English | Sobre nós | Eventos | Downloads

 

Comunidade Portuguesa de Segurança da Informação
Information Security Community Portugal




Metodologias de análise de risco

“Só nos podemos efectivamente proteger contra risco que conhecemos”
Thomas Wadlon in The Process of Network Security: Designing and Managing a Safer Network



I - Conceito de gestão de risco
De acordo com o citado popular axioma, a análise de risco reveste-se de uma importância fundamental para a protecção de um sistema ou recurso.

O processo de análise de risco é entendido pela norma ISO 27001 (anterior BS 7799, pedra angular da Segurança da Informação) como um itinerário com 3 etapas: análise, avaliação e tratamento do risco.

Na primeira fase - análise de risco – estão incluídas as tarefas de identificação dos riscos e análise da sua probabilidade e dos eventuais efeitos que possam ter. O resultado final desta fase é o cálculo do grau de perigosidade do risco para a organização, o qual é geralmente apresentado através da atribuição de uma classificação a cada risco, por exemplo Baixo, Médio ou Alto Risco.

Posteriormente, o risco é avaliado (segunda fase) e, caso se considere não aceitável, deverá ser mitigado (que consiste no tratamento do risco).


II - Requisitos da análise dos riscos
A ISO 27001 não estabelece os procedimentos operacionais da análise de risco (ao contrário, por exemplo, do OCTAVE), limita-se a definir os requisitos gerais que a metodologia deve obedecer.

Estes requisitos são de grosso modo:

1- A metodologia deve ser aplicada sistematicamente (isto é usada para todos os risco).
2- Identificar as ameaças, vulnerabilidades e consequências (impactos) de cada risco.
3- Calcular o grau de perigosidade do risco com base na probabilidade e no impacto.
4- Classificar os riscos de acordo com este cálculo usando uma escala diferenciadora.


III - Metodologias de análise de risco
Várias metodologias cumprem estes 4 preceitos. De seguida, apresenta-se um conjunto de metodologias neste âmbito.



ISO/IEC TR 13335-3:1998 - Guidelines for the Management of IT Security - Part 3: Techniques for the management of IT Security



Este standard publicado em 1998 incide sobre a análise de risco e apresenta um método que em parte foi subscrito por vários especialistas na implementação de SGSI - Sistema de Gestão da Segurança da Informação. Em particular as fórmulas de cálculo do risco foram promovidas por Ted Humphreys no guia de implementação do SGSI da BSI (eventualmente o mais conhecido manual de análise de risco desta framework). Neste momento o standard está a ser revisto pela mesma equipa responsável do ISO 27000.

Site da ISO (não disponível para download gratuito)




CCTA Risk Analysis and Management Methodology



Originalmente desenvolvido pelo Governo Britânico em 1985, teve grande aceitação no campo militar e na administração pública. Em 2001, a Insight Consulting adaptou o CRAMM à framework ISO 17799. È provavelmente a ferramenta informática mais usada no campo da análise de riscos e em particular em implementações de SGSI. Esta afirmação é sustentada em casos como o UK´s National Health Service, Bank’s “Smile” Internet Bank, DTI, Serious Fraud Office e GTECH UK, segundo dados da Insight, que neste momento pertence à Siemens.

Site do CRAMM (não disponível para download gratuito)




Operationally Critical Threat, Asset, and Vulnerability Evaluation




Desenvolvido por Christopher Alberts e Audrey Dorofee do Software Engineering Institute da Carnegie Mellon University. Este é o mais bem documentado método, com um site muito completo. O OCTAVE preconiza um processo de sessões onde os colaboradores, que trabalham na área analisada da organização, definem os riscos, medidas de protecção e participam em sessões de formação. Para organizações pequenas, com parcos conhecimentos de segurança foi criado o OCTAVE-S. É recomendado para o HIPAA (standard de protecção de dados médicos dos EUA).

Site do OCTAVE

OCTAVE Method Implementation Guide (download gratuito)





CORAS



Metodologia de análise de riscos orientada para sistemas, mas de acordo com o processo de gestão de risco do ISO 17799. O CORAS emprega ferramentas de identificação e análise de riscos oriundos da prevenção de acidentes tais como o Hazard and Operability study (HazOp), Fault Tree Analysis (FTA), Failure Mode, Effect and Criticality Analysis (FMECA), Markov analysis e Event Tree Analysis (ETA). Ao longo das suas várias fases, o risco é descrido usando UML. No fundo, o CORAS é um considerável esforço europeu para criar uma metodologia de análise de risco baseada no paradigma da modelação uniformizada. Ou, por outras palavras, pretende identificar, analisar e descrever o risco através de uma linguagem uniforme.

Site do CORAS

Metodologia CORAS (documento sem ferramenta)



NIST SP 800-30: Risk Management




Documento da metodologia do organismo de standards dos EUA. Mantém os conceitos do SP 800-14 (discutido neste site), tais como a distinção entre entre controlos operacionais, técnicos e de gestão. Constitui uma boa introdução aos conceitos principais da gestão de risco.

Risk Management by NIST (download)




IT Baseline Protection Manual


Metodologia de protecção para sistemas, eventualmente neste campo o melhor do seu género. Inclui riscos típicos para os mais frequentes recursos informáticos, facilitando deste modo a sua aplicação. Cumulativamente, apresenta controlos técnicos muito actuais.

IT Baseline Protection Manual (download)



IV - Conclusão
Em conclusão, os requisitos genéricos da ISO 27001 possibilitam que várias metodologias, distintas entre si, sejam usadas num cenário de implementação desta norma. Entre estas, destacam-se o GMITS, CRAMM, OCTAVE, CORAS NIST 800-30 e IT Baseline Protection Manual.

O GMITS teve uma grande influência em metodologias reais usadas para a gestão de risco em organizações certificadas em termos de gestão de Segurança da Informação.

O CRAMM é uma ferramenta informática que aplica a metodologia da Insight de análise de riscos, sendo um suporte frequente da gestão de risco em organizações certificadas.

O OCTAVE é uma metodologia orientada para a protecção de recursos organizacionais. Este standard desaconselha a utilização da probabilidade do risco para avaliar o seu grau de perigosidade, o que contrária um requisito do ISO 27001. Porém, o OCTAVE apresenta uma fórmula suplementar para as organizações que pretendam usar a probabilidade. Assim desde que, esta fórmula seja usada, o OCTAVE pode ser usado num cenário de implementação da ISO 27001.

O NIST 800-30, em linhas gerais, concorda com as directrizes do GMITS.

O CORAS e IT Baseline Protection Manual são métodos orientados para a análise de riscos de sistemas informáticos.

Texto de Paulo Coelho
Consultor de Segurança da Informação
Sinfic

Labels:

Data 22.11.05

0 Comments:

Post a Comment

<< Início