{"id":9073,"date":"2016-05-05T10:06:58","date_gmt":"2016-05-05T10:06:58","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/?p=9073"},"modified":"2022-12-29T08:08:20","modified_gmt":"2022-12-29T08:08:20","slug":"como-usar-a-serie-de-normas-nist-sp800-para-a-implementacao-da-iso-27001","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2016\/05\/05\/como-usar-a-serie-de-normas-nist-sp800-para-a-implementacao-da-iso-27001\/","title":{"rendered":"Como usar a s\u00e9rie de normas NIST SP800 para a implementa\u00e7\u00e3o da ISO 27001"},"content":{"rendered":"<p>Embora a <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a>, uma norma internacional para gest\u00e3o de seguran\u00e7a da informa\u00e7\u00e3o, forne\u00e7a objetivos de controle e controles que cobre uma vasta gama de assuntos de seguran\u00e7a, eles n\u00e3o s\u00e3o exaustivos. Assim, as cl\u00e1usulas 6.1.3 b) e c) ISO 27001 denotam que uma organiza\u00e7\u00e3o pode ir al\u00e9m dos controles da norma para definir n\u00edveis apropriados de seguran\u00e7a, desenvolvendo suas pr\u00f3prias solu\u00e7\u00f5es ou usando outras fontes de conhecimento.<\/p>\n<p>Este artigo mostrar\u00e1 a voc\u00ea uma alternativa para a <a href=\"\/27001academy\/pt-br\/knowledgebase\/semelhancas-e-diferencas-entre-a-iso-27001-e-a-iso-27002\/\">ISO 27002<\/a>\u00a0como guia para apoiar a implementa\u00e7\u00e3o de controles da ISO 27001: a s\u00e9rie NIST SP 800. Voc\u00ea ver\u00e1 sobre o que eles tratam e sua estrutura geral comparada \u00e0quelas da ISO 27001 e ISO 27002.<\/p>\n<h3 style=\"padding-bottom: 5px;\"><strong>A s\u00e9rie NIST SP 800<\/strong><\/h3>\n<p>A s\u00e9rie NIST SP 800 \u00e9 um conjunto de documentos livres para download do governo federal dos Estados Unidos, descrevendo pol\u00edticas, procedimentos e diretrizes de seguran\u00e7a para computadores, publicados pelo NIST (National Institute of Standards and Technology), contendo mais de 130 documentos.<\/p>\n<p><img decoding=\"async\" class=\"aligncenter wp-image-9063 size-full\" src=\"\/wp-content\/uploads\/\/sites\/5\/2016\/05\/NIST_documentation_structure_figure.png\" alt=\"NIST_documentation_structure_figure\" width=\"624\" height=\"162\" srcset=\"\/wp-content\/uploads\/sites\/5\/2016\/05\/NIST_documentation_structure_figure.png 624w, \/wp-content\/uploads\/sites\/5\/2016\/05\/NIST_documentation_structure_figure-300x78.png 300w\" sizes=\"(max-width: 624px) 100vw, 624px\" \/><\/p>\n<p style=\"text-align: center;\"><span style=\"font-size: 14px;\"><em>Figura:\u00a0Estrutura da documenta\u00e7\u00e3o do NIST<\/em><\/span><\/p>\n<h2><strong>Documentos da s\u00e9rie NIST SP 800 para gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o e avalia\u00e7\u00e3o de risco<\/strong><\/h2>\n<p>Assim como a s\u00e9rie ISO 27000, a s\u00e9rie SP 800 prov\u00ea informa\u00e7\u00f5es cobrindo pr\u00e1ticas de gest\u00e3o e opera\u00e7\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o, mas em um n\u00famero maio de documentos.<\/p>\n<p>Para prover diretrizes espec\u00edficas para a integra\u00e7\u00e3o da gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o com as opera\u00e7\u00f5es organizacionais, a s\u00e9rie NIST 800 SP tem o documento <strong>SP 800-39 \u2013 Managing Information Security Risk<\/strong>.<\/p>\n<p>Para a avalia\u00e7\u00e3o de riscos, a s\u00e9rie SP 800 possui um conjunto de documentos criado usando uma metodologia de risco em seis etapas:<\/p>\n<ul>\n<li><strong>Categorizar:<\/strong> prioriza\u00e7\u00e3o de sistemas de informa\u00e7\u00e3o com base em avalia\u00e7\u00e3o de impacto. Detalhes s\u00e3o encontrados no documento <strong>SP 800-60 rev.1<\/strong>.<\/li>\n<li><strong>Selecionar:<\/strong> defini\u00e7\u00e3o de controles a serem usados, com base na avalia\u00e7\u00e3o de impacto e baselines. <strong>SP 800-53 Rev.4<\/strong> \u00e9 o documento de refer\u00eancia para esta etapa.<\/li>\n<li><strong>Implementar:<\/strong> implementa\u00e7\u00e3o de controles e elabora\u00e7\u00e3o de documentos. Detalhes s\u00e3o encontrados no documento <strong>SP 800-160<\/strong>.<\/li>\n<li><strong>Avalia\u00e7\u00e3o:<\/strong> confirma\u00e7\u00e3o de que os controles est\u00e3o implementados corretamente, operam como pretendido, e produzem os resultados desejados. Detalhes s\u00e3o encontrados no documento <strong>SP 800-53 A rev.4<\/strong>.<\/li>\n<li><strong>Autorizar:<\/strong> aceita\u00e7\u00e3o do cen\u00e1rio de risco, e autoriza\u00e7\u00e3o para opera\u00e7\u00e3o e uso dos sistemas de informa\u00e7\u00e3o. Detalhes s\u00e3o encontrados no documento <strong>SP 800-37 rev.1<\/strong>.<\/li>\n<li><strong>Monitorar<\/strong>: acompanhamento em base regular dos sistemas de informa\u00e7\u00e3o e ambiente operacional para se determinar a efic\u00e1cia e conformidade dos controles. Detalhes s\u00e3o encontrados no documento <strong>SP 800-137<\/strong>.<\/li>\n<\/ul>\n<p>Uma vez que a ISO 27001 requer, mas n\u00e3o prescreve nenhuma metodologia (cl\u00e1usula 6.1.2), esta pode ser adotada por sua organiza\u00e7\u00e3o. Caso sua organiza\u00e7\u00e3o j\u00e1 tenha uma metodologia de avalia\u00e7\u00e3o de riscos, voc\u00ea pode mant\u00ea-la e usar apenas o cat\u00e1logo de <a href=\"\/27001academy\/pt-br\/documentation\/declaracao-de-aplicabilidade\/\" target=\"_blank\" rel=\"noopener\">controles<\/a>\u00a0de seguran\u00e7a do documento.<\/p>\n<h2><strong>Documentos da s\u00e9rie NIST SP 800 para a implementa\u00e7\u00e3o de controles de seguran\u00e7a da ISO 27001<\/strong><\/h2>\n<p style=\"text-align: left;\">A s\u00e9rie SP 800 possui in\u00fameras normas que cobrem 256 salvaguardas. \u00c9 aqui que o documento SP800-53 \u00e9 muito \u00fatil, porque ele organiza todas as salvaguardas em 18 categorias:<\/p>\n<table class=\"table\" style=\"text-align: left; width: 100%;\" border=\"0\" cellspacing=\"2\" cellpadding=\"2\">\n<thead>\n<tr>\n<td style=\"width: 50%; text-align: center;\"><strong>Fam\u00edlia<\/strong><\/td>\n<td style=\"width: 10%; text-align: center;\"><strong>Num. de controles<\/strong><\/td>\n<td style=\"width: 30%; text-align: center;\"><strong>Fam\u00edlia<\/strong><\/td>\n<td style=\"width: 10%; text-align: center;\"><strong>Num. de controles<\/strong><\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Controle de Acesso<\/td>\n<td style=\"text-align: center;\">25<\/td>\n<td style=\"width: 25%;\">Prote\u00e7\u00e3o de M\u00eddia<\/td>\n<td style=\"width: 25%; text-align: center;\">8<\/td>\n<\/tr>\n<tr>\n<td>Conscientiza\u00e7\u00e3o e Treinamento<\/td>\n<td style=\"text-align: center;\">5<\/td>\n<td style=\"width: 25%;\">Prote\u00e7\u00e3o f\u00edsica e ambiental<\/td>\n<td style=\"width: 25%; text-align: center;\">20<\/td>\n<\/tr>\n<tr>\n<td><a href=\"\/27001academy\/pt-br\/documentation\/anexo-3-checklist-de-auditoria-interna\/\" target=\"_blank\" rel=\"noopener\">Auditoria<\/a>\u00a0e Responsabiliza\u00e7\u00e3o<\/td>\n<td style=\"text-align: center;\">16<\/td>\n<td style=\"width: 25%;\">Planejamento<\/td>\n<td style=\"width: 25%; text-align: center;\">9<\/td>\n<\/tr>\n<tr>\n<td>Avalia\u00e7\u00e3o de Seguran\u00e7a e Autoriza\u00e7\u00e3o<\/td>\n<td style=\"text-align: center;\">9<\/td>\n<td style=\"width: 25%;\">Seguran\u00e7a de Pessoal<\/td>\n<td style=\"width: 25%; text-align: center;\">8<\/td>\n<\/tr>\n<tr>\n<td>Planejamento de configura\u00e7\u00e3o<\/td>\n<td style=\"text-align: center;\">11<\/td>\n<td style=\"width: 25%;\">Avalia\u00e7\u00e3o de risco<\/td>\n<td style=\"width: 25%; text-align: center;\">6<\/td>\n<\/tr>\n<tr>\n<td>Planejamento de conting\u00eancia<\/td>\n<td style=\"text-align: center;\">13<\/td>\n<td style=\"width: 25%;\">Aquisi\u00e7\u00e3o de sistemas e servi\u00e7os<\/td>\n<td style=\"width: 25%; text-align: center;\">22<\/td>\n<\/tr>\n<tr>\n<td>Identifica\u00e7\u00e3o e Autentica\u00e7\u00e3o<\/td>\n<td style=\"text-align: center;\">11<\/td>\n<td style=\"width: 25%;\">Prote\u00e7\u00e3o de sistemas e comunica\u00e7\u00f5es<\/td>\n<td style=\"width: 25%; text-align: center;\">44<\/td>\n<\/tr>\n<tr>\n<td>Resposta a incidentes<\/td>\n<td style=\"text-align: center;\">10<\/td>\n<td style=\"width: 25%;\">Integridade de sistemas e informa\u00e7\u00f5es<\/td>\n<td style=\"width: 25%; text-align: center;\">17<\/td>\n<\/tr>\n<tr>\n<td>Manuten\u00e7\u00e3o<\/td>\n<td style=\"text-align: center;\">6<\/td>\n<td style=\"width: 25%;\">Gest\u00e3o de programa<\/td>\n<td style=\"width: 25%; text-align: center;\">16<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p style=\"text-align: center;\"><span style=\"font-size: 14px;\"><em>Tabela:\u00a0Fam\u00edlias de controles de seguran\u00e7a e n\u00famero de controles por fam\u00edlia<\/em><\/span><\/p>\n<p>Alguns documentos \u00fateis na s\u00e9rie SP 800 que s\u00e3o referenciados pelos controles do SP 800-53 Rev.4 s\u00e3o:<\/p>\n<ul>\n<li><strong>SP 800-61 rev. 2:<\/strong> diretrizes para detec\u00e7\u00e3o, an\u00e1lise, prioriza\u00e7\u00e3o e tratativas de incidentes para responder a eles de forma eficaz e eficiente (apoia o controle ISO 27001 A.16).<\/li>\n<li><strong>SP 800-50:<\/strong> diretrizes para a concep\u00e7\u00e3o, desenvolvimento, implementa\u00e7\u00e3o e avalia\u00e7\u00e3o de um programa de conscientiza\u00e7\u00e3o e treinamento (apoia o controle ISO 27001 A.7.2.2).<\/li>\n<li><strong>SP 800-116:<\/strong> abordagem baseada em <a href=\"\/27001academy\/pt-br\/documentation\/plano-de-tratamento-de-riscos\/\" target=\"_blank\" rel=\"noopener\">risco<\/a> para a sele\u00e7\u00e3o de mecanismos de autentica\u00e7\u00e3o apropriados para gerir o acesso f\u00edsico (apoia o controle ISO 27001 A.11.1.2).<\/li>\n<li><strong>SP 800-46 rev. 1:<\/strong> pr\u00e1ticas para mitiga\u00e7\u00e3o dos riscos associados com tecnologias usadas para tele trabalho (apoia o controle ISO 27001 A.6.2.2).<\/li>\n<li><strong>SP 800-122:<\/strong> orienta\u00e7\u00f5es para a prote\u00e7\u00e3o da <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/politica-de-gestao-de-informacoes-classificadas\/\" target=\"_blank\" rel=\"noopener\">confidencialidade de informa\u00e7\u00e3o de identifica\u00e7\u00e3o pessoal<\/a>\u00a0(PII) em sistemas de informa\u00e7\u00e3o (apoia o controle ISO 27001 A.18.1.4).<\/li>\n<li><strong>SP 800-161:<\/strong> guia para a identifica\u00e7\u00e3o, avalia\u00e7\u00e3o, sele\u00e7\u00e3o e implementa\u00e7\u00e3o de gest\u00e3o de riscos e controles para gerir os riscos na cadeia de suprimento de TIC (apoia o controle ISO 27001 A.15).<\/li>\n<li><strong>SP 800-92:<\/strong> guia para o desenvolvimento, implementa\u00e7\u00e3o e manuten\u00e7\u00e3o de pr\u00e1ticas eficazes de gest\u00e3o de logs (apoia o controle ISO 27001 A.12.4).<\/li>\n<li><strong>SP 800-88 rev.1:<\/strong> recomenda\u00e7\u00f5es para a implementa\u00e7\u00e3o de um programa de sanitiza\u00e7\u00e3o de m\u00eddias, considerando t\u00e9cnicas e controle para sanitiza\u00e7\u00e3o e disposi\u00e7\u00e3o de informa\u00e7\u00e3o sens\u00edvel (apoia os controles ISO 27001 A.8.3.2 e A.11.2.7).<\/li>\n<li><strong>SP 800-83 rev.1:<\/strong> guia para a preven\u00e7\u00e3o de incidentes com malware e resposta a incidentes com malware (apoia o controle ISO 27001 A.12.2.1).<\/li>\n<li><strong>SP 800-64 rev.2:<\/strong> descri\u00e7\u00e3o de pap\u00e9is e responsabilidades chave requeridos no desenvolvimento de sistemas de informa\u00e7\u00e3o, e informa\u00e7\u00f5es sobre a rela\u00e7\u00e3o entre seguran\u00e7a da informa\u00e7\u00e3o e o Ciclo de Vida de Desenvolvimento de Software (apoia o controle ISO 27001 A.14.2).<\/li>\n<li><strong>SP 800-45 rev.2:<\/strong> prove pr\u00e1ticas de seguran\u00e7a para a concep\u00e7\u00e3o, implementa\u00e7\u00e3o e opera\u00e7\u00e3o de sistemas de e-mail em redes p\u00fablicas e privadas (apoia o controle ISO 27001 A.13.2.3).<\/li>\n<li><strong>SP 800-44 rev.2:<\/strong> apresenta pr\u00e1ticas de seguran\u00e7a para a concep\u00e7\u00e3o, implementa\u00e7\u00e3o e opera\u00e7\u00e3o de servidores Web publicamente acess\u00edveis e infraestrutura de rede relacionada (apoia o controle ISO 27001 A.14.1.2).<\/li>\n<li><strong>SP 800-41 rev.1:<\/strong> prove orienta\u00e7\u00f5es no desenvolvimento de pol\u00edticas de firewall e sele\u00e7\u00e3o, configura\u00e7\u00e3o, teste, implanta\u00e7\u00e3o e gest\u00e3o de firewalls (apoia o controle ISO 27001 A.13.1).<\/li>\n<li><strong>SP 800-34 rev.1:<\/strong> prove informa\u00e7\u00f5es sobre o planejamento de conting\u00eancias para sistemas de informa\u00e7\u00e3o e outros tipos de planos de seguran\u00e7a e de conting\u00eancia de emerg\u00eancia (SDLC) (apoia o controle ISO 27001 A.17).<\/li>\n<\/ul>\n<h2><strong>Aumente suas op\u00e7\u00f5es atrav\u00e9s de m\u00faltiplas fontes de conhecimento<\/strong><\/h2>\n<p>A implementa\u00e7\u00e3o da seguran\u00e7a deve ter uma vis\u00e3o hol\u00edstica para ser eficaz, e para isso, quanto mais entradas para se definir controles, melhor.<\/p>\n<p>A s\u00e9rie de documentos SP 800 prov\u00ea uma fonte alternativa gratuita de informa\u00e7\u00f5es adicionais para se realizar o processo de avalia\u00e7\u00e3o de riscos e para projetar, implementar e gerir controles de seguran\u00e7a que podem ser equivalentes \u00e0queles da ISO 27001 e ISO 27002 e ajudar sua organiza\u00e7\u00e3o a se preparar melhor para enfrentar riscos de uma forma mais confi\u00e1vel e efetiva em custos.<\/p>\n<p><em>Para saber mais sobre a integra\u00e7\u00e3o de outras fontes de controles de seguran\u00e7a em sua implementa\u00e7\u00e3o da ISO 27001, experimente gratuitamente este<\/em> <a href=\"https:\/\/advisera.com\/training\/iso-27001-lead-implementer-course\/\" target=\"_blank\" rel=\"noopener\">ISO 27001 Lead Implementer Online Course<\/a>.<\/p>\n<p style=\"text-align: left;\">N\u00f3s agradecemos a <a href=\"https:\/\/br.linkedin.com\/in\/rhandleal\/\" target=\"_blank\" rel=\"noopener\">Rhand Leal<\/a> pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Embora a ISO 27001, uma norma internacional para gest\u00e3o de seguran\u00e7a da informa\u00e7\u00e3o, forne\u00e7a objetivos de controle e controles que cobre uma vasta gama de assuntos de seguran\u00e7a, eles n\u00e3o s\u00e3o exaustivos. Assim, as cl\u00e1usulas 6.1.3 b) e c) ISO 27001 denotam que uma organiza\u00e7\u00e3o pode ir al\u00e9m dos controles da norma para definir n\u00edveis &#8230;<\/p>\n","protected":false},"author":41,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-9073","post","type-post","status-publish","format-standard","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/9073","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/41"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=9073"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/9073\/revisions"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=9073"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=9073"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=9073"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}