{"id":4681,"date":"2014-08-13T19:25:54","date_gmt":"2014-08-13T19:25:54","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/014\/08\/13\/principais-mudancas-na-nova-iso-27002\/"},"modified":"2022-12-29T08:26:00","modified_gmt":"2022-12-29T08:26:00","slug":"principais-mudancas-na-nova-iso-27002","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2014\/08\/13\/principais-mudancas-na-nova-iso-27002\/","title":{"rendered":"Principais mudan\u00e7as na nova ISO 27002"},"content":{"rendered":"<p><em>Atualizado em 25-09-2013<\/em>: Este post do blog foi atualizado de acordo com a vers\u00e3o final da ISO 27002:2013 que foi publicada em 25 de setembro de 2013<\/p>\n<p>Em meu <a href=\"\/27001academy\/pt-br\/?p=4683\" target=\"_blank\" rel=\"noopener\">post anterior<\/a> eu analisei as mudan\u00e7as entre a antiga <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a> (publicada em 2005) e a nova vers\u00e3o 2013; naturalmente, os controles do Anexo A da ISO 27001 n\u00e3o podem mudar sem alterar a ISO 27002 porque a ess\u00eancia destas duas normas \u00e9 estarem alinhadas.<\/p>\n<p>Ent\u00e3o, vamos dar uma olhada nas mudan\u00e7as na ISO 27002. Aqui eu focarei principalmente em como os controles est\u00e3o estruturados, e n\u00e3o muito em suas descri\u00e7\u00f5es \u2013 assim aqui est\u00e3o as principais diferen\u00e7as:<\/p>\n<p><strong>N\u00famero de se\u00e7\u00f5es<\/strong> \u2013 como esperado, o n\u00famero de se\u00e7\u00f5es aumentou \u2013 de 11 se\u00e7\u00f5es contendo controles na norma antiga para 14 na nova. Desta forma, o problema na norma antiga, onde alguns controles foram artificialmente inseridos em certas \u00e1reas onde n\u00e3o pertenciam, est\u00e1 agora resolvido.<\/p>\n<p><strong>N\u00famero de controles<\/strong> \u2013 surpreendentemente, o n\u00famero de controle diminuiu \u2013 de 133 para apenas 114! Isto se deve a elimina\u00e7\u00e3o de alguns controles que eram muito espec\u00edficos ou estavam desatualizados.<\/p>\n<p><strong>Estrutura de se\u00e7\u00f5es<\/strong> \u2013 Criptografia tornou-se uma se\u00e7\u00e3o separada (#10) \u2013 ela n\u00e3o \u00e9 (logicamente) mais parte da Aquisi\u00e7\u00e3o, desenvolvimento e manuten\u00e7\u00e3o de sistemas de informa\u00e7\u00e3o. Algo similar aconteceu com o Relacionamento na cadeia de suprimento \u2013 como merecido, ele se tornou uma se\u00e7\u00e3o separada (#15). A gest\u00e3o das opera\u00e7\u00f5es e comunica\u00e7\u00f5es est\u00e1 dividida agora em Seguran\u00e7a nas opera\u00e7\u00f5es (se\u00e7\u00e3o 12) e Seguran\u00e7a nas comunica\u00e7\u00f5es (agora se\u00e7\u00e3o 13). Aqui est\u00e1 como as se\u00e7\u00f5es se parecem agora:<\/p>\n<ul>\n<li>5 Pol\u00edticas de seguran\u00e7a da informa\u00e7\u00e3o<\/li>\n<li>6 Organiza\u00e7\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o<\/li>\n<li>7 Seguran\u00e7a em recursos humanos<\/li>\n<li>8 Gest\u00e3o de ativos<\/li>\n<li>9 Controle de acesso<\/li>\n<li>10 Criptografia<\/li>\n<li>11 Seguran\u00e7a f\u00edsica e do ambiente<\/li>\n<li>12 Seguran\u00e7a nas opera\u00e7\u00f5es<\/li>\n<li>13 Seguran\u00e7a nas comunica\u00e7\u00f5es<\/li>\n<li>14 Aquisi\u00e7\u00e3o, desenvolvimento e manuten\u00e7\u00e3o de sistemas<\/li>\n<li>15 Relacionamento na cadeia de suprimento<\/li>\n<li>16 Gest\u00e3o de incidentes de seguran\u00e7a da informa\u00e7\u00e3o<\/li>\n<li>17 Aspectos da seguran\u00e7a da informa\u00e7\u00e3o na gest\u00e3o da continuidade do neg\u00f3cio<\/li>\n<li>18 Conformidade<\/li>\n<\/ul>\n<p><strong>Posicionamento de categorias de seguran\u00e7a<\/strong> \u2013 categorias foram misturadas um pouco:<\/p>\n<ul>\n<li>Dispositivos m\u00f3veis e trabalho remoto, anteriormente em Controle de acesso, \u00e9 agora 6.2 \u2013 parte da se\u00e7\u00e3o 6 Organiza\u00e7\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o.<\/li>\n<li>Tratamento de m\u00eddia era anteriormente parte da gest\u00e3o de opera\u00e7\u00f5es e comunica\u00e7\u00f5es, mas agora ele \u00e9 8.3, parte de 8 Gest\u00e3o de ativos.<\/li>\n<li>Controle de acesso ao sistema operacional e Controle de acesso a aplica\u00e7\u00e3o e informa\u00e7\u00e3o, agora est\u00e3o unidos no Controle de acesso ao sistema e a aplica\u00e7\u00e3o (9.4), e permaneceu na se\u00e7\u00e3o 9 Controle de acesso.<\/li>\n<li>Controle de software operacional, anteriormente um controle \u00fanico na Aquisi\u00e7\u00e3o, desenvolvimento e manuten\u00e7\u00e3o de sistema de informa\u00e7\u00e3o, \u00e9 agora uma categoria separada 12.5, parte da se\u00e7\u00e3o Seguran\u00e7a nas opera\u00e7\u00f5es.<\/li>\n<li>Considera\u00e7\u00f5es para a auditoria de sistemas de informa\u00e7\u00e3o foram movidas de Conformidade para 12.7, parte da se\u00e7\u00e3o Seguran\u00e7a nas opera\u00e7\u00f5es.<\/li>\n<li>Uma categoria de seguran\u00e7a chamada Controle de acesso a rede foi exclu\u00edda, e alguns de seus controles foram movidos para a se\u00e7\u00e3o 13 Seguran\u00e7a nas comunica\u00e7\u00f5es.<\/li>\n<li>Transfer\u00eancia de informa\u00e7\u00e3o (anteriormente chamada de Troca de informa\u00e7\u00f5es) \u00e9 agora 13.2, parte da se\u00e7\u00e3o 13 Seguran\u00e7a nas comunica\u00e7\u00f5es.<\/li>\n<li>A controversa categoria Processamento correto de aplica\u00e7\u00f5es (parte da antiga Aquisi\u00e7\u00e3o, desenvolvimento e manuten\u00e7\u00e3o de sistema de informa\u00e7\u00e3o) foi exclu\u00edda.<\/li>\n<li>Servi\u00e7os de com\u00e9rcio eletr\u00f4nico n\u00e3o existem mais como uma categoria separada, e os controles foram unidos em 14.1 Requisitos de seguran\u00e7a de sistemas de informa\u00e7\u00e3o.<\/li>\n<li>Duas categorias da se\u00e7\u00e3o Gest\u00e3o de incidentes de seguran\u00e7a da informa\u00e7\u00e3o est\u00e3o agora unidas em uma.<\/li>\n<li>A se\u00e7\u00e3o de continuidade de neg\u00f3cio recebeu uma nova categoria \u2013 17.2 Redund\u00e2ncias. Basicamente, esta \u00e9 sobre recupera\u00e7\u00e3o de desastre.<\/li>\n<\/ul>\n<p><strong>Novos controles<\/strong> \u2013 aqui est\u00e3o uns poucos controles que s\u00e3o novos:<\/p>\n<ul>\n<li>14.2.1 Pol\u00edtica de desenvolvimento seguro \u2013 regras para o desenvolvimento de software e sistemas de informa\u00e7\u00e3o<\/li>\n<li>14.2.5 Princ\u00edpios para projetar sistemas seguros \u2013 princ\u00edpios para a engenharia de sistemas<\/li>\n<li>14.2.6 Ambiente para desenvolvimento seguro \u2013 estabelecimento e prote\u00e7\u00e3o de ambiente de desenvolvimento<\/li>\n<li>14.2.8 Teste de seguran\u00e7a do sistema \u2013 testes de funcionalidade de seguran\u00e7a<\/li>\n<li>16.1.4 Avalia\u00e7\u00e3o e decis\u00e3o dos eventos de seguran\u00e7a da informa\u00e7\u00e3o \u2013 este \u00e9 parte da gest\u00e3o de incidentes<\/li>\n<li>17.2.1 Disponibilidade dos recursos de processamento da informa\u00e7\u00e3o \u2013 obtendo redund\u00e2ncia<\/li>\n<\/ul>\n<p><strong>Controles que foram exclu\u00eddos<\/strong> \u2013 finalmente, aqui est\u00e3o alguns dos controles que n\u00e3o existem mais:<\/p>\n<ul>\n<li>6.2.2 Identificando a seguran\u00e7a da informa\u00e7\u00e3o, quando tratando com clientes<\/li>\n<li>10.4.2 Controles contra c\u00f3digos m\u00f3veis<\/li>\n<li>10.7.3 Procedimentos para tratamento de informa\u00e7\u00e3o<\/li>\n<li>10.7.4 Seguran\u00e7a da documenta\u00e7\u00e3o dos sistemas<\/li>\n<li>10.8.5 Sistemas de informa\u00e7\u00f5es do neg\u00f3cio<\/li>\n<li>10.9.3 Informa\u00e7\u00f5es publicamente dispon\u00edveis<\/li>\n<li>11.4.2 Autentica\u00e7\u00e3o para conex\u00e3o externa do usu\u00e1rio<\/li>\n<li>11.4.3 Identifica\u00e7\u00e3o de equipamento em rede<\/li>\n<li>11.4.4 Prote\u00e7\u00e3o de portas de configura\u00e7\u00e3o e diagn\u00f3stico remotos<\/li>\n<li>11.4.6 Controle de conex\u00e3o de rede<\/li>\n<li>11.4.7 Controle de roteamento de redes<\/li>\n<li>12.2.1 Valida\u00e7\u00e3o dos dados de entrada<\/li>\n<li>12.2.2 Controle do processamento interno<\/li>\n<li>12.2.3 Integridade de mensagens<\/li>\n<li>12.2.4 Valida\u00e7\u00e3o dos dados de sa\u00edda<\/li>\n<li>11.5.5 Limite de tempo de sess\u00e3o<\/li>\n<li>11.5.6 Limita\u00e7\u00e3o de hor\u00e1rio de conex\u00e3o<\/li>\n<li>11.6.2 Isolamento de sistemas sens\u00edveis<\/li>\n<li>12.5.4 Vazamento de informa\u00e7\u00f5es<\/li>\n<li>14.1.2 Continuidade de neg\u00f3cios e an\u00e1lise\/avalia\u00e7\u00e3o de riscos<\/li>\n<li>14.1.3 Desenvolvimento e implementa\u00e7\u00e3o de planos de continuidade relativos \u00e0 seguran\u00e7a da informa\u00e7\u00e3o<\/li>\n<li>14.1.4 Estrutura do plano de continuidade do neg\u00f3cio<\/li>\n<li>15.1.5 Preven\u00e7\u00e3o de mau uso de recursos de processamento da informa\u00e7\u00e3o<\/li>\n<li>15.3.2 Prote\u00e7\u00e3o de ferramentas de auditoria de sistemas de informa\u00e7\u00e3o<\/li>\n<\/ul>\n<p>Uma vez que a estrutura da ISO 27002 est\u00e1 completamente alinhada com os controles da ISO 27001, todas estas mudan\u00e7as tamb\u00e9m s\u00e3o v\u00e1lidas para o novo Anexo A da ISO 27001.<\/p>\n<p>A primeira vista, existem muitas mudan\u00e7as\u2026 Contudo, n\u00e3o entendo que muitas delas sejam realmente fundamentais \u2013 muitas vem na verdade corrigir a estrutura incorreta da antiga ISO 27002, e adicionar controles que estavam faltando em primeiro lugar. Algumas coisas realmente mudaram \u2013 como seguran\u00e7a de rede e o processo de desenvolvimento \u2013 estas \u00e1rea agora s\u00e3o descritas de forma menos restritiva e com isso dando mais liberdade para as organiza\u00e7\u00f5es sobre como implement\u00e1-las.<\/p>\n<p>Para concluir, eu gostei destas mudan\u00e7as \u2013 parece-me que implementar esta nova norma ser\u00e1 mais f\u00e1cil.<\/p>\n<p><i>Para saber mais sobre os controles de seguran\u00e7a da ISO 27002, confira este livro <\/i><a href=\"\/books\/iso-27001-annex-controls-plain-english\/\" target=\"_blank\" rel=\"noopener\">ISO 27001 Annex A Controls in Plain English<\/a>.<\/p>\n<p>N\u00f3s agradecemos a Rhand Leal pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Atualizado em 25-09-2013: Este post do blog foi atualizado de acordo com a vers\u00e3o final da ISO 27002:2013 que foi publicada em 25 de setembro de 2013 Em meu post anterior eu analisei as mudan\u00e7as entre a antiga ISO 27001 (publicada em 2005) e a nova vers\u00e3o 2013; naturalmente, os controles do Anexo A da &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-4681","post","type-post","status-publish","format-standard","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4681","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4681"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4681\/revisions"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4681"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4681"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4681"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}