{"id":11198,"date":"2017-04-30T20:41:28","date_gmt":"2017-04-30T20:41:28","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/?p=11198"},"modified":"2022-07-17T15:43:14","modified_gmt":"2022-07-17T15:43:14","slug":"como-a-iso-27001-pode-ajudar-fornecedores-a-estar-em-conformidade-com-a-usa-dfars-7012","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2017\/04\/30\/como-a-iso-27001-pode-ajudar-fornecedores-a-estar-em-conformidade-com-a-usa-dfars-7012\/","title":{"rendered":"Como a ISO 27001 pode ajudar fornecedores a estar em conformidade com a U.S. DFARS 7012"},"content":{"rendered":"

A DFARS 7012 \u00e9 um exemplo de como as preocupa\u00e7\u00f5es dos clientes com a prote\u00e7\u00e3o de suas informa\u00e7\u00f5es sob cust\u00f3dia de fornecedores e servi\u00e7os terceirizados levou ao estabelecimento de requisitos de seguran\u00e7a cada vez mais complexos para aqueles que desejam trabalhar com eles. E, este aumento nas demandas de conformidade dos clientes aumentou tamb\u00e9m os desafios para fornecedores para integr\u00e1-las aos seus processos do neg\u00f3cio.<\/p>\n

Sem uma abordagem apropriada, os problemas com o cumprimento de requisitos podem variar de baixa rentabilidade, relacionada a conflitos ou desalinhamento entre requisitos, a contratos sendo cancelados e ao surgimento de a\u00e7\u00f5es legais. Assim, ter um m\u00e9todo estruturado para garantir tanto a integra\u00e7\u00e3o com processos e a conformidade com os requisitos do cliente torna-se um requisito de neg\u00f3cio fundamental.<\/p>\n

Este artigo mostrar\u00e1 um caso pr\u00e1tico onde fornecedores que j\u00e1 implementaram a\u00a0 ISO 27001<\/a>, a norma l\u00edder para Sistemas de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o (SGSI), podem usar seus SGSIs para apoiar a integra\u00e7\u00e3o de, e a conformidade com, requisitos<\/a>\u00a0de seus c;lientes \u2013 especificamente a DFARS 7012, as regras do Departamento de Defesa dos EUA para prote\u00e7\u00e3o de informa\u00e7\u00e3o n\u00e3o classificada.<\/p>\n

FAR e DFARS 7012<\/h2>\n

O Regulamento de Aquisi\u00e7\u00e3o Federal (Federal Acquisition Regulation – FAR) \u00e9 o conjunto de regras dos Estados Unidos para governar o “processo de aquisi\u00e7\u00e3o” usado por suas ag\u00eancias executivas para adquirir bens e servi\u00e7os contratados, fornecendo pol\u00edticas e procedimentos comuns para assegurar que as aquisi\u00e7\u00f5es satisfazem as necessidades das ag\u00eancias em termos de custo, qualidade e pontualidade, bem como outros objetivos p\u00fablicos.<\/p>\n

Como regra geral, o FAR \u00e9 complementado por outros documentos (chamados de suplementos), emitidos pelas pr\u00f3prias ag\u00eancias quando precisam aplicar mais restri\u00e7\u00f5es ou requisitos aos contratados e agentes de contrata\u00e7\u00e3o. E, um destes suplementos \u00e9 DFARS (Defense Federal Acquisition Regulation Supplement – Suplemento do Regulamento de Aquisi\u00e7\u00e3o Federal para Defesa), usado pelo Departamento de Defesa dos EUA (Department of Defense – DoD).<\/p>\n

O n\u00famero 7012 \u00e9 uma abvrevia\u00e7\u00e3o da cl\u00e1usula 252.204-7012<\/a>\u00a0(Safeguarding Covered Defense Information and Cyber Incident Reporting \u2013 Salvaguardando Informa\u00e7\u00e3o de Defesa Coberta e Reporte de Incidente Cibern\u00e9tico), que requerer a prote\u00e7\u00e3o de informa\u00e7\u00e3o de defesa rotulada como \u201cinforma\u00e7\u00e3o n\u00e3o classificada\u201d (tamb\u00e9m conhecida como Covered Defense Information), por meio da implementa\u00e7\u00e3o da NIST SP 800-171 \u2013 Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations (Protegendo Informa\u00e7\u00e3o N\u00e3o Classificada Controlada em Sistemas de Informa\u00e7\u00e3o e Organiza\u00e7\u00f5es N\u00e3o Federais), que ser\u00e1 detalhada posteriormente neste artigo. Para mais informa\u00e7\u00f5es, veja:\u00a0Como usar a s\u00e9rie de normas NIST SP800 para a implementa\u00e7\u00e3o da ISO 27001<\/a>.<\/p>\n

Quem deve estar em conformidade com a DFARS 7012?<\/h2>\n

A DFARS 7012 deve ser usada em todas as solicita\u00e7\u00f5es e contratos feitos pelo Departamento de Defesa dos EUA, e deve ser seguida por todos os contratados e subcontratados cujos sistemas de informa\u00e7\u00e3o processam, armazenam, ou transmitem informa\u00e7\u00e3o de defesa coberta.<\/p>\n

O n\u00e3o cumprimento da DFARS pode sujeitar os contratantes a san\u00e7\u00f5es pelo Governo dos Estados Unidos (por exemplo, a\u00e7\u00f5es criminais, civis, administrativas e contratuais) e por pessoas ou organiza\u00e7\u00f5es privadas afetadas por falhas relacionadas (por exemplo, a\u00e7\u00f5es por danos).<\/p>\n

NIST SP 800-171<\/h2>\n

Esta publica\u00e7\u00e3o especial do National Institute of Standards and Technology (Instituto Nacional de Padr\u00f5es e Tecnologia) fornece 109 controles, derivados da NIST SP 800-53, para tratar de v\u00e1rias defici\u00eancias relacionadas com a gest\u00e3o e prote\u00e7\u00e3o de informa\u00e7\u00f5es n\u00e3o classificadas, como marca\u00e7\u00f5es inconsistentes, prote\u00e7\u00e3o inadequada e restri\u00e7\u00f5es desnecess\u00e1rias.<\/p>\n

Esses controles s\u00e3o organizados em 14 fam\u00edlias, da seguinte forma:<\/p>\n\n\n\n\n\n\n\n\n\n
Controle de Acesso<\/td>\nProte\u00e7\u00e3o de M\u00eddias<\/td>\n<\/tr>\n
Prote\u00e7\u00e3o de M\u00eddias<\/td>\nSeguran\u00e7a de Pessoal<\/td>\n<\/tr>\n
Auditoria e Responsabiliza\u00e7\u00e3o<\/td>\nProte\u00e7\u00e3o F\u00edsica<\/td>\n<\/tr>\n
Gest\u00e3o de Configura\u00e7\u00e3o<\/td>\nAn\u00e1lise e Avalia\u00e7\u00e3o de Riscos<\/td>\n<\/tr>\n
Identifica\u00e7\u00e3o e Autentica\u00e7\u00e3o<\/td>\nAn\u00e1lise e Avalia\u00e7\u00e3o de Seguran\u00e7a<\/td>\n<\/tr>\n
Resposta a Incidentes<\/td>\nProte\u00e7\u00e3o de Sistemas Comunica\u00e7\u00f5es<\/td>\n<\/tr>\n
Manuten\u00e7\u00e3o<\/td>\nIntegridade de Sistemas e Informa\u00e7\u00f5es<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

A aplicabilidade deles \u00e9 definida pelo uso do Framework de Gest\u00e3o de Riscos do NIST (Risk Management Framework – RMF), um conjunto de publica\u00e7\u00f5es usado para categorizar sistemas de informa\u00e7\u00e3o e definir controles<\/a> aplic\u00e1veis. Para mais informa\u00e7\u00f5es, veja:\u00a0Como usar o NIST SP 800-53 para a implementa\u00e7\u00e3o de controles da ISO 27001<\/a>.<\/p>\n

Usando a ISO 27001 para a implementa\u00e7\u00e3o da NIST SP 800-171<\/h2>\n

Desta forma, se a DFARS j\u00e1 define a NIST SP 800-171 como sendo os requisitos a serem atendidos, e as organiza\u00e7\u00f5es podem usar o NIST Risk Management Framework, qual \u00e9 o sentido em se usar a ISO 27001? Esta quest\u00e3o pode ser respondida com dois argumentos:<\/p>\n

    \n
  1. Como uma norma internacional, se uma organiza\u00e7\u00e3o implementa a ISO 27001, ela ser\u00e1 mais atraente para outros clientes em potencial ao redor do mundo, ainda sendo capaz de trabalhar com as ag\u00eancias do governo dos EUA.<\/li>\n
  2. Sua compatibilidade com outras normas de gest\u00e3o ISO, como a ISO 9001, ISO 14001, e ISO 22301, torna mais f\u00e1cil integr\u00e1-la em um contexto de gest\u00e3o organizacional.<\/li>\n<\/ol>\n

    E como a ISO 27001 pode ser usada? Da mesma forma que a NIST SP-800-53, a NIST SP 800-171 tamb\u00e9m possui um anexo com tabelas que mapeiam a rela\u00e7\u00e3o dos seus controles com os controles do Anexo A da ISO 27001. Por exemplo, o controle AC-2 (Gest\u00e3o de Contas) da NIST SP 800-171 encontra-se mapeado para os seguintes controles da ISO 27001:<\/p>\n