#27002: Uma revisão atualizada da norma com uma estrutura racionalizada, novo conteúdo e indexação contemporânea. No primeiro trimestre de 2022, atualização da ISO/IEC 27002 foi lançada como um prenúncio para a revisão da ISO/IEC 27001 prevista para o quarto trimestre de 2022. Leia aqui o que mudou com a nova ISO 27002:2022 - e o que isto significa em termos da revisão da ISO 27001:2022.

Loading...

ISO 27002 e ISO 27001

A ISO 27002 define um amplo catálogo de medidas gerais de segurança que deve apoiar as empresas na implementação dos requisitos do Anexo A da ISO 27001 - e se estabeleceu como um guia prático de normas em muitos departamentos de TI e segurança como uma ferramenta reconhecida. No início de 2022, a ISO 27002 foi revista atualizada de forma abrangente - um passo em atraso na opinião de muitos especialistas, tendo em conta o desenvolvimento dinâmico das TI nos últimos anos e sabendo que as normas são revistas para se atualizarem de 5 em 5 anos.

Para empresas com um certificado ISO 27001 - ou empresas que queiram abordar a certificação num futuro próximo - as inovações que foram agora introduzidas são relevantes em dois aspectos: Em primeiro lugar, no que diz respeito às atualizações necessárias das suas próprias medidas de segurança; mas em segundo lugar, porque estas alterações terão um impacto na atualização de ISO 27001 esperado no final do ano e será, portanto, relevante para todas as certificações e recertificações futuras. Razão suficiente, portanto, para olhar mais de perto para a nova ISO 27002.

Nota: ISO/IEC 27002:2022 Segurança da informação, cibersegurança e proteção da privacidade - Controles de segurança da informação. A norma é atualmente publicada apenas em inglês, e pode ser encomendada a partir do website da ISO .

Nova estrutura e novos temas

A primeira alteração óbvia na ISO 27002:2022 é a estrutura atualizada e significativamente racionalizada da norma: em vez das anteriores 114 medidas de segurança (controles) em 14 seções, o conjunto de referência da versão atualizada da ISO 27002 compreende agora 93 controles, que estão claramente subdivididos e resumidos em 4 áreas temáticas:

  • 37 medidas de segurança na seção "Controles organizacionais".
  • 8 medidas de segurança na área do "Controle de pessoas".
  • 14 medidas de segurança no domínio dos "Controles físicos".
  • 34 medidas de segurança na área dos "Controles tecnológicos".

Apesar do reduzido número de medidas de segurança, apenas o controle "Remoção de Bens" foi efetivamente eliminado. A racionalização deve-se ao fato de 24 medidas de segurança dos controles existentes terem sido combinadas e reestruturadas para cumprir os objetivos de proteção de uma forma mais focalizada. Outras 58 medidas de segurança foram revistas e adaptadas para satisfazer os requisitos contemporâneos.

A nova edição da ISO 27002 dá aos gestores de segurança da informação uma perspectiva precisa sobre as mudanças que se tornarão a nova norma de certificação com a nova edição da ISO 27001.

Markus Jegelka Auditor da DQS para a Segurança da Informação

Novas medidas de segurança

Além disso - e esta é provavelmente a parte mais animadora da atualização - a ISO 27002 foi ampliada por 11 medidas de segurança adicionais na nova versão. Nenhuma destas medidas constituirá uma surpresa para os especialistas em segurança, mas, no seu conjunto, enviam um sinal forte e ajudam as empresas a armar atentamente as suas estruturas organizacionais e arquiteturas de segurança contra cenários de ameaça atuais e futuros.

As novas medidas são:

Inteligência em matéria de ameaças

Capturar, consolidar e analisar as informações sobre ameaças atuais permite às organizações manterem-se atualizadas num ambiente de ameaças cada vez mais dinâmico e evolutivo. No futuro, a análise baseada em provas de informação sobre ataques desempenhará um papel fundamental na segurança da informação para desenvolver as melhores estratégias de defesa possíveis.

Segurança da informação para a utilização de serviços na nuvem

Muitas organizações confiam hoje em dia em serviços baseados na nuvem. Com isto, enxergam novos vetores de ataque e alterações que os acompanham, e superfícies de ataque significativamente maiores. No futuro, as empresas terão de considerar medidas de proteção adequadas para a sua introdução, utilização, administração, e devem torná-las vinculativas nas suas regras contratuais com os prestadores de serviços baseados na nuvem.

Prontidão das TIC para a continuidade do negócio

A disponibilidade das tecnologias de informação e comunicação (TIC) e das suas infraestruturas é essencial para as operações comerciais em curso nas empresas. A base para organizações resilientes são objetivos de continuidade empresarial planejados e requisitos de continuidade das TIC derivados, implementados e verificados a partir deles. Os requisitos para a recuperação técnica e antecipada das TIC, após um fracasso, estabelecem conceitos viáveis de continuidade empresarial.

Monitoramento da segurança física

As invasões em que dados sensíveis ou portadores de dados são roubados da empresa ou comprometidos representam um risco significativo para as empresas. Os sistemas técnicos de controle e monitorização provaram ser eficazes na dissuasão de potenciais intrusos ou na detecção imediata da sua invasão. No futuro, estes serão componentes padrão de conceitos de segurança holísticos para a detecção e dissuasão do acesso físico não autorizado.

Gestão da configuração

Sistemas incorretamente configurados podem ser atacados por invasores para obter acesso a recursos críticos. Embora anteriormente sub-representada como um subconjunto da gestão da mudança, a gestão sistemática da configuração está agora focada como uma medida de segurança por direito próprio. Exige que as organizações monitorem a configuração adequada de hardware, software, serviços e redes, e que endureçam os seus sistemas adequadamente.

Eliminação de informação

Desde que o Regulamento Geral de Proteção de Dados entrou em vigor, as organizações devem ter mecanismos apropriados para apagar dados pessoais quando solicitado, e garantir que estes não sejam retidos por mais tempo do que o necessário. Este requisito é ampliado a todas as informações da ISO 27002. As informações sensíveis não devem ser conservadas por mais tempo do que o necessário para evitar o risco de divulgação indesejada.

Loading...

Guia de Auditoria da DQS para ISO 27001

Experiência

Nosso guia de auditoria ISO 27001 - Anexo A  foi criado por especialistas líderes como uma ajuda prática de implementação e é ideal para uma melhor compreensão dos requisitos padrão selecionados. A diretriz ainda não se refere à ISO 27001 revisada que foi publicada em 25 de outubro de 2022.

Mascaramento de dados

O objetivo desta medida de segurança é proteger dados sensíveis ou elementos de dados (por exemplo, dados pessoais) através de mascaramento, pseudonimização ou anonimização. O enquadramento para a implementação adequada destas medidas técnicas é fornecido por requisitos legais, estatutários, regulamentares e contratuais.

Prevenção de fugas de dados

São necessárias medidas preventivas de segurança para mitigar o risco de divulgação e extração não autorizada de dados sensíveis de sistemas, redes e outros dispositivos. Os canais potenciais de fuga não controlada desta informação identificada e classificada (por exemplo, correio eletrônico, transferências de arquivos, dispositivos móveis e dispositivos de armazenamento portáteis) devem ser monitorados e, se necessário, tecnicamente apoiados por medidas de prevenção ativas (por exemplo, quarentena de correio eletrônico).

Atividades de monitoramento

Os sistemas de monitoramento de anomalias em redes, sistemas e aplicações fazem agora parte do repertório padrão dos departamentos de TI. Da mesma forma, a exigência de utilizar sistemas para a detecção de ataques encontrou o seu caminho para os atuais requisitos legais e regulamentares. O monitoramento contínuo, a coleta e a avaliação automática de parâmetros e características apropriadas das operações informáticas em curso são um imperativo na defesa cibernética proativa e continuarão a impulsionar as tecnologias nesta área.

Filtragem da Web

Muitos sites não confiáveis infectam os visitantes com "malware" ou leem os seus dados pessoais. A filtragem avançada de URL pode ser utilizada para filtrar automaticamente websites potencialmente perigosos para proteger os usuários finais. Medidas e soluções de segurança para proteger contra conteúdos maliciosos em websites externos são essenciais num mundo empresarial globalmente conectado.

Codificação segura

Vulnerabilidades em código desenvolvido internamente ou componentes de código aberto são um ponto perigoso de ataque, permitindo aos cibercriminosos obter facilmente acesso a dados e sistemas críticos. Diretrizes de desenvolvimento de software atualizadas, procedimentos de teste automatizados, procedimentos de liberação para alterações de código, gestão do conhecimento para programadores, mas também estratégias bem pensadas de correção e atualização, aumentam significativamente o nível de proteção.

Atributos e valores dos atributos

Outra inovação foi introduzida pela primeira vez na ISO 27002:2022 para ajudar os gestores de segurança a navegar na ampla mistura de medidas: No Anexo A da norma, são armazenados cinco atributos com valores de atributos associados para cada medida.

Os atributos e valores de atributo são:

Tipos de controle

  • O tipo de controle é um atributo para a visualização de controles do ponto de vista de quando e como um controle altera o risco relacionado à ocorrência de um incidente de segurança da informação.
  • #preventivo #detetive #corretivo

Propriedades de segurança da informação

  • As propriedades de segurança da informação são um atributo que pode ser usado para exibir os controles da perspectiva de qual objetivo de proteção o controle pretende dar suporte.
  • #Confidencialidade #Integridade #Disponibilidade

Conceitos de cibersegurança

  • Os conceitos de segurança cibernética analisam os controles da perspectiva do mapeamento de controles para a estrutura de segurança cibernética descrita na ISO/IEC TS 27110.
  • #Identificar #Proteger #Detectar #Responder #Recuperar

Capacidades operacionais

  • A capacidade operacional analisa os controles da perspectiva de seus recursos operacionais de segurança da informação e oferece suporte a uma visão prática dos controles pelo usuário.
  • #Segurança de aplicações #Gestão de ativos #Continuidade #Proteção de dados #Governança #Segurança de recursos humanos #Gestão de identidade e acesso #Gestão de eventos de segurança da informação #Segurança jurídica e conformidade #Segurança física #Configuração segura #Segurança de relações de fornecimento #Segurança de sistemas e redes #Gestão de ameaças e vulnerabilidades

Domínios de segurança

  • Domínios de segurança são um atributo que pode ser usado para visualizar controles dentro da perspectiva de quatro domínios de segurança da informação
  • #Governança_e_Ecosistema  #Proteção #Defesa #Resiliência

 

Os valores dos atributos marcados com "hashtags" destinam-se a facilitar aos gestores de segurança a encontrar o seu caminho através do amplo catálogo de medidas no guia padrão, e a pesquisá-las e avaliá-las de uma forma orientada.

Alterações na ISO 27002: Uma conclusão

A nova edição da ISO 27002 fornece aos gestores de segurança da informação uma perspectiva precisa sobre as mudanças que se tornarão a nova norma de certificação com a nova edição da ISO 27001. Ao mesmo tempo, as inovações permanecem dentro de um quadro controlável: A reestruturação do catálogo de medidas torna a norma mais transparente, e é, sem dúvida, um passo na direção certa, tendo em conta a crescente complexidade e a diminuição da transparência das arquiteturas de segurança. As medidas recentemente incluídas também não serão uma surpresa para os especialistas de segurança experientes e modernizam consideravelmente a norma ISO desatualizada.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Certificação de acordo com a ISO 27001

Quanto esforço é necessário investir para obter a sua certificação ISMS de acordo com a norma ISO 27001? Obtenha informações gratuitamente e sem compromisso.

Estamos ansiosos para falar com você.

O que a atualização significa para a sua certificação?

A versão nova da ISO/IEC 27001 foi publicada em 25 de outubro de 2022. Isto resulta nos seguintes prazos de transição:

Última data para auditorias iniciais/recertificação de acordo com a “antiga” ISO 27001:2013

  • Após 30 de abril de 2024, a DQS realizará auditorias iniciais e de recertificação apenas de acordo com a nova norma ISO/IEC 27001:2022

Transição de todos os certificados existentes de acordo com a "antiga" ISO/IEC 27001:2013 para a nova ISO/IEC 27001:2022

  • Há um período de transição de 3 anos a partir de 31 de outubro de 2022 
  • Os certificados emitidos de acordo com ISO/IEC 27001:2013 ou DIN EN ISO/IEC 27001:2017 são válidos até 31 de outubro de 2025, o mais tardar, ou devem ser retirados nesta data

DQS: Simply leveraging Quality 

As nossas auditorias de certificação são claras. A visão holística e neutra de um ponto de vista externo sobre pessoas, processos, sistemas e resultados mostra quão eficaz é o seu sistema de gestão, como ele é implementado e dominado. É importante para nós que você perceba a nossa auditoria não como um teste, mas como um enriquecimento para o seu sistema de gestão.

A nossa reivindicação começa sempre onde terminam as listas de verificação de auditoria. Perguntamos-lhe especificamente "por quê"? Porque queremos compreender os motivos que o levaram a escolher uma determinada forma de implementação. Nós nos concentramos no potencial de melhoria e encorajamos uma mudança de perspectiva. Desta forma, você pode identificar opções de ação com as quais pode melhorar continuamente o seu sistema de gestão.

Autor
André Säckel

Gestor de produto na DQS para gestão da segurança da informação. Como especialista nas normas para a área de segurança da informação e catálogo de segurança de TI (infra-estruturas críticas), André Säckel é responsável pelas seguintes normas e normas específicas da indústria, entre outras: ISO 27001, ISIS12, ISO 20000-1, KRITIS e TISAX (segurança da informação na indústria automotiva). Ele também é membro do grupo de trabalho ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional do Instituto Alemão de Normalização DIN.

Loading...