Encontra-se em Consulta Nacional pela ABNT a versão traduzida da nova ISO/IEC 27002 - Segurança da informação, segurança cibernética e proteção à privacidade - Controles de segurança da informação (link nos comentários).
A norma ISO 27002 contém as melhores práticas de segurança para organizações de todos os tipos e tamanhos, e é utilizada como referência no anexo da ISO 27001 para definição e implementação de controles em um Sistema de Gestão de Segurança da Informação (SGSI).
Assim que aprovada e entrar em vigor, a nova norma brasileira ABNT NBR ISO/IEC 27002 cancela e substitui a versão anterior de 2012, a qual foi tecnicamente revisada.
O documento inclui 38 termos e definições e, em sua introdução orienta que os requisitos de segurança da informação sejam definidos a partir de 3 possíveis fontes:
- uma avaliação de riscos, considerando a estratégia e objetivos de negócios da organização;
- requisitos legais, estatutários, regulamentares e contratuais que a organização e suas partes interessadas (parceiros comerciais, prestadores de serviços etc.) têm que cumprir;
- conjunto de princípios, objetivos e requisitos de negócios das etapas do ciclo de vida da informação que a organização desenvolve para apoiar suas operações.
Desde o início, o Brasil, através da ABNT, tem participado ativamente do desenvolvimento da série de normas da família ISO/IEC 27000, com o apoio de especialistas que ajudaram na revisão e elaboração desta nova versão do documento, selecionando e definindo os controles de segurança, baseados nas melhores práticas reconhecidas internacionalmente.
Esta lista é composta por 93 controles, categorizados em 4 seções como controles organizacionais, de pessoas, físicos e tecnológicos.
Cada controle possui um título, descrição, propósito, orientação e outras informações, além de uma tabela com 5 atributos que podem ser usados como filtros ou classificação para diferentes públicos ou perspectivas:
- Tipo do controle (preventivo, detectivo ou corretivo)
- Propriedades de segurança da informação (confidencialidade, integridade ou disponibilidade)
- Conceitos de segurança cibernética (identificar, proteger, detectar, responder ou recuperar)
- Domínios de segurança (governança e ecossistema, proteção, defesa ou resiliência)
- Capacidades operacionais (lista com 14 capacidades).
As organizações podem também criar atributos adicionais para os controles contemplando visões ou classificações específicas.
A seleção e determinação dos controles deve ser feita a partir da avaliação de riscos, definindo-se as opções de tratamento segundo os recursos disponíveis e priorizando conforme a abordagem de gestão de riscos da organização (recomendamos a ISO/IEC 27005 - Gestão
de riscos em segurança da informação).
A seleção dos controles deve levar em conta também os critérios de risco e as legislações e regulamentações nacionais e internacionais pertinentes.
Nem todos os controles e orientações da norma são aplicáveis a todas as organizações. Controles e diretrizes adicionais não incluídas neste documento também podem ser necessários, definidos através da avaliação de riscos para um específico ambiente ou setor.
Na parte final, a Bibliografia faz referência a 59 normas e documentos complementares que podem ser usados em conjunto tais como: ISO/IEC 27000 (Glossário), ISO 21500 (Gerenciamento de projeto, programa e portfólio), ISO 22301 (Gestão de continuidade de negócios), ISO 31000 (Gestão de Riscos), além de outras normas setoriais com controles adicionais para áreas específicas como a ISO/IEC 27017 (Serviços em nuvem), ISO/IEC 27701 (Privacidade, adequada para LGPD), ISO/IEC 27019 (Energia), ISO/IEC 27011 (Telecomunicações) e ISO 27799 (Saúde).
Para mais informações e referências, recomendo a leitura de um artigo que abordou as diferenças desta nova ISO 27002 com sua versão anterior e outro sobre o relacionamento dos controles desta norma com os Controles Críticos de Segurança do CIS v8.
Boa leitura e ótima semana!
Alberto Bastos, @albastos
