Blog

IRM360 B.V. Marcel Lavalette 31 março 2022

Nova ISO 27002:2022

O que é que isto significa para o CyberManager e a ISO 27001?

Desde Fevereiro, foi desenvolvida uma nova ISO/IEC 27002:2022. Os nossos clientes nos Países Baixos fazem-nos várias perguntas sobre a nova ISO. Neste blogue, discutimos:

  1. Nova norma ISO/IEC 27002:2022
  2. A ISO 27001 não é a mesma que a ISO 27002
  3. Auditoria e certificado ISO 27001, o Anexo A e SOA
  4. Como é que a nova ISO 27002:2022 difere da anterior?
  5. O que é que a nova ISO 27002 tem a ver com a minha certificação ISO 27001?
  6. Haverá alterações ao CyberManager em termos de conteúdo e funcionalidade?

1) Nova norma ISO/IEC 27002:2022

ISO/IEC 27002:2022 é o sucessor da ISO/IEC 27002:2013. Existe alguma confusão acerca disto, porque nos Países Baixos está disponível como NEN-EN-ISO/IEC 27002:2017. Qual é a razão para esta diferença na designação e ano?

A Organização Internacional de Normalização (ISO) elabora normas. A organização é uma parceria de organizações nacionais de normalização em 163 países, tal como a NEN nos Países Baixos. A nível internacional, a ISO trabalha em conjunto com a IEC; a Comissão Electrotécnica Internacional, razão pela qual algumas normas têm a designação ISO/IEC. NEN significa o Instituto de Normalização dos Países Baixos que é responsável pelo registo de normas. A designação EN representa a Organização Europeia de Normalização e aplica-se a toda a Europa. Os institutos nacionais de normalização, como o NEN, publicam-nas nos seus próprios países. Uma norma NEN-EN ISO/IEC significa, portanto, que diz respeito a uma norma internacional que também foi aceite na Europa e também nos Países Baixos pela NEN. Muitas vezes existe uma adição como NL para indicar que também está disponível na língua neerlandesa.

Como pode haver tempo entre a tradução e/ou a harmonização de uma norma internacional com a legislação local, pode haver uma diferença no conteúdo (mínima) e na publicação. Mas em princípio, a norma "nacional" NEN-EN-ISO/IEC 27002:2017 é a mesma que a ISO/IEC 27002:2013.

 

2) A ISO 27001 não é a mesma que a ISO 27002

A ISO 27001 é uma norma globalmente reconhecida no domínio da segurança da informação. O chamado Sistema de Gestão da Segurança da Informação (SGSI) descreve a implementação do processo de controlo dos riscos de segurança da informação. Actualmente, só é possível certificar de acordo com a norma ISO 27001.
As versões actuais são as seguintes:

  • ISO/IEC 27001:2013 (internacional) e, de facto, ainda a norma actual
  • NEN-EN-ISO/IEC 27001:2017

3) Auditoria e certificado ISO 27001, o Anexo A e a SOA

Uma auditoria ISO 27001 centra-se principalmente na garantia do processo, o SGSI, mas durante a auditoria, as medidas de controlo descritas no Anexo A do documento da norma ISO 27001 são também testadas. O Anexo A é uma lista de medidas de controlo e estas são retiradas da norma ISO 27002, incluindo numeração, capítulos e secções, mas não são as mesmas.  

A norma ISO 27002 vai mais além desta lista de medidas de controlo e prevê para cada medida de controlo uma análise mais aprofundada sob a forma de "Melhores Práticas" (possivelmente técnicas a aplicar, métodos de trabalho, etc.) para dar substância à medida de controlo.

É livre de aplicar outras medidas de controlo (as suas próprias ou de outras normas tais como CIS, NIST-CSF, etc.) desde que demonstre que cumpre as medidas de controlo constantes do Anexo A.

Para cada medida de controlo, deve indicar se é ou não aplicável e se foi ou não implementada. Declara isto na chamada Declaração de Aplicabilidade (SOA). Esta SOA contém a referência à versão utilizada durante a auditoria ISO 27001, por exemplo, EN-EN-ISO/IEC 27001:2017 +A11:2020.

Ei, outra indicação "+A11:2020"? Este "+A11" refere-se às alterações feitas pelo NEN e o ":2020" ao ano em que a alteração foi feita. O NEN utiliza a sua própria numeração para a mesma norma nos Países Baixos, o que pode ser confuso. Outros países podem também utilizar a sua "própria" numeração diferente.
Espero que ainda entenda......?

4) Como é que a nova ISO 27002:2022 difere da anterior?

Não entraremos em todas as mudanças neste blog, pois já sabemos muito sobre elas, mas explicaremos principalmente as questões com as quais os nossos utilizadores terão de lidar. 

Na antiga ISO/IEC 27002:2013, cada medida de controlo (Melhores Práticas) consistia em uma:

  • Descrição do controlo
  • Guia de Implementação (Melhores práticas)

A nova ISO/IEC 27002:2022 já não menciona as "melhores práticas" mas apenas os controlos e estes consistem agora em :

  • Controlo (medida de controlo)
  • Finalidade
  • Orientação

Além disso, para cada controlo, é apresentada uma tabela de atributos (ver exemplo abaixo) que pode ajudar a seleccionar (filtrar) medidas de controlo sobre várias questões.

Três tipos de controlo a seleccionar em termos de quando e como agir no caso de um incidente de segurança da informação.

Preventief; o controlo deve impedir a ocorrência de um incidente de segurança da informação,

Detectief; o controlo ocorre quando ocorre um incidente de segurança da informação,

Correctief; o controlo ocorre após a ocorrência de um incidente de segurança da informação.

 

Três propriedades de Segurança da Informação: seleccionar medidas de controlo do ponto de vista das características da informação, tais como: Confidencialidade, Integridade e/ou Disponibilidade.

Os conceitos de ciber-segurança são um atributo para seleccionar medidas de controlo na perspectiva dos conceitos de ciber-segurança definidos no quadro de ciber-segurança ISO/IEC TS 27110 e no modelo NIST CSF: Identificar, Proteger, Detectar, Responder e Recuperar.

A capacidade operacional é um atributo para seleccionar medidas de gestão da perspectiva do proprietário ou gestor de uma determinada área. Os valores dos atributos consistem em: Governação, Gestão de Activos, Segurança da Informação, RH, Segurança Física, Segurança de Sistemas e Redes, Segurança de Aplicações, Configuração Segura, Gestão de Identidade e Acesso, Vulnerabilidade e Gestão de Ameaças, Continuidade, Gestão de Fornecedores, Conformidade, Gestão e Garantia de Incidentes de Segurança da Informação.

Domínios de segurança é um atributo para seleccionar medidas de gestão da perspectiva de quatro domínios de segurança da informação: Governação e Ecossistema, Protecção, Defesa e Resiliência.

Todos os atributos acima descritos da ISO 27002 são genéricos e as organizações podem optar por ignorar um ou mais dos atributos ou criar os seus próprios.

5) O que é que a nova ISO 27002 tem a ver com a minha certificação ISO 27001?

De momento, nada; ainda não existe uma nova norma ISO 27001 e, portanto, nenhum novo Anexo A. Evidentemente, haverá uma, e então o Anexo A estará de acordo entre si em termos de formato e enumeração da descrição das medidas de controlo. A organização NEN espera um Anexo A actualizado para a actual ISO/IEC 27001:2013 em Maio, possivelmente com uma designação tal como +A1:2022? Afinal, será então a primeira "emenda" ao novo anexo a partir de 2022. Muitos irão esperar pela emenda holandesa NEN-EN ISO/IEC 27001:2017 +A1:2022. Isto é esperado no final de 2022.

Se já tem um certificado, não tem de fazer nada de imediato. Há um período de transição de 2 anos aplicável assim que a nova norma ISO27001 estiver disponível com o Anexo A actualizado. Se estiver a trabalhar num projecto de certificação, então depende de quando vai realizar a auditoria se pode concentrar-se melhor na nova norma ISO 27001 e no Anexo A. Discuta isto com o seu organismo de certificação ou parceiro de implementação, por exemplo!

 6) Algo mudará no CyberManager em termos de conteúdo e funcionalidade?

A estrutura do novo Anexo A muito provavelmente não será muito diferente do actual Anexo A. Por isso, também uma listagem das medidas de gestão mas:

  • O formato será baseado no novo Anexo A com base na norma ISO 27002:2022
    1. Antigo: 14 capítulos e 114 medidas de controlo
    2. Novo: 4 capítulos (Humano, Técnica, Física e Organização)
  • 93 medidas de gestão em vez de 114, portanto menos trabalho? Há 11 novas medidas, mas estão incluídas no total de 93. Mas como? No novo 27002, 114 medidas de controlo que já pertenciam em conjunto foram fundidas, algumas permaneceram na mesma e uma medida foi dividida para chegar a 82 medidas. A lista completa das diferenças entre ISO 27002:2013 e ISO 27002:2022 pode ser encontrada no Anexo B da ISO 27002:2022.

Será familiar para os utilizadores do CyberManager que utilizaram o conjunto de medidas CyberManager. Em vez dos 4 novos capítulos e 82 medidas de gestão fundidas, o conjunto de medidas CyberManager já se baseava em 7 parágrafos e 71 medidas fundidas.

Portanto, compreendemos esta nova ISO 27002:2022, mas apenas fomos um pouco mais longe. A propósito, este conjunto de medidas CyberManager ainda pode ser utilizado na nova configuração.

Assim que o novo Anexo A estiver em vigor, será processado o seguinte:

6.1) Adição da ISO/IEC ISO27001:2017 +A1:2022 se tiver uma licença.

6.2) Fornecemos uma classificação de medidas diferente

Substituir as medidas no capítulo correcto, algumas fusões e acrescentar/integrar as novas 11 medidas.

All existing links with controls to other standards such as ISAE 3402, SOC 2, etc. will continue to exist. In fact, nothing changes with respect to the existing and merged measures.  

Novos modelos para as novas medidas: Na nova ISO 27002, foram acrescentadas novas medidas de controlo, as quais, por conseguinte, também precisam de ser acrescentadas ou integradas no conjunto de medidas:

- Inteligência de ameaças (cl. 5.7)

- Segurança da informação para utilização de serviços na nuvem (cl. 5.23)

- Prontidão das TIC para a continuidade do negócio (cl. 5.30)

- Controlo da segurança física (cl. 7.4) Gestão da configuração (cl. 8.9)  

- Eliminação de informação (cl. 8.10)

- Mascaramento de dados (cl. 8.11) 

- Prevenção de fugas de dados (cl. 8.12)

- Actividades de monitorização (cl. 8.16) 

- Filtragem da Web (cl. 8.23) 

- Codificação segura (cl. 8.28)

Deve implementar estas novas medidas de controlo independentemente de estar a utilizar a "antiga" ISO 27002:2017, o conjunto de medidas CyberManager ou outro conjunto como a antiga ISO 27002.

 

Um senão?

ISO 27002:2022 inclui uma tabela de referência para seguir as medidas de controlo "antigas" para as novas medidas. O texto de algumas das medidas de controlo foi alterado, em parte devido à fusão (caso em que não há muitas alterações no que respeita ao conteúdo), mas o texto também pode ser alterado. No caso de algumas das medidas de controlo para as quais as melhores práticas foram agora incluídas como directrizes de aplicação, o conteúdo da medida de controlo também foi alterado e, consequentemente, também o Anexo A.

É claro que o assinalaremos a seu tempo, mas terá de verificar se as suas medidas actuais ainda se enquadram.

6.3) E em termos de funcionalidade?

O processo de selecção de medidas para gerar propostas de medidas (linha de base) no CyberManager já é largamente compatível com a utilização destes atributos. 

O sistema já oferece possibilidades de trabalhar com selecções (atributos) tais como Tipos de Controlo, mas um tipo detectável ainda não foi aplicado.

Já foram implementados elementos de Segurança da Informação.

Os conceitos e domínios de segurança cibernética já são aplicados como atributos de nível de segurança para os níveis (BBN1, BBN2 e BBN3) e conceitos de segurança cibernética para o controlo CIS e o NIST CSF.

O atributo "capacidades operacionais" no CyberManager é parcialmente coberto por processos/organizações e/ou tipos de recursos.

A nova ISO 27002:2022 não traz grandes alterações, mas onde necessário, iremos complementá-la de modo a que o alinhamento com a ISO27002:2020 seja o mais optimizado possível para os clientes que a desejem utilizar.

 

 

Para conveniência deste Blog, foram traduzidas várias edições da ISO/IEC 27002:2022
mas aconselhamo-lo a aguardar a tradução oficial neerlandesa das novas normas.
Fontes:
Informação disponibilizada pelo NEN durante o webinar de Fevereiro,
a norma ISO/IEC 27002:2022, o website NEN, o website ISO.org e o nosso organismo de certificação. 

Perguntas?

Podemos imaginar que possa ter algumas questões ou que queira coordenar connosco com antecedência relativamente a esta ISO 27002:2022, então é claro que teremos todo o prazer em ajudar.

Quer saber mais sobre a ISO 27001 ou outras certificações que possam ser de interesse para a sua organização, e como o CyberMager pode ajudar?

Teremos todo o prazer em entrar em contacto para oportunidades e informações!

Envie um e-mail para: sales@irm360.nl ou preencha o formulário de contacto aqui ou contacte o seu parceiro