Escolar Documentos
Profissional Documentos
Cultura Documentos
Entidades Participantes
Secretaria de Logstica e Tecnologia da Informao SLTI/MPOG
Centro de Tecnologia da Informao Renato Archer do Ministrio da
Cincia, Tecnologia e Inovao CTI/MCTI
Fundao de Apoio Capacitao em Tecnologia da Informao Facti
Maio de 2015
SLTI OE1:RM2
RESERVADO
Pgina 1 de 140
RESERVADO
Ttulo do documento
Cdigo do Documento
Objetivo Especfico
Verso
29/05/2015
19/06/2015
30/07/2015
Autor
CTI/Facti
CTI/Facti
CTI/Facti
Controle de Distribuio
Este documento tem sua distribuio restrita s pessoas diretamente envolvidas
nas atividades desenvolvidas no Desenvolvimento de metodologia e ferramenta
de software pblico de arquitetura aberta para gesto de riscos de segurana da
informao na Administrao Pblica Federal de acordo com o Termo de
Execuo Descentralizada MPOG n 25/2014, o Processo MPOG n
04300.004903/2014-40, o Processo Administrativo CTI n 01241.000189/2014-74
Termo de Dispensa de Licitao CTI n 98/2014, Termo de Contrato de Prestao
de Servios CTI n 250/2014 e que dele precisem saber. Este documento no
pode ser redistribudo. Este documento no pode ser reproduzido em todo ou em
parte. As informaes contidas neste documento somente podero ser divulgadas
a terceiros mediante prvia e expressa autorizao da Secretaria de Logstica e
Tecnologia da Informao do Ministrio do Planejamento, Oramento e Gesto
SLTI/MPOG.
Controle de Distribuio
Data
SLTI OE1:RM2
Nome
Rubrica
RESERVADO
Pgina 2 de 140
RESERVADO
Lista de Figuras
Figura 1. Nveis de atuao para a gesto de riscos. ........................................... 21
Figura 2. Nveis de atuao para a gesto de riscos e elementos da
organizao .................................................................................................................. 23
Figura 3. Processo da MGR-SISP ............................................................................ 26
Figura 4. Subprocesso Estabelecer Contexto......................................................... 42
Figura 5. Atividade Definir os Papis e as Responsabilidades ............................ 43
Figura 6. Template do registro de Papis, descries e Responsabilidades .... 45
Figura 7. Template do registro de Profissionais e Papis..................................... 45
Figura 8. Atividade Definir os Objetivos, Escopo e as Restries da GRSI ...... 47
Figura 9. Template para o registro de objetivos, escopo, premissas e restries
........................................................................................................................................ 49
Figura 10. Atividade Realizar Pr-anlise da organizao ................................... 52
Figura 11. Modelo de questionrio de pr-anlise da organizao..................... 54
Figura 12. Modelo de apresentao de resultados da pr-anlise da
organizao .................................................................................................................. 54
Figura 13. Atividade Realizar Pr-anlise das unidades da organizao .......... 58
Figura 14. Formulrio com os resultados da pr-anlise de unidades da
organizao .................................................................................................................. 60
Figura 15. Exemplo do Formulrio ............................................................................ 60
Figura 16. Atividade Definir Critrios ........................................................................ 61
Figura 17. Formulrio para a parametrizao da avaliao de consequncias 67
Figura 18. Formulrio para a parametrizao da avaliao de probabilidades 68
Figura 19. Formulrio para a parametrizao de critrio de tratamento e de
aceitao de riscos ...................................................................................................... 68
Figura 20. Subprocesso Identificar Riscos .............................................................. 69
Figura 21. Atividade Identificar Ativos ...................................................................... 72
Figura 22. Template do Mapa de Riscos - Ativos................................................... 75
Figura 23. Exemplo de Mapa de Riscos - Ativos .................................................... 75
Figura 24. Atividade Identificar Ameaas ................................................................ 77
Figura 25. Template do Mapa de Riscos - Ativos, Ameaas ................................ 79
Figura 26. Exemplo de Mapa de Riscos - Ativos, Ameaas ................................. 79
Figura 27. Atividade Identificar Controles ................................................................ 81
Figura 28. Template do Mapa de Riscos - Ativos, Ameaas e Controles .......... 83
Figura 29. Exemplo de Mapa de Riscos - Ativos, Ameaas e Controles ........... 84
SLTI OE1:RM2
RESERVADO
Pgina 3 de 140
RESERVADO
RESERVADO
Pgina 4 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 5 de 140
RESERVADO
Sumrio
1
Introduo ......................................................................................................... 9
SLTI OE1:RM2
RESERVADO
Pgina 6 de 140
RESERVADO
7.7.2
7.7.3
10
SLTI OE1:RM2
RESERVADO
Pgina 7 de 140
RESERVADO
1 Apresentao do documento
Este documento situa-se no contexto do projeto Desenvolvimento de
metodologia e ferramenta de software pblico de arquitetura aberta para gesto
de riscos de segurana da informao na Administrao Pblica Federal
(APF). Este projeto iniciativa da SLTI/MP e encontra-se em execuo no CTI
Centro de Tecnologia da Informao Renato Archer/MCTI, por intermdio da
fundao de apoio, Facti. O documento refere-se Meta Fsica RM2,
componente do Objetivo Especfico OE1: Elaborao da Metodologia Pblica
de Gesto de Riscos de Segurana da Informao.
O documento apresenta a Metodologia de Gesto de Riscos de
Segurana da Informao do SISP (MGR-SISP). A metodologia visa a
padronizar e sistematizar a gesto de riscos de segurana da informao na
APF. Almeja-se assim atingir nveis satisfatrios de segurana da informao, e
ao mesmo tempo racionalizar os investimentos, pela priorizao de aes e por
evitar redundncias na gesto de riscos.
A MGR-SISP compatvel com iniciativas anteriores voltadas segurana
da informao na APF, como a Norma Complementar n 04/IN01/DSIC/GSIPR,
que estabelece diretrizes para o processo de Gesto de Riscos de Segurana
da Informao e Comunicaes.
Os rgos da APF apresentam grande variedade no tocante s
caractersticas, aos requisitos, e ao nvel maturidade em segurana da
informao. Deste modo, a MGR-SISP estabelece atividades de pr-analise,
visando a direcionar a implantao da metodologia em cada organizao
especfica. Busca-se tambm o respaldo de padres bem aceitos, como
ISO/IEC 27005, IT Grundschutz BSI Standard 100-2 e NIST SP 800-39, que
forneceram elementos para a definio da MGR-SISP, descrita neste
documento.
SLTI OE1:RM2
RESERVADO
Pgina 8 de 140
RESERVADO
2 Introduo
Uma abordagem sistemtica para a gesto da segurana da informao
importante para que as organizaes identifiquem possveis ameaas ao seu
negcio e estabeleam medidas de proteo eficazes. A misso da
organizao e os seus objetivos principais devem ser a base para o
estabelecimento de prticas para a promoo da segurana da informao.
Um elemento importante nos esforos voltados segurana da informao
abordar os riscos de maneira efetiva e no tempo certo. A gesto de riscos
deve integrar o sistema de gesto de segurana da informao, e deve ser
alinhada s prticas gerais de gesto de riscos da organizao.
A gesto de riscos de segurana da informao deve ser um processo
contnuo, bem estruturado e sistemtico. O objetivo deste processo de
assegurar uma proteo adequada para os elementos de valor da organizao,
tais como: pessoas; informaes; processos de negcio; e solues de
tecnologia da informao e comunicao. Esta proteo necessria para
evitar prejuzos a esses elementos de valor, que podem ocorrer como
consequncia de violaes de segurana.
Ao longo das atividades do processo de gesto de riscos devem ser
estabelecidos o contexto, o escopo e os objetivos da gesto; devem ser
identificados os riscos existentes, a probabilidade que estes de fato ocorram,
assim como a extenso e gravidade dos efeitos negativos produzidos. Pode-se
deste modo decidir sobre aes preventivas a serem tomadas para reduzir os
riscos para nveis aceitveis. Este processo importante tambm para gerar
informaes que permitam a comunicao e a tomada de decises sobre as
prioridades para a alocao de recursos de segurana da informao: busca-se
racionalizar o uso de recursos, evitando protees redundantes, e privilegiando
a proteo dos recursos vitais.
SLTI OE1:RM2
RESERVADO
Pgina 9 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 10 de 140
RESERVADO
3 Termos e definies
Aceitao do risco: Deciso de aceitar risco residual.
Ameaa: Elemento que tem potencial para comprometer ativos atravs da
explorao das vulnerabilidades.
Anlise do risco: Estimar o risco baseado na probabilidade e seu
respectivo impacto.
Ataque: Evento decorrente da explorao de uma vulnerabilidade por uma
ameaa.
Ativo: Qualquer elemento que tenha valor para a organizao.
Confidencialidade: Garantia de que a informao seja legvel somente
para pessoas autorizadas.
Controle: Forma de gerenciar o risco, incluindo polticas, procedimentos,
diretrizes, prticas ou estruturas organizacionais, que podem ser de natureza
administrativa, tcnica, de gesto ou legal. Controle tambm pode ser utilizado
como um sinnimo para proteo ou contramedida.
Criptografia: Mtodos para prover sigilo da informao.
Disponibilidade: Garantia de que os usurios autorizados obtenham
acesso informao sempre que necessrio.
Estimativa
de
risco:
processo
utilizado
para
atribuir
valores
SLTI OE1:RM2
RESERVADO
Pgina 11 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 12 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 13 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 14 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 15 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 16 de 140
RESERVADO
MGR-SISP
compatvel
com
Norma
Complementar
RESERVADO
Pgina 17 de 140
RESERVADO
de
Ativos
de
Informao
(Norma
Complementar
10/IN01/DSIC/GSIPR).
Outro ponto importante que a MGR-SISP pode sistematizar e padronizar
a gesto de riscos na APF, destacando boas prticas e o reuso de solues.
As medidas de segurana previstas contra as ameaas identificadas
(chamadas de protees, ou controles) so baseadas em padres bem aceitos
(como ISO/IEC 27005, IT Grundschutz BSI Standard 100-2 e NIST SP 800-39)
e permitem que se atinjam nveis satisfatrios de segurana da informao, e
ao mesmo tempo se racionalizem os investimentos, pela priorizao de aes
e por evitar redundncias.
Tendo como finalidade apoiar organizaes da APF, cujas naturezas,
caractersticas e objetivos apresentam variaes, almeja-se que a metodologia
seja adaptvel e customizvel. Em particular, busca-se oferecer apoio eficaz
para a gesto de riscos, independentemente do nvel de maturidade em
segurana da informao em que a organizao se encontra (em termos de
cultura e de prticas de segurana adotadas e institucionalizadas), e do nvel
de segurana requerido pela organizao (associado criticidade dos ativos de
informao da organizao).
Alguns requisitos mnimos, em termos de estrutura organizacional para a
segurana da informao, so esperados para a implementao da gesto de
riscos. Prev-se a definio de papis e o envolvimento de profissionais com
os seguintes perfis:
SLTI OE1:RM2
RESERVADO
Pgina 18 de 140
RESERVADO
Administrao
da
organizao.
representantes da
Tipicamente,
este
Alta
documento
SLTI OE1:RM2
RESERVADO
Pgina 19 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 20 de 140
RESERVADO
1o Nvel
2o Nvel
Organizao
Processos de
Negcio
Ativos de
tecnologia
3o Nvel
SLTI OE1:RM2
RESERVADO
Pgina 21 de 140
RESERVADO
Nveis
Ameaa
Furto de equipamento
Nvel 1 Organizao
Vulnerabilidade
Controle/Proteo
Acesso de no autorizados
Implementar controle de
nas dependncias da
organizao
organizao
limpa
limpa
Interrupo de
Falta de Nobreak
Implementar um Nobreak
Ataque de negao de
Falta de monitoramento do
Implementar monitoramento
servio em um sistema
trfego de rede
de rede
Vazamento de
Os documentos trafegam em
documentos sigilosos
meios eletrnicos
eletrnicos
Falha no servio de
Implementar um servidor
HelpDesk
problemas de Hardware
Backup redundante
Tentativa de explorao
Atualizao da aplicao de
de acesso ao servidor
vulnervel
acesso remoto
Tentativa de um atacante
Implementar controle de
Tentativa de um atacante
Servio de E-mail
invadir um servidor de E-
desatualizado e sem
aplicar o Hardening no
aplicaes de segurana
servidor
suprimento de energia
Nvel 2 Processo de
negcio
Linux
Nvel 3 Ativos
de Tecnologia
(LAN)
SLTI OE1:RM2
RESERVADO
Pgina 22 de 140
RESERVADO
Nvel 1
Unidade 1
Processo de
Negcio 1
Unidade 2
Processo de
Negcio 2
Unidade N
Processo de
Negcio 1
Nvel 2
SERVIDOR UNIX
PC 1
SALA 1
LAN
Nvel 3
SLTI OE1:RM2
RESERVADO
Pgina 23 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 24 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 25 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 26 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 27 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 28 de 140
RESERVADO
possui
processos
de
negcio,
atividades
informaes
Sistema Estruturante;
Informaes pessoais;
SLTI OE1:RM2
RESERVADO
Pgina 29 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 30 de 140
RESERVADO
deste
subprocesso
sendo
realizadas
simultaneamente
por
responsveis em cada unidade. De outro modo, pode ser feita uma priorizao,
focando os esforos e recursos primeiro em setores mais crticos, e depois, nos
sucessivamente menos crticos. Importante destacar que existem ameaas e
SLTI OE1:RM2
RESERVADO
Pgina 31 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 32 de 140
RESERVADO
RESERVADO
Pgina 33 de 140
RESERVADO
para
proteger
ativo
desta
ameaa,
tem-se
uma
vulnerabilidade exposta.
SLTI OE1:RM2
RESERVADO
Pgina 34 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 35 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 36 de 140
RESERVADO
RESERVADO
Pgina 37 de 140
RESERVADO
(PTRs).
Nesta
atividade
importante
considerar
prioridades,
deciso
SLTI OE1:RM2
RESERVADO
Pgina 38 de 140
RESERVADO
transferidos,
avaliar
periodicamente
efetividade
dos
controles
SLTI OE1:RM2
RESERVADO
Pgina 39 de 140
RESERVADO
Novos ativos;
Incidentes de segurana.
SLTI OE1:RM2
RESERVADO
Pgina 40 de 140
RESERVADO
8 Detalhamento da metodologia
Esta
seo
detalha
metodologia,
fornecendo
informaes
Definir critrios.
SLTI OE1:RM2
RESERVADO
Pgina 41 de 140
RESERVADO
necessrios
gesto
de
riscos;
identificar
papis
SLTI OE1:RM2
RESERVADO
Pgina 42 de 140
RESERVADO
Tarefas da atividade:
SLTI OE1:RM2
RESERVADO
Pgina 43 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 44 de 140
RESERVADO
Papis e Responsabilidades
Papel
Descrio do papel
Papel 1
Descrio do papel 1
Responsabilidades do papel 1
Papel 2
Descrio do papel 2
Responsabilidades do papel 2
...
...
...
Unidade
(Diviso)
Telefone
Papel
Responsabilidades
especficas
Nome 1
Unidade 1
Telefone 1
e-mail 1
Papel 1
Responsabilidades
especficas 1
Nome 2
Unidade 2
Telefone 2
e-mail 2
Papel 2
Responsabilidades
especficas 2
...
...
...
...
...
...
RESERVADO
Pgina 45 de 140
RESERVADO
Comunicaes
SIC
[Norma
Complementar
19/IN01/DSIC/GSPR];
RESERVADO
Pgina 46 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 47 de 140
RESERVADO
Tarefas da atividade:
SLTI OE1:RM2
RESERVADO
Pgina 48 de 140
RESERVADO
documentadas
validadas
por
representante
da
Alta
Administrao.
Informaes produzidas: Objetivos, premissas e restries, e escopo da
GRSI identificadas e documentadas.
Template da atividade:
A Figura 9 apresenta um template para o registro das informaes tratadas na
atividade.
Objetivos, Escopo, Premissas e Restries da GRSI
Objetivos da GRSI
Escopo da GRSI
Premissas da GRSI
Restries da GRSI
SLTI OE1:RM2
RESERVADO
Pgina 49 de 140
RESERVADO
executados
documentados,
at
controles
analisados e
aprimorados).
Os itens de controle base abordam diferentes categorias:
Gesto do Risco;
Gesto de Configurao;
Manuteno;
Proteo de Mdias;
Cultura;
Gesto de crise;
SLTI OE1:RM2
RESERVADO
Pgina 50 de 140
RESERVADO
Segurana do Pessoal;
Resposta a incidentes;
Aplicaes.
implementado,
valores
mdios
significam
item
de
controle
em
SLTI OE1:RM2
RESERVADO
Pgina 51 de 140
RESERVADO
Tarefas da atividade:
SLTI OE1:RM2
RESERVADO
Pgina 52 de 140
RESERVADO
para
ser
finalizada:
Questionrios
respondidos,
respostas
compiladas e resumidas.
Informaes produzidas: Resultados da pr-anlise. Quantificao do nvel
de maturidade da organizao em segurana da informao em cada uma das
categorias abordadas. Identificao de pontos fortes e pontos para melhoria.
Templates da atividade:
A Figura 11 mostra um modelo de questionrio de pr-anlise da organizao,
que aborda categorias de controle, cada uma associada a vrios itens de
controle a serem classificados por grau de implementao.
A Figura 12 mostra um formulrio de resultados da avaliao com os valores
de nvel de maturidade apurados para cada categoria de controle.
SLTI OE1:RM2
RESERVADO
Pgina 53 de 140
RESERVADO
Itens de Controle
Grau de Implementao
(1 a 5, ou NA: no se aplica)
Categoria 1 Item 1
Categoria 1 Item 2
Categoria 1
...
...
Mdia da Categoria
Categoria 2 Item 1
Categoria 2 Item 2
Categoria 2
...
...
Mdia da Categoria
Nvel de Maturidade
(Score obtido / Total de Itens varia entre 1 e 5)
Categoria 1
Categoria 2
...
...
Mdia dos Nveis de Maturidade
RESERVADO
Pgina 54 de 140
RESERVADO
requisitos
de
clientes,
parceiros,
ou
fornecedores,
padres
especficos?
Informaes.
RESERVADO
Pgina 55 de 140
RESERVADO
de segurana nos ativos primrios. A classificao deve ser feita com respeito
a cada atributo separadamente:
Confidencialidade;
Integridade;
Disponibilidade.
Muito
pouco
crtico.
(peso
1).
[Confidencialidade,
Integridade,
Moderadamente
crtico.
(peso
5).
[Confidencialidade,
Integridade,
RESERVADO
Pgina 56 de 140
RESERVADO
Unidade
UA
Criticidade
Ativo
Total Ativo
Total Unidade
Primrio
AT1
CAT1
IAT1
DAT1
TAT1=F1(CAT1, IAT1,
DAT1)
AT2
CAT2
IAT2
DAT2
TAT2=F1(CAT2, IAT2,
DAT2)
AT3
CAT3
IAT3
DAT3
TAT3=F1(CAT3, IAT3,
DAT3)
TUUA=F2(TAT1, TAT2,
TAT3)
SLTI OE1:RM2
RESERVADO
Pgina 57 de 140
RESERVADO
Tarefas da atividade:
SLTI OE1:RM2
RESERVADO
Pgina 58 de 140
RESERVADO
para
ser
finalizada:
Questionrios
respondidos,
respostas
compiladas e resumidas.
Informaes produzidas: Resultados da pr-anlise de unidades da
organizao. Quantificao do nvel de criticidade dos ativos primrios tratados
em cada unidade da organizao.
Template e exemplo da atividade:
A Figura 14 ilustra um formulrio com os resultados da pr-anlise de unidades
da organizao que identifica: unidades, ativos primrios, valores de
criticidades definidos na anlise, totais de criticidade por ativo e por unidade.
A Figura 15 apresenta um exemplo deste mesmo formulrio.
SLTI OE1:RM2
RESERVADO
Pgina 59 de 140
RESERVADO
Resultados da pr-anlise de unidades da organizao Criticidade dos ativos primrios de cada unidade
Unidade
(Unidade
da
Organiza
o)
UA
...
Ativo Primrio
Criticidade
Total Ativo
(Criticidade total
do ativo mdia
de C,I,A)
Identificador
Descrio
C
(confidenci
alidade)
I
(integridad
e)
D
(disponibili
dade)
AT1
Descrio
C AT1
I AT1
D AT1
TAT1=(CAT1 + IAT1,
+ DAT1)/3
AT2
Descrio
C AT2
I AT2
D AT2
TAT2=(CAT2 + IAT2,
+ DAT2)/3
AT3
Descrio
C AT3
I AT3
D AT3
TAT3=(CAT3 + IAT3,
+ DAT3)/3
...
...
...
...
...
...
AT1
AT2
AT3
Total Unidade
(soma de
criticidades dos
ativos da
unidade)
TUUA=(TAT1+
+TAT2+TAT3)
...
Ativo Primrio
Identifica
dor
AT1
Diviso de
Planejame
nto
Diviso de
Operaes
AT2
AT3
Criticidade
Descrio
Documento
preliminar de
planejamento
estratgico
Processo de
reserva de
salas /
equipamentos
Controle de
suprimentos
C
(confidenci
alidade)
I
(integridad
e)
D
(disponibili
dade)
10
Total Ativo
(Criticidade total
do ativo mdia
de C,I,D)
Total Unidade
(soma de
criticidades dos
ativos da
unidade)
7,6
10,2
2,6
10
10
8,3
8,3
SLTI OE1:RM2
RESERVADO
Pgina 60 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 61 de 140
RESERVADO
Consequncia
Muito
Alta:
servios
essenciais
so
afetados
SLTI OE1:RM2
RESERVADO
Pgina 62 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 63 de 140
RESERVADO
Probabilidade Muito Alta. Quase certo, Ocorre mais do que 100 vezes
ao ano.
SLTI OE1:RM2
RESERVADO
Pgina 64 de 140
RESERVADO
Consequncia
Probabilidade
Muito baixa
Baixa
Moderada
Alta
Muito alta
Muito baixa
1 (MB)
2 (MB)
3 (B)
4 (B)
5 (M)
Baixa
2 (MB)
3 (B)
4 (B)
5 (M)
6 (A)
Moderada
3 (B)
4 (B)
5 (M)
6 (A)
7 (A)
Alta
4 (B)
5 (M)
6 (A)
7 (A)
8 (MA)
Muito alta
5 (M)
6 (A)
7 (A)
8 (MA)
9 (MA)
SLTI OE1:RM2
RESERVADO
Pgina 65 de 140
RESERVADO
documentadas
validadas
RESERVADO
por
representante
da
Alta
Pgina 66 de 140
RESERVADO
Critrios definidos e
aprovados por
Classe de consequncia
Confidencialidade
(Cn)
Disponibilidade
(Ds)
Integridade
(In)
Baixa (B)
Moderada (M)
Alta (A)
SLTI OE1:RM2
RESERVADO
Pgina 67 de 140
RESERVADO
Questes de apoio
Questo (MB)
Baixa (B)
Questo (B)
Moderada (M)
Questo (M)
Alta (A)
Questo (A)
Questo (MA)
Limite
Superior (S)
Risco (MB-I)
Risco (MB-S)
Baixo (B)
Risco (B-I)
Risco (B-S)
Moderado (M)
Risco (M-I)
Risco (M-S)
Alto (A)
Risco (A-I)
Risco (A-S)
Risco (MA-I)
Risco (MA-S)
SLTI OE1:RM2
RESERVADO
Pgina 68 de 140
RESERVADO
adversas
resultantes.
Busca-se
compreender
possveis
Identificar ativos;
Identificar ameaas;
Identificar controles; e
Identificar vulnerabilidades.
SLTI OE1:RM2
RESERVADO
Pgina 69 de 140
RESERVADO
Informaes;
Ativos de suporte:
Perifricos;
Sistemas operacionais;
Software de administrao;
SLTI OE1:RM2
RESERVADO
Pgina 70 de 140
RESERVADO
Pacotes de software;
Aplicaes de negcio.
Comunicaes (telefone);
SLTI OE1:RM2
RESERVADO
Pgina 71 de 140
RESERVADO
Projetos
da
organizao
(migrao
de
sistemas,
novos
desenvolvimentos, etc.);
o
Tarefas da atividade:
SLTI OE1:RM2
RESERVADO
Pgina 72 de 140
RESERVADO
responsveis
pelas
unidades
selecionadas
so
comunicados
da
SLTI OE1:RM2
RESERVADO
Pgina 73 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 74 de 140
RESERVADO
Mapa de Riscos
Ativos
Cdigo
Natureza
(primrio
ou
suporte)
Tipo Subtipo
(hardware,
software,
etc.)
Unidade da
organizao
Responsvel
Pelo
Ativo
Descrio
do Ativo
Localizao
do Ativo
Data de
Cadastro
Responsvel
Pelo
Cadastro
A01
Natureza
A01
Tipo A01
Unidade A01
Responsvel
A01
Descrio
A01
Localizao
A01
Responsvel
Cad. A01
A02
Natureza
A02
Tipo A02
Unidade A02
Responsvel
A02
Descrio
A02
Localizao
A02
Data de
Cadastro
A01
Data de
Cadastro
A02
...
...
...
...
...
...
...
...
...
Responsvel
Cad. A02
Natureza
(primrio
ou
suporte)
Tipo Subtipo
(hardware,
software,
etc.)
Unidade da
organizao
Responsvel
Pelo
Ativo
Descrio
do Ativo
Localizao
do Ativo
Data de
Cadastro
Responsvel
Pelo
Cadastro
A01
Primrio
Processo
Negcio
DMPS
Joo
DMPS
Sala 15
09/06/2015
Maria da
DMPS
A02
Suporte
Sala
DSSI
Miguel
Suporte
Hardware,
Servidor
DSC
Paulo
Prdio 3,
andar 2
Prdio 3,
andar 2,
Datacenter
1
09/06/2015
A03
Processo
avaliao
RDA
Sala 31
da DSSI
Servidor
Dell
Modelo
XY
Gestor de
Riscos Jos
Paulo da
DSC
09/06/2015
RESERVADO
Pgina 75 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 76 de 140
RESERVADO
Tarefas da atividade:
SLTI OE1:RM2
RESERVADO
Pgina 77 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 78 de 140
RESERVADO
Ameaas
Cdigo
Natureza
(primrio
ou
suporte)
Tipo Subtipo
(hardware,
software,
etc.)
Unidade da
organizao
Responsvel
Pelo
Ativo
Descrio
do Ativo
Tipo de Ameaa
(tipo de ameaa
selecionado da
lista)
Descrio da ameaa
(descrio informao
editada)
A01
Natureza
A01
Tipo A01
Unidade
A01
Responsvel
A01
Descrio
A01
Tipo Ameaa 1
Descrio Ameaa 1
Tipo Ameaa 2
Descrio Ameaa 2
Tipo Ameaa 3
Descrio Ameaa 3
Descrio Ameaa 4
Descrio Ameaa 1
Descrio Ameaa 2
...
A02
Natureza
A02
Tipo A02
Unidade
A02
Responsvel
A02
Descrio
A02
Tipo Ameaa 4
Tipo Ameaa 1
Tipo Ameaa 2
...
...
...
...
...
...
...
Ameaas
Cdigo
Natureza
(primrio
ou
suporte)
Tipo Subtipo
(hardware,
software,
etc.)
Unidade da
organizao
Responsvel
Pelo
Ativo
Descrio
do Ativo
Tipo de Ameaa
(tipo de ameaa
selecionado da
lista)
Descrio da ameaa
(descrio informao
editada)
A01
Primrio
Processo
de
Negcio
DMPS
Joo
Processo
avaliao
RDA
Comprometimento
da informao
Extravio do documento
sigiloso RDA-YZ.doc
Aes no
autorizadas
Acesso de no
autorizados no ambiente
fsico RdaR
Falhas tcnicas
Comprometimento
de funes
Abuso de diretos de
acesso ao sistema RDACD
Extravio de pen-drive
com informaes
sigilosas
Perda de documentos
devido a incndio
A02
Suporte
Sala
DSSI
Miguel
Sala 31
da DSSI
Comprometimento
da informao
Dano fsico
SLTI OE1:RM2
RESERVADO
Pgina 79 de 140
RESERVADO
IT-Grundschutz,
ou
ISO/IEC
27002).
Esta
informao
pode
ser
SLTI OE1:RM2
RESERVADO
Pgina 80 de 140
RESERVADO
a) No implementado;
b) Parcialmente implementado;
d) No se aplica, ou desnecessrio.
SLTI OE1:RM2
RESERVADO
Pgina 81 de 140
RESERVADO
Tarefas da atividade:
SLTI OE1:RM2
RESERVADO
Pgina 82 de 140
RESERVADO
Ameaas
Controles
Cdi
go.
Descrio
do Ativo
Tipo de Ameaa
(tipo de ameaa
selecionado da
lista)
Descrio da ameaa
(descrio informao
editada)
A01
Descrio
A01
Tipo Ameaa 1
Descrio Ameaa 1
Descrio do controle
(lista de controles)
Descrio Controle 1
Situao / Justificativa
Controle 1
Descrio Controle 2
Situao / Justificativa
Controle 2
...
Tipo Ameaa 2
A02
...
Descrio Ameaa 2
Descrio
A02
Tipo Ameaa 1
Descrio Ameaa 1
Tipo Ameaa 2
Descrio Ameaa 2
...
...
...
Situao / Justificativa
(Situao: seleo,
Justificativa: informao
editada)
...
Descrio Controle 1
Situao / Justificativa
Controle 1
Descrio Controle 2
Situao / Justificativa
Controle 2
...
...
...
...
...
...
...
...
SLTI OE1:RM2
RESERVADO
Pgina 83 de 140
RESERVADO
Mapa de Riscos
Ativos
Ameaas
Cdigo
Descrio
do Ativo
Tipo de Ameaa
(tipo de ameaa
selecionado da
lista)
Descrio da ameaa
(descrio informao
editada)
A01
Processo
avaliao
RDA
Comprometimento
da informao
Extravio do documento
sigiloso RDA-YZ.doc
Aes no
autorizadas
Acesso de no
autorizados no ambiente
fsico RdaR
Controles
Descrio do controle
(lista de controles)
Situao / Justificativa
(Situao: seleo,
Justificativa: informao
editada)
Conscientizao mesa
limpa
No Implementado
Fechadura mecnica
Totalmente Implementado
Cmara monitoramento.
Parcialmente
Implementado cmera
VGA, pouco ntida img.
Poltica e procedimentos
de controle acesso
Parcialmente
Implementado
procedimentos informais
Fechadura mecnica
Totalmente Implementado
Cmara monitoramento.
Totalmente Implementado
Falhas tcnicas
Parcialmente
Implementado teste no
sistemtico.
Comprometimento
de funes
Abuso de diretos de
acesso ao sistema RDACD
Realizar teste de
segurana
Totalmente Implementado
RESERVADO
Pgina 84 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 85 de 140
RESERVADO
Tarefas da atividade:
SLTI OE1:RM2
RESERVADO
Pgina 86 de 140
RESERVADO
respectivas
vulnerabilidades
ameaas,
(descrio
aos
da
controles
para
vulnerabilidade,
cada
se
ameaa
existente).
s
As
SLTI OE1:RM2
RESERVADO
Pgina 87 de 140
RESERVADO
Mapa de Riscos
Ativos
Ameaas
Controles
Vulnerabilidades
Cdigo.
Descrio
do Ativo
Tipo de
Ameaa
(tipo de
ameaa
selecionado
da lista)
Descrio da
ameaa
(descrio
informao
editada)
Descrio do
controle (lista de
controles)
Situao /
Justificativa
(Situao: seleo,
Justificativa:
informao editada)
A01
Descrio
A01
Tipo
Ameaa 1
Descrio
Ameaa 1
Descrio Controle
1
Situao /
Justificativa
Controle 1
Descrio da
Vulnerabilidade 1
Descrio Controle
2
Situao /
Justificativa
Controle 2
Descrio da
Vulnerabilidade 2
Tipo
Ameaa 2
A02
...
Descrio
A02
...
Descrio
Ameaa 2
Tipo
Ameaa 1
Tipo
Ameaa 2
Descrio
Ameaa 1
Descrio
Ameaa 2
...
...
Descrio da
Vulnerabilidade
...
...
Descrio Controle
1
Situao /
Justificativa
Controle 1
Descrio da
Vulnerabilidade 1
...
Descrio Controle
2
Situao /
Justificativa
Controle 2
Descrio da
Vulnerabilidade 2
...
...
...
...
...
...
...
...
...
...
...
...
SLTI OE1:RM2
RESERVADO
Pgina 88 de 140
RESERVADO
Mapa de Riscos
Ativos
Ameaas
Cdigo.
Descrio
do Ativo
Tipo de
Ameaa
(tipo de
ameaa
selecionado
da lista)
A01
Processo
avaliao
RDA
Comprometi
mento da
informao
Aes no
autorizadas
Controles
Descrio da
ameaa
(descrio
informao
editada)
Extravio do
documento
sigiloso RDAYZ.doc
Acesso de no
autorizados no
ambiente fsico
RdaR
Descrio do
controle (lista de
controles)
Vulnerabilidades
Situao /
Justificativa
(Situao: seleo,
Justificativa:
informao editada)
Descrio da
Vulnerabilidade
Conscientizao
mesa limpa
No Implementado
Maior probabilidade do
extravio de documentos
e equipamentos
Fechadura
mecnica
Totalmente
Implementado
Nenhuma
Cmara
monitoramento.
Parcialmente
Implementado
cmera VGA, pouco
ntida img.
Risco de no ter
desempenho adequado
Poltica e
procedimentos de
controle acesso
Parcialmente
Implementado
procedimentos
informais
Risco de procedimentos
no serem seguidos
Fechadura
mecnica
Totalmente
Implementado
Nenhuma
Cmara
monitoramento.
No Implementado
Impedimento de
identificar responsveis
por invases.
Falhas
tcnicas
Sistema de
apoio RDA-AB
pouco confivel
Realizar teste de
software
Parcialmente
Implementado
teste no
sistemtico.
Problemas de
disponibilidade e
integridade de
informaes sensveis
Comprometi
mento de
funes
Abuso de
diretos de
acesso ao
sistema RDACD
Realizar teste de
segurana
Totalmente
Implementado
Nenhuma
SLTI OE1:RM2
RESERVADO
Pgina 89 de 140
RESERVADO
Avaliar probabilidades; e
RESERVADO
Pgina 90 de 140
RESERVADO
Violao da legislao;
Violao de contratos;
Problemas jurdicos;
Prejuzo no desempenho;
Perdas financeiras;
Interrupo de servios;
Danos materiais;
SLTI OE1:RM2
RESERVADO
Pgina 91 de 140
RESERVADO
tambm
afetado
pelo
estado
atual
dos
controles
SLTI OE1:RM2
RESERVADO
Pgina 92 de 140
RESERVADO
relativa
Integridade;
CD:
Consequncia
relativa
SLTI OE1:RM2
RESERVADO
Pgina 93 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 94 de 140
RESERVADO
Tarefas da atividade:
SLTI OE1:RM2
RESERVADO
Pgina 95 de 140
RESERVADO
SLTI OE1:RM2
RESERVADO
Pgina 96 de 140
RESERVADO
Ameaas
Consequncias
Tipo de
Ameaa (tipo
de ameaa
selecionado
da lista)
Descrio da
ameaa
(descrio
informao
editada)
Confidencialida
de
Integridade
A01
Descrio
A01
Tipo Ameaa
1
Descrio
Ameaa 1
Valor
C1
Valor
I1
Tipo Ameaa
2
Descrio
Ameaa 2
Valor
C2
Valor
I2
...
...
...
...
...
...
...
...
...
...
Total (mdia)
Descrio
do Ativo
Disponibilidade
Cdi
go.
Tipo de
Consequncia
(tipo de
consequncia
selecionado da
lista)
Descrio da
Consequncia
(descrio
informao
editada)
Valor
D1
Mdia
(C,I,D)
1
Tipo
Consequncia
1
Descrio
Consequncia 1
Valor
D2
Mdia
(C,I,D)
2
Tipo
Consequncia
2
Descrio
Consequncia 2
...
...
...
...
...
...
...
...
SLTI OE1:RM2
RESERVADO
Pgina 97 de 140
RESERVADO
Mapa de Riscos
Ativos
Ameaas
Consequncias
Tipo de
Ameaa (tipo
de ameaa
selecionado
da lista)
Descrio da
ameaa
(descrio
informao
editada)
Integridade
Disponibilidade
A01
Processo
avaliao
RDA
Comprometi
mento da
informao
Extravio do
documento
sigiloso RDAYZ.doc
10
7.66
(8)
Aes no
autorizadas
Acesso de
no
autorizados
no ambiente
fsico RdaR
Falhas
tcnicas
Sistema de
apoio RDAAB pouco
confivel
Total (mdia)
Descrio
do Ativo
Confidencialida
de
Cdi
go.
Tipo de
Consequncia
(tipo de
consequncia
selecionado da
lista)
Descrio da
Consequncia
(descrio
informao
editada)
Violao de
informaes
confidenciais.
Problemas
jurdicos.
Informaes
sigilosas de
clientes
divulgadas.
Risco de
processos.
Atrasos.
Danos
materiais.
Prejuzo no
desempenho
Interrupo do
processo RDAAB.
Atrasos.
propositalmente),
ou
ocorra
(para
aes
causadas
acidentalmente);
SLTI OE1:RM2
RESERVADO
Pgina 98 de 140
RESERVADO
Para
aes
causadas
propositalmente:
as
fontes
de
ameaa;
RESERVADO
Pgina 99 de 140
RESERVADO
uma das opes: Muito Baixa (MB); Baixa (B); Moderada (M); Alta (A); Muito
Alta (MA).
Abaixo um exemplo de diretriz para classificao, configurvel no subprocesso
Estabelecer Contexto.
Probabilidade Baixa (B). Improvvel, ocorre menos que uma vez a cada
ano e mais do que uma vez a cada 10 anos;
Probabilidade Muito Alta (MA). Quase certo, Ocorre mais do que 100 vezes
ao ano.
SLTI OE1:RM2
RESERVADO
RESERVADO
Tarefas da atividade:
tratado
na
descrio
da
atividade,
devem
ser
avaliadas
as
SLTI OE1:RM2
RESERVADO
RESERVADO
provoquem danos em ativos). Para cada risco deve ser identificada a classe de
probabilidade Muito Baixa (MB); Baixa (B); Moderada (M); Alta (A); Muito Alta
(MA). Deve-se tambm fornecer justificativas de classificao.
Responsvel: Responsveis pelas unidades da organizao, proprietrios de
ativos. Apoio do Gestor de Riscos.
RESERVADO
RESERVADO
A01
Tipo Ameaa
1
Descrio
Ameaa 1
Tipo Ameaa
2
Descrio
Ameaa 2
...
...
...
...
...
Descrio
A01
...
Tipo de
Consequncia
(tipo de
consequncia
selecionado da
lista)
Tipo
Consequncia
1
Tipo
Consequncia
2
...
...
Consequncias
Descrio da
Consequncia
(descrio
informao
editada)
Probabilidades
Probabilidade
de ocorrncia
(Prob)
Ameaas
Tipo de
Descrio da
Ameaa (tipo
ameaa
de ameaa
(descrio
selecionado
informao
da lista)
editada)
Total
Consequncia
(Cnq)
Ativos
Cdi
Descrio
go.
do Ativo
Descrio
Consequncia
1
Descrio
Consequncia
2
Cnq 1
Prob 1
Cnq 2
Prob 2
...
...
...
...
...
...
Processo
avaliao
RDA
Ameaas
Tipo de
Descrio da
Ameaa (tipo
ameaa
de ameaa
(descrio
selecionado
informao
da lista)
editada)
Comprometi
mento da
informao
Extravio do
documento
sigiloso RDAYZ.doc
Aes no
autorizadas
Acesso de
no
autorizados
no ambiente
fsico RdaR
Sistema de
apoio RDAAB pouco
confivel
Falhas
tcnicas
...
...
...
...
Tipo de
Consequncia
(tipo de
consequncia
selecionado da
lista)
Violao de
informaes
confidenciais.
Problemas
jurdicos.
Danos
materiais.
Prejuzo no
desempenho
...
Consequncias
Descrio da
Consequncia
(descrio
informao
editada)
Probabilidades
Probabilidade
de ocorrncia
(Prob)
A01
Ativos
Descrio
do Ativo
Total
Consequncia
(Cnq)
Cdi
go.
Informaes
sigilosas de
clientes
divulgadas.
Risco de
processos.
Atrasos.
Danos aos 2
PCs do
ambiente.
Interrupo do
processo RDAAB.
Atrasos.
...
...
...
SLTI OE1:RM2
RESERVADO
RESERVADO
das
estimativas
feitas
anteriormente
para
consequncias
probabilidades.
Para uma dada ameaa a um ativo o nvel de risco calculado pela aplicao
da Tabela 4. Como j explicado anteriormente (subprocesso Estabelecer
Contexto), a linha superior mostra a classificao de probabilidade e a coluna
esquerda mostra a classificao de consequncias (pesos entre parnteses).
Os valores interiores representam os nveis de risco estimados em cada
situao.
Consequncia
Probabilidade
Muito baixa
Baixa
Moderada
Alta
Muito alta
Muito baixa
Baixa
Moderada
Alta
Muito alta
SLTI OE1:RM2
RESERVADO
RESERVADO
Tarefas da atividade:
SLTI OE1:RM2
RESERVADO
RESERVADO
SLTI OE1:RM2
RESERVADO
RESERVADO
Riscos
Probabilidade
de ocorrncia
(Prob)
Risco -Rsc
(Cnq X Prob)
Ameaas
Total
Consequncia
(Cnq)
Ativos
Consequncias
Cnq 1
Prob 1
Rsc 1
Cdi
go.
Descrio
do Ativo
Tipo de
Ameaa
(tipo de
ameaa
selecionad
o da lista)
Descrio
da ameaa
(descrio
informao
editada)
Tipo de
Consequncia
(tipo de
consequncia
selecionado da
lista)
Descrio da
Consequncia
(descrio
informao
editada)
A01
Descrio
A01
Tipo
Ameaa 1
Descrio
Ameaa 1
Tipo
Consequncia
1
Descrio
Consequncia
1
Tipo
Ameaa 2
Descrio
Ameaa 2
Tipo
Consequncia
2
Descrio
Consequncia
2
Cnq 2
Prob 2
Rsc 2
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
Riscos
Risco -Rsc
(Cnq X Prob)
Consequncias
Descrio da
Consequncia
(descrio
informao
editada)
Probabilidade
de ocorrncia
(Prob)
Ameaas
Total
Consequncia
(Cnq)
Ativos
64
Cdi
go.
Descrio
do Ativo
Tipo de
Ameaa
(tipo de
ameaa
selecionad
o da lista)
Descrio
da ameaa
(descrio
informao
editada)
Tipo de
Consequncia
(tipo de
consequncia
selecionado da
lista)
A01
Processo
avaliao
RDA
Compromet
imento da
informao
Extravio do
documento
sigiloso
RDAYZ.doc
Violao de
informaes
confidenciais.
Problemas
jurdicos.
Informaes
sigilosas de
clientes
divulgadas.
Risco de
processos.
Atrasos.
Aes no
autorizadas
Acesso de
no
autorizados
no
ambiente
fsico RdaR
Danos
materiais.
Danos aos 2
PCs do
ambiente.
10
Falhas
tcnicas
Sistema de
apoio RDAAB pouco
confivel
Prejuzo no
desempenho
Interrupo do
processo RDAAB.
Atrasos.
40
SLTI OE1:RM2
RESERVADO
RESERVADO
SLTI OE1:RM2
RESERVADO
RESERVADO
Consequncia
Probabilidade
Muito baixa
Muito baixa
(MB)
Baixa
(MB)
Moderada
Alta
Muito alta
(B)
4 (B)
5
(M)
Baixa
2
Moderada
(MB)
3 (B)
4
(B)
(A)
Muito alta
(B)
(B)
(M)
(B)
(M)
(A)
6 (A)
(A)
5 (M)
5 (M)
Alta
(A)
7 (A)
(A)
(MA)
(MA)
(MA)
7
8
SLTI OE1:RM2
RESERVADO
RESERVADO
SLTI OE1:RM2
RESERVADO
RESERVADO
Tarefas da atividade:
SLTI OE1:RM2
RESERVADO
RESERVADO
Consequncias
probabilidades
identificadas,
descritas
estimadas.
Informaes necessrias: Mapa de Riscos atualizado onde cada item do
mapa define: ativo, ameaa ao ativo, estimativa de consequncia, justificativa
para a estimativa de consequncia, estimativa de probabilidade, e nvel de
risco.
Condio para ser finalizada: Riscos classificados e ordenados por nvel de
risco.
Informaes produzidas: estimativas do nvel de cada risco associados aos
itens do Mapa de Riscos. Cada item do mapa define: ativo, ameaa ao ativo,
estimativa de consequncia, justificativa para a estimativa de consequncia,
estimativa de probabilidade, nvel de risco, e classe de nvel de risco (MB:
Muito Baixo; B: Baixo; M: Moderado; A: Alto; MA: Muito Alto).
Template e exemplo da atividade:
A Figura 45 mostra o Mapa de Riscos com as informaes relativas aos ativos,
s respectivas ameaas, e as descries de consequncias. Para cada risco
(ativo e ameaa) e mostrado o nvel de risco estimado e a respectiva
classificao de riscos (Muito Baixo, Baixo, Moderado, Alto, ou Muito Alto). O
Mapa de Riscos ordenado do risco maior para o menor.
SLTI OE1:RM2
RESERVADO
RESERVADO
Ameaas
Consequncias
Riscos Ordenados e
Classificados
Cdi
go.
Descrio
do Ativo
Tipo de
Ameaa
(tipo de
ameaa
selecionad
o da lista)
Descrio
da ameaa
(descrio
informao
editada)
Tipo de
Consequncia (tipo de
consequncia
selecionado da lista)
Risco -Rsc
(Cnq X Prob)
Classe dos
riscos - CLRsc
(MB, B, M, A,
MA)
A01
Descrio
A01
Tipo
Ameaa 1
Descrio
Ameaa 1
Tipo
Consequncia 1
Descrio
Consequncia 1
Rsc 1
CL Rsc 1
Tipo
Ameaa 2
Descrio
Ameaa 2
Tipo
Consequncia 2
Descrio
Consequncia 2
Rsc 2
CL Rsc 2
...
...
...
...
...
...
...
...
...
...
...
...
Descrio da
Consequncia
(descrio
informao
editada)
...
...
Ameaas
Consequncias
Riscos Ordenados e
Classificados
Cdi
go.
Descrio
do Ativo
Tipo de
Ameaa
(tipo de
ameaa
selecionad
o da lista)
Descrio
da ameaa
(descrio
informao
editada)
Tipo de
Consequncia (tipo de
consequncia
selecionado da lista)
Risco -Rsc
(Cnq X Prob)
Classe dos
riscos - CLRsc
(MB, B, M, A,
MA)
Descrio da
Consequncia
(descrio
informao
editada)
Cdi
go.
A01
Processo
avaliao
RDA
Compromet
imento da
informao
Extravio do
documento
sigiloso
RDAYZ.doc
Violao de
informaes
confidenciais.
Problemas jurdicos.
Informaes sigilosas
de clientes
divulgadas.
Risco de processos.
Atrasos.
64
Alto
Falhas
tcnicas
Sistema de
apoio RDAAB pouco
confivel
Prejuzo no
desempenho
Interrupo do
processo RDA-AB.
Atrasos.
40
Moderado
Aes no
autorizadas
Acesso de
no
autorizados
no
ambiente
fsico RdaR
Danos materiais.
10
Baixo
SLTI OE1:RM2
RESERVADO
RESERVADO
Dissuaso;
Deteco;
Recuperao;
Monitoramento;
ou
Conscientizao.
Quando uma reduo significativa de riscos pode ser obtida com custos
relativamente baixos, esta opo deve ser implementada;
SLTI OE1:RM2
RESERVADO
RESERVADO
SLTI OE1:RM2
RESERVADO
RESERVADO
a) No implementado;
b) Parcialmente implementado;
d) No se aplica, ou desnecessrio.
Deve ser feita uma estimativa do custo, esforo e de prazo para implementar
os controles identificado nas situaes a (No implementado) e b (Parcialmente
implementado). Esses controles, se implementados e/ou complementados,
podem reduzir a exposio do ativo ao risco.
Importante notar que a anlise descrita acima (identificar controles ainda no
implementados,
ou
parcialmente
implementados)
abrange
diferentes
SLTI OE1:RM2
RESERVADO
RESERVADO
que possa ser utilizada para um risco especfico, seja ele para reduzir o risco,
ou para transferir o risco.
O resultado desta atividade a associao de uma Estimativa de Custo,
Estimativa de Esforo, Estimativa de Prazo e de Restries para cada risco
presente no Mapa de Riscos e para cada alternativa de controle.
Deste modo a sada desta atividade o Mapa de Riscos, onde cada linha
apresenta as informaes: ativo; ameaa ao ativo; estimativa de consequncia;
justificativa para a estimativa de consequncia; estimativa de probabilidade;
nvel de risco; e para cada alternativa de controle: estimativa de custo para
tratamento; estimativa de esforo; estimativa de prazo para tratamento;
restries.
Caso sejam estimados recursos para as alternativas: Transferir o Risco, ou
Evitar o Risco, esta informao tambm e fornecida como sada desta
atividade.
SLTI OE1:RM2
RESERVADO
RESERVADO
SLTI OE1:RM2
RESERVADO
RESERVADO
Tarefas da atividade:
SLTI OE1:RM2
RESERVADO
RESERVADO
RESERVADO
RESERVADO
Ameaas
Riscos
Ordenados e
Classificados
Prazo (Prz)
Restries (Rst)
Descrio
Controle 1
Situao /
Justificativa
Controle 1
Prz 1
Rst 1
Descrio
Controle 2
Situao /
Justificativa
Controle 2
Esf 2
Prz 2
Rst 2
...
...
...
...
...
Descrio
Controle 1
Situao /
Justificativa
Controle 1
Esf 1
Prz 1
Rst 1
Descrio
Controle 2
Situao /
Justificativa
Controle 2
Esf 2
Prz 2
Rst 2
CL Rsc
1
Esf 1
Rsc 1
Descrio
Ameaa 1
Cst 2
Tipo
Ameaa 1
Cst 1
Descrio
A01
Situao /
Justificativa
(Situao:
seleo,
Justificativa:
informao
editada)
Cst 2
A01
Descrio do
controle (lista
de controles)
Cst 1
Descrio
da ameaa
(descrio
informao
editada)
...
...
...
...
...
Tipo
Ameaa 2
...
...
...
...
Descrio
Ameaa 2
...
...
Rsc 2
...
...
CL Rsc
2
...
...
Estimativas /
Restries
Custo (Cst)
Tipo de
Ameaa
(tipo de
ameaa
selecionad
o da lista)
Descrio
do Ativo
Risco -Rsc
(Cnq X Prob)
Cdi
go.
Controles
...
...
...
...
...
...
...
...
SLTI OE1:RM2
RESERVADO
RESERVADO
Mapa de Riscos
Ativos
Ameaas
Parcialmente
Implementado
cmera VGA,
pouco ntida
img.
Realizar teste
de software
Parcialmente
Implementado
teste no
sistemtico.
Realizar teste
de segurana
Totalmente
Implementado
Poltica e
procedimento
s de controle
acesso
Parcialmente
Implementado
procedimentos
informais
45 Dias
Fechadura
mecnica
Totalmente
Implementado
Cmara
monitorament
o.
Totalmente
Implementado
Restries (Rst)
Cmara
monitorament
o.
120 Dias
Totalmente
Implementado
Prazo (Prz)
20 Dias
150 Dias
Equipe
interna
Baixo
Fechadura
mecnica
Mdio
10
Mdio
No
Implementado
Alto
Acesso de
no
autorizados
no
ambiente
fsico RdaR
40
Conscientiza
o mesa
limpa
Baixo
Aes no
autorizadas
Sistema de
apoio RDAAB pouco
confivel
Alto
1.000 R$
Falhas
tcnicas
64
Mdio
Extravio do
documento
sigiloso
RDAYZ.doc
Compromet
imento da
informao
Situao /
Justificativa
(Situao:
seleo,
Justificativa:
informao
editada)
3.000 R$
Processo
avaliao
RDA
Descrio do
controle (lista
de controles)
15.000 R$
Cdi
go.
A01
Estimativas /
Restries
10.000 R$
Descrio
da ameaa
(descrio
informao
editada)
Controles
Custo (Cst)
Tipo de
Ameaa
(tipo de
ameaa
selecionad
o da lista)
Descrio
do Ativo
Risco -Rsc
(Cnq X Prob)
Cdi
go.
Riscos
Ordenados e
Classificados
SLTI OE1:RM2
RESERVADO
RESERVADO
Tarefas da atividade:
SLTI OE1:RM2
RESERVADO
RESERVADO
SLTI OE1:RM2
RESERVADO
RESERVADO
SLTI OE1:RM2
RESERVADO
RESERVADO
Ameaas
A01
Descrio
A01
Tipo
Ameaa 1
Descrio
Ameaa 1
...
Tipo
Ameaa 2
Descrio
Ameaa 2
Rsc 2
CL Rsc
2
Descrio
Controle 1
Descrio
Controle 2
...
...
Plano de
Tratamento de
Risco (PTR)
Descrio
da ameaa
(descrio
informao
editada)
Tratamento de
Riscos
Opo de
tratamento Op
(ordem 1, 2, 3, ...)
Tipo de
Ameaa
(tipo de
ameaa
selecionad
o da lista)
Descrio
do Ativo
Risco -Rsc
(Cnq X Prob)
Cdi
go.
Mapa de Riscos
Riscos
Controles
Ordenados e
Classificados
Descrio do
Situao /
controle (lista
Justificativa
de controles)
(Situao:
seleo,
Justificativa:
informao
editada)
Rsc 1
CL Rsc Descrio
Situao /
1
Controle 1
Justificativa
Controle 1
Descrio
Situao /
Controle 2
Justificativa
Controle 2
Op 1
PTR 1
Op 2
PTR 2
...
...
...
Situao /
Justificativa
Controle 1
Situao /
Justificativa
Controle 2
Op 1
PTR 3
Op 2
PTR 4
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
SLTI OE1:RM2
RESERVADO
RESERVADO
Mapa de Riscos
Ativos
Ameaas
A01
Processo
avaliao
RDA
Compromet
imento da
informao
Extravio do
documento
sigiloso
RDAYZ.doc
Falhas
tcnicas
Aes no
autorizadas
Sistema de
apoio RDAAB pouco
confivel
Acesso de
no
autorizados
no
ambiente
fsico RdaR
64
Alto
40
10
Mdio
Baixo
Tratamento de
Riscos
Descrio do
controle (lista
de controles)
Situao /
Justificativa
(Situao:
seleo,
Justificativa:
informao
editada)
Plano de
Tratamento de
Risco (PTR)
Descrio
da ameaa
(descrio
informao
editada)
Controles
Opo de
tratamento Op
(ordem 1, 2, 3, ...)
Tipo de
Ameaa
(tipo de
ameaa
selecionad
o da lista)
Descrio
do Ativo
Risco -Rsc
(Cnq X Prob)
Cdi
go.
Riscos
Ordenados e
Classificados
Conscientiza
o mesa
limpa
No
Implementado
1 - Obs:
mais
eficaz
PTRRDA-1
Fechadura
mecnica
Totalmente
Implementado
Cmara
monitorament
o.
Parcialmente
Implementado
cmera VGA,
pouco ntida
img.
2 Obs:
pouco
efetiva
Realizar teste
de software
Parcialmente
Implementado
teste no
sistemtico.
PTRRDA-1
Realizar teste
de segurana
Totalmente
Implementado
Poltica e
procedimento
s de controle
acesso
Parcialmente
Implementado
procedimentos
informais
PTRRDA-1
Fechadura
mecnica
Totalmente
Implementado
Cmara
monitorament
o.
Totalmente
Implementado
SLTI OE1:RM2
RESERVADO
RESERVADO
segurana
serem
implementadas
em
uma
unidade
especfica
da
organizao.
Para cada PTR deve ser definido: escopo; unidade da organizao; controles a
serem implementados; descrio de aes necessrias; responsvel pela
execuo; data de incio; e data prevista para trmino.
O Gestor de Riscos deve alocar a execuo dos PTRs aos responsveis e
acompanhar a execuo (parte do subprocesso Monitorar Riscos). A Figura 54
mostra o fluxo da atividade.
SLTI OE1:RM2
RESERVADO
RESERVADO
Tarefas da atividade:
SLTI OE1:RM2
RESERVADO
RESERVADO
SLTI OE1:RM2
RESERVADO
RESERVADO
SLTI OE1:RM2
RESERVADO
RESERVADO
Identificador:
Responsveis
Responsvel pela definio do PTR
Nome:
Telefone:
e-mail:
Ativo
Ameaa
Datas
Data Prevista para a Finalizao:
Data de Incio:
Aes para o
tratamento
Data de Finalizao:
Ativo
Processo
avaliao
RDA
Processo
avaliao
RDA
Processo
avaliao
RDA
Ameaa
Extravio do
documento
sigiloso RDAYZ.doc
Responsveis
Responsvel pela definio do PTR
Nome:
Telefone:
e-mail:
Marcos
6123
marcos@apf.gov
Sistema de
apoio RDA-AB
pouco confivel
Realizar teste
sistemtico de
software
Acesso de no
autorizados no
ambiente fsico
RdaR
Implementar Poltica e
procedimentos de
controle acesso
15.000
R$
Alto
150
Dias
Equipe
interna
3.000
R$
Mdio
45
Dias
Aes para o
tratamento
Definir
procedimento
Treinamento
Monitoramento
Treinamento
Alocar recursos
Planejar teste
Executar teste
Definir
procedimento
Treinamento
Monitoramento
Datas
SLTI OE1:RM2
RESERVADO
RESERVADO
SLTI OE1:RM2
RESERVADO
RESERVADO
SLTI OE1:RM2
RESERVADO
RESERVADO
SLTI OE1:RM2
RESERVADO
RESERVADO
no
subprocesso
anterior,
este
subprocesso
se
desenvolve
SLTI OE1:RM2
RESERVADO
RESERVADO
SLTI OE1:RM2
RESERVADO
RESERVADO
9 Consideraes Finais
Este documento apresentou a proposta de metodologia denominada
Metodologia de Gesto de Riscos de Segurana da Informao do SISP, ou
MGR-SISP. Esta metodologia visa a sistematizar e padronizar a gesto de
riscos na Administrao Pblica Federal APF. Almeja-se contribuir para a
implantao de boas prticas de Segurana da Informao e para a
racionalizao de investimentos nesta rea.
A MGR-SISP composta pelos subprocessos: Estabelecer Contexto;
Identificar Riscos; Estimar Riscos; Avaliar Riscos; Tratar Riscos; Comunicar
Riscos e; Monitorar Riscos. Cada subprocesso formado por atividades e
tarefas que visam atingir objetivos parciais especficos no processo de gesto
de riscos. A metodologia incorpora prticas eficazes e bem sucedidas,
apresentando caractersticas de modelos como ISO/IEC 27005, ISO/IEC
27002, ISO 31000, IT-Grundschutz Methodology - BSI Standard 100-2, NIST
800-39, e NIST 800-30.
A
MGR-SISP
compatvel
com
Norma
Complementar
de
segurana,
conceitos
prticas,
tratados
em
Normas
SLTI OE1:RM2
RESERVADO
RESERVADO
10 Referncias
ABNT ISO GUIA 73: 2009, Gesto de riscos Vocabulrio.
(Canongia e outros, 2010): Claudia Canogia, Admilson Gonalves Jnior,
Raphael Mandarino Junior (organizadoress) "Guia de referncia para a
Segurana das Infraestruturas Crticas da Informao. Verso 01 Nov./2010."
Presidncia
da
Repblica.
Disponvel
em:
http://dsic.planalto.gov.br.
Information
Security
Risk.
Disponvel
em:
<http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf>.
Consultado em Maio, 2015.
(NIST 800-30, 2011). National Institute of Standards and Technology NIST
(EUA). NIST 800-30 Guide for Conducting Risk Assessment, Setembro,
2011. Disponvel em: <http://csrc.nist.gov/publications/nistpubs/800-39/SP80030-final.pdf>. Consultado em Maio, 2015.
SLTI OE1:RM2
RESERVADO
RESERVADO
(Yoo e outros, 2007) Dong-Young Yoo, Jong-Whoi Shin, Gang Shin Lee, and
Jae-I Lee. Improve of Evaluation Method for Information Security Levels of
CIIP (Critical Information Infrastructure Protection), International Scholarly and
Scientific Research & Innovation 1(12), 2007, World Academy of Science,
Engineering and Technology.
SLTI OE1:RM2
RESERVADO