendam gerir os riscos que poderiam comprometer a
segurana da informao da organizao.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27005 Referncias

Normativas

So indispensveis aplicao correta da norma:

ABNT NBR ISO/IEC 27001:2006;

ABNT NBR ISO/IEC 27002:2005.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27005 Termos e

Definies

Impacto mudana adversa no nvel obtido dos objetivos

de negcios
Riscos de segurana da informao a possibilidade
de uma ameaa explorar vulnerabilidades de um ativo ou
de um conjunto de ativos, desta maneira prejudicando a
organizao

NOTA: medido em funo da probabilidade de um evento e

de sua consequncia.
Ao de evitar o risco deciso de no se envolver ou
agir de forma a se retirar de uma situao de risco
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27005 Termos e

Definies

Comunicao do risco troca ou compartilhamento de

informao sobre risco entre o tomador de deciso e outras
partes interessadas

Estimativa de riscos processo utilizado para atribuir

valores probabilidade e consequncias de um risco
Identificao de riscos processo para localizar, listar e
caracterizar elementos do risco
Reduo do risco aes tomadas para reduzir a
probabilidade, as consequncias negativas ou ambas
associadas a um risco
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27005 Termos e

Definies

Reteno do risco aceitao do nus da perda ou do

benefcio do ganho associado a um determinado risco
NOTA: no contexto dos riscos de segurana da informao,
somente consequncias negativas (perdas) so
consideradas para a reteno do risco
Transferncia do risco compartilhamento com uma
outra entidade do nus da perda associado a um risco

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

10

NBR ISO/IEC 27005

Organizao da Norma

As informaes sobre o contexto histrico da norma so

apresentadas na Seo 5.
Uma viso geral do processo de gesto de riscos de
segurana da informao apresentada na Seo 6.
As atividades de gesto de riscos apresentadas na Seo 6
so descritas nas seguintes sees:

Definio do contexto Seo 7;

Anlise/Avaliao de riscos Seo 8;

Tratamento do risco seo 9;

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

11

NBR ISO/IEC 27005

Organizao da Norma

(Cont.):

Aceitao do risco Seo 10;

Comunicao do risco Seo 11;

Monitoramento e anlise crtica de riscos seo 12.

ANEXO A Definindo o escopo e os limites do processo

de gesto de riscos de segurana da informao.

ANEXO B Exemplos de ativos

ANEXO C Exemplos de ameaas comuns

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

12

NBR ISO/IEC 27005

Organizao da Norma

(Cont.):

ANEXO D Exemplos de vulnerabilidades comuns

ANEXO E Exemplos de diferentes abordagens de

anlise/avaliao de riscos de segurana da informao
ANEXO F Restries relativas reduo do risco

As atividades de gesto de riscos, como apresentadas da

seo 7 at a 12, esto estruturadas da seguinte forma:

Entrada: identifica as informaes necessrias para o

desempenho da atividade.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

13

NBR ISO/IEC 27005

Organizao da Norma

(Cont.):

Ao: descreve a atividade.

Diretrizes para implementao: fornece diretrizes para a

execuo da ao.
Sada: identifica as informaes resultantes da execuo
da atividade.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

14

NBR ISO/IEC 27005

Contextualizao

Uma abordagem sistemtica de gesto de riscos de

segurana da informao necessria para se identificar as
necessidades da organizao em relao aos requisitos de
segurana da informao e para criar um SGSI que seja
eficaz.
Essa abordagem deve estar alinhada ao processo maior de
gesto de riscos corporativos.
Convm que a gesto de riscos de segurana da
informao seja um processo contnuo, contemplando:
definir o contexto, avaliar e tratar os riscos.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

15

NBR ISO/IEC 27005

Contextualizao

O processo de GRSI pode ser aplicado organizao como

um todo, a uma rea especfica da organizao (por
exemplo: um departamento, uma localidade, um servio), a
um sistema de informaes, a controles j existentes,
planejados ou apenas a aspectos particulares de um
controle (por exemplo: o PCN).

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

16

NBR ISO/IEC 27005 Viso Geral

do Processo de GRSI

O processo de GRSI consiste:

definio do contexto (Seo 7);

anlise/avaliao de riscos (Seo 8);

tratamento do risco (Seo 9);

aceitao do risco (Seo 10);

comunicao do risco (Seo 11);

monitoramento e anlise crtica do risco (Seo 12).

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

17

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

18

NBR ISO/IEC 27005 Viso Geral

do Processo de GRSI

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

19

NBR ISO/IEC 27005 Definio

de Contexto

Entrada: todas as informaes sobre a organizao

relevantes para a definio do contexto da gesto de riscos
de segurana da informao.

Ao: convm que o contexto para a GRSI seja

estabelecido, o que envolve:

definio de critrios bsicos;

definio do escopo e dos limites;

estabelecimento de uma organizao apropriada para

operar a GRSI.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

20

NBR ISO/IEC 27005 Definio

de Contexto

Diretrizes pra Implementao: essencial determinar o

propsito da GRSI. Ele pode ser:

suporte a um SGSI;
conformidade legal e a evidncia da realizao dos
procedimentos corretos;

preparao de um PCN;

preparao de um plano de resposta a incidentes;

descrio dos requisitos de segurana da informao

para um produto, um servio ou um mecanismo.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

21

NBR ISO/IEC 27005 Definio

de Contexto

NOTA: a ABNT NBR ISO/IEC 27001:2006 no usa o termo

contexto, no entanto, a seo 7 da ABNT NBR ISO/IEC
27005 refere-se aos requisitos definir o escopo e limites do
SGSI [(4.2.1.a)], definir uma poltica para o SGSI
[(4.2.1.c)] e definir o mtodo de anlise/avaliao de
riscos [(4.2.1.c)] da ABNT NBR ISO/IEC 27001:2006.
Sada: a especificao dos critrios bsicos; o escopo e os
limites do processo de GRSI e a organizao responsvel
pelo processo.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

22

NBR ISO/IEC 27005 Definio

de Contexto

Critrios Bsicos

critrios para avaliao de riscos so importantes

tambm para a definio de prioridade no tratamento
dos riscos;
Critrios de impacto especificados em funo do
montante dos danos ou custos causados por um evento
relacionado com a segurana da informao;
Critrios para aceitao do risco dependem das
polticas, metas e objetivos da organizao, bem como
do interesse das partes interessadas.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

23

NBR ISO/IEC 27005 Definio

de Contexto

Escopo e limites

O escopo do processo de GRSI precisa ser definido para

assegurar que todos os ativos relevantes sejam
considerados na anlise/avaliao de riscos.
Os limites precisam ser identificados para permitir o
reconhecimento dos riscos que possam transpor esses
limites.

Exemplos do escopo da gesto de risco: uma aplicao

de TI, a infraestrutura de TI, um processo de negcio ou
uma parte definida da organizao.

NOTA: esto relacionados ao escopo e aos limites do SGSI.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

24

NBR ISO/IEC 27005 Definio

de Contexto

Organizao para GRSI (principais papis):

desenvolvimento do processo de GRSI adequado

organizao;

identificao e anlise das partes interessadas;

definio dos papis e responsabilidades (internas e

externas organizao);

definio de aladas para tomada de decises;

especificao dos registros a serem mantidos.

NOTA: a organizao das operaes um dos recursos
necessrios para EIOMAMM o SGSI (ABNT NBR ISO/IEC
27001:2006 [5.2.1.a].

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

25

NBR ISO/IEC 27005

Anlise/Avaliao de Riscos

Descrio geral do processo

Entrada: critrios bsicos, o escopo e os limites, e a
organizao do processo de GRSI que est se definindo.
Ao: convm que os riscos sejam identificados,
quantificados ou descritos qualitativamente, priorizados em
funo dos critrios de avaliao de riscos e dos objetivos
relevantes da organizao.
Diretrizes:

A anlise/avaliao dos riscos:

determina o valor dos ativos de informao;

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

26

NBR ISO/IEC 27005

Anlise/Avaliao de Riscos

Descrio geral do processo

Diretrizes:

A anlise/avaliao dos riscos (cont.):

identifica as ameaas e vulnerabilidades aplicveis

existentes (ou que poderiam existir);
identifica os controles existentes e seus efeitos no
risco identificado;
determina as consequncias possveis;
prioriza os riscos derivados e ordena-os de acordo
com os critrios de avaliao de riscos estabelecidos.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

27

NBR ISO/IEC 27005

Anlise/Avaliao de Riscos

Descrio geral do processo

Diretrizes (cont.):

A anlise/avaliao de riscos executada

frequentemente em duas (ou mais) iteraes.
Primeiramente, uma avaliao de alto nvel realizada
para identificar os riscos com potencial de alto impacto.
A segunda iterao pode considerar com mais
profundidade os riscos de alto impacto potencial
revelados na primeira iterao.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

28

NBR ISO/IEC 27005

Anlise/Avaliao de Riscos

Descrio geral do processo

Diretrizes (cont.):

Se a segunda iterao no fornecer informaes

suficientes para avaliar o risco, anlises adicionais
detalhadas precisaro ser executadas, provavelmente
em apenas parte do escopo total e, possivelmente,
usando outro mtodo.

Sada: lista de riscos avaliados, ordenados por prioridade

de acordo com os critrios de avaliao de riscos.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

29

NBR ISO/IEC 27005

Anlise/Avaliao de Riscos

Anlise de riscos

Identificao de riscos

O propsito da identificao de riscos determinar

eventos que possam causar uma perda potencial e
deixar claro como, onde e por que a perda pode
acontecer.
As etapas descritas a seguir servem para coletar dados
de entrada para a atividade de estimativa de riscos.
NOTA: a ordem depende da metodologia aplicada.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

30

NBR ISO/IEC 27005

Anlise/Avaliao de Riscos

Anlise de riscos

Identificao de riscos fases:

Identificao dos ativos;

Identificao das ameaas;

Identificao dos controles existentes;

Identificao das vulnerabilidades;

Identificao das consequncias.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

31

NBR ISO/IEC 27005

Anlise/Avaliao de Riscos

Anlise de riscos

Estimativa de risco:

Uma metodologia para a estimativa pode ser qualitativa

ou quantitativa ou uma combinao de ambos,
dependendo das circunstncias.
Na prtica, a estimativa qualitativa frequentemente
utilizada em primeiro lugar para obter uma indicao
geral do nvel de risco e para revelar os grandes riscos.
Depois, poder ser necessrio efetuar uma anlise
quantitativa ou mais especfica, nos grandes riscos.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

32

NBR ISO/IEC 27005

Anlise/Avaliao de Riscos

Anlise de riscos

Estimativa de risco estimativa qualitativa:

Utiliza uma escala com atributos qualificadores que

descrevem a magnitude das consequncias potenciais,
por exemplo, Pequena, Mdia e Grande.
Pode ser usada:

como uma verificao inicial;

quando esse tipo de anlise suficiente;

quando os dados numricos so insuficientes.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

33

NBR ISO/IEC 27005

Anlise/Avaliao de Riscos

Anlise de riscos

Estimativa de risco estimativa quantitativa:

Utiliza uma escala com valores numricos tanto para

consequncias, quanto para a probabilidade.
Na maioria dos caso, utiliza dados histricos dos
incidentes, proporcionando a vantagem de poder ser
relacionada diretamente aos objetivos da segurana da
informao e interesses da organizao.
Tem desvantagem quanto a novos riscos e fragilidades.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

34

NBR ISO/IEC 27005

Anlise/Avaliao de Riscos

Anlise de riscos

Estimativa de risco avaliao das consequncias:

Entrada: lista de cenrios de incidentes identificados

como relevantes, incluindo a identificao de ameaas,
vulnerabilidades, ativos afetados e consequncias para
os ativos e processos de negcio.
Ao: avaliao do impacto levando-se em conta as
consequncias de violao da segurana da informao,
como, por exemplo: a perda da confidencialidade,
integridade ou disponibilidade dos ativos.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

35

NBR ISO/IEC 27005

Anlise/Avaliao de Riscos

Anlise de riscos

Estimativa de risco avaliao das consequncias:

Diretrizes: o valor do impacto ao negcio pode ser

expresso de forma qualitativa ou quantitativa, porm um
mtodo para designar valores monetrios geralmente
pode fornecer mais informaes teis para a tomada de
decises.

Sada: lista de consequncias avaliadas referentes a um

cenrio de incidente, relacionadas aos ativos e critrios
de impacto.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

36

NBR ISO/IEC 27005

Anlise/Avaliao de Riscos

Anlise de riscos

Estimativa de risco avaliao da probabilidade:

Entrada: lista idntica a da avaliao das consequncias

e listas com todos os controles existentes e planejados,
sua eficcia, implementao e status de utilizao.
Ao: convm que a probabilidade dos cenrios de
incidentes seja avaliada .

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

37

NBR ISO/IEC 27005

Anlise/Avaliao de Riscos

Anlise de riscos

Estimativa de risco avaliao da probabilidade:

Diretrizes: convm levar em conta a frequncia da

ocorrncia das ameaas e a facilidade com que as
vulnerabilidades podem ser exploradas, considerando
dados como a experincia passada e a estatstica,
motivao e competncia de ameaas intencionais,
fatores geogrficos de ameaas acidentais,
vulnerabilidades e os controles existentes e sua eficcia.
Sada: probabilidade dos cenrios de incidentes.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

38

NBR ISO/IEC 27005

Anlise/Avaliao de Riscos

Anlise de riscos

Estimativa de risco nvel:

Entrada: lista de cenrios de incidentes com suas

consequncias associadas aos ativos, processos de
negcio e suas probabilidades.
Ao: convm que o nvel de risco seja estimado para
todos os cenrios de incidentes considerados relevantes.

Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

39

NBR ISO/IEC 27005

Anlise/Avaliao de Riscos

Anlise de riscos

Estimativa de risco nvel:

Diretrizes: A estimativa de riscos baseada nas

consequncias e na probabilidade estimadas. Ela pode
considerar tambm o custo-benefcio, as preocupaes
das partes interessadas e outras variveis, conforme
apropriado.

Sada: uma lista de risco com nveis de valores

designados.
Prof. Gleyson
http://groups.google.com.br/group/prof_gleyson

40