![4.3 Construção do Mapa 4.3 Aplicação do Mapa
Para a construção do mapa conceitual deve-se partir O “Mapa de Segurança” como ferramenta para
pelo objeto a ser construído, o SGSI, qual deve rápida visualização do SGSI adotado, deve ficar
conectar-se aos requisitos exigidos pelas normas. exposto em lugar visível e de fácil acesso aos
A junção dos dois “Mapas” apresentará um mapa envolvidos diretamente na implantação do SGSI,
onde facilita a localização das ações do plano e os assim como poderá ser apresentado etapa por etapa aos
requisitos das normas. demais membros da comunidade envolvida na
Podemos então, utilizando-se de cores, símbolos, implantação do SGSI.
marcas, sinais e outros métodos demarcadores de
posição, utilizar o mapa com uma ótica mais clara para 5. Conclusão
qualquer leitor, dos objetivos do plano de ação.
Administrar ambientes computacionais implica em
atender as normas e diretrizes da organização. A não
conformidade às normas ou o descumprimento ou a
não observância implica em penalização legal por
omissão a estas. A alegação de desconhecimento não
tem valor legal.
Referências
ABNT NBR ISO/IEC27001 de 03/2006
ABNT NBR ISO/IEC17799 de 2001
ABNT NBR ISO/IEC 13335-1:2004
ABNT NBR ISO/IEC TR 18044-1:2004
ABNT NBR ISO/IEC Guia 73:2005]
ISSA-Information System Security Association Journal.
Módulo Security News -visitado em 30 Out 2006–
http://www.modulo.com.br/index.jsp?page=3&catid=7&o
bjid=4885&pagecounter=0&idiom=0
Anexo 1
Vocabulário referencial para SI
Ativo – qualquer coisa que tenha valor para a organização. [ISO/IEC 13335-1:2004]
Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada. [ISO/IEC 13335-1:2004]
Confiabilidade – propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não
autorizados. [ISO/IEC 13335-1:2004]
Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente outras
propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. [ABNT
NBR ISO/IEC 17799:2005]
Evento de segurança da Informação – uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível
violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser
relevante para a segurança da informação. [ISO/IEC TR 18044-1:2004]
Incidente de Segurança da Informação – um simples ou uma série de eventos de segurança da informação indesejados ou inesperados,
que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. [ISO/IEC
TR 18044-1:2004]
SGSI – Sistema de gestão da segurança da informação – a parte do sistema de gestão global, baseado na abordagem de riscos do
negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.
(nota o sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas,
procedimentos, processos e recursos).
Integridade – propriedade de salvaguarda da exatidão e completeza de ativos. [ISO/IEC 13335-1:2004]
Risco residual – risco remanescente após o tratamento de riscos. [ABNT ISO/IEC Guia 73:2005]
Aceitação do risco – decisão de aceitar um risco. [ABNT ISO/IEC Guia 73:2005]
Análise de riscos – uso sistemático de informações para identificar fontes e estimar o risco. [ABNT ISO/IEC Guia 73:2005]
Análise/Avaliação de riscos – processo completo de analise e avaliação de risco. [ABNT ISO/IEC Guia 73:2005]
Avaliação de riscos – processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco.
[ABNT ISO/IEC Guia 73:2005]
Gestão de risco – atividade coordenada para direcionar e controlar uma organização no que se refere a risco. (nota- A gestão de riscos
geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. [ABNT
ISO/IEC Guia 73:2005]
Tratamento do risco – processo de selleção e implementação de medidas para modificar um risco. [ABNT ISO/IEC Guia 73:2005]
Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle e controles que são pertinentes e
aplicáveis ao SGSI da organização.](https://image.slidesharecdn.com/alinhandoabnt17799e27001-110520002945-phpapp01/85/Alinhando-abnt-17799_e_27001-5-320.jpg)
Alinhando abnt 17799_e_27001
- 1. Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, [email protected] Resumo Este artigo apresenta uma breve descrição sobre a abrangência das normas técnicas brasileira sobre segurança da informação. Apresenta também um novo modelo arquitetônico para segurança de redes descrito pela associação internacional de segurança da informação. Finalmente apresenta uma ferramenta de trabalho que auxilia o responsável pela segurança computacional do instituto/departamento/órgão a planejar as implantações necessárias em atendimento às normas brasileiras. Palavras-Chave (exemplo): Segurança Computacional, NBR-17799 e NBR27001, Norma Técnica, Brigada de Segurança da Informação. 1. Introdução informação tem valor e deve ser protegido. As pessoas, seus conhecimentos, também são ativos, marca, Inicialmente devemos esclarecer o porquê de imagem, também são ativos, todos devem ser adotarmos determinadas normas, para posteriormente preservados e mantidos pelo valor que todos entendermos a sua abrangência e a sua aplicabilidade. representam. Após este entendimento do porque adotarmos ações Aqui, mais do que em qualquer lugar, o condizentes com as normas, passaremos a observar a conhecimento é o ativo, além de ativo, conhecimento é norma sobre a analise dos grandes grupos de ação o “produto” que a universidade “comercializa”. É na abrangidos tanto pela NBR-17799 como pela NBR- transferência deste conhecimento que reside a sua 27001. Posteriormente apresentaremos uma ferramenta missão, assim como também é sua missão, gerar mais de trabalho que facilita a visualização da situação na conhecimento. qual o instituto encontra-se parametrizado com a O conhecimento gerado na USP está nas pessoas, norma e os objetivos propostos para adaptação das mas também está nos computadores, sejam servidores operações com as exigências normativas. ou computadores pessoais, sendo nos computadores Normas são entendidas como um conjunto de regras que armazenamos estes ativos/conhecimentos. É no ou orientações que visam qualidade, na atuação de ambiente computacional que é armazenado, uma tarefa. As normas em estudo buscam tornar o manipulado, organizado, construído e disponibilizado ambiente computacional das empresas, neste caso os grande parte deste ativo/conhecimento. Defender de institutos ou órgãos ligados à USP, mais seguros com ataques externos e ataques internos é o objetivo da relação à mitigar os incidentes computacionais, além segurança computacional de orientar sobre ações a serem tomadas, quando estes incidentes ocorrerem. 1.2 Tecnologia por si só não garante segurança da informação, diz estudo Módulo Security News-30 Out 2006 - 1.1 Motivação para um ambiente seguro. “-Os dois itens mais importantes na hora de manter Aplicar normas de segurança em um ambiente as informações da empresa em segurança são: a computacional, é mais do que modismo, é uma forma elaboração de políticas de segurança e o de garantir a existência de coerência nas ações dos gerenciamento de suporte adequados, seguido do nível coordenadores e executores das tarefas de de conscientização dos funcionários. Este é o resultado administração dos ambientes computacionais. Adotar de um estudo conduzido pela ONG educacional padrões reconhecidamente eficientes minimiza-se especializada em certificar profissionais de segurança problemas de incidentes relacionados às operações The International Information Systems Security sustentadas por computadores. Certification Consortium, em parceria com a Inicialmente devemos entender que informação é consultoria IDC.“ um dos ativo de uma empresa/instituto. Como ativo, a
- 2. 1.3 Nova Arquitetura para segurança de rede. Um breve histórico da evolução da norma até Proteger estruturas computacionais com aplicação chegar a ISO 27001: de barreiras por camadas é o modelo mais usual para a - 1995: publicada a primeira versão da BS 7799-1 blindagem das informações e dos recursos da rede. (BS 7799-1:1995 - Tecnologia da Informação - Código Com grande parte dos serviços e ambientes de prática para gestão da segurança da informação) computacionais suportado pela ethernet, novos - 1998: publicada a primeira versão da BS 7799-2 modelos de barragens estão sendo propostos. (BS 7799-2:1998 - Sistema de gestão da Segurança da Informação - Especificações e guia para uso) - 1999: publicada uma revisão da BS 7799-1 (BS 7799-1:1999 - Tecnologia da Informação - Código de prática para gestão da segurança da informação) - 2000: publicada a primeira versão da norma ISO/IEC 17799 (ISO/IEC 17799:2000 - Tecnologia da Informação - Código de prática para gestão da segurança da informação também referenciada como BS ISO/IEC 17799:2000) - 2001: publicada a primeira versão da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2001 - Tecnologia da Informação - Código de prática para gestão da segurança da informação) - 2002: publicada revisão da norma BS 7799 parte 2 (BS7799-2:2002 - Sistema de gestão da Segurança da Informação - Especificações e guia para uso). - Agosto/2005: publicada a segunda versão da Segurança por zona em três camadas, (ISSA Journal, abril 2006) norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2005 - Tecnologia da Informação - Código de prática para gestão da segurança da informação); O modelo que apresentarei é uma nova abordagem - Outubro/2005: publicada a norma ISO 27001 arquitetônica para este bloqueio. A proposta (ISO/IEC 27001:2005 - Tecnologia da Informação - encontrada em publicações específicas, apresenta uma Técnicas de segurança - Sistema de gestão da nova forma de blindar os serviços e os recursos. Segurança da Informação - Requisitos). Baseado em virtualização do serviços e recursos, podemos formar uma barreira única de acesso 2.1 Tópicos Relevantes da ABNT NBR ISO/IEC- facilitando os serviços de controle e manutenção desta 17799 barreira. Ao virtualizar o data center, estas barreiras Segurança para sistemas de informações foi um dos facilitam o planejamento de ações minimizando os primeiros itens a definirem padrões. A gerência de recursos oferecidos aos essencialmente necessários. segurança da informação visa identificar os riscos e implantar medidas que de forma efetiva tornem estes riscos gerenciáveis e minimizados. A NBR ISO IEC 17799:2005 é um código de práticas de gestão de segurança da informação. Sua importância pode ser dimensionada pelo número crescente de pessoas e variedades de ameaças a que a informação é exposta na rede de computadores. 2.2 Os objetivos explícitos desta norma são: Estabelecer um referencial para as organizações desenvolverem, implementarem e avaliarem a gestão da segurança de informação. Em sua documentação a ABNT NBR-ISO/IEC- Nova Arquitetura de segurança, usuários com acesso por rede ao Virtual Data Center. (ISSA Journal, abril 2006) 17799:2005 aborda 11 tópicos principais: • 1. Política de segurança - onde descreve a importância e relaciona os principais assuntos que devem ser abordados numa política de segurança. • 2. Segurança organizacional - aborda a estrutura 2. Entendendo a NBR 17799 de uma gerência para a segurança de informação, assim como aborda o estabelecimento de 2.2 Linha do Tempo da Norma responsabilidades incluindo terceiros e fornecedores ISO /IEC 17799:2000 & ISO/IEC 27001:2005 de serviços.
- 3. • 3. Classificação e controle de ativos de c-) monitoração e analise crítica do desempenho e informação - trabalha a classificação, o registro e o eficácia do SGSI; e controle dos ativos da organização. d-) melhoria contínua baseada em medições • 4. Segurança em pessoas - tem como foco o risco objetivas. decorrente de atos intencionais ou acidentais feitos por Para a execução e implantação desta norma, é pessoas. Também é abordada a inclusão de sugerido uma atuação baseada no modelo PDCA. responsabilidades relativas à segurança na descrição "Plan-Do-Check-Act"(PDCA) dos cargos, a forma de contratação e o treinamento em assuntos relacionados à segurança. • 5. Segurança ambiental e física - aborda a necessidade de se definir áreas de circulação restrita e a necessidade de proteger equipamentos e a infra- estrutura de tecnologia de Informação. • 6. Gerenciamento das operações e comunicações - aborda as principais áreas que devem ser objeto de especial atenção da segurança. Dentre estas áreas destacam-se as questões relativas a procedimentos operacionais e respectivas responsabilidades, homologação e implantação de “Plan” – Planejar – Estabelecer o SGSI – sistemas, gerência de redes, controle e prevenção de Estabelecer a política, objetivos, processos e vírus, controle de mudanças, execução e guarda de procedimentos do SGSI, relevantes para a gestão de backup, controle de documentação, segurança de riscos e a melhoria da segurança da informação para correio eletrônico, entre outras. produzir resultados de acordo com as políticas e • 7. Controle de acesso - aborda o controle de objetivos globais de uma organização. acesso a sistemas, a definição de competências, o “Do” – Fazer – Implementar e Operar o SGSI - sistema de monitoração de acesso e uso, a utilização de Implementar e operar as políticas, controles, processos senhas, dentre outros assuntos. e procedimentos do SGSI. • 8. Desenvolvimento e manutenção de sistemas - “Check” – Checar/Monitorar/Analisar Criticamente são abordados os requisitos de segurança dos sistemas, – Avaliar e, quando aplicável, medir o desempenho de controles de criptografia, controle de arquivos e um processo frente à política, objetivos e experiências segurança do desenvolvimento e suporte de sistemas. práticas do SGSI e apresentar os resultados para a • 9. Gestão de incidentes de segurança - incluída analise crítica pela direção. na versão 2005, apresenta dois itens: Notificação de “Act” – Agir – Manter e melhorar o SGSI – fragilidades e eventos de segurança da informação e Executar as ações corretivas e preventivas, com base gestão de incidentes de segurança da informação e nos resultados da auditoria interna do SGSI e da melhorias. análise crítica pela direção ou outra informação • 10. Gestão da continuidade do negócio - reforça pertinente, para alcançar a melhoria contínua do SGSI. a necessidade de se ter um plano de continuidade e (ABNT ISO/IEC-27001) contingência desenvolvido, implementado, testado e atualizado. 3.1 Norma ABNT NBR ISO/IEC-27001-2005 • 11. Conformidade - aborda a necessidade de “- A nova família da série ISO IEC 27000-27009 observar os requisitos legais, tais como a propriedade está relacionada com os requisitos mandatários da intelectual e a proteção das informações de clientes. ISO/IEC 27001:2005, como, por exemplo, a definição do escopo do Sistema de Gestão da Segurança da 3. Entendendo a NBR 27001 Informação, a avaliação de riscos, a identificação de ativos e a eficácia dos controles implementados.” 3.1 Processo de Gestão (Módulo Security- acesso 01/11/2006 - A abordagem de processo para a gestão da http://www.modulo.com.br/checkuptool/artigo_15.htm) segurança da informação apresentada nesta norma Esta Norma promove a adoção de uma abordagem encoraja que seus usuários enfatizem a importância de: de processo para estabelecer e implementar, operar, a-) entendimento dos requisitos de segurança da monitorar, analisar criticamente, manter e melhorar o informação de uma organização e da necessidade de SGSI- Sistema de Gerenciamento da Segurança da estabelecer uma política e objetivos para a segurança Informação, de uma organização. da informação; Para esta abordagem, a norma orienta à observação b-) implantação e operação de controles para de um conjunto de ações e tarefas. Estas ações devem gerenciar os riscos de segurança da informação de uma ser planejadas visando à eficiência de sua aplicação. organização no contexto dos riscos de negócio globais Destaco como pontos importantes para a da organização; aplicabilidade da norma as ações referidas em 3.2, destaco ainda que todas as ações propostas devam ser
- 4. discutidas e aperfeiçoadas em conjunto com os Desenhar um mapa com estes requisitos, seus usuários envolvidos. Assim o sendo, a aplicabilidade desdobramentos, suas ações, as ações já implantadas torna-se um consenso e uma regra apoiada por todos. as em implantação as primordiais, as polêmicas, Obter o envolvimento e aprovação da direção é outro facilita as decisões necessárias. ponto fundamental para a adoção da regra. 4.1 Preparação dos Requisitos 3.2 Tabela dos principais requisitos referenciados O mapa conceitual destes requisitos deve refletir a na ABNT-NBR-27001 ligação entre as ações identificadas e os requisitos O planejamento das ações relativas à norma deve descritos nas normas. atender a um conjunto de requisitos. Na tabela a seguir Utilizando de cores, símbolos, marcas, sinais e apresento alguns destes macro requisitos. outros, o mapa torna claros os objetivos do plano de ação. Requisitos gerais 4.2 - Estabelecendo e Gerenciando o SGSI. 4.2 Preparação do Mapa 4.2.1 - Estabelecer o SGSI. O “Mapa Conceitual” construído a partir destes 4.2.2 - Implementar e operar o SGSI. requisitos deve refletir a ligação entre as ações 4.2.3 - Monitorar e analisar criticamente o identificadas e os requisitos normativos. SGSI. A construção do Mapa de Segurança deve observar 4.2.4 - Manter e melhorar o SGSI. a área sobre a qual se quer atuar, levando-se em conta 4.3 – Requisitos de Documentação a mais abrangente e completa avaliação como foco do 4.3.1 – A documentação de SGSI deve levantamento e desenho do SGSI. incluir. (disponibilize, publique, torne Para a construção do SGSI observamos a mais público) completa avaliação para mapearmos a área de atuação 4.3.2 – Controle de documentos. desejada. Devemos também planejar as etapas de (disponibilize, publique, torne público) implantação seguimentando o Mapa de Atuação, de 4.3.3 –Controle de registros uma forma aplicável levando-se em conta sempre o grau de maturidade existente no ambiente de sua 5 – Responsabilidade da direção. aplicação, “Não ser mais realista que o Rei”, 5.1 – Comprometimento da direção identificada no levantamento do mapa da situação 5.2 – Gestão de Risco atual de maturidade para segurança. 5.2.1 – Provisão de Recursos. O “Mapa” deve conter informações que permitam 5.2.2 – Treinamento, conscientização e identificar ações facilitadoras para a pulverização da competência cultura de segurança da informação como a construção 6 – Auditorias internas. de uma “Brigada de Segurança da Informação” nos 6.1 – Questões a serem auditadas. moldes de uma brigada de incêndio, com o objetivo de 7 – Analise crítica do SGSI. “Pulverizar e Conscientizar” sobre as práticas de 7.1 – Analisar com periodicidade, ao menos segurança da Informação. uma vez por ano. Deve constar no “Mapa” às ações de divulgação 7.2 - Entradas para analise crítica. planejadas para atingir as etapas previstas no SGSI, 7.3 – Saídas da analise crítica. devendo ainda desenhar os modelos de “Documentos 8 – Melhoria do SGSI. Padrão” que objetivam a divulgação bem como os 8.1 – Melhoria continuada. locais de afixação destes avisos facilitando a 8.2 – Ação corretiva. pulverização dos conceitos de segurança. 8.3 – Ação preventiva. Deverá ainda conter o plano de treinamento que Estes macro requisitos devem ser observados e será aplicado, contendo conteúdos, públicos alvos e seguidos para a composição do SGSI. possíveis datas para estas ações. Ao planejarmos os treinamentos, devemos fazê-lo para todos os níveis e 4. Ferramenta para trabalhar normalizado todos os envolvidos, Docentes, Discentes, Funcionários. Todas estas ações deverão estar contidas Elaborar um plano sobre segurança da informação no mapa de forma clara e objetiva, tornando-se uma requer uma metodologia. A metodologia aqui ferramenta de trabalho e planejamento do SGSI. apresentada relaciona as ações identificadas nas Ao término desta fase devemos ter em mãos dois normas e as ações identificadas no ambiente foco da mapas, um relativo aos itens abrangidos pela ação. normalização e um outro construído pela avaliação do Obter com clareza as ações necessárias, as ações escopo pretendido com a geração destas regras, o emergenciais, as ações facilitadoras, permite o SGSI. planejamento do SGSI. A ferramenta proposta, além de facilitar a visualização, facilita o acompanhamento e a localização das etapas já decorridas do SGSI.
- 5. 4.3 Construção do Mapa 4.3 Aplicação do Mapa Para a construção do mapa conceitual deve-se partir O “Mapa de Segurança” como ferramenta para pelo objeto a ser construído, o SGSI, qual deve rápida visualização do SGSI adotado, deve ficar conectar-se aos requisitos exigidos pelas normas. exposto em lugar visível e de fácil acesso aos A junção dos dois “Mapas” apresentará um mapa envolvidos diretamente na implantação do SGSI, onde facilita a localização das ações do plano e os assim como poderá ser apresentado etapa por etapa aos requisitos das normas. demais membros da comunidade envolvida na Podemos então, utilizando-se de cores, símbolos, implantação do SGSI. marcas, sinais e outros métodos demarcadores de posição, utilizar o mapa com uma ótica mais clara para 5. Conclusão qualquer leitor, dos objetivos do plano de ação. Administrar ambientes computacionais implica em atender as normas e diretrizes da organização. A não conformidade às normas ou o descumprimento ou a não observância implica em penalização legal por omissão a estas. A alegação de desconhecimento não tem valor legal. Referências ABNT NBR ISO/IEC27001 de 03/2006 ABNT NBR ISO/IEC17799 de 2001 ABNT NBR ISO/IEC 13335-1:2004 ABNT NBR ISO/IEC TR 18044-1:2004 ABNT NBR ISO/IEC Guia 73:2005] ISSA-Information System Security Association Journal. Módulo Security News -visitado em 30 Out 2006– http://www.modulo.com.br/index.jsp?page=3&catid=7&o bjid=4885&pagecounter=0&idiom=0 Anexo 1 Vocabulário referencial para SI Ativo – qualquer coisa que tenha valor para a organização. [ISO/IEC 13335-1:2004] Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada. [ISO/IEC 13335-1:2004] Confiabilidade – propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. [ISO/IEC 13335-1:2004] Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. [ABNT NBR ISO/IEC 17799:2005] Evento de segurança da Informação – uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. [ISO/IEC TR 18044-1:2004] Incidente de Segurança da Informação – um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. [ISO/IEC TR 18044-1:2004] SGSI – Sistema de gestão da segurança da informação – a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. (nota o sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos). Integridade – propriedade de salvaguarda da exatidão e completeza de ativos. [ISO/IEC 13335-1:2004] Risco residual – risco remanescente após o tratamento de riscos. [ABNT ISO/IEC Guia 73:2005] Aceitação do risco – decisão de aceitar um risco. [ABNT ISO/IEC Guia 73:2005] Análise de riscos – uso sistemático de informações para identificar fontes e estimar o risco. [ABNT ISO/IEC Guia 73:2005] Análise/Avaliação de riscos – processo completo de analise e avaliação de risco. [ABNT ISO/IEC Guia 73:2005] Avaliação de riscos – processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco. [ABNT ISO/IEC Guia 73:2005] Gestão de risco – atividade coordenada para direcionar e controlar uma organização no que se refere a risco. (nota- A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. [ABNT ISO/IEC Guia 73:2005] Tratamento do risco – processo de selleção e implementação de medidas para modificar um risco. [ABNT ISO/IEC Guia 73:2005] Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização.