{"id":9082,"date":"2016-05-12T09:41:23","date_gmt":"2016-05-12T09:41:23","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/?p=9082"},"modified":"2022-12-29T08:25:37","modified_gmt":"2022-12-29T08:25:37","slug":"como-usar-o-nist-sp-800-53-para-a-implementacao-de-controles-da-iso-27001","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2016\/05\/12\/como-usar-o-nist-sp-800-53-para-a-implementacao-de-controles-da-iso-27001\/","title":{"rendered":"Como usar o NIST SP 800-53 para a implementa\u00e7\u00e3o de controles da ISO 27001"},"content":{"rendered":"

Em meu artigo anterior, Como usar a s\u00e9rie de normas NIST SP 800 para a implementa\u00e7\u00e3o da ISO 27001<\/a>, fiz uma descri\u00e7\u00e3o sobre a s\u00e9rie NIST SP800 (documentos descrevendo pr\u00e1ticas de seguran\u00e7a para computadores, publicada pelo National Institute of Standards and Technology \u2013 NIST) e de alguns documentos espec\u00edficos que podem ser usados para suportar uma implementa\u00e7\u00e3o da ISO 27001<\/a>.<\/p>\n

Neste artigo, detalharei o SP 800-53 Rev.4 \u2013 Security and Privacy Controls for Federal Information Systems and Organizations, que apresenta controles de seguran\u00e7a recomendados pelo NIST, e como esta informa\u00e7\u00e3o pode ser usada em conjunto com a ISO 27002<\/a>\u00a0para projetar e implementar os controles de seguran\u00e7a especificados no Anexo A da ISO 27001.<\/p>\n

Estrutura do SP 800-53 Rev. 4<\/strong><\/h3>\n

O SP 800-53 Rev.4 consiste de tr\u00eas cap\u00edtulos e 10 ap\u00eandices:<\/p>\n

\"Estrutura<\/p>\n

Figura \u2013 Estrutura do SP 800-53 Rev.4<\/em><\/span><\/p>\n

Cap\u00edtulo um \u2013 Introdu\u00e7\u00e3o:<\/strong> cobre o prop\u00f3sito e aplicabilidade do documento, identifica\u00e7\u00e3o do p\u00fablico alvo, rela\u00e7\u00e3o com outras publica\u00e7\u00f5es de controles de seguran\u00e7a, e responsabilidades organizacionais.<\/p>\n

Cap\u00edtulo dois \u2013 Fundamentos:<\/strong> cobre conceitos usados para a sele\u00e7\u00e3o e especifica\u00e7\u00e3o de controles de seguran\u00e7a, e.g., gest\u00e3o de ricos (2.1), estrutura de controles de seguran\u00e7a (2.2), linhas de base (2.3), etc., provendo refer\u00eancias para documenta\u00e7\u00e3o mais detalhada na s\u00e9rie NIST SP 800 (veja o artigo supramencionado para mais informa\u00e7\u00f5es).<\/p>\n

Cap\u00edtulo tr\u00eas \u2013 Processo:<\/strong> descreve o processo para sele\u00e7\u00e3o e especifica\u00e7\u00e3o de controles de seguran\u00e7a.<\/p>\n

Ap\u00eandices:<\/strong> como descrito na figura 1, cobre informa\u00e7\u00e3o de apoio.<\/p>\n

Para o prop\u00f3sito deste artigo, apenas as partes mais importantes deste documento ser\u00e3o descritas.<\/p>\n

Estrutura dos controles de seguran\u00e7a (cap\u00edtulo 2.2)<\/strong><\/h2>\n

A estrutura dos controles de seguran\u00e7a no SP 800-53 \u00e9 muito similar \u00e0 da ISO 27001. Seus 256 controles est\u00e3o organizados em 18 fam\u00edlias (contra os 114 controles<\/a>\u00a0organizados em 14 categorias na ISO 27001), cada um contendo controles relacionados ao t\u00f3pico geral da fam\u00edlia, como na ISO 27001.<\/p>\n

Os controles em cada fam\u00edlia podem cobrir aspectos relacionados pol\u00edtica<\/a>, fiscaliza\u00e7\u00e3o, supervis\u00e3o, processos manuais, a\u00e7\u00f5es por indiv\u00edduos, ou mecanismos automatizados, dependendo de sua aplica\u00e7\u00e3o (e.g., gest\u00e3o, opera\u00e7\u00e3o ou t\u00e9cnica), e s\u00e3o estruturados como se segue:<\/p>\n