As referências para os controles de segurança da informação

Equipe Target

NBR ISO/IEC 27002 de 10/2022 – Segurança da informação, segurança cibernética e proteção à privacidade – Controles de segurança da informação

A NBR ISO/IEC 27002 de 10/2022 – Segurança da informação, segurança cibernética e proteção à privacidade – Controles de segurança da informação fornece um conjunto de referência de controles genéricos de segurança da informação, incluindo orientação para implementação. Este documento foi projetado para ser usado pelas organizações: no contexto de um sistema de gestão de segurança da informação (SGSI) baseado na NBR ISO/IEC 27001; para a implementação de controles de segurança da informação com base em melhores práticas reconhecidas internacionalmente; e para o desenvolvimento de diretrizes específicas de gestão de segurança da informação da organização.

Este documento é projetado para organizações de todos os tipos e tamanhos. É para ser usado como referência para determinar e implementar controles para tratamento de riscos de segurança da informação em um sistema de gestão de segurança da informação (SGSI) baseado na NBR ISO/IEC 27001. Também pode ser usado como um documento de orientação para organizações determinando e implementando controles de segurança da informação comumente aceitos.

Além disso, este documento é destinado a ser utilizado no desenvolvimento de diretrizes de gestão de segurança da informação específicas para a indústria e a organização, considerando seu ambiente específico de riscos de segurança da informação. Os controles organizacionais ou específicos do ambiente que não sejam os incluídos neste documento podem ser determinados através do processo de avaliação de riscos, conforme necessário.

As organizações de todos os tipos e tamanhos (incluindo setor público e privado, comercial e sem fins lucrativos) criam, coletam, tratam, armazenam, transmitem e descartam informações de diversas formas, incluindo eletrônica, física e verbal (por exemplo, conversas e apresentações). O valor da informação vai além das palavras, escritas, números e imagens: conhecimentos, conceitos, ideias e marcas são exemplos de formas intangíveis de informação.

Em um mundo interconectado, as informações e outros ativos associados merecem ou requerem proteção contra várias fontes de risco, sejam naturais, acidentais ou deliberadas. A segurança da informação é alcançada por meio da implementação de um conjunto adequado de controles, incluindo políticas, regras, processos, procedimentos, estruturas organizacionais e funções de software e hardware.

Para atender aos seus objetivos específicos de segurança e negócios, convém que a organização defina, implemente, monitore, analise criticamente e aprimore esses controles quando necessário. Um SGSI como o especificado na NBR ISO/IEC 27001 tem uma visão holística e coordenada dos riscos de segurança da informação da organização, a fim de determinar e implementar um conjunto abrangente de controles de segurança da informação na estrutura geral de um sistema de gestão coerente.

Muitos sistemas de informação, incluindo de gestão e operações, não foram projetados para serem seguros em termos de um SGSI conforme especificado na NBR ISO/IEC 27001 e neste documento. O nível de segurança que só pode ser alcançado por meio de medidas tecnológicas é limitado e convém que seja apoiado por atividades de gestão e processos organizacionais adequados. Identificar quais controles convém que estejam implementados requer um planejamento cuidadoso e atenção aos detalhes durante a realização do tratamento de riscos.

Um SGSI bem-sucedido requer o apoio de todo o pessoal da organização. Também pode requerer a participação de outras partes interessadas, como acionistas ou fornecedores. A assessoria de especialistas no assunto também pode ser necessária. Um sistema de gestão da segurança da informação apropriado, adequado e eficaz fornece garantia à direção da organização e a outras partes interessadas de que suas informações e outros ativos associados estão mantidos razoavelmente seguros e protegidos contra ameaças e danos, permitindo assim que a organização atinja os objetivos de negócios declarados.

As principais fontes de requisitos de segurança da informação incluem a avaliação de riscos da organização, considerando a estratégia e os objetivos globais de negócios da organização. Isso pode ser facilitado ou apoiado por meio de um processo de avaliação de riscos específicos de segurança da informação. Convém que isso resulte na determinação dos controles necessários para assegurar que o risco residual à organização atenda aos seus critérios de aceitação de riscos.

Os requisitos legais, estatutários, regulamentares e contratuais que uma organização e suas partes interessadas (parceiros comerciais, prestadores de serviços etc.) têm que cumprir e seu ambiente sociocultural e o conjunto de princípios, objetivos e requisitos de negócios para todas as etapas do ciclo de vida de informações que uma organização desenvolveu para apoiar suas operações. Um controle é definido como uma medida que modifica ou mantém o risco.

Alguns dos controles deste documento são controles que modificam o risco, enquanto outros mantêm o risco. Uma política de segurança da informação, por exemplo, só pode manter o risco, enquanto o cumprimento da política de segurança da informação pode modificar o risco. Além disso, alguns controles descrevem a mesma medida genérica em diferentes contextos de riscos.

Este documento fornece uma mistura genérica de controles organizacionais, de pessoas e de segurança da informação física e tecnológica derivados de melhores práticas reconhecidas internacionalmente. A determinação dos controles é dependente das decisões da organização após um processo de avaliação de riscos, com um escopo claramente definido. Convém que as decisões relacionadas aos riscos identificados se baseiem nos critérios de aceitação de riscos, nas opções de tratamento de riscos e na abordagem de gestão de riscos aplicada pela organização.

A determinação dos controles também deve considerar todas as legislações e regulamentações nacionais e internacionais relevantes. A determinação do controle também depende da forma como os controles interagem entre si para fornecer defesa em profundidade. A organização pode projetar controles conforme necessário ou identificá-los de qualquer fonte.

Ao especificar estes controles, convém que as organizações considerem os recursos e investimentos necessários para implementar e operar um controle comparado com o valor de negócios realizado. Ver o ISO/IEC TR 27016 para orientação sobre as decisões relativas ao investimento em um SGSI e as consequências econômicas dessas decisões no contexto de requisitos concorrentes para os recursos.

Convém que exista um equilíbrio entre os recursos alocados para a implementação de controles e o potencial impacto nos negócios resultantes de incidentes de segurança na ausência desses controles. Convém que os resultados de uma avaliação de riscos ajudem a orientar e determinar as ações de gestão adequadas, as prioridades para gerenciar riscos de segurança da informação e para implementar os controles determinados para proteger contra esses riscos.

Alguns dos controles deste documento podem ser considerados como princípios orientadores para a gestão da segurança da informação e como aplicáveis para a maioria das organizações. Mais informações sobre a determinação de controles e outras opções de tratamento de risco podem ser encontradas na NBR ISO/IEC 27005. Este documento pode ser considerado como um ponto de partida para o desenvolvimento de diretrizes específicas da organização. Nem todos os controles e orientações deste documento podem ser aplicáveis a todas as organizações.

Os controles e as diretrizes adicionais não incluídas neste documento também podem ser necessários para atender às necessidades específicas da organização e aos riscos identificados. Quando documentos são elaborados contendo diretrizes ou controles adicionais, pode ser útil incluir referências cruzadas às seções deste documento para referência futura.

A informação tem um ciclo de vida natural, da criação ao descarte. O valor e os riscos para as informações podem variar ao longo deste ciclo de vida (por exemplo, divulgação indevida ou roubo dos resultados financeiros de uma empresa não é significativa depois de serem publicadas, mas a integridade permanece crítica) portanto, a segurança da informação permanece importante em alguma medida em todas as etapas.

Os sistemas de informação e outros ativos relevantes para a segurança da informação possuem ciclos de vida dentro dos quais são concebidos, especificados, projetados, desenvolvidos, testados, implementados, usados, mantidos e eventualmente retirados do serviço e descartados. Convém que a segurança da informação seja considerada em todas as etapas. Novos projetos de desenvolvimento de sistemas e mudanças nos sistemas existentes oferecem oportunidades para melhorar os controles de segurança, considerando os riscos e lições aprendidas com os incidentes.

Embora este documento ofereça orientações sobre uma ampla gama de controles de segurança da informação que são comumente aplicados em muitas organizações diferentes, outros documentos da família ISO/IEC 27000 fornecem orientações ou requisitos complementares sobre outros aspectos do processo global de gestão da segurança da informação. Ver a ISO/IEC 27000 para uma introdução geral ao SGSI e à família de documentos.

A ISO/IEC 27000 fornece um glossário, definindo a maioria dos termos utilizados em toda a família de documentos ISO/IEC 27000, e descreve o escopo e objetivos para cada membro da família. A organização pode usar atributos para criar diferentes visões que são categorizações diferentes dos controles, vistas de uma perspectiva diferente dos temas. Atributos podem ser usados para filtrar, classificar ou apresentar controles em diferentes pontos de vista para diferentes públicos.

O Anexo A explica como isso pode ser alcançado e fornece um exemplo de uma visão. Por exemplo, cada controle neste documento foi associado a cinco atributos com valores de atributo correspondentes (precedidos por “#” para torná-los pesquisáveis), da seguinte forma: o tipo de controle é um atributo para visualizar controles sob a perspectiva de quando e como o controle modifica o risco em relação à ocorrência de um incidente de segurança da informação. Os valores de atributo consistem em Preventivo (o controle que se destina a evitar a ocorrência de um incidente de segurança da informação), Detectivo (o controle age quando ocorre um incidente de segurança da informação) e Corretivo (o controle age após um incidente de segurança da informação ocorrer).

As propriedades de segurança da informação são um atributo para visualizar controles na perspectiva de qual característica das informações o controle contribuirá para a preservação. Os valores dos atributos consistem em Confidencialidade, Integridade e Disponibilidade. Os conceitos de segurança cibernética são um atributo para visualizar os controles sob a perspectiva da associação de controles aos conceitos de segurança cibernética definidos no quadro de segurança cibernética descrito no ISO/IEC TS 27110. Os valores dos atributos consistem em Identificar, Proteger, Detectar, Responder e Recuperar.

Os atributos dados neste documento são selecionados porque são considerados genéricos o suficiente para serem usados por diferentes tipos de organizações. As organizações podem optar por ignorar um ou mais dos atributos dados neste documento. Eles também podem criar atributos próprios (com os valores de atributo correspondentes) para criar suas próprias visões organizacionais. A Seção A.2 inclui exemplos destes atributos.

FONTE: Equipe Target