Escolar Documentos
Profissional Documentos
Cultura Documentos
Anexo I - Controles
29
GUIA DE AVALIAÇÃO DE RISCOS DE SEGURANÇA E PRIVACIDADE
Avaliação de Riscos de Segurança e Privacidade
CHECKLIST – <Setor Responsável pelo levantamento>
Orientações: Anexar evidências dos itens respondidos como SIM (controle aplicado). Definir prazos e
encaminhamentos para a implementação dos itens respondidos como NÃO (controle não aplicado). Justificar os itens
respondidos como N/A (não aplicável).
Plataforma: <Plataforma>
Medida de Resposta
Segurança e
Privacidade Sim Não N/A
ID Dimensão Estrutura Evidências / Prazos / Encaminhamentos Referências
1 Há uma matriz de responsabilidades com Responsabilização Referências: NC nº
atribuição das responsabilidades pela segurança 03/IN01/DSIC/GSIP
da informação na organização, pela proteção de R (item 5.3.7) e
dados (encarregado), identificação dos gestores ABNT NBR ISO/IEC
de serviços com dados pessoais, operadores de 27002:2013 (item
tratamento de dados, de forma a evidenciar a 6.1.1)
segregação de funções e assegurar que
colaboradores e partes externas entendam suas
responsabilidades?
2 Há mecanismos para monitoramento do uso Gestão de Referências: NC nº
dos recursos, de forma a atender as necessidades Capacidade e 10/IN01/DSIC/GSIP
de capacidade futura e garantir o desempenho Redundância R (item 5.3.2) e
requerido das aplicações? ABNT NBR ISO/IEC
27002:2013
(12.1.3)
3 São implementados mecanismos e Continuidade de Referências: NC nº
procedimentos para mitigar ataques de Negócio 08/IN01/DSIC/GSIP
negação de serviço, tais como balanceamento R (Item 7.2) e
de carga, proxy, firewall, etc.? ABNT NBR ISO/IEC
27002:2013
(13.1.2)
30
GUIA DE AVALIAÇÃO DE RISCOS DE SEGURANÇA E PRIVACIDADE
Medida de Resposta
Segurança e
Privacidade Sim Não N/A
ID Dimensão Estrutura Evidências / Prazos / Encaminhamentos Referências
4 Existe um Plano de Continuidade de Negócio, Continuidade de Referências: NC nº
que garanta o nível adequado de continuidade Negócio 06/IN01/DSIC/GSIP
para a segurança da informação durante uma R e ABNT NBR
situação adversa? ISO/IEC
27002:2013 (item
17.1)
5 A Política de Segurança da Informação já foi Compliance com Referências: ABNT
revisada para se adequar a medidas que Privacidade NBR ISO/IEC
objetivem a proteção de dados pessoais? 27701:2019 (item
6.2) (diretrizes
adicionais para a
implementação do
controle 5.1.1,
Políticas para
segurança da
informação, da
ABNT NBR ISO/IEC
27002:2013)
6 Os dados pessoais encontram-se classificados Legitimidade e Referências: ABNT
em sensíveis e não sensíveis, incluindo especificação de NBR ISO/IEC
categorias de informações pessoais de saúde, propósito 27701:2019 (item
6.5.2) (diretrizes
informações pessoais financeiras, entre outras?
adicionais para a
implementação do
controle 8.2.1,
Classificação da
informação, da ABNT
NBR ISO/IEC
27002:2013)
30 As mídias que contêm cópias de segurança são Cópia de Segurança Referências: ABNT
armazenadas em uma localidade remota NBR ISO/IEC
27002:2013 (item
(“offsite”), a uma distância suficiente que garanta
12.3) e ABNT NBR
sua integridade e disponibilidade contra possíveis ISO/IEC 27701:2019
danos advindos de um desastre ocorrido no sítio (item 6.9.3)
primário?
31 O período de retenção das cópias de Cópia de Segurança Referências: ABNT
segurança e os requisitos de releitura são NBR ISO/IEC
predefinidos, levando-se em consideração os 27002:2013 (item
12.3) e ABNT NBR
requisitos de negócio, contratuais,
ISO/IEC 27701:2019
regulamentares ou legais? (item 6.9.3)
Informações adicionais:
38
GUIA DE AVALIAÇÃO DE RISCOS DE SEGURANÇA E PRIVACIDADE
Medida de Resposta
Segurança e
Privacidade Sim Não N/A Evidências / Prazos / Encaminhamentos
ID Dimensão Sistema Referências
37 É realizada periodicamente uma Gestão de Riscos Referências: NC
análise/avaliação de riscos da arquitetura da nº
Solução de TIC, indicando os eventos de risco e 04/IN01/DSIC/GS
seus respectivos níveis de risco ao qual o sistema IPR e ABNT NBR
está exposto, baseada em prévia análise de ISO/IEC
vulnerabilidades dos ativos que compõem a 27005:2019
Solução de TIC?
38 Os recursos de segurança da informação e de Gestão de Riscos Referência: ABNT
tecnologia da informação encontram-se em NBR ISO/IEC
versões seguras, estáveis e atualizadas? 27002:2013 (item
12.6.1)
39 Gestão de Riscos Referência: ABNT
O responsável pelo sistema acompanha junto aos NBR ISO/IEC
fabricantes o período de obsolescência do 27002:2013 (item
produto, para evitar que os componentes tornem- 14.2)
se expostos a vulnerabilidades sem correção?
40 Há redundância dos recursos de Gestão de Capacidade Referência: ABNT
processamento da informação suficiente para e Redundância NBR ISO/IEC
atender aos requisitos de disponibilidade previstos 27002:2013 (item
em contrato? 12.1.3)
41 Foi elaborada uma política de privacidade para Compliance com a Referências: ABNT
o serviço? privacidade NBR ISO/IEC
27701:2019 (item
6.2.1.1) e ISO/IEC
29151:2017 (A2)
46 Existe uma frequência estabelecida para geração Cópia de Segurança Referências: ABNT
dos backups? NBR ISO/IEC
27002:2013 (item
12.3) e ABNT NBR
ISO/IEC
27701:2019 (item
6.9.3)
40
GUIA DE AVALIAÇÃO DE RISCOS DE SEGURANÇA E PRIVACIDADE
Medida de Resposta
Segurança e
Privacidade Sim Não N/A Evidências / Prazos / Encaminhamentos
ID Dimensão Sistema Referências
47 São realizadas cópias de segurança dos logs de Cópia de Segurança Referências: NC
acordo com períodos de retenção, que consideram nº
os requisitos de negócio, contratuais, 21/IN01/DSIC/GS
regulamentares ou legais? IPR e ABNT NBR
ISO/IEC
27002:2013 (item
12.4.2)
60 O log registra data e hora do evento com alguma Registro de Eventos e Referências: NC nº
fonte de tempo sincronizada? Rastreabilidade 21/IN01/DSIC/GSIP
R (6.3) e ABNT NBR
ISO/IEC
27002:2013 (item
12.4.1)
43
GUIA DE AVALIAÇÃO DE RISCOS DE SEGURANÇA E PRIVACIDADE
Medida de Resposta
Segurança e
Privacidade Sim Não N/A Evidências / Prazos / Encaminhamentos
ID Dimensão Sistema Referências
61 Os logs gerados são protegidos, quando da Registro de Eventos e Referências: NC
geração, contra edição e exclusão? Rastreabilidade nº
21/IN01/DSIC/GS
IPR (7.5) e ABNT
NBR ISO/IEC
27002:2013 (item
12.4.2)
74 A aplicação está configurada para que os cookies Segurança Web Referência: OWASP
não possam ser acessíveis via comando JavaScript, - Web Security
evitando assim ataques cross-site scripting (XSS) Testing Guide v4.1
(item Testing for
(flag HTTPOnly)?
Cookies Attributes)
Legenda
Controle Prevenção
24
Risco Mitigação
Controle não ativo para Prevenção e Mitigação
o Risco
ID 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36
1 1 0,5 0,5 1 1 1 1 0,5 0,5 0,5 1 0,5 1 1 1 1 1 1 1 1 1 1 0,5 0,5 0,5 0,5 0,5 1 1 1 1 1
2 1 0,5 1 1 1 1 0,5
3 1 0,5 0,5 1 1 1 1
4 1 1 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5
5 1 0,5 0,5 0,5 0,5 1 1 1 1 0,5 1 1 0,5
9 1 1 0,5 0,5 1 1
10 1 1 0,5 1 1 1 1 0,5 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0,5 1 0,5 1 0,5 1 1 1 1 1
11 1 1 0,5 0,5 0,5 0,5 1 1 0,5 1
24
Ver Tabela 3 para identificar o risco tratado em cada linha.
55
GUIA DE AVALIAÇÃO DE RISCOS DE SEGURANÇA E PRIVACIDADE
Anexo II.B – Dimensão Sistema - Matriz de Pesos e tipos de
controles por risco
ID 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75
1 1 1 1 1 0,5 0,5 1 0,5 0,5 1 1 1 1 1 1 1 1 0,5 0,5 0,5 1 0,5 0,5 0,5 1 0,5 0,5 1 1 0,5 0,5 1 0,5 0,5 1 1 0,5
2 0,5 1 1
3 1 1
5 1 0,5 1
6 0,5 1 0,5
8 1 1 1 1 1 0,5 1 1 1 1 1 1 1 1 1 1 1 1 0,5 0,5 0,5 0,5 0,5 0,5 0,5 1 0,5 0,5 1 1 1 1 1 0,5 1 1 1 0,5
9 1 1 1
11 0,5 1 1
ID 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113
1 1 1 1 1 1 1 0,5 1 1 1 0,5 0,5 0,5 0,5 0,5 0,5 1 0,5
4 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 1 1 1 1