modelo_2014_1

download modelo_2014_1

of 15

description

Ex

Transcript of modelo_2014_1

  • 1

    Escopo do SGSI

    Definir um escopo, fictcio ou no, para atuar como modelo de

    trabalho.

    Processo: Atendimento ao Cliente de uma empresa de telefonia

    Servio: emisso de 2 via de conta

    Atividades para emisso de 2.via de conta:

    Inicialmente o atendente loga no sistema e sempre que for se

    ausentar bloqueia o sistema;

    O cliente dirige-se ao quiosque de atendimento;

    Atendente solicita o nmero do telefone para emisso da 2. Via

    de uma conta telefnica;

    Atendente emite a 2.via de conta;

    Atendente entrega ao cliente a 2.via de conta emitida.

    Escopo:

    Fornecimento de 2. Via de conta telefnica em atendimento pessoal

    pela empresa de telefonia X no posto de atendimento Y utilizado a base

    atualizada de clientes e contas a receber.

    Poltica de Segurana:

    1. A Segurana da Informao deve garantir a Confidencialidade,

    Integridade e Disponibilidade das informaes relacionadas ao

    fornecimento de 2.via de conta telefnica.

    2. Para cumprir com as obrigaes com as regulamentaes legais e

    contratuais relativas a emisso da 2 via de conta telefnica.

  • 2

    3. Realizando as aes necessrias afim de garantir a minimizao

    dos riscos identificados a nveis aceitveis pela alta

    administrao.

    4. Seguindo as normas internas relativas ao processo de emisso de

    2 via.

    5. Fornecendo as informaes claras e precisas e mantendo a

    confidencialidade das informaes.

  • 3

    Sistemas de Informao (Fluxo de Informao)

    Mapear os principais fluxos de informao conforme o escopo

    anteriormente definido.

    Ponto Inicial:

    O cliente solicita a emisso da 2 via da conta para um determinado

    nmero de telefone.

    Ponto Final:

    Entrega ao Cliente da 2 via emitida;

    Destruio do documento com problemas;

    Encaminhamento a outro departamento caso o telefone no seja

    localizado no sistema.

  • 4

    Ativos de Informao

    Determinar os ativos de informao no fluxo mapeado

    anteriormente e sua importncia para o escopo (empresa).

    Principais Componentes:

    Cliente, Atendente, estao de trabalho, impressora, fragmentadora,

    switch, Servidor de banco de dados, banco de dados (tabelas),

    aplicativo gerenciador, SGBD, SO.

    Principais segmentos de rede e de transmisso de informaes:

    Segmento 1:

    Ativos: cliente, atendente, documento conta em papel.

    Informaes: nmero do telefone, dados cadastrais

    Fluxo: transmisso via voz

    Segmento 2:

    Ativos: atendente, terminal.

    Terminal: sistema operacional, aplicativos.

    Hardware sem perifricos de armazenamento, floppy e USB.

    Informaes: nmero do telefone, dados de cliente, logon (matricula,

    senha)

    Fluxo: digitao via teclado

    Segmento 3:

    Ativos: terminal, switch, cabo de rede.

    Informaes: dados cadastrais, logon (matricula, senha), dados de 2

    via.

    Fluxo: digital

  • 5

    Segmento 4:

    Ativos: switch, servidor, cabo de rede.

    Informaes: dados cadastrais, logon (matricula, senha), dados da

    conta do cliente.

    Fluxo: digital

    Segmento 5:

    Ativos: terminal, conta em papel, impressora, cabo de rede.

    Informaes: dados cadastrais, dados de 2 via.

    Fluxo: digital

    Segmento 6:

    Ativos: atendente, fragmentadora, conta em papel.

    Informaes: conta.

    Fluxo: manual

  • 6

    Ativos/Informaes

    Importncia do Ativo para o escopo:

    (1-Baixa, 2-Media, 3-Alta)

    Ativo/Informao C I D L Cliente 1 1 1 1 Atendente 2 2 3 1 Conta em papel 3 3 3 3 Nmero do telefone 1 2 3 1 Dados cadastrais 3 3 3 1 Estao de trabalho 2 3 3 1 Switch 2 3 3 1 Dados de logon 3 3 3 2 Cabo de rede (segmento 3) 2 3 3 1 Dados 2 via de conta 3 3 3 2 Servidor 3 3 3 3 Cabo de rede (segmento 4) 2 3 3 1 Cabo impressora paralela 1 1 3 1 Fragmentadora 1 1 1 1 Conta em papel invlida 3 1 1 2 Impressora 1 1 3 1 (*) incluir softwares

    Ameaas e Vulnerabilidades

    Identificar possveis eventos considerando a Poltica de

    Segurana definida

    Estao de trabalho:

  • 7

    Acesso indevido por pessoa no autorizada devido a mquina

    estar em local pblico;

    Acesso no autorizado em virtude da falta de atualizao dos

    baselines de segurana;

    Fornecimento de informaes incorretas devido a falta de

    verificadores de integridade no sistema aplicativo;

    Contaminao por vrus em virtude da ligao na rede da

    empresa;

    Indisponibilidade da estao de trabalho por falha de hardware;

    Documento conta em papel:

    Fornecimento de documentos para pessoas indevidas pela

    atendente;

    Encaminhamento para impressora indevida em virtude da estao

    de trabalho estar ligada a rede da empresa;

    Fornecimento de informaes incorretas ou indevidas em virtude

    de problemas no sistema aplicativo.

  • 8

    Conseqncia (Impacto)

    Identificar as conseqncias dos eventos identificados,

    considerando o impacto para a confidencialidade, integridade,

    disponibilidade e aspectos legais;

    Conseqncias para o Ativo:

    Evento C I D L Acesso indevido por pessoas no autorizadas em

    virtude da estao de trabalho estar instalada em

    local pblico.

    3 2 2 1

    Acesso no autorizado em virtude da falta de

    atualizao dos baselines de segurana.

    3 3 3 3

    Fornecimento do documento 2 via para pessoas

    indevidas pela atendente.

    3 1 1 3

  • 9

    Probabilidade

    Determinar mtricas para definio de probabilidade

    Determinar a probabilidade de ocorrncia dos eventos

    identificados

    Mtrica:

    (1-Baixa, 2-Media, 3-Alta)

    Probabilidade:

    Evento Probabilidade Acesso indevido por pessoas no autorizadas

    em virtude da estao de trabalho estar

    instalada em local pblico.

    1

    Fornecimento do documento de 2 via para

    pessoas indevidas pela atendente.

    1

    Acesso no autorizado em virtude da falta de

    atualizao dos baselines de segurana.

    2

  • 10

    Consolidando os Resultados

    Definir a melhor forma de obter o escore final do risco.

    Quantificar os riscos mapeados

    Clculo do Risco:

    Risco = Impacto x Probabilidade

    Clculo do Impacto:

    Impacto = Mdia Aritmtica entre a importncia do Ativo para o escopo

    e a conseqncia para o Ativo.

    Quantificao do Risco:

    Baixo (1-3) Aceitar o risco;

    Mdio (4-6) Levar para Comit para discusso de acordo com estudo de

    custo x benefcio;

    Alto (7-9) Aplicar controles.

    Ativo/Evento C I D L Observao Ativo: Estao de Trabalho 2 3 3 1 Importncia para o

    escopo

    Evento: acesso indevido por pessoas

    no autorizadas em virtude da

    estao de trabalho estar instalada

    em local pblico

    3 2 2 1 Conseqncia para

    o ativo

    Impacto para o escopo 2,5 2,5 2,5 1

    Probabilidade 1 Da estao neste

    escopo

    RISCO 2,5 2,5 2,5 1 Baixo. No aplicar

    controles.

  • 11

    Ativo: Documento conta em papel 3 3 3 3 Importncia

    para o escopo

    Evento: Fornecimento de documento

    de 2 via para pessoas indevidas pela

    atendente

    3 1 1 3

    Conseqncia

    para o ativo

    Impacto para o escopo 3 2 2 3

    Probabilidade 1 Da estao

    neste escopo

    RISCO 3 2 2 3

    Baixo.

    No aplicar

    controles.

    Ativo: Estao de Trabalho 2 3 3 1 Importncia

    para o escopo

    Evento: Acesso no autorizado em

    virtude da falta de atualizao dos

    baselines de segurana.

    3 3 3 3

    Conseqncia

    para o ativo

    Impacto para o escopo 2,5 3 3 2

    Probabilidade 2 Da estao

    neste escopo

    RISCO 5 6 6 4

    Mdio.

    Risco deve ser

    tratado

  • 12

    Tratamento dos Riscos

    Determinar um critrio para tratar os riscos identificados.

    Selecionar todos os riscos que devem ser tratados.

    Identificar os controles necessrios e montar um Plano de

    Tratamento de Riscos.

    Os riscos sero tratados minimizando o Impacto. (CS)

    Risco antes Controle Risco depois Responsvel Deadline

    5;6;6;4

    (Alto)

    O Ambiente de

    Infra-estrutura

    dever aplicar

    os baselines

    homologados

    (ltimo patch,

    mximo de 1

    verso

    atrasada) pela

    empresa to

    logo sejam

    disponibilizados

    2,5;3;3;2

    (Baixo)

    Ambiente de

    Infra-

    estrutura de

    Tecnologia

    Mar/2015

  • 13

    para o Sistema

    Operacional e

    Software

    Aplicativo.

  • 14

    Documentando Controles

    Selecionar um ou mais controles do Anexo A da norma NBR

    27001.

    Documentar identificar as mtricas conforme os itens

    apresentados no documento CS.

    Controle de Segurana (CS01):

    Aplicao de baselines de segurana na Estao de Trabalho.

    Objetivos:

    Minimizar a probabilidade de ocorrncia de acesso no autorizado em

    virtude da ausncia de atualizao dos baselines de segurana.

    Descrio:

    O Ambiente de Infra-estrutura dever aplicar os baselines homologados

    (ltimo patch, mximo de 1 verso atrasada) pela empresa to logo

    sejam disponibilizados para o Sistema Operacional e Software

    Aplicativo.

    Mtricas de controle:

    Quantidade de acessos indevidos.

    Nvel de Servio: nenhum a 10 (durante 6 meses).

    Avaliao de resultados (*):

    Log de acesso da estao de trabalho.

    (*) onde encontrar evidncias do cumprimento dos niveis de servio de

    acordo com as mtricas.

    Nvel de Servio: nvel de aceitao conforme as mtricas definidas.

  • 15

    Declarao de Aplicabilidade (SoA)

    Elaborar uma declarao de aplicabilidade

    Controle Aplicao Justificativa Controle

    de

    Segurana

    (*)

    3.1.1 Aplicado Minimizar riscos X, Y e Z CS99

    3.1.2

    ... ... ... ...

    7.2.5 No aplicado A manuteno feita in

    house

    ... ... ... ...

    12.3.2

    20.1.1 Aplicado Minimizar a probabilidade de

    ocorrncias de acessos no

    autorizados estao de

    trabalho em virtude da falta

    de atualizao dos baselines

    de segurana

    CS01

    (*) Indica onde est descrito a aplicao do controle