45 normas da família ISO 27000 - Gestão da Segurança da Informação
Olá amigos do Portal GSTI!
Considerando se tratar de um tema relevante, disponibilizo uma descrição resumida das normas que pertencem a família ISO 27000.
Em algumas delas, faço questão de inserir comentários. Para quem segue meus artigos, entretanto, não espere encontrar aqui uma análise crítica como costumo realizar em minhas publicações e sim um compartilhamento de conteúdo.
Mesmo para quem tem familiaridade com as normas ISO 27001/02 e ISO 27005, sugiro que invista alguns minutos na leitura: pode ser que você se surpreenda com a variedade publicações da ISO para este tema.
Normas ISO 27000
ISO/IEC 27000 : visão geral/introdução à família ISO 27000. É uma norma interessante sobretudo para marinheiros de primeira viagem na gestão da #Segurança da Informação. Inclui um glossário de termos que ajuda, inclusive, a quem está se preparando para certificação profissional ISO 27002 Foundation .
ISO/IEC 27001 : a norma que define os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI ).
O SGSI é descrito como um sistema parte do sistema de gestão global da organização, com base em uma abordagem de risco do negócio, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação. O SGSI inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos. A publicação é muito conhecida entre estudantes de concursos de TI .
A ISO 27001: é a principal norma que uma organização deve utilizar como base para obter a certificação empresarial em gestão da segurança da informação . Por isso, é conhecida como a única norma internacional auditável que define os requisitos para um Sistema de Gestão de Segurança da Informação ( SGSI ).
ISO/IEC 27002 : é um código de práticas com um conjunto completo de controles que auxiliam aplicação do Sistema de Gestão da Segurança da Informação.
É recomendável que a norma seja utilizada em conjunto com a ISO 27001, mas pode ser também consultada de forma independente com fins de adoção das boas práticas.
Outro fato curioso é que esta é a única norma em gestão da segurança para qual existem certificações profissionais, do centro de exames Exin. Caso deseje saber um pouco mais, consulte o nosso guia para certificação ISO 27002.
ISO/IEC 27003 : uma das minhas prediletas e curiosamente s menos conhecida entre as 05 primeiras normas desta família. A ISO 27003 contém um conjunto de diretrizes para a implementação do SGSI. Enquanto a 27001 disponibiliza apenas requisitos, aqui obtemos uma orientação detalhada.
ISO/IEC 27004 : defini métricas de medição para a gestão da segurança da informação. Pode ser uma importante aliada no momento de definir-se metas de níveis de serviço para a segurança da informação, ou mesmo executar o check e act do SGSI.
ISO/IEC 27005 : cobre a #Gestão de Riscos de segurança da informação. Grande parte do escopo da ISO 27005 pode ser interpretada como a sessão 4 da norma ISO 27001 detalhada na perspectiva dos riscos .
ISO/IEC 27006 : defini requisitos para organizações que trabalham com auditoria e certificação de sistemas de gestão de segurança da informação. Em outras palavras, os requisitos na perspectiva da empresa auditando o seu cliente, para validar um SGSI .
ISO/IEC 27007 : aborda diretrizes para guiar a auditoria do sistema de gestão da segurança da informação. Ela deve ser usada junto com a ISO 27006 assim como a ISO 27002 deve ser usada em conjunto com a ISO 27001.
ISO/IEC 27008 : esta norma complementa a ISO 27007 ao concentrar-se na auditoria dos controles em segurança da informação (que estão dispostos na ISO 27002), enquanto a 27007 concentra-se na auditoria dos requisitos a do SGSI (definidos na 27001).
ISO/IEC 27009 : norma apoia a industrias específicas pretendem trabalhar orientadas às normas ISO 27000.
ISO/IEC 27010 : aborda um guia para a comunicação em gestão da segurança da informação tanto no escopo da organização como fora dela (sobretudo para entre empresas do mesmo setor). Perceba que o objetivo não é delimitar controles de segurança para a informação e sim prover auxílio para quem deseja evoluir com as práticas através de contatos e network entre partes de um mesmo segmento de mercado que buscam aprimorar a gestão da segurança da informação.
Pessoalmente, tenho pouca intimidade com esta norma, assim como muitas citadas deste ponto em diante. Entretanto, uma das questões mais interessante que observei ao ter um primeiro contato com esta, é o fato de orientar a como compartilhar informações que precisam ser acessadas por outras empresas ou órgãos governamentais mesmo sendo classificadas como sigilosas.
ISO/IEC 27011 : guia de gestão da segurança da informação para empresas de telecomunicações.
ISO 27012 : no histórico da ISO, esta norma foi proposta para gestão da segurança da informação em organizações da administração pública, mas foi cancelada. No site oficial da ISO ela hoje não está entre as normas publicadas oficialmente.
Existem informações também de uma nova proposta com a numeração ISO 27012 o padrão específico da indústria de finanças, mas este papel acabou sendo assumido pela ISO 27015, descrita adiante.
ISO/IEC 27013 : trata-se de um guia para implementar a ISO 27001 em uma organização de forma integrada com a ISO 20000 (norma que atribui os requisitos para gestão de serviços de tecnologia da informação). Interessante, sim?
ISO/IEC 27014 : técnicas para governança da segurança da informação. Este objetivo é buscado pro tal norma através de uma especificação de como avaliar, dirigir, controlar e comunicar todas as práticas internas da empresa relacionadas a segurança da informação, de forma que sejam compreendidas e estejam alinhadas com necessidades da área de negócio
Observação: as próximas 02 normas estabelecem diretrizes e controles para segmentos específicos do mercado, e isso volta a ocorrer na ISO 27799 . Algumas delas ainda estão em elaboração.
ISO/IEC 27015 : aborda a gestão da segurança da informação para serviços financeiros. Pode ser interpretada como uma norma que fornece controles e diretrizes complementares a ISO 27002 para empresas e departamentos deste segmento.
ISO/IEC 27016 : o mesmo raciocínio da 27015, só que para o setor de economia.
Observação : perceba que a partir da próxima norma, o foco muda para tópicos específicos em tecnologia da informação.
ISO/IEC 27017 : controles específicos para cloud computing .
ISO/IEC 27018 : cobre especificamente a privacidade ( PII - Personally Identifiable Information ) para serviços em cloud computing . Como podemos interpretar, é uma norma que complementa a ISO 27017.
ISO 27019 : controles específicos para industria de energia.
Observação : não estranhe o fato de saltarmos para a ISO 27031 . As normas numeradas entre 27020 e 2030 não estão publicadas ou já estão publicadas para temas que não dizem respeito a gestão da segurança da Informação. A ISO 27020 , por exemplo, é "aplicável a suportes e tubos para uso em aparelhos ortodônticos fixos", enquanto a 27027 "especifica as definições, os requisitos de desempenho e métodos para determinar o desempenho de controladores de potência (remotas) de estado sólido para uso em sistemas de energia elétrica do setor aeroespacial. "
ISO 27031 : propõe um guia de princípios/conceitos por trás do papel da segurança da informação para TIC no sentido de garantir a continuidade dos negócios. Inclui diretrizes de mensuração do nível de proteção da organização para a gestão da continuidade na ótica da tecnologia e comunicação.
ISO 27032 : aborda “ Cybersecurity ”. Está em sua definição a preservação da confidencialidade, integridade e disponibilidade da informação em " Cyberspace ".
ISO 27033-1 : esta é uma das 06 partes da norma 27033. O conjunto de normas 27033-1 a 27033-6 são derivadas das 05 partes da norma de segurança em redes : ISO/IEC 18028 . A ISO 27033-1 trata sobre a introdução e conceitos gerais para segurança em redes.
ISO 27033-2 : guia para o planejamento, desenho, implementação e documentação da segurança em redes.
ISO 27033-3 : tem o objetivo de definir os riscos específicos, técnicas de projetos e controles relacionados a segurança em redes.
ISO 27033-4 : propõe uma visão geral e requisitos para identificação e análise de ameaças para a segurança da informação relacionadas a gateways de segurança da informação que compõem a arquitetura de segurança em redes.
ISO 27033-5 : protegendo a comunicação entre redes usando Virtual Private Networks (VPNs).
ISO 27033-6 : define riscos, técnicas de projeto e desenho e controles específicos para a segurança da informação em redes sem fio e rádio.
ISO 27034-1 : segurança da informação em aplicações - parte 01 . Nesta primeira parte, é definida e abordada uma introdução e conceitos. As partes 02 a 06 encontram-se em desenvolvimento, mas já é possível obter informações sobre elas, conforme descrições a seguir.
ISO 27034-2 : segurança da informação em aplicações - parte 02 . A segunda parte trata sobre a organização normativa para segurança em aplicações.
ISO 27034-3 : guia para o processo de gestão da segurança em aplicações.
ISO 27034-4 : validação de requisitos de segurança em aplicações.
ISO 27034-5 : Protocolos e estrutura de dados de controle de segurança de aplicativos.
ISO 27034-6 : guia de segurança da informação para aplicações específicas.
Nota: as próximas normas especificam em maiores detalhes muitas das seções da norma ISO 27002
ISO 27035 : guia detalhado para a gestão de incidentes de segurança da informação, cobrindo o processo de mapeamento de eventos, incidentes e vulnerabilidades em de segurança.
Inclui guias para declaração de uma política de gestão de incidentes de segurança, divisão das responsabilidades envolvidas, entre outros aspectos relevantes para quem adota as boas práticas se gestão da segurança.
ISO 27036 : segurança da informação para o relacionamento com fornecedores . Oferece orientações sobre a avaliação e tratamento de riscos de segurança da informação envolvidos na aquisição de informações ou produtos relacionados com as TIC (Tecnologia de Informação e Comunicação) de outras organizações.
Nota: as duas próximas normas ( ISO 27037 e ISO 27038) tratam sobre segurança forense , e este tema volta a ser citado nas normas ISO 27041 e ISO 27042 ". Já as ISO 27038 e ISO 27039 tratam sobre ferramentas que automatizam atividades para SI.
ISO 27037 : orientações para a identificação, coleta, aquisição e preservação de evidências forenses digitais. Esta norma está focada na manutenção da integridade destas evidências. Sem dúvidas, uma das normas mais relevantes para profissionais que seguem ou pretendem seguir carreira de perito forense (caso não tenha intimidade com este tema, consulte publicações no Portal como estas 04 vídeo aulas de Segurança Forense , este vídeo sobre análise de malware em forense computacional, ou este ebook gratuito sobre Análise Forense.
ISO 27038 : especificação para redação digital. Uma norma qual considero bem interessante por conta do seu grau de especifidade: trata sobre requisitos para a redação e compartilhamento da informação digital de forma adequada, seja ela publicada internamente na organização ou a partes externas.
ISO 27039 : sistemas detecção de intrusos: um guia para seleção, contratação, desenho, operação e administração de sistemas IDS ( Intrusion Detection Systems).
ISO 27040 : aspectos de segurança da informação para sistemas e #Infraestrutura de storage.
ISO 27041 : regula sobre a conformidade para métodos de investigação de evidências digitais, sendo mais uma norma entre as disponíveis para análise forense computacional / segurança forense.
ISO 27042 : mais uma entre as normas forenses, sendo que esta prevê diretrizes para a análise e interpretação de evidências digitais. Existem especulações de que todas estas normas forenses sejam re-estruturadas, no futuro, em uma norma com diversas partes assim como está definida a ISO 27034.
ISO 27043 : princípios e processo de investigação de incidentes da segurança da informação. Esta é mais uma norma voltada exclusivamente para gestão de incidentes de segurança, assim como a ISO 27035.
ISO 27044 : diretrizes específicas para o Gerenciamento de Eventos de Segurança da Informação (SIEM) .
ISO 27799 : gerenciamento de segurança da informação para a área de saúde.
Para saber mais sobre cada uma destas normas, basta consultá-las no site oficial da ISO ( International Organization for Standardization ).
ISO/IEC 27050: esta norma ainda está em fase de elaboração (informação atualizada em Novembro de 2016). Versa sobre padrões forenses digitais com objetivo de contribuir para a captura de evidências digitais. Será lançada como uma continuação de outras normas da família que já tratam do tema.
Diversas outras normas desta família estão em fase de estudos e/ou sendo propostas, afinal podemos notar que diversas outras áreas de negócio ainda não são contempladas, assim como assuntos específicos na estrutura de segurança da informação e sessões específicas da norma 27002.
Convido os profissionais que trabalham na área a comentar sobre estas normas: você já trabalhou com uma ou mais delas? Já conhecia a maior parte delas?
Para qualquer esclarecimento em que eu possa ajudar, basta inserir sua dúvida nos comentários ou enviar mensagem para os contatos descritos no rodapé desta publicação. Será um prazer respondê-lo!
Referências:
http://www.iso.orghttp://www.iso27001security.com