modelo_2014_1
-
Upload
liliane-resende -
Category
Documents
-
view
214 -
download
0
description
Transcript of modelo_2014_1
-
1
Escopo do SGSI
Definir um escopo, fictcio ou no, para atuar como modelo de
trabalho.
Processo: Atendimento ao Cliente de uma empresa de telefonia
Servio: emisso de 2 via de conta
Atividades para emisso de 2.via de conta:
Inicialmente o atendente loga no sistema e sempre que for se
ausentar bloqueia o sistema;
O cliente dirige-se ao quiosque de atendimento;
Atendente solicita o nmero do telefone para emisso da 2. Via
de uma conta telefnica;
Atendente emite a 2.via de conta;
Atendente entrega ao cliente a 2.via de conta emitida.
Escopo:
Fornecimento de 2. Via de conta telefnica em atendimento pessoal
pela empresa de telefonia X no posto de atendimento Y utilizado a base
atualizada de clientes e contas a receber.
Poltica de Segurana:
1. A Segurana da Informao deve garantir a Confidencialidade,
Integridade e Disponibilidade das informaes relacionadas ao
fornecimento de 2.via de conta telefnica.
2. Para cumprir com as obrigaes com as regulamentaes legais e
contratuais relativas a emisso da 2 via de conta telefnica.
-
2
3. Realizando as aes necessrias afim de garantir a minimizao
dos riscos identificados a nveis aceitveis pela alta
administrao.
4. Seguindo as normas internas relativas ao processo de emisso de
2 via.
5. Fornecendo as informaes claras e precisas e mantendo a
confidencialidade das informaes.
-
3
Sistemas de Informao (Fluxo de Informao)
Mapear os principais fluxos de informao conforme o escopo
anteriormente definido.
Ponto Inicial:
O cliente solicita a emisso da 2 via da conta para um determinado
nmero de telefone.
Ponto Final:
Entrega ao Cliente da 2 via emitida;
Destruio do documento com problemas;
Encaminhamento a outro departamento caso o telefone no seja
localizado no sistema.
-
4
Ativos de Informao
Determinar os ativos de informao no fluxo mapeado
anteriormente e sua importncia para o escopo (empresa).
Principais Componentes:
Cliente, Atendente, estao de trabalho, impressora, fragmentadora,
switch, Servidor de banco de dados, banco de dados (tabelas),
aplicativo gerenciador, SGBD, SO.
Principais segmentos de rede e de transmisso de informaes:
Segmento 1:
Ativos: cliente, atendente, documento conta em papel.
Informaes: nmero do telefone, dados cadastrais
Fluxo: transmisso via voz
Segmento 2:
Ativos: atendente, terminal.
Terminal: sistema operacional, aplicativos.
Hardware sem perifricos de armazenamento, floppy e USB.
Informaes: nmero do telefone, dados de cliente, logon (matricula,
senha)
Fluxo: digitao via teclado
Segmento 3:
Ativos: terminal, switch, cabo de rede.
Informaes: dados cadastrais, logon (matricula, senha), dados de 2
via.
Fluxo: digital
-
5
Segmento 4:
Ativos: switch, servidor, cabo de rede.
Informaes: dados cadastrais, logon (matricula, senha), dados da
conta do cliente.
Fluxo: digital
Segmento 5:
Ativos: terminal, conta em papel, impressora, cabo de rede.
Informaes: dados cadastrais, dados de 2 via.
Fluxo: digital
Segmento 6:
Ativos: atendente, fragmentadora, conta em papel.
Informaes: conta.
Fluxo: manual
-
6
Ativos/Informaes
Importncia do Ativo para o escopo:
(1-Baixa, 2-Media, 3-Alta)
Ativo/Informao C I D L Cliente 1 1 1 1 Atendente 2 2 3 1 Conta em papel 3 3 3 3 Nmero do telefone 1 2 3 1 Dados cadastrais 3 3 3 1 Estao de trabalho 2 3 3 1 Switch 2 3 3 1 Dados de logon 3 3 3 2 Cabo de rede (segmento 3) 2 3 3 1 Dados 2 via de conta 3 3 3 2 Servidor 3 3 3 3 Cabo de rede (segmento 4) 2 3 3 1 Cabo impressora paralela 1 1 3 1 Fragmentadora 1 1 1 1 Conta em papel invlida 3 1 1 2 Impressora 1 1 3 1 (*) incluir softwares
Ameaas e Vulnerabilidades
Identificar possveis eventos considerando a Poltica de
Segurana definida
Estao de trabalho:
-
7
Acesso indevido por pessoa no autorizada devido a mquina
estar em local pblico;
Acesso no autorizado em virtude da falta de atualizao dos
baselines de segurana;
Fornecimento de informaes incorretas devido a falta de
verificadores de integridade no sistema aplicativo;
Contaminao por vrus em virtude da ligao na rede da
empresa;
Indisponibilidade da estao de trabalho por falha de hardware;
Documento conta em papel:
Fornecimento de documentos para pessoas indevidas pela
atendente;
Encaminhamento para impressora indevida em virtude da estao
de trabalho estar ligada a rede da empresa;
Fornecimento de informaes incorretas ou indevidas em virtude
de problemas no sistema aplicativo.
-
8
Conseqncia (Impacto)
Identificar as conseqncias dos eventos identificados,
considerando o impacto para a confidencialidade, integridade,
disponibilidade e aspectos legais;
Conseqncias para o Ativo:
Evento C I D L Acesso indevido por pessoas no autorizadas em
virtude da estao de trabalho estar instalada em
local pblico.
3 2 2 1
Acesso no autorizado em virtude da falta de
atualizao dos baselines de segurana.
3 3 3 3
Fornecimento do documento 2 via para pessoas
indevidas pela atendente.
3 1 1 3
-
9
Probabilidade
Determinar mtricas para definio de probabilidade
Determinar a probabilidade de ocorrncia dos eventos
identificados
Mtrica:
(1-Baixa, 2-Media, 3-Alta)
Probabilidade:
Evento Probabilidade Acesso indevido por pessoas no autorizadas
em virtude da estao de trabalho estar
instalada em local pblico.
1
Fornecimento do documento de 2 via para
pessoas indevidas pela atendente.
1
Acesso no autorizado em virtude da falta de
atualizao dos baselines de segurana.
2
-
10
Consolidando os Resultados
Definir a melhor forma de obter o escore final do risco.
Quantificar os riscos mapeados
Clculo do Risco:
Risco = Impacto x Probabilidade
Clculo do Impacto:
Impacto = Mdia Aritmtica entre a importncia do Ativo para o escopo
e a conseqncia para o Ativo.
Quantificao do Risco:
Baixo (1-3) Aceitar o risco;
Mdio (4-6) Levar para Comit para discusso de acordo com estudo de
custo x benefcio;
Alto (7-9) Aplicar controles.
Ativo/Evento C I D L Observao Ativo: Estao de Trabalho 2 3 3 1 Importncia para o
escopo
Evento: acesso indevido por pessoas
no autorizadas em virtude da
estao de trabalho estar instalada
em local pblico
3 2 2 1 Conseqncia para
o ativo
Impacto para o escopo 2,5 2,5 2,5 1
Probabilidade 1 Da estao neste
escopo
RISCO 2,5 2,5 2,5 1 Baixo. No aplicar
controles.
-
11
Ativo: Documento conta em papel 3 3 3 3 Importncia
para o escopo
Evento: Fornecimento de documento
de 2 via para pessoas indevidas pela
atendente
3 1 1 3
Conseqncia
para o ativo
Impacto para o escopo 3 2 2 3
Probabilidade 1 Da estao
neste escopo
RISCO 3 2 2 3
Baixo.
No aplicar
controles.
Ativo: Estao de Trabalho 2 3 3 1 Importncia
para o escopo
Evento: Acesso no autorizado em
virtude da falta de atualizao dos
baselines de segurana.
3 3 3 3
Conseqncia
para o ativo
Impacto para o escopo 2,5 3 3 2
Probabilidade 2 Da estao
neste escopo
RISCO 5 6 6 4
Mdio.
Risco deve ser
tratado
-
12
Tratamento dos Riscos
Determinar um critrio para tratar os riscos identificados.
Selecionar todos os riscos que devem ser tratados.
Identificar os controles necessrios e montar um Plano de
Tratamento de Riscos.
Os riscos sero tratados minimizando o Impacto. (CS)
Risco antes Controle Risco depois Responsvel Deadline
5;6;6;4
(Alto)
O Ambiente de
Infra-estrutura
dever aplicar
os baselines
homologados
(ltimo patch,
mximo de 1
verso
atrasada) pela
empresa to
logo sejam
disponibilizados
2,5;3;3;2
(Baixo)
Ambiente de
Infra-
estrutura de
Tecnologia
Mar/2015
-
13
para o Sistema
Operacional e
Software
Aplicativo.
-
14
Documentando Controles
Selecionar um ou mais controles do Anexo A da norma NBR
27001.
Documentar identificar as mtricas conforme os itens
apresentados no documento CS.
Controle de Segurana (CS01):
Aplicao de baselines de segurana na Estao de Trabalho.
Objetivos:
Minimizar a probabilidade de ocorrncia de acesso no autorizado em
virtude da ausncia de atualizao dos baselines de segurana.
Descrio:
O Ambiente de Infra-estrutura dever aplicar os baselines homologados
(ltimo patch, mximo de 1 verso atrasada) pela empresa to logo
sejam disponibilizados para o Sistema Operacional e Software
Aplicativo.
Mtricas de controle:
Quantidade de acessos indevidos.
Nvel de Servio: nenhum a 10 (durante 6 meses).
Avaliao de resultados (*):
Log de acesso da estao de trabalho.
(*) onde encontrar evidncias do cumprimento dos niveis de servio de
acordo com as mtricas.
Nvel de Servio: nvel de aceitao conforme as mtricas definidas.
-
15
Declarao de Aplicabilidade (SoA)
Elaborar uma declarao de aplicabilidade
Controle Aplicao Justificativa Controle
de
Segurana
(*)
3.1.1 Aplicado Minimizar riscos X, Y e Z CS99
3.1.2
... ... ... ...
7.2.5 No aplicado A manuteno feita in
house
... ... ... ...
12.3.2
20.1.1 Aplicado Minimizar a probabilidade de
ocorrncias de acessos no
autorizados estao de
trabalho em virtude da falta
de atualizao dos baselines
de segurana
CS01
(*) Indica onde est descrito a aplicao do controle