Академический Документы
Профессиональный Документы
Культура Документы
Escopo:
Fornecimento de 2. Via de conta telefnica em atendimento pessoal
pela empresa de telefonia X no posto de atendimento Y utilizado a base
atualizada de clientes e contas a receber.
Poltica de Segurana:
1. A Segurana da Informao deve garantir a Confidencialidade,
Integridade e Disponibilidade das informaes relacionadas ao
fornecimento de 2.via de conta telefnica.
2. Para cumprir com as obrigaes com as regulamentaes legais e
contratuais relativas a emisso da 2 via de conta telefnica.
1
riscos
identificados
nveis
aceitveis
pela
alta
administrao.
4. Seguindo as normas internas relativas ao processo de emisso de
2 via.
5. Fornecendo as informaes claras e precisas e mantendo a
confidencialidade das informaes.
Ponto Inicial:
O cliente solicita a emisso da 2 via da conta para um determinado
nmero de telefone.
Ponto Final:
Entrega ao Cliente da 2 via emitida;
Destruio do documento com problemas;
Encaminhamento a outro departamento caso o telefone no seja
localizado no sistema.
Ativos de Informao
Determinar os ativos de informao no fluxo mapeado
anteriormente e sua importncia para o escopo (empresa).
Principais Componentes:
Cliente, Atendente, estao de trabalho, impressora, fragmentadora,
switch, Servidor de banco de dados, banco de dados (tabelas),
aplicativo gerenciador, SGBD, SO.
Principais segmentos de rede e de transmisso de informaes:
Segmento 1:
Ativos: cliente, atendente, documento conta em papel.
Informaes: nmero do telefone, dados cadastrais
Fluxo: transmisso via voz
Segmento 2:
Ativos: atendente, terminal.
Terminal: sistema operacional, aplicativos.
Hardware sem perifricos de armazenamento, floppy e USB.
Informaes: nmero do telefone, dados de cliente, logon (matricula,
senha)
Fluxo: digitao via teclado
Segmento 3:
Ativos: terminal, switch, cabo de rede.
Informaes: dados cadastrais, logon (matricula, senha), dados de 2
via.
Fluxo: digital
Segmento 4:
Ativos: switch, servidor, cabo de rede.
Informaes: dados cadastrais, logon (matricula, senha), dados da
conta do cliente.
Fluxo: digital
Segmento 5:
Ativos: terminal, conta em papel, impressora, cabo de rede.
Informaes: dados cadastrais, dados de 2 via.
Fluxo: digital
Segmento 6:
Ativos: atendente, fragmentadora, conta em papel.
Informaes: conta.
Fluxo: manual
Ativos/Informaes
Importncia do Ativo para o escopo:
(1-Baixa, 2-Media, 3-Alta)
Ativo/Informao
Cliente
Atendente
Conta em papel
Nmero do telefone
Dados cadastrais
Estao de trabalho
Switch
Dados de logon
Servidor
Fragmentadora
Impressora
Poltica
Ameaas e Vulnerabilidades
Identificar possveis
eventos
Segurana definida
Estao de trabalho:
considerando
de
de
informaes
incorretas
devido
falta
de
de
documentos
para
pessoas
indevidas
pela
atendente;
Encaminhamento para impressora indevida em virtude da estao
de trabalho estar ligada a rede da empresa;
Fornecimento de informaes incorretas ou indevidas em virtude
de problemas no sistema aplicativo.
Conseqncia (Impacto)
Identificar
as
conseqncias
dos
eventos
identificados,
C
3
I
2
D
2
L
1
Probabilidade
Determinar mtricas para definio de probabilidade
Determinar
probabilidade
de
ocorrncia
dos
identificados
Mtrica:
(1-Baixa, 2-Media, 3-Alta)
Probabilidade:
Evento
Probabilidade
Acesso indevido por pessoas no autorizadas
1
em virtude da estao de trabalho estar
instalada em local pblico.
Fornecimento do documento de 2 via para
eventos
Consolidando os Resultados
Definir a melhor forma de obter o escore final do risco.
Quantificar os riscos mapeados
Clculo do Risco:
Risco = Impacto x Probabilidade
Clculo do Impacto:
Impacto = Mdia Aritmtica entre a importncia do Ativo para o escopo
e a conseqncia para o Ativo.
Quantificao do Risco:
Baixo (1-3) Aceitar o risco;
Mdio (4-6) Levar para Comit para discusso de acordo com estudo de
custo x benefcio;
Alto (7-9) Aplicar controles.
Ativo/Evento
Ativo: Estao de Trabalho
C
2
I
3
D
3
L
1
Observao
Importncia para o
escopo
autorizadas
em
virtude
da
Conseqncia
para
o ativo
2,5
2,5
Da
10
1
estao
neste
escopo
1
Baixo. No aplicar
controles.
Importncia
para o escopo
Conseqncia
para o ativo
atendente
Impacto para o escopo
Probabilidade
Da
estao
neste escopo
Baixo.
RISCO
No aplicar
controles.
Importncia
para o escopo
Conseqncia
para o ativo
baselines de segurana.
Impacto para o escopo 2,5
Probabilidade
Da
estao
neste escopo
Mdio.
RISCO
11
Controle
5;6;6;4
O Ambiente de 2,5;3;3;2
Ambiente de Mar/2015
(Alto)
Infra-estrutura
Infra-
dever
os
(Baixo)
aplicar
estrutura de
baselines
Tecnologia
homologados
(ltimo
patch,
mximo
de
verso
atrasada) pela
empresa
logo
to
sejam
disponibilizados
12
Deadline
para o Sistema
Operacional
Software
Aplicativo.
13
Documentando Controles
Selecionar um ou mais controles do Anexo A da norma NBR
27001.
Documentar
identificar
as
mtricas
conforme
os
itens
Aplicativo.
Mtricas de controle:
Quantidade de acessos indevidos.
Nvel de Servio: nenhum a 10 (durante 6 meses).
Avaliao de resultados (*):
Log de acesso da estao de trabalho.
(*) onde encontrar evidncias do cumprimento dos niveis de servio de
acordo com as mtricas.
Nvel de Servio: nvel de aceitao conforme as mtricas definidas.
14
Aplicao
Justificativa
Controle
de
Segurana
(*)
3.1.1
Aplicado
Minimizar riscos X, Y e Z
CS99
3.1.2
...
...
7.2.5
No aplicado
...
...
A manuteno feita in
house
...
...
...
...
12.3.2
20.1.1
Aplicado
Minimizar a probabilidade de
ocorrncias de acessos no
autorizados estao de
trabalho em virtude da falta
de atualizao dos baselines
de segurana
15
CS01