Como usar a série de normas NIST SP800 para a implementação da ISO 27001

Embora a ISO 27001, uma norma internacional para gestão de segurança da informação, forneça objetivos de controle e controles que cobre uma vasta gama de assuntos de segurança, eles não são exaustivos. Assim, as cláusulas 6.1.3 b) e c) ISO 27001 denotam que uma organização pode ir além dos controles da norma para definir níveis apropriados de segurança, desenvolvendo suas próprias soluções ou usando outras fontes de conhecimento.

Este artigo mostrará a você uma alternativa para a ISO 27002 como guia para apoiar a implementação de controles da ISO 27001: a série NIST SP 800. Você verá sobre o que eles tratam e sua estrutura geral comparada àquelas da ISO 27001 e ISO 27002.

A série NIST SP 800

A série NIST SP 800 é um conjunto de documentos livres para download do governo federal dos Estados Unidos, descrevendo políticas, procedimentos e diretrizes de segurança para computadores, publicados pelo NIST (National Institute of Standards and Technology), contendo mais de 130 documentos.

NIST_documentation_structure_figure

Figura: Estrutura da documentação do NIST

Documentos da série NIST SP 800 para gestão da segurança da informação e avaliação de risco

Assim como a série ISO 27000, a série SP 800 provê informações cobrindo práticas de gestão e operação da segurança da informação, mas em um número maio de documentos.

Para prover diretrizes específicas para a integração da gestão da segurança da informação com as operações organizacionais, a série NIST 800 SP tem o documento SP 800-39 – Managing Information Security Risk.

Para a avaliação de riscos, a série SP 800 possui um conjunto de documentos criado usando uma metodologia de risco em seis etapas:

  • Categorizar: priorização de sistemas de informação com base em avaliação de impacto. Detalhes são encontrados no documento SP 800-60 rev.1.
  • Selecionar: definição de controles a serem usados, com base na avaliação de impacto e baselines. SP 800-53 Rev.4 é o documento de referência para esta etapa.
  • Implementar: implementação de controles e elaboração de documentos. Detalhes são encontrados no documento SP 800-160.
  • Avaliação: confirmação de que os controles estão implementados corretamente, operam como pretendido, e produzem os resultados desejados. Detalhes são encontrados no documento SP 800-53 A rev.4.
  • Autorizar: aceitação do cenário de risco, e autorização para operação e uso dos sistemas de informação. Detalhes são encontrados no documento SP 800-37 rev.1.
  • Monitorar: acompanhamento em base regular dos sistemas de informação e ambiente operacional para se determinar a eficácia e conformidade dos controles. Detalhes são encontrados no documento SP 800-137.

Uma vez que a ISO 27001 requer, mas não prescreve nenhuma metodologia (cláusula 6.1.2), esta pode ser adotada por sua organização. Caso sua organização já tenha uma metodologia de avaliação de riscos, você pode mantê-la e usar apenas o catálogo de controles de segurança do documento.

Documentos da série NIST SP 800 para a implementação de controles de segurança da ISO 27001

A série SP 800 possui inúmeras normas que cobrem 256 salvaguardas. É aqui que o documento SP800-53 é muito útil, porque ele organiza todas as salvaguardas em 18 categorias:

Família Num. de controles Família Num. de controles
Controle de Acesso 25 Proteção de Mídia 8
Conscientização e Treinamento 5 Proteção física e ambiental 20
Auditoria e Responsabilização 16 Planejamento 9
Avaliação de Segurança e Autorização 9 Segurança de Pessoal 8
Planejamento de configuração 11 Avaliação de risco 6
Planejamento de contingência 13 Aquisição de sistemas e serviços 22
Identificação e Autenticação 11 Proteção de sistemas e comunicações 44
Resposta a incidentes 10 Integridade de sistemas e informações 17
Manutenção 6 Gestão de programa 16

Tabela: Famílias de controles de segurança e número de controles por família

Alguns documentos úteis na série SP 800 que são referenciados pelos controles do SP 800-53 Rev.4 são:

  • SP 800-61 rev. 2: diretrizes para detecção, análise, priorização e tratativas de incidentes para responder a eles de forma eficaz e eficiente (apoia o controle ISO 27001 A.16).
  • SP 800-50: diretrizes para a concepção, desenvolvimento, implementação e avaliação de um programa de conscientização e treinamento (apoia o controle ISO 27001 A.7.2.2).
  • SP 800-116: abordagem baseada em risco para a seleção de mecanismos de autenticação apropriados para gerir o acesso físico (apoia o controle ISO 27001 A.11.1.2).
  • SP 800-46 rev. 1: práticas para mitigação dos riscos associados com tecnologias usadas para tele trabalho (apoia o controle ISO 27001 A.6.2.2).
  • SP 800-122: orientações para a proteção da confidencialidade de informação de identificação pessoal (PII) em sistemas de informação (apoia o controle ISO 27001 A.18.1.4).
  • SP 800-161: guia para a identificação, avaliação, seleção e implementação de gestão de riscos e controles para gerir os riscos na cadeia de suprimento de TIC (apoia o controle ISO 27001 A.15).
  • SP 800-92: guia para o desenvolvimento, implementação e manutenção de práticas eficazes de gestão de logs (apoia o controle ISO 27001 A.12.4).
  • SP 800-88 rev.1: recomendações para a implementação de um programa de sanitização de mídias, considerando técnicas e controle para sanitização e disposição de informação sensível (apoia os controles ISO 27001 A.8.3.2 e A.11.2.7).
  • SP 800-83 rev.1: guia para a prevenção de incidentes com malware e resposta a incidentes com malware (apoia o controle ISO 27001 A.12.2.1).
  • SP 800-64 rev.2: descrição de papéis e responsabilidades chave requeridos no desenvolvimento de sistemas de informação, e informações sobre a relação entre segurança da informação e o Ciclo de Vida de Desenvolvimento de Software (apoia o controle ISO 27001 A.14.2).
  • SP 800-45 rev.2: prove práticas de segurança para a concepção, implementação e operação de sistemas de e-mail em redes públicas e privadas (apoia o controle ISO 27001 A.13.2.3).
  • SP 800-44 rev.2: apresenta práticas de segurança para a concepção, implementação e operação de servidores Web publicamente acessíveis e infraestrutura de rede relacionada (apoia o controle ISO 27001 A.14.1.2).
  • SP 800-41 rev.1: prove orientações no desenvolvimento de políticas de firewall e seleção, configuração, teste, implantação e gestão de firewalls (apoia o controle ISO 27001 A.13.1).
  • SP 800-34 rev.1: prove informações sobre o planejamento de contingências para sistemas de informação e outros tipos de planos de segurança e de contingência de emergência (SDLC) (apoia o controle ISO 27001 A.17).

Aumente suas opções através de múltiplas fontes de conhecimento

A implementação da segurança deve ter uma visão holística para ser eficaz, e para isso, quanto mais entradas para se definir controles, melhor.

A série de documentos SP 800 provê uma fonte alternativa gratuita de informações adicionais para se realizar o processo de avaliação de riscos e para projetar, implementar e gerir controles de segurança que podem ser equivalentes àqueles da ISO 27001 e ISO 27002 e ajudar sua organização a se preparar melhor para enfrentar riscos de uma forma mais confiável e efetiva em custos.

Para saber mais sobre a integração de outras fontes de controles de segurança em sua implementação da ISO 27001, experimente gratuitamente este ISO 27001 Lead Implementer Online Course.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.


Tag: #ISO 27001