Escolar Documentos
Profissional Documentos
Cultura Documentos
Data: 27-05-2013
Verso:4.0
METODOLOGIA DE GESTO DE
RISCO DO MS/DATASUS
ID: DOC-MGR
Data: 27-05-2013
Verso:4.0
Sumrio
GLOSSRIO................................................................................................................................................................................................................ 3
APRESENTAO ....................................................................................................................................................................................................... 5
1.
INTRODUO ........................................................................................................................................................................................ 6
2.1.
2.2.
NC 02 GSI/PR ......................................................................................................................................................................................... 7
2.3.
2.4.
3.
INVENTARIAR ............................................................................................................................................................................................. 9
3.2.
ANALISAR ................................................................................................................................................................................................. 9
3.3.
AVALIAR ................................................................................................................................................................................................. 10
3.4.
TRATAR .................................................................................................................................................................................................. 11
CRITRIOS PARA ACEITAO DO RISCO...................................................................................................................................................... 12
3.5.
4.
ID: DOC-MGR
Data: 27-05-2013
Verso:4.0
GLOSSRIO
AC Anlise de Conformidade.
Agente - Entidade humana que possui motivao, mtodo, conhecimento e oportunidade para
executar um ataque Organizao (ameaas intencionais); componente do ambiente ou da
natureza que provoca condies indesejveis, perigos ou desastres (ameaas acidentais). So
os sujeitos das Ameaas, definidos no nvel global da organizao. Por serem potencialmente
perigosos, so os elementos com os quais a alta direo se preocupa. Um Agente um dado
informativo que o usurio pode relacionar com as Ameaas consideradas.
Ameaa - Ao de origem humana (intencional ou acidental) ou ambiental, provocada por um
Agente, atravs de um determinado mecanismo, que explora a vulnerabilidade presente no Ativo
e provoca impactos Organizao. Exemplos: erros, omisses, acesso lgico no autorizado.
DATASUS Departamento de Informtica do SUS.
Escopo do Projeto - Uma "parte" da Estrutura Funcional definida no mdulo Organizao. Pode
compreender um Ativo especfico por exemplo, um servidor com seus vrios Componentes -,
um conjunto de Ativos de um mesmo Permetro, um Permetro inteiro, vrios Permetros, ou
mesmo, toda a Organizao. O Escopo pode conter um ou mais Permetros, Ativos e
Componentes.
Impacto - Conseqncia de um incidente de segurana sobre os Ativos e negcios da
Organizao. Pode ser tangvel (exemplo: perdas financeiras) ou intangvel (exemplo: perda de
credibilidade). Corresponde ao produto S (Severidade) x R (Relevncia do Ativo).
MS Ministrio da Sade.
PCN Plano de Continuidade de Negcios.
Probabilidade - Grau de possibilidade de que uma ou mais vulnerabilidades (na falta de
Controles) existentes num Ativo venham a ser exploradas por Ameaas, causando um incidente
de segurana.
PSR Probabilidade x Severidade x Relevncia.
Risco - combinao da probabilidade de que algum incidente ocorra e sua conseqncia
(impacto).
ID: DOC-MGR
Data: 27-05-2013
Verso:4.0
Security Officer - Tambm conhecido como Gestor de Segurana, o gestor responsvel pela
definio, implementao e manuteno da poltica de segurana na organizao.
Segurana da Informao - Preservao da confidencialidade, integridade e disponibilidade da
informao.
Servios considera-se servio como sendo toda a infraestrutura de base tecnolgica e os
meios de acesso s informaes de sade.
Severidade - Medida do grau em que um Ativo ser afetado, caso as ameaas explorem a(s)
vulnerabilidade(s) nos aspectos Confidencialidade, Integridade e Disponibilidade.
Sistemas - componentes ou processos de alto nvel de elevada importncia estratgica ou que
possuem algum outro atributo merecedor de tratamento diferenciado dos demais processos do
MS/DATASUS por parte do executivo.
Vulnerabilidade - Fragilidade do Ativo que pode ser explorada por uma Ameaa (uma falha, um
defeito ou a falta de um Controle). Exemplos: Ausncia de atualizao de "patches" no sistema
operacional; proximidade rea com explosivos; falta de uma poltica de senhas.
ID: DOC-MGR
Data: 27-05-2013
Verso:4.0
APRESENTAO
Este documento apresenta a metodologia proposta para a Gesto de Riscos dos ativos do
DATASUS.
importante lembrar que antes de desenvolver um Plano de Gesto dos Riscos
Corporativos (processo de identificar e tratar os riscos da organizao de forma sistemtica e
contnua), a organizao deve considerar o processo de gesto de risco contido na Poltica
de Gesto de Risco, alm da metodologia proposta neste documento.
ID: DOC-MGR
Data: 27-05-2013
Verso:4.0
1. INTRODUO
funo do Ministrio da Sade dispor de todas as condies para a promoo, proteo e
recuperao da sade, reduzindo as enfermidades, controlando as doenas endmicas e
parasitrias, melhorando a vigilncia sade e dando qualidade de vida ao brasileiro.
E devido a estas atribuies, o Ministrio da Sade impe-se o desafio de garantir o direito
do cidado ao atendimento sade e prover condies para que esse direito esteja ao
alcance da populao, independente da condio social.
Tendo como base que a informao fundamental para a democratizao da Sade e o
aprimoramento de sua gesto, a informatizao das atividades do Sistema nico de Sade
(SUS), dentro das diretrizes tecnolgicas adequadas, essencial para a descentralizao
das atividades de sade, viabilizao e controle social sobre a utilizao dos recursos
disponveis.
Para alcanar tais objetivos, foi atribuda ao Departamento de Informtica do SUS DATASUS, criado pelo Decreto 100 de 16.04.1991, a responsabilidade de coletar, processar,
prover e disseminar informaes sobre sade alm de representar papel importante como
centro tecnolgico de suporte tcnico e normativo sobre a Gesto de Segurana da
Informao para a montagem dos sistemas de informtica e informao da Sade.
ID: DOC-MGR
Data: 27-05-2013
Verso:4.0
2. METODOLOGIAS
A metodologia proposta para a Gesto de Riscos utiliza como base as seguintes normas:
ISO/IEC GUIDE 73, Norma Complementar - NC 02 do Gabinete de Segurana Institucional
da Presidncia da Republica, a ABNT NBR ISO/IEC 27005:2008 e AS/NZS 4360:2004 ou
ISO/IEC 31000:2006.
2.2. NC 02 GSI/PR
Norma Complementar do Gabinete de Segurana Institucional da Presidncia da Republica
que define a metodologia de Gesto de Segurana da Informao e Comunicaes a ser
utilizada pelos rgos e entidades da Administrao Pblica Federal, direta e indireta. Essa
norma traz as melhores prticas no gerenciamento de riscos por meio do processo de
melhoria contnua, estabelecido pela norma ABNT NBR ISO/IEC 27001:2006 e denominado
ciclo PDCA (Plan-Do-Check-Act). PLANEJAR FAZER CHECAR AGIR.
ID: DOC-MGR
Data: 27-05-2013
Verso:4.0
ID: DOC-MGR
Data: 27-05-2013
Verso:4.0
3. METODOLOGIA PROPOSTA
A Metodologia de Gesto de Risco do DATASUS adota o ciclo composto pelas etapas
apresentadas na Poltica de Gesto de Risco, inventariar, analisar, avaliar e tratar os riscos
por meio de aplicao de controles de segurana.
3.1. Inventariar
A etapa corresponde ao conjunto de aes necessrias para levantamento,
detalhamento e estruturao dos componentes de negcio, das ameaas e dos ativos
(processos, tecnologias, ambientes e pessoas) que podem impactar os objetivos,
misso e atividades finalsticas do negcio.
3.2. Analisar
o processo de identificao de ameaas, vulnerabilidades e de avaliao do risco.
operacionalizada no sistema por meio de uma Anlise de Componente designado no
Escopo de um Projeto de Anlise. O nvel de Risco do Componente determinado
conforme as respostas desta investigao.
ID: DOC-MGR
Data: 27-05-2013
Verso:4.0
Assim, todos os projetos de anlise de riscos do MS/DATASUS devem ser criados como
projetos, ter escopo definido e possuir um grupo de responsvel (eis) para otimizar o
ciclo de Gesto de Riscos. Por esse mtodo, os processos de avaliao, tratamento e
comunicao tornam-se mais simples, prticos e rpidos.
Caso seja necessrio analisar o mesmo escopo, o autor da anlise de risco deve criar
uma anlise de acompanhamento. Dessa forma, preserva-se o histrico das anlises e
verifica-se a evoluo nos controles dos ativos.
Maiores informaes esto disponibilizadas no Manual de utilizao do software De
Gesto de Risco.
3.3. Avaliar
O objetivo da Avaliao de Risco tomar decises sobre qual risco necessita de
tratamento ou aceitao, bem como sua prioridade, com base nos resultados obtidos na
Anlise de Risco. Essa avaliao compara os riscos previamente identificados e
10
ID: DOC-MGR
Data: 27-05-2013
Verso:4.0
3.4. Tratar
O tratamento do risco pode ser iniciado quando nas fases de anlise e avaliao forem
fornecidas informaes suficientes para determinar as aes necessrias para reduzir os
riscos a nveis aceitveis. Esta fase envolve a identificao dos controles previamente
avaliados, alm da preparao e implementao das aes em planos de tratamento.
Esses planos visam reduo dos riscos para os nveis aceitveis e podem ter opes
no tratamento de eventos internos e externos.
Na gesto de tratamento dos riscos avaliados importante estabelecer critrios de risco
e considerar a tabela PSR (Probabilidade x Severidade x Relevncia) sugerida para os
eventos em tratamento.
NVEL
PSR
Muito Alto
De 60 a 125
Alto
De 32 a 50
Mdio
De 18 a 30
Baixo
De 08 a 16
Muito Baixo
De 01 a 06
Tabela 2 - Tabela de Riscos de Tratamento.
11
ID: DOC-MGR
Data: 27-05-2013
Verso:4.0
O DATASUS considera para clculo do risco o ndice PSR que representa o grau de
risco associado ausncia de um controle.
Sendo calculado pela equao Risco = Probabilidade x Severidade x Relevncia, onde
os fatores da Probabilidade e Severidade so pontuados durante as anlises tcnicas e
a Relevncia pontuada considerando-se a relevncia do ativo para o negcio.
12
ID: DOC-MGR
3.5.
Data: 27-05-2013
Verso:4.0
Nvel Estratgico
Gesto de Riscos
Documento de
aceitao de
riscos
Declarao de
Aplicabilidade
1 Comunicar reas
11 Aprovar Plano de
Tratamento e
Riscos Residuais
ou aceitos
e pessoas
envolvidas no
escopo
12
Nvel Ttico
3
Contexto
Nvel Operacional
Inventariar ativos e
caractersticas
Formular plano de
metas
Revisar ameaas,
probabilidades e
criticidade dos
ativos
Criar
questionrios de
anlise e enviar
aos responsveis
Consolidar
resultados/ verificar
pendncias
Executar
anlises nos
ativos
selecionados
8
Gerar Relatrios
de anlise de
riscos
Avaliar
Riscos / Gerar
Relatrio de
riscos aceitos
e residuais
10
Gerar Plano
de
Tratamento
de riscos
13
Executar a
implantao dos
controles
13
ID: DOC-CGSIG-CSIC-002
Atividade
Descrio
Responsvel
Entrada
Sada
Atividade
Entrada
Sada
Atividade
3. Inventariar ativos
Para que a execuo do ciclo de gesto de riscos seja realizada de acordo com os
objetivos estratgicos, necessrio que todos os ativos sob o escopo sejam
inventariados. Essa atividade pode ser executada por meio de reunies entre as equipes
da CSIC e os responsveis pelos ativos. A partir disso, necessrio que os ativos e suas
caractersticas (incluindo dependncias e ligaes) sejam cadastrados em sistema
especfico de gesto de riscos. Essa lista de ativos deve ser revalidada ao final da
atividade, garantindo que o escopo possui todos os ativos necessrios para indicar os
ndices de riscos corretos.
Responsvel Identificao e validao dos ativos: equipe de risco - CSIC junto aos responsveis pelos
ativos.
Listagem das caractersticas dos ativos: responsveis pelos ativos (nvel operacional).
Cadastro dos ativos e suas caractersticas: equipe de risco - CSIC.
Declarao do contexto e escopo; objetivos estratgicos; descrio dos ativos e
Entrada
respectivas caractersticas.
Descrio
Sada
Arquivo:
MetodologiaGestoRiscos
Modelo: MetodologiaGestoRisco
Pg.: 14/18
ID: DOC-CGSIG-CSIC-002
Atividade
Descrio
Entrada
Sada
Atividade
Descrio
Sada
Atividade
As anlises de riscos devem ser realizadas por meio da avaliao dos controles
sugeridos nos questionrios comparados s evidncias encontradas nos ativos. Essa
atividade deve ser desenvolvida pela equipe de risco da CSIC com apoio dos
responsveis pelos ativos do escopo. Cada questionrio deve ser cadastrado no sistema
especfico de gesto de riscos, onde os ndices de risco sero calculados para o ativo,
sistema ou processo definido no escopo. Os ndices de risco devem seguir a orientao
desta metodologia definida e aprovada pelo nvel decisrio.
Responsvel Realizar as anlises de riscos: equipe de risco - CSIC.
Acompanhar as anlises: responsveis pelos ativos.
Descrio
Arquivo:
MetodologiaGestoRiscos
Modelo: MetodologiaGestoRisco
Pg.: 15/18
ID: DOC-CGSIG-CSIC-002
Entrada
Sada
Atividade
Descrio
Atividade
Entrada
Sada
Atividade
Descrio
Responsvel Avaliar os riscos: equipe de risco - CSIC em conjunto com as equipes tticas
Arquivo:
MetodologiaGestoRiscos
Modelo: MetodologiaGestoRisco
Pg.: 16/18
ID: DOC-CGSIG-CSIC-002
Entrada
Sada
Atividade
Juntamente com o relatrio de riscos residuais ou aceitos, deve ser criado um plano de
tratamento com as sugestes de controles para a minimizao dos riscos provenientes
dos controles identificados como no implementados nas anlises. O plano de
tratamento deve incluir estimativas de custos, impactos nas atividades cotidianas,
procedimentos necessrios e prazos.
Responsvel Gerar plano de tratamento de riscos: equipe de risco - CSIC.
Descrio
Entrada
Sada
Atividade
O plano de tratamento deve ser aprovado pela alta gesto e gestor dos ativos que
definir ou ajustar as atividades de acordo com restries que porventura existam como
oramento disponvel ou priorizao de atividades externas gesto de riscos. Com isso,
ser atualizado o plano com as devidas justificativas para a no implantao dos
controles sugeridos, assim como atualizar tambm os relatrios de riscos residuais ou
aceitos na mesma proporo. Essa atividade visa garantir a comunicao e cincia de
todos os envolvidos dos riscos existentes e dos riscos a serem tratados.
Responsvel Aprovar plano de tratamento e riscos residuais ou aceitos: Alta Gesto e nvel ttico
considerando o escopo ou contexto de execuo.
Descrio
Entrada
Sada
Atividade
Arquivo:
MetodologiaGestoRiscos
Modelo: MetodologiaGestoRisco
Pg.: 17/18
ID: DOC-CGSIG-CSIC-002
Entrada
Sada
Atividade
Essa atividade variante devido grande gama de reas que podero estar sob o
escopo. Cada tipo de ativo recebe um tratamento diferenciado de acordo com suas
particularidades ou caractersticas.
Os riscos identificados podem estar associados basicamente a 4(quatro) tipos de ativos
tecnolgicos, ambientais, humanos ou processuais. O plano de tratamento identificar os
controles aplicveis a cada um destes ativos como, por exemplo: campanhas de
conscientizao, normas tcnicas, procedimentos, implantao de circuitos fechados de
TV, alterao de configuraes de um sistema operacional ou ainda a classificao de
informaes. Todos estes so considerados controles de acordo com esse processo
sugerido.
A CSIC deve atuar indicando os controles e avaliando, periodicamente a implantao
deste controles.
Responsvel Executar a implantao dos controles selecionados: rea ou responsveis pelos ativos
sob escopo (tecnologia, ambiente, processos ou pessoas).
Descrio
Entrada
Sada
4. CONSIDERAES FINAIS
A Metodologia de Gesto de Riscos apresentada neste documento deve complementar
os processos de Gesto de Segurana da Informao e Comunicaes, previstos na IN
01 GSI, de 13 de junho de 2008, a ser implementada pelos rgos e entidades da
Administrao Pblica Federal, direta e indireta.
Arquivo:
MetodologiaGestoRiscos
Modelo: MetodologiaGestoRisco
Pg.: 18/18