• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Principais mudanças na nova ISO 27002

    Atualizado em 25-09-2013: Este post do blog foi atualizado de acordo com a versão final da ISO 27002:2013 que foi publicada em 25 de setembro de 2013

    Em meu post anterior eu analisei as mudanças entre a antiga ISO 27001 (publicada em 2005) e a nova versão 2013; naturalmente, os controles do Anexo A da ISO 27001 não podem mudar sem alterar a ISO 27002 porque a essência destas duas normas é estarem alinhadas.

    Então, vamos dar uma olhada nas mudanças na ISO 27002. Aqui eu focarei principalmente em como os controles estão estruturados, e não muito em suas descrições – assim aqui estão as principais diferenças:

    Número de seções – como esperado, o número de seções aumentou – de 11 seções contendo controles na norma antiga para 14 na nova. Desta forma, o problema na norma antiga, onde alguns controles foram artificialmente inseridos em certas áreas onde não pertenciam, está agora resolvido.

    Número de controles – surpreendentemente, o número de controle diminuiu – de 133 para apenas 114! Isto se deve a eliminação de alguns controles que eram muito específicos ou estavam desatualizados.

    Estrutura de seções – Criptografia tornou-se uma seção separada (#10) – ela não é (logicamente) mais parte da Aquisição, desenvolvimento e manutenção de sistemas de informação. Algo similar aconteceu com o Relacionamento na cadeia de suprimento – como merecido, ele se tornou uma seção separada (#15). A gestão das operações e comunicações está dividida agora em Segurança nas operações (seção 12) e Segurança nas comunicações (agora seção 13). Aqui está como as seções se parecem agora:

    • 5 Políticas de segurança da informação
    • 6 Organização da segurança da informação
    • 7 Segurança em recursos humanos
    • 8 Gestão de ativos
    • 9 Controle de acesso
    • 10 Criptografia
    • 11 Segurança física e do ambiente
    • 12 Segurança nas operações
    • 13 Segurança nas comunicações
    • 14 Aquisição, desenvolvimento e manutenção de sistemas
    • 15 Relacionamento na cadeia de suprimento
    • 16 Gestão de incidentes de segurança da informação
    • 17 Aspectos da segurança da informação na gestão da continuidade do negócio
    • 18 Conformidade

    Posicionamento de categorias de segurança – categorias foram misturadas um pouco:

    • Dispositivos móveis e trabalho remoto, anteriormente em Controle de acesso, é agora 6.2 – parte da seção 6 Organização da segurança da informação.
    • Tratamento de mídia era anteriormente parte da gestão de operações e comunicações, mas agora ele é 8.3, parte de 8 Gestão de ativos.
    • Controle de acesso ao sistema operacional e Controle de acesso a aplicação e informação, agora estão unidos no Controle de acesso ao sistema e a aplicação (9.4), e permaneceu na seção 9 Controle de acesso.
    • Controle de software operacional, anteriormente um controle único na Aquisição, desenvolvimento e manutenção de sistema de informação, é agora uma categoria separada 12.5, parte da seção Segurança nas operações.
    • Considerações para a auditoria de sistemas de informação foram movidas de Conformidade para 12.7, parte da seção Segurança nas operações.
    • Uma categoria de segurança chamada Controle de acesso a rede foi excluída, e alguns de seus controles foram movidos para a seção 13 Segurança nas comunicações.
    • Transferência de informação (anteriormente chamada de Troca de informações) é agora 13.2, parte da seção 13 Segurança nas comunicações.
    • A controversa categoria Processamento correto de aplicações (parte da antiga Aquisição, desenvolvimento e manutenção de sistema de informação) foi excluída.
    • Serviços de comércio eletrônico não existem mais como uma categoria separada, e os controles foram unidos em 14.1 Requisitos de segurança de sistemas de informação.
    • Duas categorias da seção Gestão de incidentes de segurança da informação estão agora unidas em uma.
    • A seção de continuidade de negócio recebeu uma nova categoria – 17.2 Redundâncias. Basicamente, esta é sobre recuperação de desastre.

    Novos controles – aqui estão uns poucos controles que são novos:

    • 14.2.1 Política de desenvolvimento seguro – regras para o desenvolvimento de software e sistemas de informação
    • 14.2.5 Princípios para projetar sistemas seguros – princípios para a engenharia de sistemas
    • 14.2.6 Ambiente para desenvolvimento seguro – estabelecimento e proteção de ambiente de desenvolvimento
    • 14.2.8 Teste de segurança do sistema – testes de funcionalidade de segurança
    • 16.1.4 Avaliação e decisão dos eventos de segurança da informação – este é parte da gestão de incidentes
    • 17.2.1 Disponibilidade dos recursos de processamento da informação – obtendo redundância

    Controles que foram excluídos – finalmente, aqui estão alguns dos controles que não existem mais:

    • 6.2.2 Identificando a segurança da informação, quando tratando com clientes
    • 10.4.2 Controles contra códigos móveis
    • 10.7.3 Procedimentos para tratamento de informação
    • 10.7.4 Segurança da documentação dos sistemas
    • 10.8.5 Sistemas de informações do negócio
    • 10.9.3 Informações publicamente disponíveis
    • 11.4.2 Autenticação para conexão externa do usuário
    • 11.4.3 Identificação de equipamento em rede
    • 11.4.4 Proteção de portas de configuração e diagnóstico remotos
    • 11.4.6 Controle de conexão de rede
    • 11.4.7 Controle de roteamento de redes
    • 12.2.1 Validação dos dados de entrada
    • 12.2.2 Controle do processamento interno
    • 12.2.3 Integridade de mensagens
    • 12.2.4 Validação dos dados de saída
    • 11.5.5 Limite de tempo de sessão
    • 11.5.6 Limitação de horário de conexão
    • 11.6.2 Isolamento de sistemas sensíveis
    • 12.5.4 Vazamento de informações
    • 14.1.2 Continuidade de negócios e análise/avaliação de riscos
    • 14.1.3 Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação
    • 14.1.4 Estrutura do plano de continuidade do negócio
    • 15.1.5 Prevenção de mau uso de recursos de processamento da informação
    • 15.3.2 Proteção de ferramentas de auditoria de sistemas de informação

    Uma vez que a estrutura da ISO 27002 está completamente alinhada com os controles da ISO 27001, todas estas mudanças também são válidas para o novo Anexo A da ISO 27001.

    A primeira vista, existem muitas mudanças… Contudo, não entendo que muitas delas sejam realmente fundamentais – muitas vem na verdade corrigir a estrutura incorreta da antiga ISO 27002, e adicionar controles que estavam faltando em primeiro lugar. Algumas coisas realmente mudaram – como segurança de rede e o processo de desenvolvimento – estas área agora são descritas de forma menos restritiva e com isso dando mais liberdade para as organizações sobre como implementá-las.

    Para concluir, eu gostei destas mudanças – parece-me que implementar esta nova norma será mais fácil.

    Para saber mais sobre os controles de segurança da ISO 27002, confira este livro ISO 27001 Annex A Controls in Plain English.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.
    Tag: #ISO 27001