INSTRUÇÃO DE TRABALHO GESTÃO DO RISCO DA SEGURANÇA DE INFORMAÇÃO

Transcrição

1 1 Contexto da UAb/ Inventariação de ativos e processos Resp. SSTE Resp: SAE 2 Descrição dos cenários de risco e responsáveis Resp: SSTE, SI e GSI Imp B 3 Identificar e estimar o risco Resp: SSTE, SI e GSI 4 Identificar o nível de impacto Resp: DACV e GSI 5 Avaliação da probabilidade de ocorrência do cenário de risco Resp: DACV e GSI 6 Identificação e análise do nível de risco Resp: DACV e GSI 7 Aceitabilidade do risco/ Priorização da intervenção Resp: DACV e GSI 8 Identificar e avaliar opções para o tratamento de riscos Resp: SSTE, SI e GSI 9 Determinar os controlos, avaliar adequabilidade e eficácia (Anexo A) Resp: SSTE e GSI 10 Elaboração/ revisão da Declaração de Aplicabilidade Resp: SSTE e GSI A Pág 1 de 8

2 A 11 Elaboração do plano de tratamento de riscos Resp: SSTE e GSI Não 12 Aprovado? Resp.: DACV Sim 13 Implementação do plano de tratamento de riscos Resp: SSTE e GSI 14 Identificação e análise do risco residual Resp: SSTE, SI e GSI B 15 - Relatório de Atividades e Relatório de Revisão do SGQ Resp: GPAQ, GSI e GQ Pág 2 de 8

3 1. Descrição: 1 - Compreensão do contexto da UAb que possa ter influência na gestão do risco: objetivos, estratégia, âmbito, aspetos internos e externos, requisitos das partes interessadas, processos, etc. 2, 3 e 4 Para cada um dos cenários identificados, é analisado o impacto sobre os fatores que determinam o nível de risco no Imp-01-25, para cada uma das componentes: Confidencialidade (C): Para efeitos de cálculo do impacto, é atribuída a seguinte valorização a cada um dos níveis de classificação: Nível Valoração Descritivo Baixo 1 Moderado 2 Elevado 3 Vultoso 4 Dados de domínio público Sem valor para reserva de acesso Dados de domínio dos stakeholders Acesso reservado, sujeito a autenticação Dados de domínio interno da instituição Acesso reservado a grupos/equipas, sujeito a autenticação e nível de permissão específico Potencialmente lesivos, se divulgados Dados de domínio restrito Acesso reservado a número reduzido e limitado de elementos da instituição, sujeito a autenticação e nível de permissão máximo Comprometedores da continuidade do negócio, se divulgados Pág 3 de 8

4 Integridade (I): facilidade, maior ou menor, de recuperar um ativo com qualidade suficiente, ou seja, completo e não corrompido. Para efeitos de cálculo, é atribuída a seguinte valorização a cada um dos níveis de classificação: Nível Valoração Descritivo Baixo 1 Moderado 2 Elevado 3 Vultoso 4 Dados sem valor para retenção/backup Impacto inexpressivo nos stakeholders e no negócio, em caso de alteração Dados de relevância limitada Impacto marginal nos stakeholders e no negócio, em caso de alteração Dados de relevância significativa Impacto crítico nos stakeholders e no negócio, em caso de alteração Dados críticos Impacto catastrófico nos stakeholders, em caso de alteração Comprometimento da continuidade do negócio Disponibilidade (D): período de tempo máximo de carência do ativo, sem que as consequências ou impactos sejam graves para a UAb, atribuindo-se uma valorização a cada um dos níveis: Nível Valoração Descritivo (horas) Baixo 1 Superior a 24 Moderado 2 Compreendido entre 8 e 24 Elevado 3 Compreendido entre 1 e 8 Vultoso 4 Inferior a 1 Pág 4 de 8

5 Impacto = valor máximo de ente os critérios de Confidencialidade, Integridade, Disponibilidade. Segue-se a atribuição da classificação do Impacto Nível Valoração Classificação Descritivo Baixo 1 Inexpressivo Sem alterações assinaláveis na experiência dos utilizadores Moderado 2 Marginal Elevado 3 Crítico Vultoso 4 Catastrófico Com ligeiras alterações na experiência dos utilizadores Com efeitos reduzidos no negócio Com significativas alterações na experiência dos utilizadores Com significativa insatisfação dos stakeholders Com toxicidade para o negócio Com severas alterações na experiência dos utilizadores Com potencial abandono de stakeholders Com avultada toxicidade para o negócio 5, 6 e 7 Para cada cenário de risco identificado, é estimada a probabilidade da sua ocorrência, que pode ser medida nos seguintes termos: Nível Valoração Tempo (meses) Baixo 1 > 12 Descritivo Não é esperado que se repita no período inferior a 1 ano, podendo não ocorrer Moderado 2 > 6 e < 12 Poderá repetir-se no período compreendido entre 6 e 12 meses Elevado 3 > 1 e < 6 É esperado que se repita no período compreendido entre 1 e 6 meses Vultoso 4 < 1 Quase certamente, vai repetir-se nos próximos 30 dias Pág 5 de 8

6 Seguidamente, procede-se ao cálculo do nível de risco Nível de Risco = Nível de Impacto x Nível de Probabilidade Os riscos são analisados em função do nível correspondente, dependendo do maior ou menor nível de criticidade do cenário de risco identificado. Impacto Probabilidade Inexpressivo Marginal Crítico Catastrófico Não carece de intervenção a curto-médio prazo (1 período letivo completo) Carece de intervenção a médio prazo (até ao termo de 1 semestre letivo) Exige intervenção a curto prazo (< 2 meses) Exige intervenção imediata, com risco de paragem de serviço e comprometimento do negócio (atuação inadiável, mesmo que requeira suspensão controlada de serviço) A Universidade Aberta assume um nível máximo de risco igual 3, pelo que, todos os cenários que se encontram dentro da zona verde são aceitáveis, não sendo necessário implementar qualquer controlo adicional. Pág 6 de 8

7 8, 9, 10, 11, 12, 13 e 14 Para a elaboração do Plano de Tratamento do Risco (Imp 01-25), procede-se à seleção das opções para tratamento dos riscos identificados, sendo selecionados os controlos necessários e tendo em conta os objetivos de segurança estabelecidos. As opções para o tratamento dos riscos podem ser: Reduzir o risco: O nível de risco deve ser reduzido através da seleção de controlos, para que o risco residual possa ser considerado aceitável: Eliminar a fonte do risco; Diminuir a probabilidade da sua ocorrência; Diminuir o seu impacto. Evitar o risco: Identificar atividades ou condições que permitam que determinado risco possa ser evitado, podendo ser decidido parar ou não iniciar atividades. Transferir o risco: O risco deve ser transferido para outra (s) entidade (s), incluindo contratos de fornecedores. Aceitar o risco de forma informada: Assumir o risco, não efetuando nenhuma ação. o Nota: para os riscos de nível igual ou superior a 9, e cuja causa não viabilize a devida antecipação, é considerado aceitável um modo de isolamento do sistema, seja ele parcial desativando um ou mais módulos/componentes, identificados como responsáveis pelo risco e por um período máximo de 24h ou total, pressupondo paragem integral do mesmo por um período não superior a 4h. Após a identificação dos controlos, procede-se ao cálculo do risco residual, sendo repetidos os passos definidos nos pontos 3, 4, 5, 6 e 7 do fluxograma. No caso da segurança da informação, produz-se uma Declaração de Aplicabilidade baseada nos riscos/controlos identificados. O Plano de tratamento do risco é submetido à análise e aprovação, bem como a aceitação dos riscos residuais. Após aprovação, o plano é distribuído aos responsáveis nomeados, de forma a procederem à sua implementação, conforme definido no PSQ 06 Resolução de Problemas e Melhoria Contínua. 15 Revisão da análise e gestão de riscos com uma periodicidade anual, tendo como objetivos os abaixo identificados. Esta análise será realizada no decorrer da revisão do sistema, sendo parte integrante do respetivo relatório, com eventual inclusão no relatório de atividades. Pág 7 de 8

8 Obter uma visão geral relativamente à efetividade dos controlos de gestão de segurança da informação e dos riscos associados aos ativos de informação tendo em conta os controlos implementados. Identificar e avaliar todos os riscos associados a um processo/produto/atividade, permitindo a definição de ações para mitigação do risco. As revisões parciais são realizadas por iniciativa da gestão de topo ou pelo GSI, no âmbito do sistema de gestão da qualidade, em resposta a diferentes eventos que possam ter impacto nos processos e na análise de risco (incidentes de segurança de informação com impacto significativo nos ativos, alterações à legislação em vigor e/ou alterações na UAb ou na infraestrutura tecnológica). O objetivo da revisão parcial é analisar se existem novos riscos ou se o seu nível está a aumentar, geri-lo de acordo com modificações realizadas na análise de risco, avaliar os controlos associados e gerir/atualizar o plano de tratamento de risco. 2. Documentos: Imp Avaliação de risco Pág 8 de 8