DESCONTO BLACK FRIDAY
Ganhe 30% de desconto em kits de documentação, exames de cursos e planos anuais do Conformio e da Company Training Academy.
Oferta por tempo limitado – termina em 2 de dezembro de 2024
Use o código promocional:
30OFFBLACK

Principais mudanças na nova ISO 27002

Atualizado em 25-09-2013: Este post do blog foi atualizado de acordo com a versão final da ISO 27002:2013 que foi publicada em 25 de setembro de 2013

Em meu post anterior eu analisei as mudanças entre a antiga ISO 27001 (publicada em 2005) e a nova versão 2013; naturalmente, os controles do Anexo A da ISO 27001 não podem mudar sem alterar a ISO 27002 porque a essência destas duas normas é estarem alinhadas.

Então, vamos dar uma olhada nas mudanças na ISO 27002. Aqui eu focarei principalmente em como os controles estão estruturados, e não muito em suas descrições – assim aqui estão as principais diferenças:

Número de seções – como esperado, o número de seções aumentou – de 11 seções contendo controles na norma antiga para 14 na nova. Desta forma, o problema na norma antiga, onde alguns controles foram artificialmente inseridos em certas áreas onde não pertenciam, está agora resolvido.

Número de controles – surpreendentemente, o número de controle diminuiu – de 133 para apenas 114! Isto se deve a eliminação de alguns controles que eram muito específicos ou estavam desatualizados.

Estrutura de seções – Criptografia tornou-se uma seção separada (#10) – ela não é (logicamente) mais parte da Aquisição, desenvolvimento e manutenção de sistemas de informação. Algo similar aconteceu com o Relacionamento na cadeia de suprimento – como merecido, ele se tornou uma seção separada (#15). A gestão das operações e comunicações está dividida agora em Segurança nas operações (seção 12) e Segurança nas comunicações (agora seção 13). Aqui está como as seções se parecem agora:

  • 5 Políticas de segurança da informação
  • 6 Organização da segurança da informação
  • 7 Segurança em recursos humanos
  • 8 Gestão de ativos
  • 9 Controle de acesso
  • 10 Criptografia
  • 11 Segurança física e do ambiente
  • 12 Segurança nas operações
  • 13 Segurança nas comunicações
  • 14 Aquisição, desenvolvimento e manutenção de sistemas
  • 15 Relacionamento na cadeia de suprimento
  • 16 Gestão de incidentes de segurança da informação
  • 17 Aspectos da segurança da informação na gestão da continuidade do negócio
  • 18 Conformidade

Posicionamento de categorias de segurança – categorias foram misturadas um pouco:

  • Dispositivos móveis e trabalho remoto, anteriormente em Controle de acesso, é agora 6.2 – parte da seção 6 Organização da segurança da informação.
  • Tratamento de mídia era anteriormente parte da gestão de operações e comunicações, mas agora ele é 8.3, parte de 8 Gestão de ativos.
  • Controle de acesso ao sistema operacional e Controle de acesso a aplicação e informação, agora estão unidos no Controle de acesso ao sistema e a aplicação (9.4), e permaneceu na seção 9 Controle de acesso.
  • Controle de software operacional, anteriormente um controle único na Aquisição, desenvolvimento e manutenção de sistema de informação, é agora uma categoria separada 12.5, parte da seção Segurança nas operações.
  • Considerações para a auditoria de sistemas de informação foram movidas de Conformidade para 12.7, parte da seção Segurança nas operações.
  • Uma categoria de segurança chamada Controle de acesso a rede foi excluída, e alguns de seus controles foram movidos para a seção 13 Segurança nas comunicações.
  • Transferência de informação (anteriormente chamada de Troca de informações) é agora 13.2, parte da seção 13 Segurança nas comunicações.
  • A controversa categoria Processamento correto de aplicações (parte da antiga Aquisição, desenvolvimento e manutenção de sistema de informação) foi excluída.
  • Serviços de comércio eletrônico não existem mais como uma categoria separada, e os controles foram unidos em 14.1 Requisitos de segurança de sistemas de informação.
  • Duas categorias da seção Gestão de incidentes de segurança da informação estão agora unidas em uma.
  • A seção de continuidade de negócio recebeu uma nova categoria – 17.2 Redundâncias. Basicamente, esta é sobre recuperação de desastre.

Novos controles – aqui estão uns poucos controles que são novos:

  • 14.2.1 Política de desenvolvimento seguro – regras para o desenvolvimento de software e sistemas de informação
  • 14.2.5 Princípios para projetar sistemas seguros – princípios para a engenharia de sistemas
  • 14.2.6 Ambiente para desenvolvimento seguro – estabelecimento e proteção de ambiente de desenvolvimento
  • 14.2.8 Teste de segurança do sistema – testes de funcionalidade de segurança
  • 16.1.4 Avaliação e decisão dos eventos de segurança da informação – este é parte da gestão de incidentes
  • 17.2.1 Disponibilidade dos recursos de processamento da informação – obtendo redundância

Controles que foram excluídos – finalmente, aqui estão alguns dos controles que não existem mais:

  • 6.2.2 Identificando a segurança da informação, quando tratando com clientes
  • 10.4.2 Controles contra códigos móveis
  • 10.7.3 Procedimentos para tratamento de informação
  • 10.7.4 Segurança da documentação dos sistemas
  • 10.8.5 Sistemas de informações do negócio
  • 10.9.3 Informações publicamente disponíveis
  • 11.4.2 Autenticação para conexão externa do usuário
  • 11.4.3 Identificação de equipamento em rede
  • 11.4.4 Proteção de portas de configuração e diagnóstico remotos
  • 11.4.6 Controle de conexão de rede
  • 11.4.7 Controle de roteamento de redes
  • 12.2.1 Validação dos dados de entrada
  • 12.2.2 Controle do processamento interno
  • 12.2.3 Integridade de mensagens
  • 12.2.4 Validação dos dados de saída
  • 11.5.5 Limite de tempo de sessão
  • 11.5.6 Limitação de horário de conexão
  • 11.6.2 Isolamento de sistemas sensíveis
  • 12.5.4 Vazamento de informações
  • 14.1.2 Continuidade de negócios e análise/avaliação de riscos
  • 14.1.3 Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação
  • 14.1.4 Estrutura do plano de continuidade do negócio
  • 15.1.5 Prevenção de mau uso de recursos de processamento da informação
  • 15.3.2 Proteção de ferramentas de auditoria de sistemas de informação

Uma vez que a estrutura da ISO 27002 está completamente alinhada com os controles da ISO 27001, todas estas mudanças também são válidas para o novo Anexo A da ISO 27001.

A primeira vista, existem muitas mudanças… Contudo, não entendo que muitas delas sejam realmente fundamentais – muitas vem na verdade corrigir a estrutura incorreta da antiga ISO 27002, e adicionar controles que estavam faltando em primeiro lugar. Algumas coisas realmente mudaram – como segurança de rede e o processo de desenvolvimento – estas área agora são descritas de forma menos restritiva e com isso dando mais liberdade para as organizações sobre como implementá-las.

Para concluir, eu gostei destas mudanças – parece-me que implementar esta nova norma será mais fácil.

Para saber mais sobre os controles de segurança da ISO 27002, confira este livro ISO 27001 Annex A Controls in Plain English.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Tag: #ISO 27001