Take the ISO 27001 course exam and get the EU GDPR course exam for free
LIMITED-TIME OFFER – VALID UNTIL SEPTEMBER 30, 2021
  • (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Como usar o NIST SP 800-53 para a implementação de controles da ISO 27001

    Em meu artigo anterior, Como usar a série de normas NIST SP 800 para a implementação da ISO 27001, fiz uma descrição sobre a série NIST SP800 (documentos descrevendo práticas de segurança para computadores, publicada pelo National Institute of Standards and Technology – NIST) e de alguns documentos específicos que podem ser usados para suportar uma implementação da ISO 27001.

    Neste artigo, detalharei o SP 800-53 Rev.4 – Security and Privacy Controls for Federal Information Systems and Organizations, que apresenta controles de segurança recomendados pelo NIST, e como esta informação pode ser usada em conjunto com a ISO 27002 para projetar e implementar os controles de segurança especificados no Anexo A da ISO 27001.

    Estrutura do SP 800-53 Rev. 4

    O SP 800-53 Rev.4 consiste de três capítulos e 10 apêndices:

    Estrutura do SP 800-53 Rev.4

    Figura – Estrutura do SP 800-53 Rev.4

    Capítulo um – Introdução: cobre o propósito e aplicabilidade do documento, identificação do público alvo, relação com outras publicações de controles de segurança, e responsabilidades organizacionais.

    Capítulo dois – Fundamentos: cobre conceitos usados para a seleção e especificação de controles de segurança, e.g., gestão de ricos (2.1), estrutura de controles de segurança (2.2), linhas de base (2.3), etc., provendo referências para documentação mais detalhada na série NIST SP 800 (veja o artigo supramencionado para mais informações).

    Capítulo três – Processo: descreve o processo para seleção e especificação de controles de segurança.

    Apêndices: como descrito na figura 1, cobre informação de apoio.

    Para o propósito deste artigo, apenas as partes mais importantes deste documento serão descritas.

    Estrutura dos controles de segurança (capítulo 2.2)

    A estrutura dos controles de segurança no SP 800-53 é muito similar à da ISO 27001. Seus 256 controles estão organizados em 18 famílias (contra os 114 controles organizados em 14 categorias na ISO 27001), cada um contendo controles relacionados ao tópico geral da família, como na ISO 27001.

    Os controles em cada família podem cobrir aspectos relacionados política, fiscalização, supervisão, processos manuais, ações por indivíduos, ou mecanismos automatizados, dependendo de sua aplicação (e.g., gestão, operação ou técnica), e são estruturados como se segue:

    • Controle: prescreve atividades básicas específicas relacionadas à segurança a serem executadas.
    • Orientações suplementares: prove informações adicionais para serem usadas conforme apropriado.
    • Melhorias para controle: provê medidas adicionais para as atividades de segurança descritas na seção de controle, considerando que, sob condições específicas, eles podem não ser suficientes para assegurar os níveis de proteção requeridos.
    • Referências: inclui uma lista de documentação aplicável considerada relevante para o controle (leis, regulamentações, normas, etc.), provendo links para outros documentos da série SP 800 (veja o artigo supramencionado para encontrar mais exemplos).
    • Alocação de prioridades e linhas de base: prove informação com relação a priorização de controles de segurança durante a implementação, e a alocação inicial de controles de segurança e melhorias de controle, considerando um modelo de impacto baixo-moderado-alto.

    Esta estrutura tem algumas similaridades com aquela da ISO 27002 (controle, orientações de implementação e outras informações), e também provê detalhes suficientes  para suportar a implementação do Anexo A da ISO 27001 (veja mais sobre o Anexo A aqui: Visão geral do Anexo A da ISO 27001:2013).

    Adicionalmente aos 256 controles de segurança, o SP 800-53 também prove uma família de 16 controles para a gestão de programas de segurança da informação, e 14 controles, agrupados em três famílias, para proteção da privacidade. Estas três listas de controles do SP 800-53 estão disponíveis nos Apêndices F (controle de segurança), G (programas de segurança da informação), e J (controles de privacidade).

    Mapeamento dos controles do SP 800-53 para o Anexo A da ISO 27001

    O Apêndice H-2 do SP 800-53 provê um mapeamento de seus controles de segurança para aqueles no Anexo A da ISO/IEC 27001. Alguns exemplos são:

    • 6.1.2 Segregação de funções mapeia para AC-5 Separação de Deveres
    • 8.3.2 Disposição de mídias mapeia para MP-6 Sanitização de Mídia
    • 12.3.1 Cópias de segurança das informações mapeia para CP-9 Backup de Sistema de Informação

    Embora este mapeamento possa acelerar a identificação de informação que pode ser usada para projetar ou melhorar controles de segurança da ISO 27001, uma vez que os dois conjuntos de controles foram criados sob diferentes expectativas (o SP 800-53 foi concebido para agências do governo dos EUA e a ISO 27001 para qualquer tipo de organização), em alguns casos eles podem não ser completamente equivalentes e este mapeamento deveria ser usado com cuidado.

    Faça o todo maior do que a soma das partes

    Embora as normas ISO forneçam práticas reconhecidas mundialmente, isto não significa que elas são a resposta definitiva para todos os assuntos que elas cobrem. Assim como em qualquer situação que enfrentamos no dia a dia, sempre haverá algo em outras fontes de conhecimento que podem ser usadas para melhorar nossos resultados.

    A ISO 27002 é uma grande fonte de recursos para ajudar a projetar controles da ISO 27001, e ao combinar seu uso com recursos do SP 800-53, como controles de segurança, linhas de base e alocação de prioridades, uma organização pode atingir melhores resultados na implementação, gestão e operação de seus controles de segurança, melhorando seus níveis de segurança e confiança de usuários.

    Para saber mais sobre o desenvolvimento de controles de segurança em sua implementação da ISO 27001, experimente gratuitamente este ISO 27001 Lead Implementer Online Course.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Rhand Leal
    Autor
    Rhand Leal
    Rhand Leal tem 10 anos de experiência em segurança da informação, e por 6 anos manteve um sistema de gestão de segurança da informação baseado na ISO 27001. Rhand possui uma especialização em Gestão de Negócios pela Fundação Getúlio Vargas. Entre suas certificações estão: ISO 27001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), entre outras. Ele é membro do Capítulo Brasília do ISACA.
    Tag: #ISO 27001