A norma ISO 27001, relacionada com a implementação de um Sistema de Gestão de Segurança da Informação (SGSI), mencionando alguns dos principais detalhes das alterações propostas que deixarão a norma mais fácil de ser implementada e integrada com outros sistemas de gestão, alinhando exatamente o SGSI às reais necessidades das empresas, evitando custos e esforços desnecessários.

Em complemento ao artigo publicado, tratarei aqui de comentar mais informações sobre o tema, porém relacionadas com versão preliminar e em discussão da nova ISO 27002, que é a norma que trás todo o detalhamento do que deve ser feito (e não como) em um SGSI. Obviamente que, oscontroles do Anexo A da ISO 27001 também serão afetados pelas mudanças na ISO 27002, pois ambas devem estar muito bem alinhadas.

Minha ideia no artigo não é tratar em detalhes o que mudou em cada controle ou cada alteração, mas comentar como os controles estão sendo estruturados. Já é possível verificar logo ao começar a leitura da norma que está sendo proposto um aumento de 11 para 14 capítulos/domínios com o objetivo de detalhar um pouco mais itens, aspectos e até mesmo controles que estão distribuídos e sem a atenção adequada em outras seções da versão atual.

Outro aspecto relevante refere-se à diminuição, isso mesmo, diminuição do número de controles, de 133 para 113. O objetivo foi o de eliminar aqueles defasados ou que eram muito específicos a outras normas, ou que foram absorvidos em outros capítulos/controles.

Com relação a estrutura de cada capítulo, por exemplo, pode-se citar que os controles relacionados com criptografia tiveram uma seção inteira dedicada ao tema e não está mais vinculada com aquisição e manutenção de sistemas. O mesmo ocorreu com os controles relacionados com terceiros / prestadores de serviços e segurança na operação. Conforme disponibilizado pelo British Standard Institution (BSI), note como está proposta a mudança da estrutura:

• 5 Security Policies

• 6 Organization ofinformation security

• 7 Human resourcesecurity

• 8 Asset management

• 9 Access control

• 10 Cryptography

• 11 Physical andenvironmental security

• 12 Operations security

• 13 Communications security

• 14 System acquisition, development and maintenance

• 15 Supplier relationships

• 16 Information security incident management

• 17 Information security aspects of business continuity

• 18 Compliance

Veja alguns dos novos controles em discussão para inclusão na nova norma:

• Política dedesenvolvimento seguro

• Procedimentos para desenvolvimento de sistemas

• Segurança para o ambiente de desenvolvimento de sistemas

• Testes funcionais de segurança em sistemas

• E, claro, alguns dos controles que tem a forte tendência de serem excluídos ou absorvidos em outras seções, segundo o BSI:

• 2.2 Addressing security when dealing with customers

• 4.2 Controls against mobile code

• 7.3 Information handling procedures

• 7.4 Security of system documentation

• 8.5 Business information systems

• 9.3 Publicly available information

• 4.2 User authentication for external connections

• 4.3 Equipment identification in networks

• 4.4 Remote diagnostic and configuration port protection

• 4.6 Network connection control

• 4.7 Network routing control

• 2.1 Input data validation

• 2.2 Control of internal processing

• 2.3 Message integrity

• 2.4 Output data validation

• 5.5 Session timeout

• 5.6 Limitation of connection time

• 6.2 Sensitive system isolation

• 5.4 Information leakage

• 1.2 Business continuity and risk assessment

• 1.3 Developing and implementing business continuity plans

• 1.4 Business continuity planning framework

• 1.5 Prevention of misuse of information processing facilities

• 3.2 Protection of information systems audit tools

Obviamente, existem outras diversas mudanças em discussão e outras já aprovadas, mas sempre com o objetivo de corrigir o que está incorreto ou de forma equivocada.

Em resumo, assim como no meu artigo anterior, as mudanças particularmente me agradam, principalmente pelo fato de simplificar a implementação de processos e controles.

Com seu Método Estruturado de Segurança daInformação (MESI), a AuditSafe está preparada para auxiliar as empresas noprocesso de implementação e atualização do SGSI, pois foi desenvolvido para se moldar às necessidades das empresas na implementação de projetos, processos e controles baseados na ISO 27001 e 27002.