#27002: Uma revisão refrescante da norma com uma estrutura racionalizada, novo conteúdo e indexação contemporânea. No primeiro trimestre de 2022, a actualização da ISO/IEC 27002 foi lançada como um prenúncio para a revisão da ISO/IEC 27001 prevista para o quarto trimestre de 2022. Leia aqui o que mudou com a nova ISO 27002:2022 - e o que isto significa em termos da revisão da ISO 27001:2022.

Loading...

ISO 27002 e ISO 27001

A ISO 27002 define um amplo catálogo de medidas gerais de segurança que deve apoiar as empresas na implementação dos requisitos do Anexo A da ISO 27001 - e estabeleceu-se como um guia prático de normas em muitos departamentos de IT e segurança como uma ferramenta reconhecida. No início de 2022, a ISO 27002 foi revista e actualizada de forma abrangente - um passo em atraso na opinião de muitos peritos, tendo em conta o desenvolvimento dinâmico das IT nos últimos anos e sabendo que as normas são revistas para se actualizarem de 5 em 5 anos.

Para empresas com um certificado ISO 27001 - ou empresas que queiram abordar a certificação num futuro próximo - as inovações que foram agora introduzidas são relevantes em dois aspectos: Em primeiro lugar, no que diz respeito às actualizações necessárias das suas próprias medidas de segurança; mas em segundo lugar, porque estas alterações terão um impacto na actualização de ISO 27001 esperado no final do ano e será, portanto, relevante para todas as certificações e recertificações futuras. Razão suficiente, portanto, para olhar mais de perto para a nova ISO 27002.

Nota: ISO/IEC 27002:2022 Segurança da informação, ciber-segurança e protecção da privacidade - Controlos de segurança da informação. A norma é actualmente publicada apenas em inglês e pode ser encomendada a partir do sítio web da ISO .

Nova estrutura e novos temas

A primeira alteração óbvia na ISO 27002:2022 é a estrutura actualizada e significativamente racionalizada da norma: em vez das anteriores 114 medidas de segurança (controlos) em 14 secções, o conjunto de referência da versão actualizada da ISO 27002 compreende agora 93 controlos, que estão claramente subdivididos e resumidos em 4 áreas temáticas:

  • 37 medidas de segurança na secção "Controlos organizacionais".
  • 8 medidas de segurança na área do "Controlo de pessoas
  • 14 medidas de segurança no domínio dos "Controlos físicos".
  • 34 medidas de segurança na área dos "Controlos tecnológicos

Apesar do reduzido número de medidas de segurança, apenas o controlo "Remoção de Bens" foi efectivamente eliminado. A racionalização deve-se ao facto de 24 medidas de segurança dos controlos existentes terem sido combinadas e reestruturadas para cumprir os objectivos de protecção de uma forma mais focalizada. Outras 58 medidas de segurança foram revistas e adaptadas para satisfazer os requisitos contemporâneos.

A nova edição da ISO 27002 dá aos gestores de segurança da informação uma perspectiva precisa sobre as mudanças que se tornarão a nova norma de certificação com a nova edição da ISO 27001.

Markus Jegelka DQS Expert & Auditor para a Segurança da Informação

Novas medidas de segurança

Além disso - e esta é provavelmente a parte mais excitante da actualização - a ISO 27002 foi alargada por 11 medidas de segurança adicionais na nova versão. Nenhuma destas medidas constituirá uma surpresa para os peritos em segurança, mas no seu conjunto enviam um sinal forte e ajudam as empresas a armar atempadamente as suas estruturas organizacionais e arquitecturas de segurança contra cenários de ameaça actuais e futuros.

As novas medidas são:

Inteligência em matéria de ameaças

Capturar, consolidar e analisar as informações sobre ameaças actuais permite às organizações manterem-se actualizadas num ambiente de ameaças cada vez mais dinâmico e evolutivo. No futuro, a análise baseada em provas de informação sobre ataques desempenhará um papel fundamental na segurança da informação para desenvolver as melhores estratégias de defesa possíveis.

Segurança da informação para a utilização de serviços na nuvem

Muitas organizações confiam hoje em dia em serviços baseados na nuvem. Com isto vêm novos vectores de ataque e alterações que os acompanham e superfícies de ataque significativamente maiores. No futuro, as empresas terão de considerar medidas de protecção adequadas para a sua introdução, utilização, administração e torná-las vinculativas nas suas regras contratuais com os prestadores de serviços baseados na nuvem.

Prontidão das TIC para a continuidade do negócio

A disponibilidade das tecnologias de informação e comunicação (TIC) e das suas infra-estruturas é essencial para as operações comerciais em curso nas empresas. A base para organizações resilientes são objectivos de continuidade empresarial planeados e requisitos de continuidade das TIC derivados, implementados e verificados a partir deles. Os requisitos para a recuperação técnica e atempada das TIC após um fracasso estabelecem conceitos viáveis de continuidade empresarial.

Monitorização da segurança física

As invasões em que dados sensíveis ou portadores de dados são roubados da empresa ou comprometidos representam um risco significativo para as empresas. Os sistemas técnicos de controlo e monitorização provaram ser eficazes na dissuasão de potenciais intrusos ou na detecção imediata da sua intrusão. No futuro, estes serão componentes padrão de conceitos de segurança holísticos para a detecção e dissuasão do acesso físico não autorizado.

Gestão da configuração

Sistemas incorrectamente configurados podem ser abusados por atacantes para obter acesso a recursos críticos. Embora anteriormente subrepresentado como um subconjunto da gestão da mudança, a gestão sistemática da configuração está agora focada como uma medida de segurança por direito próprio. Exige que as organizações monitorizem a configuração adequada de hardware, software, serviços e redes, e que endureçam os seus sistemas adequadamente.

Eliminação de informação

Desde que o Regulamento Geral de Protecção de Dados entrou em vigor, as organizações devem ter mecanismos apropriados para apagar dados pessoais a pedido e garantir que estes não sejam retidos por mais tempo do que o necessário. Este requisito é alargado a todas as informações da ISO 27002. As informações sensíveis não devem ser conservadas por mais tempo do que o necessário para evitar o risco de divulgação indesejada.

Loading...

Guia de Auditoria DQS para a ISO 27001

Especialização valiosa

O nosso guia de auditoria ISO 27001 - Anexo A foi criado por peritos líderes como uma ajuda prática de implementação e é ideal para uma melhor compreensão dos requisitos de normas seleccionadas. O guia ainda não se refere à ISO 27001 revista que foi publicada a 25 de Outubro de 2022.

Mascaramento de dados

O objectivo desta medida de segurança é proteger dados sensíveis ou elementos de dados (por exemplo, dados pessoais) através de mascaramento, pseudonimização ou anonimização. O enquadramento para a implementação adequada destas medidas técnicas é fornecido por requisitos legais, estatutários, regulamentares e contratuais.

Prevenção de fugas de dados

São necessárias medidas preventivas de segurança para mitigar o risco de divulgação e extracção não autorizada de dados sensíveis de sistemas, redes e outros dispositivos. Os canais potenciais de fuga não controlada desta informação identificada e classificada (por exemplo, correio electrónico, transferências de ficheiros, dispositivos móveis e dispositivos de armazenamento portáteis) devem ser monitorizados e, se necessário, tecnicamente apoiados por medidas de prevenção activas (por exemplo, quarentena de correio electrónico).

Actividades de monitorização

Os sistemas de monitorização de anomalias em redes, sistemas e aplicações fazem agora parte do repertório padrão nos departamentos de IT. Do mesmo modo, a exigência de utilizar sistemas para a detecção de ataques encontrou o seu caminho para os actuais requisitos legais e regulamentares. A monitorização contínua, recolha e avaliação automática de parâmetros e características apropriadas das operações informáticas em curso são um imperativo na defesa cibernética proactiva e continuarão a impulsionar as tecnologias nesta área.

Filtragem da Web

Muitos sites não confiáveis infectam os visitantes com malware ou lêem os seus dados pessoais. A filtragem avançada de URL pode ser utilizada para filtrar automaticamente websites potencialmente perigosos para proteger os utilizadores finais. Medidas e soluções de segurança para proteger contra conteúdos maliciosos em sítios web externos são essenciais num mundo empresarial globalmente conectado.

Codificação segura

Vulnerabilidades em código desenvolvido internamente ou componentes de código aberto são um ponto perigoso de ataque, permitindo aos cibercriminosos obter facilmente acesso a dados e sistemas críticos. Directrizes de desenvolvimento de software actualizadas, procedimentos de teste automatizados, procedimentos de liberação para alterações de código, gestão do conhecimento para programadores, mas também estratégias bem pensadas de correcção e actualização aumentam significativamente o nível de protecção.

Atributos e valores dos atributos

Outra inovação foi introduzida pela primeira vez na ISO 27002:2022 para ajudar os gestores de segurança a navegar na vasta mistura de medidas: No Anexo A da norma, são armazenados cinco atributos com valores de atributos associados para cada controlo.

Os atributos e valores de atributo são:

Tipos de controlo

  • O tipo de controlo é um atributo do ponto de vista dos controlos do ponto de vista de quando e como um controlo altera o risco relacionado com a ocorrência de um incidente de segurança da informação.
  • #preventivo #detector #correctivo

Propriedades de segurança da informação

  • As propriedades de segurança da informação são um atributo que pode ser utilizado para visualizar os controlos na perspectiva do objectivo de protecção que o controlo se destina a apoiar.
  • #Confidencialidade #Integridade #Disponibilidade

Conceitos de ciber-segurança

  • Os conceitos de ciber-segurança olham para os controlos da perspectiva dos controlos cartográficos para o quadro de ciber-segurança descrito na norma ISO/IEC TS 27110.
  • #Identificar #Proteger #Detectar #Responder #Recuperar

Capacidades operacionais

  • A capacidade operacional analisa os controlos na perspectiva das suas capacidades operacionais de segurança da informação e apoia uma visão prática dos controlos por parte dos utilizadores.
  • #Segurança de aplicações #Gestão de activos #Continuidade #Protecção de dados #Governação #Segurança de recursos humanos #Gestão de identidade e acesso #Gestão de eventos de segurança da informação #Segurança jurídica e conformidade #Segurança física #Configuração segura #Segurança de relações de fornecimento #Segurança de sistemas e redes #Gestão de ameaças e vulnerabilidades

Domínios de segurança

  • Os domínios de segurança são um atributo que pode ser utilizado para visualizar os controlos na perspectiva de quatro domínios de segurança da informação
  • #Governança_e_Ecosistema #Protecção #Protecção #Defesa #Resiliência

Os valores dos atributos marcados com hashtags destinam-se a facilitar aos gestores de segurança encontrar o seu caminho através do amplo catálogo de medidas no guia padrão e a pesquisá-las e avaliá-las de uma forma orientada.

Alterações na ISO 27002: Uma conclusão

A nova edição da ISO 27002 fornece aos gestores de segurança da informação uma perspectiva precisa sobre as mudanças que se tornarão a nova norma de certificação com a nova edição da ISO 27001. Ao mesmo tempo, as inovações permanecem dentro de um quadro controlável: A reestruturação do catálogo de medidas torna a norma mais transparente e é sem dúvida um passo na direcção certa, tendo em conta a crescente complexidade e a diminuição da transparência das arquitecturas de segurança. As medidas recentemente incluídas também não serão uma surpresa para os peritos de segurança experientes e modernizar consideravelmente a norma ISO desactualizada.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Certificação de acordo com a ISO 27001

De quanto esforço precisa de investir para obter a sua certificação ISMS de acordo com a norma ISO 27001? Obter informações gratuitamente e sem compromisso.

Estamos ansiosos por falar consigo.

O que significa a actualização para a sua certificação

As empresas certificadas segundo a ISO 27001 não precisam de recear as próximas auditorias para certificação ou recertificação: No seu núcleo, a norma familiar permanece intacta, e muitas das novas medidas já estão provavelmente incorporadas nas melhores práticas da empresa de qualquer forma. No entanto, como em qualquer outra certificação, as equipas são bem aconselhadas a planear com suficiente antecedência e a prepararem-se cuidadosamente para a auditoria do sistema de gestão da segurança da informação (ISMS). Não há pressão de tempo: após a publicação da norma (que deverá ocorrer no quarto trimestre de 2022), haverá 36 meses para a transição para a nova ISO 27001:2022.

DQS: Simplesmente a alavancar a Qualidade

As nossas auditorias de certificação proporcionam-lhe clareza. A visão holística e neutra do exterior sobre pessoas, processos, sistemas e resultados mostra quão eficaz é o seu sistema de gestão, como ele é implementado e dominado. É importante para nós que perceba a nossa auditoria não como um teste, mas como um enriquecimento para o seu sistema de gestão.

A nossa reivindicação começa sempre onde terminam as listas de verificação de auditoria. Perguntamos-lhe especificamente "porquê", porque queremos compreender os motivos que o levaram a escolher uma determinada forma de implementação. Concentramo-nos no potencial de melhoria e encorajamos uma mudança de perspectiva. Desta forma, pode identificar opções de acção com as quais pode melhorar continuamente o seu sistema de gestão.

Autor
André Saeckel

Gestor de produto na DQS para gestão da segurança da informação. Como especialista em normas para a área de segurança da informação e catálogo de segurança de IT (infra-estruturas críticas), André Säckel é responsável pelas seguintes normas e normas específicos da indústria, entre outros: ISO 27001, ISIS12, ISO 20000-1, KRITIS e TISAX (segurança da informação na indústria automóvel). Ele também é membro do grupo de trabalho ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional do Instituto Alemão de Normalização DIN.

Loading...