• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Principais mudanças na nova ISO 27002

    Atualizado em 25-09-2013: Este post do blog foi atualizado de acordo com a versão final da ISO 27002:2013 que foi publicada em 25 de setembro de 2013

    Em meu post anterior eu analisei as mudanças entre a antiga ISO 27001 (publicada em 2005) e a nova versão 2013; naturalmente, os controles do Anexo A da ISO 27001 não podem mudar sem alterar a ISO 27002 porque a essência destas duas normas é estarem alinhadas.

    Então, vamos dar uma olhada nas mudanças na ISO 27002. Aqui eu focarei principalmente em como os controles estão estruturados, e não muito em suas descrições – assim aqui estão as principais diferenças:

    Número de seções – como esperado, o número de seções aumentou – de 11 seções contendo controles na norma antiga para 14 na nova. Desta forma, o problema na norma antiga, onde alguns controles foram artificialmente inseridos em certas áreas onde não pertenciam, está agora resolvido.

    Número de controles – surpreendentemente, o número de controle diminuiu – de 133 para apenas 114! Isto se deve a eliminação de alguns controles que eram muito específicos ou estavam desatualizados.

    Estrutura de seções – Criptografia tornou-se uma seção separada (#10) – ela não é (logicamente) mais parte da Aquisição, desenvolvimento e manutenção de sistemas de informação. Algo similar aconteceu com o Relacionamento na cadeia de suprimento – como merecido, ele se tornou uma seção separada (#15). A gestão das operações e comunicações está dividida agora em Segurança nas operações (seção 12) e Segurança nas comunicações (agora seção 13). Aqui está como as seções se parecem agora:

    • 5 Políticas de segurança da informação
    • 6 Organização da segurança da informação
    • 7 Segurança em recursos humanos
    • 8 Gestão de ativos
    • 9 Controle de acesso
    • 10 Criptografia
    • 11 Segurança física e do ambiente
    • 12 Segurança nas operações
    • 13 Segurança nas comunicações
    • 14 Aquisição, desenvolvimento e manutenção de sistemas
    • 15 Relacionamento na cadeia de suprimento
    • 16 Gestão de incidentes de segurança da informação
    • 17 Aspectos da segurança da informação na gestão da continuidade do negócio
    • 18 Conformidade

    Posicionamento de categorias de segurança – categorias foram misturadas um pouco:

    • Dispositivos móveis e trabalho remoto, anteriormente em Controle de acesso, é agora 6.2 – parte da seção 6 Organização da segurança da informação.
    • Tratamento de mídia era anteriormente parte da gestão de operações e comunicações, mas agora ele é 8.3, parte de 8 Gestão de ativos.
    • Controle de acesso ao sistema operacional e Controle de acesso a aplicação e informação, agora estão unidos no Controle de acesso ao sistema e a aplicação (9.4), e permaneceu na seção 9 Controle de acesso.
    • Controle de software operacional, anteriormente um controle único na Aquisição, desenvolvimento e manutenção de sistema de informação, é agora uma categoria separada 12.5, parte da seção Segurança nas operações.
    • Considerações para a auditoria de sistemas de informação foram movidas de Conformidade para 12.7, parte da seção Segurança nas operações.
    • Uma categoria de segurança chamada Controle de acesso a rede foi excluída, e alguns de seus controles foram movidos para a seção 13 Segurança nas comunicações.
    • Transferência de informação (anteriormente chamada de Troca de informações) é agora 13.2, parte da seção 13 Segurança nas comunicações.
    • A controversa categoria Processamento correto de aplicações (parte da antiga Aquisição, desenvolvimento e manutenção de sistema de informação) foi excluída.
    • Serviços de comércio eletrônico não existem mais como uma categoria separada, e os controles foram unidos em 14.1 Requisitos de segurança de sistemas de informação.
    • Duas categorias da seção Gestão de incidentes de segurança da informação estão agora unidas em uma.
    • A seção de continuidade de negócio recebeu uma nova categoria – 17.2 Redundâncias. Basicamente, esta é sobre recuperação de desastre.

    Novos controles – aqui estão uns poucos controles que são novos:

    • 14.2.1 Política de desenvolvimento seguro – regras para o desenvolvimento de software e sistemas de informação
    • 14.2.5 Princípios para projetar sistemas seguros – princípios para a engenharia de sistemas
    • 14.2.6 Ambiente para desenvolvimento seguro – estabelecimento e proteção de ambiente de desenvolvimento
    • 14.2.8 Teste de segurança do sistema – testes de funcionalidade de segurança
    • 16.1.4 Avaliação e decisão dos eventos de segurança da informação – este é parte da gestão de incidentes
    • 17.2.1 Disponibilidade dos recursos de processamento da informação – obtendo redundância

    Controles que foram excluídos – finalmente, aqui estão alguns dos controles que não existem mais:

    • 6.2.2 Identificando a segurança da informação, quando tratando com clientes
    • 10.4.2 Controles contra códigos móveis
    • 10.7.3 Procedimentos para tratamento de informação
    • 10.7.4 Segurança da documentação dos sistemas
    • 10.8.5 Sistemas de informações do negócio
    • 10.9.3 Informações publicamente disponíveis
    • 11.4.2 Autenticação para conexão externa do usuário
    • 11.4.3 Identificação de equipamento em rede
    • 11.4.4 Proteção de portas de configuração e diagnóstico remotos
    • 11.4.6 Controle de conexão de rede
    • 11.4.7 Controle de roteamento de redes
    • 12.2.1 Validação dos dados de entrada
    • 12.2.2 Controle do processamento interno
    • 12.2.3 Integridade de mensagens
    • 12.2.4 Validação dos dados de saída
    • 11.5.5 Limite de tempo de sessão
    • 11.5.6 Limitação de horário de conexão
    • 11.6.2 Isolamento de sistemas sensíveis
    • 12.5.4 Vazamento de informações
    • 14.1.2 Continuidade de negócios e análise/avaliação de riscos
    • 14.1.3 Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação
    • 14.1.4 Estrutura do plano de continuidade do negócio
    • 15.1.5 Prevenção de mau uso de recursos de processamento da informação
    • 15.3.2 Proteção de ferramentas de auditoria de sistemas de informação

    Uma vez que a estrutura da ISO 27002 está completamente alinhada com os controles da ISO 27001, todas estas mudanças também são válidas para o novo Anexo A da ISO 27001.

    A primeira vista, existem muitas mudanças… Contudo, não entendo que muitas delas sejam realmente fundamentais – muitas vem na verdade corrigir a estrutura incorreta da antiga ISO 27002, e adicionar controles que estavam faltando em primeiro lugar. Algumas coisas realmente mudaram – como segurança de rede e o processo de desenvolvimento – estas área agora são descritas de forma menos restritiva e com isso dando mais liberdade para as organizações sobre como implementá-las.

    Para concluir, eu gostei destas mudanças – parece-me que implementar esta nova norma será mais fácil.

    Para saber mais sobre os controles de segurança da ISO 27002, confira este livro ISO 27001 Annex A Controls in Plain English.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Conecte-se com Dejan:
    Tag: #ISO 27001