Rhand Leal
maio 12, 2016
Em meu artigo anterior, Como usar a série de normas NIST SP 800 para a implementação da ISO 27001, fiz uma descrição sobre a série NIST SP800 (documentos descrevendo práticas de segurança para computadores, publicada pelo National Institute of Standards and Technology – NIST) e de alguns documentos específicos que podem ser usados para suportar uma implementação da ISO 27001.
Neste artigo, detalharei o SP 800-53 Rev.4 – Security and Privacy Controls for Federal Information Systems and Organizations, que apresenta controles de segurança recomendados pelo NIST, e como esta informação pode ser usada em conjunto com a ISO 27002 para projetar e implementar os controles de segurança especificados no Anexo A da ISO 27001.
O SP 800-53 Rev.4 consiste de três capítulos e 10 apêndices:
Figura – Estrutura do SP 800-53 Rev.4
Capítulo um – Introdução: cobre o propósito e aplicabilidade do documento, identificação do público alvo, relação com outras publicações de controles de segurança, e responsabilidades organizacionais.
Capítulo dois – Fundamentos: cobre conceitos usados para a seleção e especificação de controles de segurança, e.g., gestão de ricos (2.1), estrutura de controles de segurança (2.2), linhas de base (2.3), etc., provendo referências para documentação mais detalhada na série NIST SP 800 (veja o artigo supramencionado para mais informações).
Capítulo três – Processo: descreve o processo para seleção e especificação de controles de segurança.
Apêndices: como descrito na figura 1, cobre informação de apoio.
Para o propósito deste artigo, apenas as partes mais importantes deste documento serão descritas.
A estrutura dos controles de segurança no SP 800-53 é muito similar à da ISO 27001. Seus 256 controles estão organizados em 18 famílias (contra os 114 controles organizados em 14 categorias na ISO 27001), cada um contendo controles relacionados ao tópico geral da família, como na ISO 27001.
Os controles em cada família podem cobrir aspectos relacionados política, fiscalização, supervisão, processos manuais, ações por indivíduos, ou mecanismos automatizados, dependendo de sua aplicação (e.g., gestão, operação ou técnica), e são estruturados como se segue:
Esta estrutura tem algumas similaridades com aquela da ISO 27002 (controle, orientações de implementação e outras informações), e também provê detalhes suficientes para suportar a implementação do Anexo A da ISO 27001 (veja mais sobre o Anexo A aqui: Visão geral do Anexo A da ISO 27001:2013).
Adicionalmente aos 256 controles de segurança, o SP 800-53 também prove uma família de 16 controles para a gestão de programas de segurança da informação, e 14 controles, agrupados em três famílias, para proteção da privacidade. Estas três listas de controles do SP 800-53 estão disponíveis nos Apêndices F (controle de segurança), G (programas de segurança da informação), e J (controles de privacidade).
O Apêndice H-2 do SP 800-53 provê um mapeamento de seus controles de segurança para aqueles no Anexo A da ISO/IEC 27001. Alguns exemplos são:
Embora este mapeamento possa acelerar a identificação de informação que pode ser usada para projetar ou melhorar controles de segurança da ISO 27001, uma vez que os dois conjuntos de controles foram criados sob diferentes expectativas (o SP 800-53 foi concebido para agências do governo dos EUA e a ISO 27001 para qualquer tipo de organização), em alguns casos eles podem não ser completamente equivalentes e este mapeamento deveria ser usado com cuidado.
Embora as normas ISO forneçam práticas reconhecidas mundialmente, isto não significa que elas são a resposta definitiva para todos os assuntos que elas cobrem. Assim como em qualquer situação que enfrentamos no dia a dia, sempre haverá algo em outras fontes de conhecimento que podem ser usadas para melhorar nossos resultados.
A ISO 27002 é uma grande fonte de recursos para ajudar a projetar controles da ISO 27001, e ao combinar seu uso com recursos do SP 800-53, como controles de segurança, linhas de base e alocação de prioridades, uma organização pode atingir melhores resultados na implementação, gestão e operação de seus controles de segurança, melhorando seus níveis de segurança e confiança de usuários.
Para saber mais sobre o desenvolvimento de controles de segurança em sua implementação da ISO 27001, experimente gratuitamente este ISO 27001 Lead Implementer Online Course.
Nós agradecemos a Rhand Leal pela tradução para o português.