Gerenciamento de risco NIST 800-30

Estou tendo aula sobre gerenciamento de riscos de TI, e o professor orientou a leitura da norma NIST 800-30 (National Institute of Standards and Technology, Special Publication 800-30). Resolvi fazer um resumo com tradução livre do que li até agora.

O NIST é uma agência governamental, pertencentente ao Departamento de Comércio dos Estados Unidos; sua função, é promover padrões e tecnologia para ampliar a segurança da informação.

O guia NIST 800-30 tem o seguinte propósito:

✔ Fornecer uma base para o desenvolvimento do programa de gestão de riscos

✔ Fornecer informações sobre o custo efetivo dos controles de segurança

Algumas definições

Ameaça – causa potencial de um incidente indesejado, que caso se concretize pode resultar em dano.

Fonte de ameaça – Intenção e método orientado para exploração de uma vulnerabilidade; situação e método que podem acionar uma vulnerabilidade.

Risco – combinação da probabilidade da concretização de uma ameaça e suas conseqüências.

Gestão de riscos – processo de identificar, avaliar e reduzir o risco

Vulnerabilidade – fragilidade ou limitação de um ativo que resulte em uma violação de segurança ou da política de segurança do sistema.

Metas do processo do gerenciamento de riscos

✔ Proteger a capacidade da organização para realizar a sua missão (e não apenas seus ativos de TI).

✔ Ser uma função essencial de gestão (e não apenas uma função técnica de TI).

O gerenciamento de riscos engloba 3 processos:

✔ Avaliação do Risco

✔ Redução do Risco

✔ Evolução e acompanhamento

A avaliação do risco, é o primeiro processo na metodologia do gerenciamento do risco, e é usado para determinar possíveis ameaças e riscos associados, além de ajudar a identificar controles apropriados para reduzir ou eliminar riscos.

Esse método, engloba as seguintes etapas:

Etapa 1 – Sistema

Informações relacionadas ao sistema, incluindo equipamentos, softwares, interfaces, dados, pessoas, missão da empresa.

Ao final dessa etapa, temos um resumo das limitações do sistema, funções, grau de criticidade.

Etapa 2 – Identificação de Ameaças

Devem ser criados relatórios de violação de segurança, e relatórios de incidentes, baseados em dados de agências de inteligência e de comunicações (listas de e-mail, sites de segurança).

No final, teresmo uma lista com possíveis fontes de ameaça (naturais, humanas e ambientais) aplicavéis ao sistema qu está sendo avaliado.

Algumas fontes comuns de ameaça:

Naturais – Indundações, terremotos, furacões, deslizamentos de terra, avalanches, tempestades elétricas e outros eventos.

Humanas – Eventos que sejam habilitados ou causados por seres humanos, tais como atos não-intencionais (entrada inadvertida de dados) ou ações deliberadas (ataques a redes, negação de serviço, upload de software malicioso, acesso não autorizado a informações confidenciais).

Ambientais – Falta de energia por um longo prazo, poluição, produtos químicos, vazamentos de líquidos.

Etapa 3 – Identificação da vulnerabilidade

As vulnerabilidades podem ser identificadas através de testes de segurança do sistema (pentest), alertas, checklist de requisitos de segurança.

Assim, teremos uma lista das vulnerabilidades do sistema (falhas ou fraquezas) que possam ser exploradas.

Etapa 4 – Análise de controle

Não basta apenas checar o sistema, identificar ameaças e vulnerabilidades… elas devem ser continuamente avaliadas através de controles que podem ser os atuais (já em uso) ou controles previstos. Os controles podem ser técnicous ou não e podem ser preventivos ou de auditoria.

No final dessa etapa, teremos os controles utilizados e os planejados.

Etapa 5 – Determinação da ameaça

O risco pode ser determinado através da motivação e capacidade da fonte da ameaça, natureza da vulnerabilidade, existência e eficácia dos controles atuais.

Com essa etapa, temos a classificação da probabilidade do risco em alta, média ou baixa.

Etapa 6 – Análise do Impacto do risco

Analisa os efeitos adversos causados por perda ou degradação da integridade, confidencialidade, disponibilidade de informações ou dados.

Também classifica a avaliação do impacta em alta, média ou baixa.

Etapa 7 – Determinação de Risco

Envolve: probabilidade de ameaça, magnitude do risco, adequação dos controles previstos ou em curso.

Ao final, teremos um nível de risco (Matriz de Risco = Probabilidade x Ameaça Ameaça de Impacto) e uma escala de risco e ações necessárias.

Etapa 8 – Recomendações de controle

Eficácia dos controles tomados, verificação da legislação e regulamentação; política organizacional, impacto operacional, segurança e confiabilidade.

Essas recomendações devem conter soluções para reduzir ou eliminar os riscos; controles recomendados e alternativos.

Etapa 9 – Resultados da Documentação

Relatório de Avaliação de Risco apresentado aos gestores de TI da área de segurança e aos proprietários; o relatório deve descrever as ameaças e vulnerabilidades, dimensionar riscos e fornecer recomendações de como implementar controles. Isso irá ajudar os gestores na tomada de decisões sobre políticas, procedimentos, orçamento e alterações do sistema operacional e de gestão.
Referências

O que é o NISThttp://pt.wikipedia.org/wiki/Nist

Site oficial do NISThttp://www.nist.gov/

NIST 800-30http://bit.ly/dfSUrD

2 Responses to “Gerenciamento de risco NIST 800-30”


  1. 1 sandro aparecido de santana 05/12/2010 às 2:41 PM

    Boa tarde,

    Estou precisando de um modelo (template) do relatório de gerenciamento de risco.

    Certo do entendimento e colaboração.

    Sandro Santana.


Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s




Follow Nix on WordPress.com
abril 2010
S T Q Q S S D
« mar   maio »
 1234
567891011
12131415161718
19202122232425
2627282930  

Flickr Photos

Red and Gold

Mais fotos

%d blogueiros gostam disto: