Rhand Leal
maio 5, 2016
Embora a ISO 27001, uma norma internacional para gestão de segurança da informação, forneça objetivos de controle e controles que cobre uma vasta gama de assuntos de segurança, eles não são exaustivos. Assim, as cláusulas 6.1.3 b) e c) ISO 27001 denotam que uma organização pode ir além dos controles da norma para definir níveis apropriados de segurança, desenvolvendo suas próprias soluções ou usando outras fontes de conhecimento.
Este artigo mostrará a você uma alternativa para a ISO 27002 como guia para apoiar a implementação de controles da ISO 27001: a série NIST SP 800. Você verá sobre o que eles tratam e sua estrutura geral comparada àquelas da ISO 27001 e ISO 27002.
A série NIST SP 800 é um conjunto de documentos livres para download do governo federal dos Estados Unidos, descrevendo políticas, procedimentos e diretrizes de segurança para computadores, publicados pelo NIST (National Institute of Standards and Technology), contendo mais de 130 documentos.
Figura: Estrutura da documentação do NIST
Assim como a série ISO 27000, a série SP 800 provê informações cobrindo práticas de gestão e operação da segurança da informação, mas em um número maio de documentos.
Para prover diretrizes específicas para a integração da gestão da segurança da informação com as operações organizacionais, a série NIST 800 SP tem o documento SP 800-39 – Managing Information Security Risk.
Para a avaliação de riscos, a série SP 800 possui um conjunto de documentos criado usando uma metodologia de risco em seis etapas:
Uma vez que a ISO 27001 requer, mas não prescreve nenhuma metodologia (cláusula 6.1.2), esta pode ser adotada por sua organização. Caso sua organização já tenha uma metodologia de avaliação de riscos, você pode mantê-la e usar apenas o catálogo de controles de segurança do documento.
A série SP 800 possui inúmeras normas que cobrem 256 salvaguardas. É aqui que o documento SP800-53 é muito útil, porque ele organiza todas as salvaguardas em 18 categorias:
Família | Num. de controles | Família | Num. de controles |
Controle de Acesso | 25 | Proteção de Mídia | 8 |
Conscientização e Treinamento | 5 | Proteção física e ambiental | 20 |
Auditoria e Responsabilização | 16 | Planejamento | 9 |
Avaliação de Segurança e Autorização | 9 | Segurança de Pessoal | 8 |
Planejamento de configuração | 11 | Avaliação de risco | 6 |
Planejamento de contingência | 13 | Aquisição de sistemas e serviços | 22 |
Identificação e Autenticação | 11 | Proteção de sistemas e comunicações | 44 |
Resposta a incidentes | 10 | Integridade de sistemas e informações | 17 |
Manutenção | 6 | Gestão de programa | 16 |
Tabela: Famílias de controles de segurança e número de controles por família
Alguns documentos úteis na série SP 800 que são referenciados pelos controles do SP 800-53 Rev.4 são:
A implementação da segurança deve ter uma visão holística para ser eficaz, e para isso, quanto mais entradas para se definir controles, melhor.
A série de documentos SP 800 provê uma fonte alternativa gratuita de informações adicionais para se realizar o processo de avaliação de riscos e para projetar, implementar e gerir controles de segurança que podem ser equivalentes àqueles da ISO 27001 e ISO 27002 e ajudar sua organização a se preparar melhor para enfrentar riscos de uma forma mais confiável e efetiva em custos.
Para saber mais sobre a integração de outras fontes de controles de segurança em sua implementação da ISO 27001, experimente gratuitamente este ISO 27001 Lead Implementer Online Course.
Nós agradecemos a Rhand Leal pela tradução para o português.