7.1 Normas NBR ISO/IEC nº 27001:2006 e nº 27002:2005. Flashcards
NBR ISO/IEC 27001:2006 – Sistema de Gestão da Segurança da Informação (SGSI), qual é a função dessa norma?
Essa norma estabelece os requisitos para a implementação, manutenção e melhoria contínua de um Sistema de Gestão de Segurança da Informação (SGSI). O objetivo é garantir a confidencialidade, integridade e disponibilidade das informações dentro de uma organização.
Principais pontos da ISO 27001:
Definição de políticas de segurança.
Gestão de riscos de segurança da informação.
Implementação de controles de proteção e mitigação de riscos.
Monitoramento e auditoria contínua do SGSI.
Ou seja, essa norma é usada para certificação das empresas que desejam demonstrar um alto nível de proteção da informação.
NBR ISO/IEC 27002:2005 – Código de Práticas para a Gestão da Segurança da Informação
Essa norma funciona como um guia com boas práticas e recomendações para garantir a proteção das informações em organizações.
Principais pontos da ISO 27002:
Controles de segurança baseados em gestão de riscos.
Definição de políticas de segurança da informação.
Regras para controle de acesso.
Gestão de incidentes de segurança.
Segurança da informação em redes e sistemas.
Proteção contra ameaças externas e ataques cibernéticos.
Diferença principal entre ISO 27001 e ISO 27002:
A ISO 27001 estabelece requisitos obrigatórios para um SGSI e permite a certificação. Já a ISO 27002 é um guia de boas práticas, sem exigências obrigatórias, apenas com recomendações.
Imagine um banco que lida com dados sigilosos de clientes, como senhas, saldos e transações financeiras. Para evitar fraudes e vazamentos de informações, ele decide implementar a ISO 27001 e seguir seus requisitos.
Como a ISO 27001 se aplicaria nesse banco?
Identificação de riscos: O banco analisa seus processos e identifica possíveis ameaças, como ataques de hackers, acessos não autorizados e erros humanos.
Definição de políticas de segurança: Cria regras claras, como obrigatoriedade de senha forte, autenticação em dois fatores e restrição de acessos.
Implementação de controles: Instala firewalls, criptografia nos dados e sistemas de detecção de invasões.
Monitoramento contínuo: Faz auditorias regulares para verificar se as regras estão sendo seguidas e se há falhas de segurança.
Resposta a incidentes: Caso um ataque ocorra, há um plano de ação definido para minimizar danos e corrigir as vulnerabilidades rapidamente.
Se o banco seguir corretamente todos os requisitos da ISO 27001, ele pode ser certificado e garantir aos clientes que seus dados estão protegidos de forma confiável.
Agora, imagine uma empresa de e-commerce que vende produtos online e armazena informações de clientes, como CPF, endereço e dados de cartão de crédito.
A ISO 27002 ajudaria essa empresa a seguir boas práticas de segurança da informação sem necessariamente precisar de uma certificação.
Como a ISO 27002 se aplicaria nesse e-commerce?
Controle de acesso: Apenas funcionários autorizados podem acessar dados dos clientes. Senhas são trocadas periodicamente.
Segurança da rede: O site do e-commerce usa SSL para criptografar as transações e proteger as informações dos usuários.
Gestão de incidentes: Caso ocorra um vazamento de dados, a empresa tem um plano para informar os clientes afetados e corrigir a falha.
Treinamento de funcionários: Todos os colaboradores são treinados para evitar golpes de phishing e práticas inseguras de armazenamento de dados.
Dessa forma, o e-commerce evita fraudes e garante que os dados dos clientes estejam protegidos.
Por que a ISO 27001 é importante?
Organizações que lidam com informações sensíveis (bancos, hospitais, empresas de tecnologia) precisam provar que seguem altos padrões de segurança. A certificação ISO 27001 aumenta a credibilidade da empresa e reduz riscos de ataques cibernéticos.
A ISO 27002 substitui a ISO 27001?
Não! A ISO 27002 complementa a ISO 27001, servindo como um guia de implementação. Muitas empresas seguem a ISO 27002 para depois buscar a certificação na ISO 27001.
Essas normas foram atualizadas (ISO 27001/27002)?
Sim! A versão ISO/IEC 27001:2022 substituiu a versão de 2006. Ela traz ajustes modernos, como maior foco em riscos cibernéticos e proteção contra ataques mais sofisticados.
Principais Atualizações da ISO/IEC 27001:2022 - Atualização no Nome da Norma
O nome completo da norma agora é ISO/IEC 27001:2022 - Sistemas de Gestão da Segurança da Informação, Cibersegurança e Proteção da Privacidade.
Isso reflete a necessidade crescente de integração entre segurança da informação e proteção de dados pessoais.
Principais Atualizações da ISO/IEC 27001:2022 - Redução e Reorganização dos Controles de Segurança
Antes, a ISO 27002:2005 (que serve como referência para a 27001) tinha 114 controles divididos em 14 seções.
Agora, a ISO 27002:2022 (base da 27001) reduziu para 93 controles, organizados em 4 grandes temas:
Controles Organizacionais 📋 (Governança, Gestão de Riscos, Auditoria, etc.)
Controles de Pessoas 🧑💻 (Treinamento, Conscientização, Controle de Acesso)
Controles Físicos 🏢 (Segurança Predial, Proteção de Equipamentos)
Controles Tecnológicos 🔒 (Criptografia, Monitoramento, Segurança na Nuvem)
👉 Essa nova estrutura facilita a implementação e a adoção de medidas mais práticas e objetivas.
Principais Atualizações da ISO/IEC 27001:2022 - Novos Controles Adicionados
A nova versão incluiu 11 novos controles que abordam temas modernos de cibersegurança:
Inteligência sobre Ameaças Monitoramento e análise de novas ameaças cibernéticas
🔹 Monitoramento de Segurança
🔹 Gestão da Configuração
🔹 Exclusão de Informações
🔹 Prevenção contra Vazamento de Dados (DLP)
🔹 Atividades de Monitoramento
🔹 Web Filtering (Filtragem Web)
🔹 Codificação Segura
🔹 Gestão de Identidade e Acesso
🔹 Segurança na Nuvem
🔹 Resiliência na Informação
Principais Atualizações da ISO/IEC 27001:2022 - Novos Controles Adicionados: Inteligência sobre Ameaças
Monitoramento e análise de novas ameaças cibernéticas.
Principais Atualizações da ISO/IEC 27001:2022 - Novos Controles Adicionados: Monitoramento de Segurança
Implementação de SIEM (Security Information and Event Management) para detecção de ataques.
Principais Atualizações da ISO/IEC 27001:2022 - Novos Controles Adicionados: Gestão da Configuração
Controle rigoroso sobre mudanças e ajustes em sistemas de TI.
Principais Atualizações da ISO/IEC 27001:2022 - Novos Controles Adicionados: Exclusão de Informações
Garantia de remoção segura de dados pessoais e sensíveis.
Principais Atualizações da ISO/IEC 27001:2022 - Novos Controles Adicionados: Prevenção contra Vazamento de Dados (DLP)
Uso de tecnologias para evitar vazamento acidental de informações.
Principais Atualizações da ISO/IEC 27001:2022 - Novos Controles Adicionados: Atividades de Monitoramento
Análise contínua do tráfego de rede para identificar ameaças.
Principais Atualizações da ISO/IEC 27001:2022 - Novos Controles Adicionados: Web Filtering (Filtragem Web)
Bloqueio de sites maliciosos para reduzir riscos de phishing e malware.
Principais Atualizações da ISO/IEC 27001:2022 - Novos Controles Adicionados: Codificação Segura
Aplicação de padrões de programação segura para evitar vulnerabilidades.
Principais Atualizações da ISO/IEC 27001:2022 - Novos Controles Adicionados: Gestão de Identidade e Acesso
Proteção contra roubo de credenciais e acessos não autorizados.
Principais Atualizações da ISO/IEC 27001:2022 - Novos Controles Adicionados: Segurança na Nuvem
Requisitos para proteger dados armazenados em cloud computing.
Principais Atualizações da ISO/IEC 27001:2022 - Novos Controles Adicionados: Resiliência na Informação
Medidas para manter os sistemas operacionais mesmo sob ataque
Principais Atualizações da ISO/IEC 27001:2022 - Maior Enfoque na Proteção de Dados Pessoais
A norma agora menciona explicitamente proteção de privacidade, o que alinha a ISO 27001 com leis como a LGPD (Lei Geral de Proteção de Dados) e o GDPR (Regulamento Europeu de Proteção de Dados).
Isso significa que empresas podem usar a ISO 27001:2022 para demonstrar conformidade com regulamentações sobre dados pessoais.
Principais Atualizações da ISO/IEC 27001:2022 - Ajustes na Estrutura e Requisitos
Algumas seções tiveram ajustes de terminologia e requisitos mais claros, tornando o processo de certificação menos burocrático e mais focado em segurança real.
Pequenas mudanças foram feitas no Anexo A, simplificando a adaptação da norma para diferentes tipos de organizações.
O que NÃO mudou na ISO 27001 na atualização de 2022?
A estrutura do Sistema de Gestão da Segurança da Informação (SGSI) continua seguindo o mesmo modelo.
A certificação da ISO 27001 ainda exige auditorias periódicas para garantir que a empresa está em conformidade.
O ciclo PDCA (Plan-Do-Check-Act) ainda é a base para a implementação e melhoria contínua.
Quais as vantagens da atualização para a versão 2022?
Mais alinhamento com os riscos atuais (como ataques de ransomware e vazamento de dados).
Menos burocracia na implementação e certificação.
Melhor adaptação à LGPD/GDPR, tornando a norma mais útil para empresas que lidam com dados pessoais.
Facilidade de adoção por diferentes setores e organizações.
A ISO 27002:2022 (base da 27001) reduziu para 93 controles, organizados em 4 grandes temas: Controles Organizacionais
Inclui 37 medidas de segurança focadas na estrutura e gestão da segurança da informação dentro da organização.
A ISO 27002:2022 (base da 27001) reduziu para 93 controles, organizados em 4 grandes temas: Controles de Pessoas
Compreende 8 medidas de segurança relacionadas ao gerenciamento e treinamento das pessoas envolvidas.
A ISO 27002:2022 (base da 27001) reduziu para 93 controles, organizados em 4 grandes temas: Controles Físicos
Abrange 14 medidas de segurança relacionadas à proteção física dos ativos da informação.
A ISO 27002:2022 (base da 27001) reduziu para 93 controles, organizados em 4 grandes temas: Controles Tecnológicos
Inclui 34 medidas de segurança focadas na utilização de tecnologias para proteger a informação.
