modelo_2014_1

download modelo_2014_1

of 15

description

Ex

Transcript of modelo_2014_1

  • 1

    Escopo do SGSI

    Definir um escopo, fictcio ou no, para atuar como modelo de

    trabalho.

    Processo: Atendimento ao Cliente de uma empresa de telefonia

    Servio: emisso de 2 via de conta

    Atividades para emisso de 2.via de conta:

    Inicialmente o atendente loga no sistema e sempre que for se

    ausentar bloqueia o sistema;

    O cliente dirige-se ao quiosque de atendimento;

    Atendente solicita o nmero do telefone para emisso da 2. Via

    de uma conta telefnica;

    Atendente emite a 2.via de conta;

    Atendente entrega ao cliente a 2.via de conta emitida.

    Escopo:

    Fornecimento de 2. Via de conta telefnica em atendimento pessoal

    pela empresa de telefonia X no posto de atendimento Y utilizado a base

    atualizada de clientes e contas a receber.

    Poltica de Segurana:

    1. A Segurana da Informao deve garantir a Confidencialidade,

    Integridade e Disponibilidade das informaes relacionadas ao

    fornecimento de 2.via de conta telefnica.

    2. Para cumprir com as obrigaes com as regulamentaes legais e

    contratuais relativas a emisso da 2 via de conta telefnica.

  • 2

    3. Realizando as aes necessrias afim de garantir a minimizao

    dos riscos identificados a nveis aceitveis pela alta

    administrao.

    4. Seguindo as normas internas relativas ao processo de emisso de

    2 via.

    5. Fornecendo as informaes claras e precisas e mantendo a

    confidencialidade das informaes.

  • 3

    Sistemas de Informao (Fluxo de Informao)

    Mapear os principais fluxos de informao conforme o escopo

    anteriormente definido.

    Ponto Inicial:

    O cliente solicita a emisso da 2 via da conta para um determinado

    nmero de telefone.

    Ponto Final:

    Entrega ao Cliente da 2 via emitida;

    Destruio do documento com problemas;

    Encaminhamento a outro departamento caso o telefone no seja

    localizado no sistema.

  • 4

    Ativos de Informao

    Determinar os ativos de informao no fluxo mapeado

    anteriormente e sua importncia para o escopo (empresa).

    Principais Componentes:

    Cliente, Atendente, estao de trabalho, impressora, fragmentadora,

    switch, Servidor de banco de dados, banco de dados (tabelas),

    aplicativo gerenciador, SGBD, SO.

    Principais segmentos de rede e de transmisso de informaes:

    Segmento 1:

    Ativos: cliente, atendente, documento conta em papel.

    Informaes: nmero do telefone, dados cadastrais

    Fluxo: transmisso via voz

    Segmento 2:

    Ativos: atendente, terminal.

    Terminal: sistema operacional, aplicativos.

    Hardware sem perifricos de armazenamento, floppy e USB.

    Informaes: nmero do telefone, dados de cliente, logon (matricula,

    senha)

    Fluxo: digitao via teclado

    Segmento 3:

    Ativos: terminal, switch, cabo de rede.

    Informaes: dados cadastrais, logon (matricula, senha), dados de 2

    via.

    Fluxo: digital

  • 5

    Segmento 4:

    Ativos: switch, servidor, cabo de rede.

    Informaes: dados cadastrais, logon (matricula, senha), dados da

    conta do cliente.

    Fluxo: digital

    Segmento 5:

    Ativos: terminal, conta em papel, impressora, cabo de rede.

    Informaes: dados cadastrais, dados de 2 via.

    Fluxo: digital

    Segmento 6:

    Ativos: atendente, fragmentadora, conta em papel.

    Informaes: conta.

    Fluxo: manual

  • 6

    Ativos/Informaes

    Importncia do Ativo para o escopo:

    (1-Baixa, 2-Media, 3-Alta)

    Ativo/Informao C I D L Cliente 1 1 1 1 Atendente 2 2 3 1 Conta em papel 3 3 3 3 Nmero do telefone 1 2 3 1 Dados cadastrais 3 3 3 1 Estao de trabalho 2 3 3 1 Switch 2 3 3 1 Dados de logon 3 3 3 2 Cabo de rede (segmento 3) 2 3 3 1 Dados 2 via de conta 3 3 3 2 Servidor 3 3 3 3 Cabo de rede (segmento 4) 2 3 3 1 Cabo impressora paralela 1 1 3 1 Fragmentadora 1 1 1 1 Conta em papel invlida 3 1 1 2 Impressora 1 1 3 1 (*) incluir softwares

    Ameaas e Vulnerabilidades

    Identificar possveis eventos considerando a Poltica de

    Segurana definida

    Estao de trabalho:

  • 7

    Acesso indevido por pessoa no autorizada devido a mquina

    estar em local pblico;

    Acesso no autorizado em virtude da falta de atualizao dos

    baselines de segurana;

    Fornecimento de informaes incorretas devido a falta de

    verificadores de integridade no sistema aplicativo;

    Contaminao por vrus em virtude da ligao na rede da

    empresa;

    Indisponibilidade da estao de trabalho por falha de hardware;

    Documento conta em papel:

    Fornecimento de documentos para pessoas indevidas pela

    atendente;

    Encaminhamento para impressora indevida em virtude da estao

    de trabalho estar ligada a rede da empresa;

    Fornecimento de informaes incorretas ou indevidas em virtude

    de problemas no sistema aplicativo.

  • 8

    Conseqncia (Impacto)

    Identificar as conseqncias dos eventos identificados,

    considerando o impacto para a confidencialidade, integridade,

    disponibilidade e aspectos legais;

    Conseqncias para o Ativo:

    Evento C I D L Acesso indevido por pessoas no autorizadas em

    virtude da estao de trabalho estar instalada em

    local pblico.

    3 2 2 1

    Acesso no autorizado em virtude da falta de

    atualizao dos baselines de segurana.

    3 3 3 3

    Fornecimento do documento 2 via para pessoas

    indevidas pela atendente.

    3 1 1 3

  • 9

    Probabilidade

    Determinar mtricas para definio de probabilidade

    Determinar a probabilidade de ocorrncia dos eventos

    identificados

    Mtrica:

    (1-Baixa, 2-Media, 3-Alta)

    Probabilidade:

    Evento Probabilidade Acesso indevido por pessoas no autorizadas

    em virtude da estao de trabalho estar

    instalada em local pblico.

    1

    Fornecimento do documento de 2 via para

    pessoas indevidas pela atendente.

    1

    Acesso no autorizado em virtude da falta de

    atualizao dos baselines de segurana.

    2

  • 10

    Consolidando os Resultados

    Definir a melhor forma de obter o escore final do risco.

    Quantificar os riscos mapeados

    Clculo do Risco:

    Risco = Impacto x Probabilidade

    Clculo do Impacto:

    Impacto = Mdia Aritmtica entre a importncia do Ativo para o escopo

    e a conseqncia para o Ativo.

    Quantificao do Risco:

    Baixo (1-3) Aceitar o risco;

    Mdio (4-6) Levar para Comit para discusso de acordo com estudo de

    custo x benefcio;

    Alto (7-9) Aplicar controles.

    Ativo/Evento C I D L Observao Ativo: Estao de Trabalho 2 3 3 1 Importncia para o

    escopo

    Evento: acesso indevido por pessoas

    no autorizadas em virtude da

    estao de trabalho estar instalada

    em local pblico

    3 2 2 1 Conseqncia para

    o ativo

    Impacto para o escopo 2,5 2,5 2,5 1

    Probabilidade 1 Da estao neste

    escopo

    RISCO 2,5 2,5 2,5 1 Baixo. No aplicar

    controles.

  • 11

    Ativo: Documento conta em papel 3 3 3 3 Importncia

    para o escopo

    Evento: Fornecimento de documento

    de 2 via para pessoas indevidas pela

    atendente

    3 1 1 3

    Conseqncia

    para o ativo

    Impacto para o escopo 3 2 2 3

    Probabilidade 1 Da estao

    neste escopo

    RISCO 3 2 2 3

    Baixo.

    No aplicar

    controles.

    Ativo: Estao de Trabalho 2 3 3 1 Importncia

    para o escopo

    Evento: Acesso no autorizado em

    virtude da falta de atualizao dos

    baselines de segurana.

    3 3 3 3

    Conseqncia

    para o ativo

    Impacto para o escopo 2,5 3 3 2

    Probabilidade 2 Da estao

    neste escopo

    RISCO 5 6 6 4

    Mdio.

    Risco deve ser

    tratado

  • 12

    Tratamento dos Riscos

    Determinar um critrio para tratar os riscos identificados.

    Selecionar todos os riscos que devem ser tratados.

    Identificar os controles necessrios e montar um Plano de

    Tratamento de Riscos.

    Os riscos sero tratados minimizando o Impacto. (CS)

    Risco antes Controle Risco depois Responsvel Deadline

    5;6;6;4

    (Alto)

    O Ambiente de

    Infra-estrutura

    dever aplicar

    os baselines

    homologados

    (ltimo patch,

    mximo de 1

    verso

    atrasada) pela

    empresa to

    logo sejam

    disponibilizados

    2,5;3;3;2

    (Baixo)

    Ambiente de

    Infra-

    estrutura de

    Tecnologia

    Mar/2015

  • 13

    para o Sistema

    Operacional e

    Software

    Aplicativo.

  • 14

    Documentando Controles

    Selecionar um ou mais controles do Anexo A da norma NBR

    27001.

    Documentar identificar as mtricas conforme os itens

    apresentados no documento CS.

    Controle de Segurana (CS01):

    Aplicao de baselines de segurana na Estao de Trabalho.

    Objetivos:

    Minimizar a probabilidade de ocorrncia de acesso no autorizado em

    virtude da ausncia de atualizao dos baselines de segurana.

    Descrio:

    O Ambiente de Infra-estrutura dever aplicar os baselines homologados

    (ltimo patch, mximo de 1 verso atrasada) pela empresa to logo

    sejam disponibilizados para o Sistema Operacional e Software

    Aplicativo.

    Mtricas de controle:

    Quantidade de acessos indevidos.

    Nvel de Servio: nenhum a 10 (durante 6 meses).

    Avaliao de resultados (*):

    Log de acesso da estao de trabalho.

    (*) onde encontrar evidncias do cumprimento dos niveis de servio de

    acordo com as mtricas.

    Nvel de Servio: nvel de aceitao conforme as mtricas definidas.

  • 15

    Declarao de Aplicabilidade (SoA)

    Elaborar uma declarao de aplicabilidade

    Controle Aplicao Justificativa Controle

    de

    Segurana

    (*)

    3.1.1 Aplicado Minimizar riscos X, Y e Z CS99

    3.1.2

    ... ... ... ...

    7.2.5 No aplicado A manuteno feita in

    house

    ... ... ... ...

    12.3.2

    20.1.1 Aplicado Minimizar a probabilidade de

    ocorrncias de acessos no

    autorizados estao de

    trabalho em virtude da falta

    de atualizao dos baselines

    de segurana

    CS01

    (*) Indica onde est descrito a aplicao do controle


(2) SE O SOL SE PÔR E A NOITE CHEGAR (SOBRE AS ÁGUAS)

(2) SE O SOL SE PÔR E A NOITE CHEGAR (SOBRE AS ÁGUAS)

Mozart - Piano Sonata Em C K-545

Mozart - Piano Sonata Em C K-545

Apostila Desenho Tecnico de Moda 28

Apostila Desenho Tecnico de Moda 28

Memória de Cálculo - Custos Operacionais

Memória de Cálculo - Custos Operacionais

2011

2011

Distancia de Fortaleza as Municipios do Ceara Das Cidades MaisCeará

Distancia de Fortaleza as Municipios do Ceara Das Cidades MaisCeará

INTERVENÇÃO 1º E 2º ANO

INTERVENÇÃO 1º E 2º ANO

VALTER FICHA REGISTO SOMATOTIPO

VALTER FICHA REGISTO SOMATOTIPO

RADIOS CIDADES HABITANTES - REDE SUPERMUSIC 2007(1)

RADIOS CIDADES HABITANTES - REDE SUPERMUSIC 2007(1)

COSTELA DE PREGUIÇOSO

COSTELA DE PREGUIÇOSO

Aridos Para Concreto

Aridos Para Concreto

readme_br

readme_br

Comunicação Gerencial

Comunicação Gerencial

Fraquezas humanas

Fraquezas humanas

Haiti Lyrics in English and Portuguese (1)

Haiti Lyrics in English and Portuguese (1)

Ecografia Planos de Corte Ginecologico

Ecografia Planos de Corte Ginecologico

Contabilizar Controle de Caixa 6.0

Contabilizar Controle de Caixa 6.0

Ai Se Eu Te Pego Flauta

Ai Se Eu Te Pego Flauta

FO 04001 - EPS - Especificação do processo de solda

FO 04001 - EPS - Especificação do processo de solda

Planilha de Solicitação modelo

Planilha de Solicitação modelo