Rhand Leal Em meu artigo anterior, Como usar a série de normas NIST SP 800 para a implementação da ISO 27001, fiz uma descrição sobre a série NIST SP800 (documentos descrevendo práticas de segurança para computadores, publicada pelo National Institute of Standards and Technology – NIST) e de alguns documentos específicos que podem ser usados para suportar uma implementação da ISO 27001.
Neste artigo, detalharei o SP 800-53 Rev.4 – Security and Privacy Controls for Federal Information Systems and Organizations, que apresenta controles de segurança recomendados pelo NIST, e como esta informação pode ser usada em conjunto com a ISO 27002 para projetar e implementar os controles de segurança especificados no Anexo A da ISO 27001.
Estrutura do SP 800-53 Rev. 4
O SP 800-53 Rev.4 consiste de três capítulos e 10 apêndices:
Figura – Estrutura do SP 800-53 Rev.4
Capítulo um – Introdução: cobre o propósito e aplicabilidade do documento, identificação do público alvo, relação com outras publicações de controles de segurança, e responsabilidades organizacionais.
Capítulo dois – Fundamentos: cobre conceitos usados para a seleção e especificação de controles de segurança, e.g., gestão de ricos (2.1), estrutura de controles de segurança (2.2), linhas de base (2.3), etc., provendo referências para documentação mais detalhada na série NIST SP 800 (veja o artigo supramencionado para mais informações).
Capítulo três – Processo: descreve o processo para seleção e especificação de controles de segurança.
Apêndices: como descrito na figura 1, cobre informação de apoio.
Para o propósito deste artigo, apenas as partes mais importantes deste documento serão descritas.
Estrutura dos controles de segurança (capítulo 2.2)
A estrutura dos controles de segurança no SP 800-53 é muito similar à da ISO 27001. Seus 256 controles estão organizados em 18 famílias (contra os 114 controles organizados em 14 categorias na ISO 27001), cada um contendo controles relacionados ao tópico geral da família, como na ISO 27001.
Os controles em cada família podem cobrir aspectos relacionados política, fiscalização, supervisão, processos manuais, ações por indivíduos, ou mecanismos automatizados, dependendo de sua aplicação (e.g., gestão, operação ou técnica), e são estruturados como se segue:
- Controle: prescreve atividades básicas específicas relacionadas à segurança a serem executadas.
- Orientações suplementares: prove informações adicionais para serem usadas conforme apropriado.
- Melhorias para controle: provê medidas adicionais para as atividades de segurança descritas na seção de controle, considerando que, sob condições específicas, eles podem não ser suficientes para assegurar os níveis de proteção requeridos.
- Referências: inclui uma lista de documentação aplicável considerada relevante para o controle (leis, regulamentações, normas, etc.), provendo links para outros documentos da série SP 800 (veja o artigo supramencionado para encontrar mais exemplos).
- Alocação de prioridades e linhas de base: prove informação com relação a priorização de controles de segurança durante a implementação, e a alocação inicial de controles de segurança e melhorias de controle, considerando um modelo de impacto baixo-moderado-alto.
Esta estrutura tem algumas similaridades com aquela da ISO 27002 (controle, orientações de implementação e outras informações), e também provê detalhes suficientes para suportar a implementação do Anexo A da ISO 27001 (veja mais sobre o Anexo A aqui: Visão geral do Anexo A da ISO 27001:2013).
Adicionalmente aos 256 controles de segurança, o SP 800-53 também prove uma família de 16 controles para a gestão de programas de segurança da informação, e 14 controles, agrupados em três famílias, para proteção da privacidade. Estas três listas de controles do SP 800-53 estão disponíveis nos Apêndices F (controle de segurança), G (programas de segurança da informação), e J (controles de privacidade).
Mapeamento dos controles do SP 800-53 para o Anexo A da ISO 27001
O Apêndice H-2 do SP 800-53 provê um mapeamento de seus controles de segurança para aqueles no Anexo A da ISO/IEC 27001. Alguns exemplos são:
- 6.1.2 Segregação de funções mapeia para AC-5 Separação de Deveres
- 8.3.2 Disposição de mídias mapeia para MP-6 Sanitização de Mídia
- 12.3.1 Cópias de segurança das informações mapeia para CP-9 Backup de Sistema de Informação
Embora este mapeamento possa acelerar a identificação de informação que pode ser usada para projetar ou melhorar controles de segurança da ISO 27001, uma vez que os dois conjuntos de controles foram criados sob diferentes expectativas (o SP 800-53 foi concebido para agências do governo dos EUA e a ISO 27001 para qualquer tipo de organização), em alguns casos eles podem não ser completamente equivalentes e este mapeamento deveria ser usado com cuidado.
Faça o todo maior do que a soma das partes
Embora as normas ISO forneçam práticas reconhecidas mundialmente, isto não significa que elas são a resposta definitiva para todos os assuntos que elas cobrem. Assim como em qualquer situação que enfrentamos no dia a dia, sempre haverá algo em outras fontes de conhecimento que podem ser usadas para melhorar nossos resultados.
A ISO 27002 é uma grande fonte de recursos para ajudar a projetar controles da ISO 27001, e ao combinar seu uso com recursos do SP 800-53, como controles de segurança, linhas de base e alocação de prioridades, uma organização pode atingir melhores resultados na implementação, gestão e operação de seus controles de segurança, melhorando seus níveis de segurança e confiança de usuários.
Para saber mais sobre o desenvolvimento de controles de segurança em sua implementação da ISO 27001, experimente gratuitamente este ISO 27001 Lead Implementer Online Course.
Nós agradecemos a Rhand Leal pela tradução para o português.
