Atualizado em 25-09-2013: Este post do blog foi atualizado de acordo com a versão final da ISO 27002:2013 que foi publicada em 25 de setembro de 2013
Em meu post anterior eu analisei as mudanças entre a antiga ISO 27001 (publicada em 2005) e a nova versão 2013; naturalmente, os controles do Anexo A da ISO 27001 não podem mudar sem alterar a ISO 27002 porque a essência destas duas normas é estarem alinhadas.
Então, vamos dar uma olhada nas mudanças na ISO 27002. Aqui eu focarei principalmente em como os controles estão estruturados, e não muito em suas descrições – assim aqui estão as principais diferenças:
Número de seções – como esperado, o número de seções aumentou – de 11 seções contendo controles na norma antiga para 14 na nova. Desta forma, o problema na norma antiga, onde alguns controles foram artificialmente inseridos em certas áreas onde não pertenciam, está agora resolvido.
Número de controles – surpreendentemente, o número de controle diminuiu – de 133 para apenas 114! Isto se deve a eliminação de alguns controles que eram muito específicos ou estavam desatualizados.
Estrutura de seções – Criptografia tornou-se uma seção separada (#10) – ela não é (logicamente) mais parte da Aquisição, desenvolvimento e manutenção de sistemas de informação. Algo similar aconteceu com o Relacionamento na cadeia de suprimento – como merecido, ele se tornou uma seção separada (#15). A gestão das operações e comunicações está dividida agora em Segurança nas operações (seção 12) e Segurança nas comunicações (agora seção 13). Aqui está como as seções se parecem agora:
- 5 Políticas de segurança da informação
- 6 Organização da segurança da informação
- 7 Segurança em recursos humanos
- 8 Gestão de ativos
- 9 Controle de acesso
- 10 Criptografia
- 11 Segurança física e do ambiente
- 12 Segurança nas operações
- 13 Segurança nas comunicações
- 14 Aquisição, desenvolvimento e manutenção de sistemas
- 15 Relacionamento na cadeia de suprimento
- 16 Gestão de incidentes de segurança da informação
- 17 Aspectos da segurança da informação na gestão da continuidade do negócio
- 18 Conformidade
Posicionamento de categorias de segurança – categorias foram misturadas um pouco:
- Dispositivos móveis e trabalho remoto, anteriormente em Controle de acesso, é agora 6.2 – parte da seção 6 Organização da segurança da informação.
- Tratamento de mídia era anteriormente parte da gestão de operações e comunicações, mas agora ele é 8.3, parte de 8 Gestão de ativos.
- Controle de acesso ao sistema operacional e Controle de acesso a aplicação e informação, agora estão unidos no Controle de acesso ao sistema e a aplicação (9.4), e permaneceu na seção 9 Controle de acesso.
- Controle de software operacional, anteriormente um controle único na Aquisição, desenvolvimento e manutenção de sistema de informação, é agora uma categoria separada 12.5, parte da seção Segurança nas operações.
- Considerações para a auditoria de sistemas de informação foram movidas de Conformidade para 12.7, parte da seção Segurança nas operações.
- Uma categoria de segurança chamada Controle de acesso a rede foi excluída, e alguns de seus controles foram movidos para a seção 13 Segurança nas comunicações.
- Transferência de informação (anteriormente chamada de Troca de informações) é agora 13.2, parte da seção 13 Segurança nas comunicações.
- A controversa categoria Processamento correto de aplicações (parte da antiga Aquisição, desenvolvimento e manutenção de sistema de informação) foi excluída.
- Serviços de comércio eletrônico não existem mais como uma categoria separada, e os controles foram unidos em 14.1 Requisitos de segurança de sistemas de informação.
- Duas categorias da seção Gestão de incidentes de segurança da informação estão agora unidas em uma.
- A seção de continuidade de negócio recebeu uma nova categoria – 17.2 Redundâncias. Basicamente, esta é sobre recuperação de desastre.
Novos controles – aqui estão uns poucos controles que são novos:
- 14.2.1 Política de desenvolvimento seguro – regras para o desenvolvimento de software e sistemas de informação
- 14.2.5 Princípios para projetar sistemas seguros – princípios para a engenharia de sistemas
- 14.2.6 Ambiente para desenvolvimento seguro – estabelecimento e proteção de ambiente de desenvolvimento
- 14.2.8 Teste de segurança do sistema – testes de funcionalidade de segurança
- 16.1.4 Avaliação e decisão dos eventos de segurança da informação – este é parte da gestão de incidentes
- 17.2.1 Disponibilidade dos recursos de processamento da informação – obtendo redundância
Controles que foram excluídos – finalmente, aqui estão alguns dos controles que não existem mais:
- 6.2.2 Identificando a segurança da informação, quando tratando com clientes
- 10.4.2 Controles contra códigos móveis
- 10.7.3 Procedimentos para tratamento de informação
- 10.7.4 Segurança da documentação dos sistemas
- 10.8.5 Sistemas de informações do negócio
- 10.9.3 Informações publicamente disponíveis
- 11.4.2 Autenticação para conexão externa do usuário
- 11.4.3 Identificação de equipamento em rede
- 11.4.4 Proteção de portas de configuração e diagnóstico remotos
- 11.4.6 Controle de conexão de rede
- 11.4.7 Controle de roteamento de redes
- 12.2.1 Validação dos dados de entrada
- 12.2.2 Controle do processamento interno
- 12.2.3 Integridade de mensagens
- 12.2.4 Validação dos dados de saída
- 11.5.5 Limite de tempo de sessão
- 11.5.6 Limitação de horário de conexão
- 11.6.2 Isolamento de sistemas sensíveis
- 12.5.4 Vazamento de informações
- 14.1.2 Continuidade de negócios e análise/avaliação de riscos
- 14.1.3 Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação
- 14.1.4 Estrutura do plano de continuidade do negócio
- 15.1.5 Prevenção de mau uso de recursos de processamento da informação
- 15.3.2 Proteção de ferramentas de auditoria de sistemas de informação
Uma vez que a estrutura da ISO 27002 está completamente alinhada com os controles da ISO 27001, todas estas mudanças também são válidas para o novo Anexo A da ISO 27001.
A primeira vista, existem muitas mudanças… Contudo, não entendo que muitas delas sejam realmente fundamentais – muitas vem na verdade corrigir a estrutura incorreta da antiga ISO 27002, e adicionar controles que estavam faltando em primeiro lugar. Algumas coisas realmente mudaram – como segurança de rede e o processo de desenvolvimento – estas área agora são descritas de forma menos restritiva e com isso dando mais liberdade para as organizações sobre como implementá-las.
Para concluir, eu gostei destas mudanças – parece-me que implementar esta nova norma será mais fácil.
Para saber mais sobre os controles de segurança da ISO 27002, confira este livro ISO 27001 Annex A Controls in Plain English.
Nós agradecemos a Rhand Leal pela tradução para o português.