Please enable JavaScript.
Coggle requires JavaScript to display documents.
ABNT NBR ISO/IEC 27035 - Coggle Diagram
ABNT NBR ISO/IEC 27035
Gestão de incidentes de segurança da informação
Princípios e Processos
Abrange alguns aspectos das vulnerabilidades de segurança da informação.
ISOs Relacionadas
ISO/IEC 29147
Orientações
sobre divulgação de vulnerabilidade
ISO/IEC 30111
Tratamento de vulnerabilidades por fornecedores
Fornece Orientações adicionais para o controle de gestão de incidentes da ABNT NBR ISO/IEC 27002.
Características da primeira parte
Apresentar
Conceitos básicos
Nem todo Evento é um incidente
Incidentes podem ser:
Deliberados
Malware
Ataques
Acidentais
Erro Humano
Ambientais
Incêndios
Enchentes
Causados por
Problemas técnicos
Vírus de Computador
Problemas não técnicos
perda ou roubo de cópia
impressa de documentos).
Princípios
Processos
São genéricas
:
Orientações
Principais atividades
São aplicáveis por qualquer organizações
Apenas ajustar por
Tipo
Tamanho
Natureza
Atividades-chaves de gestão de incidentes de SI que fornecem uma abordagem estruturada
Preparar
Detectar
Relatar
Avaliar
Responder
Lições Aprendidas
Objetivos específicos
Detectar e classificar incidentes com rapidez.
Minimizar impactos negativos às operações.
Integrar com a gestão de crises e continuidade de negócios.
Tratar vulnerabilidades associadas.
Aprender com os incidentes (feedback contínuo).
Benefícios de uma Abordagem Estruturada
Melhora a segurança geral.
Reduz prejuízos ao negócio.
Foco em prevenção.
Facilita priorização e tomada de decisão.
Suporte à coleta de evidências.
Justifica alocação de recursos e orçamento.
Melhora políticas e treinamentos.
Capacidade necessária
Política e plano de gestão de incidentes.
Estrutura organizacional com:
IMT (equipe de gestão de incidentes)
IRT (equipe de resposta de incidentes)
Coordenador de incidente
Ponto de contato (PoC)
Conscientização, treinamento e comunicação.
Fases do processo
Planejamento e preparação
Formular e documentar politicas de gestão de incidentes(GI) e obter compromisso da alta administração
Atualizar as politicas de SI
Elaborar e documentar um plano de GI
Estabelecer IMT
Estabelecer Relações e ligações com orgs internas e externas
Determinar o apoio técnico e outros suportes
Planejar e fornecer treinamento de conscientização e habilidades em GI para todas as funções.
Testar o plano de Respostas a incidentes
Detecção e relato
Recolher informações sobre a consciência situacional
Monitorar sistemas e redes
Detectar e alertar atividades anômalas, suspeitas ou maliciosas.
Coletar relátorios de eventos de SI de usuários, fornecedores, outros IRTs ou organizações de segurança e sensores automatizados
Relatar eventos de SI
Avaliação e decisão
Avaliar o evento de SI e determinar se é um incidente de SI
Categorizar, correlacionar e priorizar os incidentes.
Estabelecer os IRTs necessários.
Resposta
Investigar e determinar se os incidentes de SI estão sob controle
Conter e erradiar
Recuperar de incidentes de SI
Avaliar os desempenho e efetividade dos IRTs
Lições aprendidas
Diretrizes para planejar e preparar a resposta a incidentes
Baseado no modelo de fases do documento anterior(27035-1)
Abrange
Preparar e planejar (5.2)
Lições aprendidas(5.6)
Fornece diretrizes práticas
Planejar e preparar a resposta a incidentes
Aprender lições com incidentes passados.
Conteúdos importantes no plano
Classificação de incidentes
Formulários padronizados
Processos documentados
Procedimentos de escalonamento e resposta
Registro e tratamento de evidências
Interação com partes externas (ex: fornecedores, polícia)
Compartilhamento de informações (com controle e segurança)
Importância dessa parte
Garante preparação real (não só teórica) para incidentes.
Foca em resposta estruturada e eficaz.
Reforça a aprendizagem contínua e melhoria do sistema.
Elementos-chaves da preparação
Política de gestão de incidentes formal e apoiada pela alta direção.
Plano de gestão de incidentes documentado e baseado na política.
Criação da IMT (Equipe de Gestão de Incidentes) e definição de funções.
Relacionamentos internos e externos estabelecidos.
Suporte técnico e organizacional disponível.
Conscientização e treinamento para todos os envolvidos.
Fase de lições aprendidas
Identificar falhas e áreas de melhoria
Atualizar políticas, planos e controles
Avaliar desempenho da IMT e da IRT
Compartilhar aprendizados internamente (ou externamente, se apropriado)
Diretrizes para operações de resposta a incidentes de TIC.
Baseado no modelo de fases do documento anterior(27035-1)
Abrange
Detecção e geração de relatórios
Avaliação e decisão
Resposta
Importância da parte 3
Foco na ação prática
Apoia resposta rápida e eficaz
Complementa as Partes 1 (conceitos) e 2 (planejamento)
Fornecer diretrizes detalhadas para as operações práticas de resposta a incidentes de Tecnologia da Informação e Comunicação (TIC).
Detecção e notificação
Avaliação e decisão
Resposta (contenção, erradicação, recuperação, relato)
Tipos comuns de ataques
Mídia removível
força bruta
e-mail malicioso
ataques web
phishing
perda de dispositivos
Técnicas e Ferramentas
Honeypots, IDS/IPS, Firewalls, SIEM, sandbox, correlação de logs, etc.
Detecção proativa e reativa
Fontes de inteligência (NIST, listas de ameaças, etc.)
Papel do CSIRT
Coordena e executa todas as ações de resposta
Deve estar estruturado e preparado para resposta 24/7
sobre
Fornece Orientações adicionais para o controle de gestão de incidentes da ABNT NBR ISO/IEC 27002.