Simplificando Padrões ISO para Segurança da Informação




O último post pode ter deixado quem não conhecia o poder de trabalho do pessoal da ISO/IEC apavorado com a quantidade de padrões já publicados, e vem mais, sobre o tema Segurança da Informação. Mas tem como a gente dar um pouco de ordem nessa avalanche de informações.

Você leu no post anterior – Padrões ISO – que o pessoal da ISO e da IEC que desenvolve os padrões sobre Tecnologia da Informação, está alocado no Comitê Técnico JTC 1 (Joint ISO/IEC Technical Committee). Também naquele post, vimos que dentro do JTC 1 existe um subcomitê chamado SC 27. O pessoal do SC 27 está responsável pelo desenvolvimento dos padrões relativos à Segurança de TI. Foi até aí que chegamos.

Mas como gerenciar essa montanha de padrões relativos à Segurança de TI? Para dar ordem na coisa, estes padrões foram divididos em 5 áreas bem definidas e foram criados 5 grupos de trabalho (WG – work groups) que se responsabilizam pelo desenvolvimento e manutenção dos padrões ISO/IEC relativos à Segurança de TI, são eles:

• WG 1 (Information security management systems) – Sistemas de gerenciamento de segurança da informação
• WG 2 (Cryptography and security mechanisms) – Mecanismos de criptografia e segurança
• WG 3 (Security evaluation criteria) – Critérios de avaliação de segurança
• WG 4 (Security controls and services) – Controles e serviços de segurança
• WG 5 (Identity management and privacy technologies) – Tecnologias de gerenciamento de identidades e privacidade

Ficou um pouco mais simples, não é? Todos os padrões publicados ontem podem ser então, classificados dentro de cada um dos grupos acima, vamos ver?

Sistemas de gerenciamento de segurança da informação


É determinante que as organizações protejam seus ativos de valor, tenham responsabilidade social e usem práticas de boa governança. Muitas organizações são obrigadas a cumprir legislação específica ou seguir regras definidas para seu grupo de negócio. Para tanto, é necessário implementar e gerenciar práticas de Segurança da Informação. Os sistemas de gerenciamento de segurança da informação estão agrupados na série ISO/IEC 27000. Alguns exemplos abaixo:

• ISO/IEC 27000: Information security management systems – Overview and vocabulary
• ISO/IEC 27001: Information security management systems – Requirements
• ISO/IEC 27002: Code of practice for information security management
• ISO/IEC 27003: Information security management system implementation guidance
• ISO/IEC 27004: Information security management measurements
• ISO/IEC 27005: Information security risk management
• ISO/IEC 27006: Requirements for bodies providing audit and certification of information security management systems

Mecanismos de criptografia e segurança

Existe uma preocupação grande da ISO/IEC em definir padrões sobre o uso de técnicas e mecanismos de criptografia em serviços de segurança que possam dar garantias para gerenciamento de chaves, não repúdio, assinaturas digitais, autenticação e demais temas relacionados. São exemplos de padrões desse grupo:

• ISO/IEC 9797-1: Message Authentication Codes (MACs) – Part 1: Mechanisms using a block cipher
• ISO/IEC 9798-1: Entity authentication – Part 1: General
• ISO/IEC 9979: Procedures for the registration of cryptographic algorithms
• ISO/IEC 10118-1: Hashfunctions – Part 1: General
• ISO/IEC 11770-1: Key management – Part 1: Framework
• ISO/IEC 15846-1: Cryptographic techniques based on elliptic curves – Part 1: General
• ISO/IEC 18033-3: Encryption algorithms – Part 3: Block ciphers

Critérios para Avaliação de Segurança

Inspirados no Common Criteria for Information Technology Security Evaluation, ou simplesmente Commom Criteria, foram desenvolvidos padrões para avaliação e certificação de produtos, componentes e sistemas de TI. Seus objetivos são definir critérios de avaliação, metodologia para a aplicação destes critérios e procedimentos administrativos para a avaliação, a certificação de acreditação. Alguns exemplos de padrões desse grupo:

• ISO/IEC 15408-1: Evaluation criteria for IT security – Part 1: Introduction and general model
• ISO/IEC 15408-2: Evaluation criteria for IT security – Part 2: Security functional requirements
• ISO/IEC 15408-3: Evaluation criteria for IT security – Part 3: Security assurance requirements
• ISO/IEC 15443-1: A framework for IT Security assurance – Part 1: Overview and framework
• ISO/IEC 15443-2: A framework for IT Security assurance – Part 2: Assurance Methods
• ISO/IEC 15443-3: A framework for IT Security assurance – Part 2: Analysis of Assurance Methods
• ISO/IEC 18045: A framework for IT Security assurance – Methodology for IT Security Evaluation

Controles e Serviços de Segurança

Identificou-se uma quantidade de padrões que abordavam serviços e aplicações relativos à norma ISO/IEC 27001, como objetivos de controle e os próprios controles. É isto que esse grupo de trabalho desenvolve. Abaixo alguns exemplos desses padrões:

• ISO/IEC 18043: Selection, deployment and operations of intrusion detection systems
• ISO/IEC 18044: Information security incident management
• ISO/IEC 24762: Guidelines for information and communications technology disaster recovery services
• ISO/IEC 27033-1: Network Security – Part 1: Guidelines for network security
• ISO/IEC 27034-1: Guidelines for Application Security – Part 1: Overview and Concepts

Tecnologias de gerenciamento de identidades e privacidade

Esse grupo é responsável pelo desenvolvimento de padrões relativos ao gerenciamento de identidades, biometria e proteção de informações pessoais. Alguns exemplos desse grupo:

• ISO/IEC 24760: A framework for identity management
• ISO/IEC 29100: A privacy framework
• ISO/IEC 29101: A privacy reference architecture
• ISO/IEC 29115: Entity authentication assurance

Agora que você já pode olhar para os padrões ISO sobre Segurança da Informação de modo mais estruturado, ficou mais fácil navegar neste ambiente, ou não?


Você gostaria de receber as atualizações do Monolithos? Assine o feed, Clique aqui.
Esta entrada foi publicada em Padrões e marcada com a tag , , . Adicione o link permanenteaos seus favoritos.

Deixe uma resposta

O seu endereço de email não será publicado Campos obrigatórios são marcados *

*

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>