A NBR ISO/IEC 27035-3 de 07/2021 – Tecnologia da informação – Gestão de incidentes de segurança da informação – Parte 3: Diretrizes para operações de resposta a incidentes de TIC fornece as diretrizes para resposta a incidentes de segurança da informação em operações de tecnologia, informação e comunicação (TIC). Este documento faz isso abrangendo, em primeiro lugar, os aspectos operacionais da segurança de TIC em uma perspectiva de pessoas, processos e tecnologia. Em seguida, concentra-se ainda mais na resposta de incidente de segurança da informação em operações de TIC, incluindo detecção de incidentes de segurança da informação, relatórios, triagem, análise, resposta, contenção, erradicação, recuperação e conclusão.
Este documento não trata de operações de resposta a incidentes que não sejam de TIC, como perda de documentos em papel. É baseado na fase Detecção e geração de relatórios, na fase Avaliação e decisão e na fase Respostas do modelo Fases de gestão de incidentes de segurança da informação apresentado na ISO/IEC 27035-1:2016. Os princípios fornecidos neste documento são genéricos e pretendem ser aplicáveis a todas as organizações, independentemente do tipo, porte ou natureza. As organizações podem ajustar as disposições fornecidas neste documento de acordo com seu tipo, porte e natureza dos negócios em relação à situação de risco à segurança da informação. Também é aplicável às organizações externas que fornecem serviços de gestão de incidentes de segurança da informação.
Acesse algumas indagações relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:
Como deve ser executado o monitoramento e a detecção dos incidentes?
Como deve ser feita a validação de dados de fonte externa?
Quais são as fases da notificação e do relatório de incidente interno?
Quais são as operações de triagem de incidentes?
Um incidente de segurança da informação pode ou não envolver TIC. Por exemplo, informações que se espalham involuntariamente por meio da perda de documentos em papel podem muito bem ser um incidente grave de segurança da informação, o que requer relatórios, investigações, contenções, ações corretivas e envolvimento da direção. Este tipo de gestão de incidentes geralmente é realizado, por exemplo, pelo CISO (Chief Information Security Officer) dentro da organização.
As orientações sobre a gestão de incidentes de segurança da informação podem ser encontradas na ISO/IEC 27035-1. Este documento, entretanto, considera apenas operações de resposta a incidentes relacionados à TIC, e não a incidentes de segurança da informação relacionados aos documentos em papel ou quaisquer outros incidentes não relacionados à TIC.
Sempre que o termo segurança da informação é usado neste documento, isso é feito no contexto da segurança da informação relacionada às TIC. As estruturas organizacionais para segurança da informação variam de acordo com o porte e o campo comercial das organizações. À medida que vários e numerosos incidentes ocorrem e estão aumentando (como incidentes na rede, por exemplo, intrusões, violações de dados e hackers), preocupações maiores com a segurança da informação são levantadas pelas organizações.
Convém que um ambiente seguro de TIC, configurado para suportar vários tipos de ataques (como DoS, worms e vírus) com equipamentos de segurança de rede, como firewalls, sistemas de detecção de intrusões (IDS) e sistemas de prevenção de intrusões (IPS), seja complementado com procedimentos operacionais claros para tratamento de incidentes, juntamente com estruturas de relatórios bem definidas dentro da organização.
Para assegurar a confidencialidade, a integridade e a disponibilidade da informação e para lidar eficientemente com incidentes, são necessários recursos para realizar operações de resposta a incidentes. Para este fim, convém que uma equipe de resposta a incidentes de segurança de computadores (ERISC) seja estabelecida para executar tarefas como atividades de monitoramento, detecção, análise e resposta para dados coletados ou eventos de segurança.
Estas tarefas podem ser auxiliadas por ferramentas e técnicas de inteligência artificial. Este documento suporta os controles da NBR ISO/IEC 27001:2013, Anexo A, relacionados à gestão de incidentes.
Nem todas as etapas deste documento são aplicáveis, pois dependem do incidente específico. Por exemplo, uma organização menor pode não usar todas as orientações deste documento, mas elas podem ser úteis para a organização de suas operações de incidentes relacionadas às TIC, especialmente se estiver operando o seu próprio ambiente de TIC.
Também podem ser úteis para as organizações menores que terceirizaram suas operações de TI para entender melhor os requisitos e a execução de operações de incidentes que convém que eles esperem de seus fornecedores de TIC. Este documento é particularmente útil para aquelas organizações que fornecem serviços de TIC que envolvem interações entre organizações de operações de incidentes, a fim de seguir os mesmos processos e termos.
Este documento também fornece uma melhor compreensão de como as operações de incidentes se relacionam com os usuários/clientes, a fim de determinar quando e como convém que essa interação ocorra, mesmo que isso não seja especificado. A ISO/IEC 27035-1:2016 abrange as cinco fases principais a seguir para a gestão de incidentes de segurança da informação: planejamento e preparação; detecção e geração de relatórios; avaliação e decisão; respostas; e lições aprendidas.
A ISO/IEC 27035-2:2016 abrange duas dessas cinco fases em detalhes, isto é, planejamento e preparação e lições aprendidas. Este documento abrange as três fases restantes em detalhes. Estas três fases restantes são coletivamente chamadas de operações de resposta a incidentes, que são o foco deste documento.
As disposições deste documento são baseadas nas fases detecção geração de relatórios, avaliação e decisão e respostas do modelo fases de gestão de incidentes de segurança da informação, apresentadas na ISO/IEC 27035-1. Coletivamente, estas fases são conhecidas como processo de operação de resposta a incidentes.
As fases do processo de operação de resposta a incidentes (que são detecção e geração de relatórios, avaliação e decisão e respostas, conforme estipulado na ISO/IEC 27035-1) incluem o seguinte: operações para identificação de incidentes; operações para avaliação e qualificação de incidentes; operações para coleta de inteligência de ameaças; operações para contenção, erradicação e recuperação de incidentes; operações para análise de incidentes; operações para geração de relatórios de incidentes.
O escopo da resposta a incidentes é determinado na ISO/IEC 27035-1. Convém que as operações de resposta a incidentes sejam vistas como um processo de negócios que permite que uma organização permaneça nos negócios. Especificamente, um processo de operação de resposta a incidentes é uma coleção de procedimentos destinados a identificar, responder e investigar possíveis incidentes de segurança de uma maneira que minimize o seu impacto e apoie a recuperação rápida.
A ISO/IEC 27035–1 mostra as cinco fases da gestão de incidentes de segurança da informação, como planejamento e preparação, detecção e geração de relatório, avaliação e decisão, respostas e lições aprendidas. Como mencionado anteriormente, este documento se concentra em um processo de operação de resposta a incidentes. Este processo pode ser caracterizado por um ciclo de vida de operações de resposta a incidentes, representado pelas fases internas (detecção, notificação, triagem, análise, resposta e geração de relatórios). Estas são representadas com mais detalhes na figura abaixo.
O ciclo de vida das operações de resposta a incidentes (detecção, notificação, triagem, análise, resposta e geração de relatório) pode ser mapeado para a ISO/IEC 27035-1, em cinco fases da gestão de incidentes de segurança da informação (planejamento e preparação, detecção e geração de relatórios, avaliação e decisão, respostas e lições aprendidas), conforme mostrado na tabela abaixo.
Os incidentes podem ocorrer de várias maneiras, e não é prático definir todos os incidentes e preparar o manual de resposta para cada tipo de incidente. Entretanto, existem tipos/fontes de ataque comuns que uma organização geralmente encontra e, portanto, convém que esteja preparada para lidar com esses ataques com eficiência.
Convém que os critérios sejam definidos para incidentes de segurança, de acordo com a importância (prioridade) das informações e sistemas de informação, impacto de cada incidente, escala de danos, classificação de alarmes e sua gravidade. Ver Anexo A para exemplos destes critérios.
A seguir, é apresentada uma lista não exaustiva de tipos/estímulos comuns de ataque que podem ser usados como base para definir procedimentos de tratamento de incidentes: mídia externa/removível: um ataque executado a partir de mídia removível (por exemplo, pen drive, CD) ou de um dispositivo periférico; atrito: um ataque que emprega métodos de força bruta para comprometer, degradar ou destruir sistemas, redes de relacionamento ou serviços (por exemplo, um DDoS destinado a prejudicar ou negar o acesso a um serviço ou aplicativo; um ataque de força bruta contra um mecanismo de autenticação, como senhas, CAPTCHAS ou assinaturas digitais); web: um ataque executado a partir de um website ou aplicativo baseado na web (por exemplo, um ataque de script entre sites usados para roubar credenciais ou redirecionar para um site que explore a vulnerabilidade do navegador e instale malware); e-mail: um ataque executado por meio de uma mensagem ou anexo de e-mail (por exemplo, código de exploração disfarçado de documento anexado ou um link para um site mal-intencionado no corpo de uma mensagem de e-mail).
Também inclui a interdição da cadeia de suprimentos: ataque antagônico aos ativos de hardware ou software que utilizam implantes físicos, cavalos de Troia ou backdoors, interceptando e modificando um ativo em trânsito pelo fornecedor ou varejista; representação: um ataque envolvendo a substituição de algo benigno por algo malicioso (por exemplo, falsificação, ataques intermediários, pontos de acesso sem fio não autorizados e ataques de injeção de SQL, todos envolvendo representação); uso impróprio: qualquer incidente resultante da violação das políticas de uso aceitável de uma organização por um usuário autorizado, excluindo as categorias acima (por exemplo, um usuário instala um software de compartilhamento de arquivos, levando à perda de dados confidenciais; ou um usuário executa atividades ilegais em um sistema); perda ou roubo de equipamento: a perda ou roubo de um dispositivo ou mídia de computação usado pela organização, como laptop, smartphone ou token de autenticação; outros: um ataque que não se encaixe em qualquer dessas categorias.
Ver o NIST Computer Security Incident Handling Guide 1 para obter mais diretrizes de classificação de incidentes e vetores de ataque. Um incidente compreende um ou vários eventos de segurança da informação relacionados que podem prejudicar os ativos de uma organização ou comprometer as suas operações, onde um evento de segurança da informação compreende uma ou várias ocorrências indicando uma possível violação ou falha dos controles de segurança da informação.
As operações de detecção de incidentes requerem que haja um ponto de contato (PoC) para receber informações e uma metodologia estabelecida para a equipe detectar eventos de segurança da informação. A detecção é importante porque inicia as operações de resposta a incidentes. O PoC é o papel ou a função organizacional que serve como o coordenador ou ponto focal das atividades da operação de incidentes.
Um evento de segurança da informação é relatado pelo Usuário/Fonte de alguma maneira, conforme mostrado na ISO/IEC 27035-1:2016, Figura 4. O principal objetivo do PoC é assegurar que um evento seja relatado o mais rápido possível à organização, para que o evento possa ser tratado com eficiência. Um fator crítico de sucesso é que o PoC possui as habilidades necessárias para determinar se um evento é realmente um evento relacionado à TIC e se o PoC é capaz de descrever o evento.
Convém que o evento então seja tratado posteriormente por um PoC e depois transferido para as operações de resposta a incidentes. A organização de um PoC pode ser diferente, dependendo do tamanho e da estrutura da organização, bem como da natureza dos negócios. Isso pode afetar como as operações de incidentes são informadas sobre o evento.
Filed under: auditoria, Internet, normalização, redes sociais, riscos empresariais, segurança da informação, setor eletroeletrônico |
qualidadeonline's Blog 
Deixe uma Resposta