Rhand Leal A DFARS 7012 é um exemplo de como as preocupações dos clientes com a proteção de suas informações sob custódia de fornecedores e serviços terceirizados levou ao estabelecimento de requisitos de segurança cada vez mais complexos para aqueles que desejam trabalhar com eles. E, este aumento nas demandas de conformidade dos clientes aumentou também os desafios para fornecedores para integrá-las aos seus processos do negócio.
Sem uma abordagem apropriada, os problemas com o cumprimento de requisitos podem variar de baixa rentabilidade, relacionada a conflitos ou desalinhamento entre requisitos, a contratos sendo cancelados e ao surgimento de ações legais. Assim, ter um método estruturado para garantir tanto a integração com processos e a conformidade com os requisitos do cliente torna-se um requisito de negócio fundamental.
Este artigo mostrará um caso prático onde fornecedores que já implementaram a ISO 27001, a norma líder para Sistemas de Gestão de Segurança da Informação (SGSI), podem usar seus SGSIs para apoiar a integração de, e a conformidade com, requisitos de seus c;lientes – especificamente a DFARS 7012, as regras do Departamento de Defesa dos EUA para proteção de informação não classificada.
FAR e DFARS 7012
O Regulamento de Aquisição Federal (Federal Acquisition Regulation – FAR) é o conjunto de regras dos Estados Unidos para governar o “processo de aquisição” usado por suas agências executivas para adquirir bens e serviços contratados, fornecendo políticas e procedimentos comuns para assegurar que as aquisições satisfazem as necessidades das agências em termos de custo, qualidade e pontualidade, bem como outros objetivos públicos.
Como regra geral, o FAR é complementado por outros documentos (chamados de suplementos), emitidos pelas próprias agências quando precisam aplicar mais restrições ou requisitos aos contratados e agentes de contratação. E, um destes suplementos é DFARS (Defense Federal Acquisition Regulation Supplement – Suplemento do Regulamento de Aquisição Federal para Defesa), usado pelo Departamento de Defesa dos EUA (Department of Defense – DoD).
O número 7012 é uma abvreviação da cláusula 252.204-7012 (Safeguarding Covered Defense Information and Cyber Incident Reporting – Salvaguardando Informação de Defesa Coberta e Reporte de Incidente Cibernético), que requerer a proteção de informação de defesa rotulada como “informação não classificada” (também conhecida como Covered Defense Information), por meio da implementação da NIST SP 800-171 – Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations (Protegendo Informação Não Classificada Controlada em Sistemas de Informação e Organizações Não Federais), que será detalhada posteriormente neste artigo. Para mais informações, veja: Como usar a série de normas NIST SP800 para a implementação da ISO 27001.
Quem deve estar em conformidade com a DFARS 7012?
A DFARS 7012 deve ser usada em todas as solicitações e contratos feitos pelo Departamento de Defesa dos EUA, e deve ser seguida por todos os contratados e subcontratados cujos sistemas de informação processam, armazenam, ou transmitem informação de defesa coberta.
O não cumprimento da DFARS pode sujeitar os contratantes a sanções pelo Governo dos Estados Unidos (por exemplo, ações criminais, civis, administrativas e contratuais) e por pessoas ou organizações privadas afetadas por falhas relacionadas (por exemplo, ações por danos).
NIST SP 800-171
Esta publicação especial do National Institute of Standards and Technology (Instituto Nacional de Padrões e Tecnologia) fornece 109 controles, derivados da NIST SP 800-53, para tratar de várias deficiências relacionadas com a gestão e proteção de informações não classificadas, como marcações inconsistentes, proteção inadequada e restrições desnecessárias.
Esses controles são organizados em 14 famílias, da seguinte forma:
| Controle de Acesso | Proteção de Mídias |
| Proteção de Mídias | Segurança de Pessoal |
| Auditoria e Responsabilização | Proteção Física |
| Gestão de Configuração | Análise e Avaliação de Riscos |
| Identificação e Autenticação | Análise e Avaliação de Segurança |
| Resposta a Incidentes | Proteção de Sistemas Comunicações |
| Manutenção | Integridade de Sistemas e Informações |
A aplicabilidade deles é definida pelo uso do Framework de Gestão de Riscos do NIST (Risk Management Framework – RMF), um conjunto de publicações usado para categorizar sistemas de informação e definir controles aplicáveis. Para mais informações, veja: Como usar o NIST SP 800-53 para a implementação de controles da ISO 27001.
Usando a ISO 27001 para a implementação da NIST SP 800-171
Desta forma, se a DFARS já define a NIST SP 800-171 como sendo os requisitos a serem atendidos, e as organizações podem usar o NIST Risk Management Framework, qual é o sentido em se usar a ISO 27001? Esta questão pode ser respondida com dois argumentos:
- Como uma norma internacional, se uma organização implementa a ISO 27001, ela será mais atraente para outros clientes em potencial ao redor do mundo, ainda sendo capaz de trabalhar com as agências do governo dos EUA.
- Sua compatibilidade com outras normas de gestão ISO, como a ISO 9001, ISO 14001, e ISO 22301, torna mais fácil integrá-la em um contexto de gestão organizacional.
E como a ISO 27001 pode ser usada? Da mesma forma que a NIST SP-800-53, a NIST SP 800-171 também possui um anexo com tabelas que mapeiam a relação dos seus controles com os controles do Anexo A da ISO 27001. Por exemplo, o controle AC-2 (Gestão de Contas) da NIST SP 800-171 encontra-se mapeado para os seguintes controles da ISO 27001:
- A.9.2.1 – Registro e desregistro de usuário
- A.9.2.2 – Provisionamento de acesso ao usuário
- A.9.2.3 – Gestão de direitos de acesso privilegiados
- A.9.2.5 – Revisão de direitos de acesso do usuário
- A.9.2.6 – Remoção ou ajuste de direitos de acesso
Assim, uma organização pode seguir as mesmas etapas usada para identificar e implementar controles do Anexo A para identificar e implementar controles da NIST SP 800-171 (para mais informações, veja Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas), mas algumas considerações devem ser feitas.
Embora o mapeamento de controles seja abrangente, nem todos os controles da ISO 27001 cobrem completamente os controles da NIST SP 800-171, assim alguns cuidados deveriam ser tomados. Exemplos desta situação são:
- O controle AT-3 da NIST SP 800-171 (Treinamento em Segurança baseado em papéis) é apenas parcialmente coberto pelo controle A.7.2.2 da ISO 27001 (Treinamento, Educação e Conscientização em Segurança da Informação).
- O controle MA-3 da NIST SP 800-171 (Ferramentas de Manutenção) não possui um mapeamento direto com controles da ISO 27001.
Integração e conformidade podem andar juntas
À medida que a informação se torna cada vez mais crítica para as operações, as organizações (públicas e privadas) estão começando a exigir requisitos mais estruturados a serem cumpridos, em vez de aceitar cegamente as condições de proteção dos fornecedores. E a DFARS 7012 é apenas um exemplo de como esta situação pode criar novos desafios para os fornecedores, já que eles têm de se preparar para cumprir múltiplas fontes de requisitos.
Ao utilizar a norma ISO 27001, uma organização pode tirar proveito de uma estrutura reconhecida internacionalmente com práticas já comprovadas em situações reais de mercado para facilitar a integração de requisitos como a DFARS 7012 em seus próprios processos, reduzindo os esforços administrativos e cumprindo as demandas de segurança.
Para aprender mais sobre como a implementação da ISO 27001 pode ajudar você a cumprir com a DFARS e outros requisitos de regulamentação similares, experimento nosso treinamento online gratuito ISO 27001 Foundations Online Course.
