Você está na página 1de 8

Famlia de Normas ISO 27000

ISO/IEC 27000: viso geral/introduo famlia ISO 27000. uma


norma interessante sobretudo para marinheiros de primeira viagem na
gesto da segurana da informao. Inclui um glossrio de termos
que ajuda, inclusive, a quem est se preparando para certificao
profissional ISO 27002 Foundation.
ISO/IEC 27001: a norma que define os requisitos para um Sistema de
Gesto da Segurana da Informao (SGSI).
O SGSI descrito como um sistema parte do sistema de gesto global da
organizao, com base em uma abordagem de risco do negcio, para
estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a
segurana da informao. O SGSI inclui estrutura organizacional,
polticas, atividades de planejamento, responsabilidades, prticas,
procedimentos, processos e recursos. A publicao muito conhecida
entre estudantes de concursos de TI.
A ISO 27001: a principal norma que uma organizao deve utilizar
como base para obter a certificao empresarial em gesto da
segurana da informao. Por isso, conhecida como a nica norma
internacional auditvel que define os requisitos para um Sistema de
Gesto de Segurana da Informao (SGSI).
ISO/IEC 27002: um cdigo de prticas com um conjunto completo de
controles que auxiliam aplicao do Sistema de Gesto da Segurana da
Informao.
recomendvel que a norma seja utilizada em conjunto com a ISO
27001, mas pode ser tambm consultada de forma independente com fins
de adoo das boas prticas.
Outro fato curioso que esta a nica norma em gesto da segurana
para qual existem certificaes profissionais, do centro de exames Exin.
Caso deseje saber um pouco mais, consulte o nosso guia para
certificao ISO 27002.
ISO/IEC 27003: uma das minhas prediletas e curiosamente s menos
conhecida entre as 05 primeiras normas desta famlia. A ISO 27003
contm um conjunto de diretrizes para a implementao do SGSI.
Enquanto a 27001 disponibiliza apenas requisitos, aqui obtemos uma
orientao detalhada.

ISO/IEC 27004: defini mtricas de medio para a gesto da segurana


da informao. Pode ser uma importante aliada no momento de definir-se
metas de nveis de servio para a segurana da informao, ou mesmo
executar o check e act do SGSI.
ISO/IEC 27005: cobre a gesto de riscos segurana da informao.
Grande parte do escopo da ISO 27005 pode ser interpretada como a
sesso 4 da norma ISO 27001 detalhada na perspectiva dos riscos.
ISO/IEC 27006: defini requisitos para organizaes que trabalham com
auditoria e certificao de sistemas de gesto de segurana da
informao. Em outras palavras, os requisitos na perspectiva da empresa
auditando o seu cliente, para validar um SGSI.
ISO/IEC 27007: aborda diretrizes para guiar a auditoria do sistema de
gesto da segurana da informao. Ela deve ser usada junto com a ISO
27006 assim como a ISO 27002 deve ser usada em conjunto com a ISO
27001.
ISO/IEC 27008: esta norma complementa a ISO 27007 ao concentrarse na auditoria dos controles em segurana da informao (que esto
dispostos na ISO 27002), enquanto a 27007 concentra-se na auditoria dos
requisitos a do SGSI (definidos na 27001).
ISO/IEC 27009: norma apoia a industrias especficas pretendem
trabalhar orientadas s normas ISO 27000.
ISO/IEC 27010: aborda um guia para a comunicao em gesto da
segurana da informao tanto no escopo da organizao como fora dela
(sobretudo para entre empresas do mesmo setor). Perceba que o objetivo
no delimitar controles de segurana para a informao e sim prover
auxlio para quem deseja evoluir com as prticas atravs de contatos e
network entre partes de um mesmo segmento de mercado que buscam
aprimorar
a
gesto
da
segurana
da
informao.
Pessoalmente, tenho pouca intimidade com esta norma, assim como
muitas citadas deste ponto em diante. Entretanto, uma das questes mais
interessante que observei ao ter um primeiro contato com esta, o fato
de orientar a como compartilhar informaes que precisam ser acessadas
por outras empresas ou rgos governamentais mesmo sendo
classificadas como sigilosas.
ISO/IEC 27011: guia de gesto da segurana da informao para
empresas de telecomunicaes.
ISO 27012: no histrico da ISO, esta norma foi proposta para gesto
da segurana da informao em organizaes da

administrao pblica, mas foi cancelada. No site oficial da ISO ela hoje
no est entre as normas publicadas oficialmente.
Existem informaes tambm de uma nova proposta com a numerao
ISO 27012 o padro especfico da indstria de finanas, mas este papel
acabou sendo assumido pela ISO 27015, descrita adiante.
ISO/IEC 27013: trata-se de um guia para implementar a ISO 27001
em uma organizao de forma integrada com a ISO 20000 (norma que
atribui os requisitos para gesto de servios de tecnologia da informao).
Interessante, sim?
ISO/IEC 27014: tcnicas para governana da segurana da informao.
Este objetivo buscado pro tal norma atravs de uma especificao de
como avaliar, dirigir, controlar e comunicar todas as prticas internas da
empresa relacionadas a segurana da informao, de forma que sejam
compreendidas e estejam alinhadas com necessidades da rea de negcio.
-----------------------------------------------------------------------------Observao: as prximas 02 normas estabelecem diretrizes e controles
para segmentos especficos do mercado, e isso volta a ocorrer na ISO
27799.
Algumas
delas
ainda
esto em
elaborao.
-----------------------------------------------------------------------------ISO/IEC 27015: aborda a gesto da segurana da informao para
servios financeiros. Pode ser interpretada como uma norma que fornece
controles e diretrizes complementares a ISO 27002 para empresas e
departamentos deste segmento.
ISO/IEC 27016: o mesmo raciocnio da 27015, s que para o setor de
economia.
-----------------------------------------------------------------------------Observao: perceba que a partir da prxima norma, o foco muda para
tpicos
especficos
em
tecnologia
da
informao.
-----------------------------------------------------------------------------ISO/IEC 27017: controles especficos para cloud computing.
ISO/IEC 27018: cobre especificamente a privacidade (PII - Personally
Identifiable Information) para servios em cloud computing. Como
podemos interpretar, uma norma que complementa a ISO 27017.
ISO 27019: controles especficos para industria de energia.
-----------------------------------------------------------------------------Observao: no estranhe o fato de saltarmos para a ISO 27031. As
normas numeradas entre 27020 e 2030 no esto publicadas ou j esto
publicadas para temas que no dizem respeito a gesto da segurana da

Informao. A ISO 27020, por exemplo, "aplicvel a suportes e tubos


para uso em aparelhos ortodnticos fixos", enquanto a 27027 "especifica
as definies, os requisitos de desempenho e mtodos para determinar o
desempenho de controladores de potncia (remotas) de estado slido
para uso em sistemas de energia eltrica do setor aeroespacial."
-----------------------------------------------------------------------------ISO 27031: prope um guia de princpios/conceitos por trs do papel da
segurana da informao para TIC no sentido de garantir a continuidade
dos negcios. Inclui diretrizes de mensurao do nvel de proteo da
organizao para a gesto da continuidade na tica da tecnologia e
comunicao.
ISO 27032: aborda Cybersecurity. Est em sua definio a
preservao da confidencialidade, integridade e disponibilidade da
informao em "Cyberspace".
ISO 27033-1: esta uma das 06 partes da norma 27033. O conjunto de
normas 27033-1 a 27033-6 so derivadas das 05 partes da norma
de segurana em redes: ISO/IEC 18028. A ISO 27033-1 trata sobre a
introduo
e
conceitos
gerais
para segurana
em
redes.
ISO 27033-2: guia para o planejamento, desenho, implementao e
documentao da segurana em redes.
ISO 27033-3: tem o objetivo de definir os riscos especficos, tcnicas de
projetos
e
controles relacionados
a segurana
em
redes.
ISO 27033-4: prope uma viso geral e requisitos para identificao e
anlise de ameaas para a segurana da informao relacionadas
a gateways de segurana da informao que compem a arquitetura de
segurana em redes.
ISO 27033-5: protegendo a comunicao entre redes usando Virtual
Private Networks (VPNs).
ISO 27033-6: define riscos, tcnicas de projeto e desenho e
controles especficos para a segurana da informao em redes sem
fio e rdio.
ISO 27034-1: segurana da informao em aplicaes - parte 01.
Nesta primeira parte, definida e abordada uma introduo e conceitos.
As partes 02 a 06 encontram-se em desenvolvimento, mas j
possvel obter informaes sobre elas, conforme descries a seguir.
ISO 27034-2: segurana da informao em aplicaes - parte 02. A

segunda parte trata sobre a organizao normativa para segurana em


aplicaes.
ISO 27034-3: guia para o processo de gesto da segurana em
aplicaes.
ISO 27034-4: validao de requisitos de segurana em aplicaes.
ISO 27034-5: Protocolos e estrutura de dados de controle de segurana
de aplicativos.
ISO 27034-6: guia de segurana da informao para aplicaes
especficas.
-----------------------------------------------------------------------------Comentrios: as prximas normas especificam em maiores detalhes
muitas das sees da norma ISO 27002.
-----------------------------------------------------------------------------ISO 27035: guia detalhado para a gesto de incidentes de segurana
da informao, cobrindo o processo de mapeamento de eventos,
incidentes
e vulnerabilidades em de
segurana.
Inclui guias para declarao de uma poltica de gesto de incidentes
de segurana, diviso das responsabilidades envolvidas, entre outros
aspectos relevantes para quem adota as boas prticas se gesto da
segurana.
ISO 27036: segurana da informao para o relacionamento com
fornecedores. Oferece orientaes sobre a avaliao e tratamento de
riscos de segurana da informao envolvidos na aquisio de
informaes ou produtos relacionados com as TIC (Tecnologia de
Informao e Comunicao) de outras organizaes.
-----------------------------------------------------------------------------Comentrios: as duas prximas normas (ISO 27037 e ISO 27038) tratam
sobre segurana forense, e este tema volta a ser citado nas normas ISO
27041 e ISO 27042". J as ISO 27038 e ISO 27039 tratam sobre
ferramentas
que
automatizam
atividades
para
SI.
-----------------------------------------------------------------------------ISO 27037: orientaes para a identificao, coleta, aquisio e
preservao de evidncias forenses digitais. Esta norma est focada na
manuteno da integridade destas evidncias. Sem dvidas, uma das
normas mais relevantes para profissionais que seguem ou pretendem
seguir carreira de perito forense (caso no tenha intimidade com este
tema, consulte publicaes no Portal como estas 04 vdeo aulas de
Segurana Forense, este vdeo sobre anlise de malware em

forense computacional, ou este ebook gratuito sobre Anlise


Forense.
ISO 27038: especificao para redao digital. Uma norma qual
considero bem interessante por conta do seu grau de especifidade: trata
sobre requisitos para a redao e compartilhamento da informao digital
de forma adequada, seja ela publicada internamente na organizao ou a
partes externas.
ISO 27039: sistemas deteco de intrusos: um guia para seleo,
contratao, desenho, operao e administrao de sistemas IDS
(Intrusion Detection Systems).
ISO 27040: aspectos de segurana da informao para sistemas
e infraestrutura de storage.
ISO 27041: regula sobre a conformidade para mtodos de investigao
de evidncias digitais, sendo mais uma norma entre as disponveis para
anlise forense computacional / segurana forense.
ISO 27042: mais uma entre as normas forenses, sendo que esta prev
diretrizes para a anlise e interpretao de evidncias digitais.
Existem especulaes de que todas estas normas forenses sejam reestruturadas, no futuro, em uma norma com diversas partes assim como
est definida a ISO 27034.
ISO 27043: princpios e processo de investigao de incidentes da
segurana da informao. Esta mais uma norma voltada exclusivamente
para gesto de incidentes de segurana, assim como a ISO 27035.
ISO 27044: diretrizes especficas para o Gerenciamento de Eventos
de Segurana da Informao (SIEM).
ISO 27799: gerenciamento de segurana da informao para a rea de
sade.
Para saber mais sobre cada uma destas normas, basta consult-las no site
oficial da ISO (International Organization for Standardization ).
Diversas outras normas desta famlia esto em fase de estudos e/ou
sendo propostas, afinal podemos notar que diversas outras reas de
negcio ainda no so contempladas, assim como assuntos especficos na
estrutura de segurana da informao e sesses especficas da norma
27002.
Convido os profissionais que trabalham na rea a comentar sobre estas

normas: voc j trabalhou com uma ou mais delas? J conhecia a maior


parte delas?
Para qualquer esclarecimento em que eu possa ajudar, basta inserir sua
dvida nos comentrios ou enviar mensagem para os contatos descritos
no
rodap
desta publicao.
Ser
um
prazer
respond-lo!
Referncias:
http://www.iso.org
http://www.iso27001security.com
Links teis:

Curso online oficial para certificao ISO 27002

Norma ISO 27001 em portugus no site da ABNT

Norma ISO 27002 em portugus no site da ABNT

Norma ISO 27003 em portugus no site da ABNT

Norma ISO 27004 em portugus no site da ABNT

Norma ISO 27005 em portugus no site da ABNT

Norma ISO 27007 em portugus no site da ABNT

Mais sobre segurana da informao no Portal GSTI:

Vdeo aulas de Gesto da Segurana da Informao para


concursos

Ebook gesto da Segurana da Informao com ISO 27001 e


ISO 27002

Artigo ISO 27002 x ISO 27001

Videoaulas gratuitas
Informao

Ebook gratuito sobre ISO 27005

Outras vdeo aulas sobre segurana da informao

Artigos sobre segurana da informao

Veja mais:

de

introduo

Segurana

da

Guia completo para a certificao ISO 27002 Foundation