Os conceitos normativos para a governança da segurança da informação

Em sua nova edição, a NBR ISO/IEC 27014 de 09/2021 – Segurança da informação, segurança cibernética e proteção da privacidade – Governança da segurança da informação fornece orientação sobre conceitos, objetivos e processos para a governança da segurança da informação pela qual as organizações podem avaliar, direcionar, monitorar e comunicar as atividades relacionadas à segurança da informação dentro da organização. O público-alvo é o órgão diretivo e Alta Direção; aqueles que são responsáveis por avaliar, direcionar e monitorar um sistema de gestão da segurança da informação (SGSI) com base na NBR ISO/IEC 27001:2013; os responsáveis pela gestão da segurança da informação que ocorre fora do escopo de um SGSI com base na NBR ISO/IEC 27001:2013, mas dentro do escopo da governança.

Este documento é aplicável a todos os tipos e tamanhos de organizações. Todas as referências a um SGSI neste documento se aplicam a um SGSI com base na NBR ISO/IEC 27001:2013. Ele tem foco nos três tipos de organizações SGSI apresentados no Anexo B. Entretanto, pode também ser utilizado por outros tipos de organizações.

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como se deve assegurar a conformidade com os requisitos internos e externos?

Como monitorar o processo de governança?

O que significa comunicar o processo de governança bidirecional?

Quais são os requisitos do órgão diretivo sobre sistema de gestão de segurança da informação (SGSI)?

A segurança da informação é uma questão-chave para as organizações, amplificada por rápidos avanços em metodologias e tecnologias de ataque, e com correspondente aumento por pressões regulatórias. A falha de controles de segurança da informação de uma organização pode ter muitos impactos adversos na organização e em suas partes interessadas incluindo, mas não limitado à perda de confiança.

A governança da segurança da informação é a utilização de recursos para assegurar a implementação efetiva de segurança da informação, fornecendo garantia de que as diretivas a respeito de segurança da informação são seguidas; e o órgão diretivo recebe relatórios confiáveis e relevantes sobre as atividades relacionadas à segurança da informação. Isso auxilia o órgão diretivo a tomar decisões a respeito de objetivos estratégicos para a organização, ao fornecer informação sobre segurança da informação que pode afetar esses objetivos.

Também garante que a estratégia de segurança da informação esteja alinhada com os objetivos gerais da entidade. Os gestores e outros que trabalhem nas organizações precisam entender: os requisitos de governança que afetam seu trabalho; e como cumprir requisitos de governança que requerem deles uma ação.

Este documento descreve como a governança da segurança da informação opera dentro de um SGSI, com base na NBR ISO/IEC 27001, e como essas atividades podem se relacionar com outras atividades de governança que operam fora do escopo de um SGSI. Ele destaca quatro processos principais de avaliar, direcionar, monitorar e comunicar nos quais um SGSI pode ser estruturado dentro de uma organização e sugere abordagens para integrar a governança da segurança da informação nas atividades de governança organizacional em cada um desses processos.

Finalmente, o Anexo A descreve as relações entre governança organizacional, governança da tecnologia da informação e governança da segurança da informação. O SGSI cobre toda a organização, por definição (ver ISO/IEC 27000). Ele pode abranger toda a entidade ou parte dela.

A governança da segurança da informação é o meio pelo qual o órgão diretivo de uma organização fornece a orientação geral e controle das atividades que afetam a segurança das informações de uma organização. Essa direção e esse controle se concentram nas circunstâncias em que uma segurança da informação inadequada pode afetar adversamente a capacidade da organização de atingir seus objetivos gerais.

É comum que um órgão diretivo atinja seus objetivos de governança por meio de: fornecimento de orientação através do estabelecimento de estratégias e políticas; monitoramento do desempenho da organização; e a avaliação das propostas e planos desenvolvidos pelos gestores. A gestão da segurança da informação está associada à garantia do cumprimento dos objetivos da organização descritos nas estratégias e políticas estabelecidas pelo órgão diretivo.

Isso pode incluir a interação com o órgão diretivo por meio de: fornecimento de propostas e planos para consideração do órgão diretivo; e o fornecimento de informações ao órgão diretivo sobre o desempenho da organização. A governança eficaz da segurança da informação requer que tanto os membros do órgão diretivo quanto os gestores cumpram suas respectivas funções de maneira consistente. A NBR ISO/IEC 27001 especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação no contexto de uma organização.

Também inclui requisitos para avaliação e tratamento de riscos de segurança da informação ajustados às necessidades da organização. A NBR ISO/IEC 27001 não usa o termo governança, mas especifica uma série de requisitos que são atividades de governança. A lista a seguir fornece exemplos dessas atividades. As referências à organização e à Alta Direção são, conforme observado anteriormente, associadas ao escopo de um SGSI com base na NBR ISO/IEC 27001.

Existem muitas áreas de governança em uma entidade, incluindo segurança da informação, tecnologia da informação, saúde e segurança, qualidade e finanças. Cada área de governança é um componente dos objetivos gerais de governança de uma entidade e, portanto, convém que esteja alinhada com a disciplina da entidade. Os escopos dos modelos de governança às vezes se sobrepõem.

Um SGSI se concentra na gestão de riscos relacionados à informação. Não aborda diretamente as questões como lucratividade, aquisição, uso e realização de ativos, ou a eficiência de outros processos, embora convenha que apoie quaisquer objetivos organizacionais nessas questões. Para estabelecer a segurança da informação abrangente e integrada em toda a entidade, a governança da segurança da informação deve assegurar que os objetivos da segurança da informação sejam abrangentes e integrados.

Convém que a segurança da informação seja tratada em nível de entidade, com a tomada de decisão levando em consideração as prioridades da entidade. Convém que as atividades relacionadas à segurança física e lógica sejam coordenadas de perto. Isso não requer, no entanto, um único conjunto de medidas de segurança ou um único sistema de gestão da segurança da informação (SGSI) em toda a entidade.

Para garantir a segurança da informação em toda a entidade, convém que a responsabilidade e a responsabilização pela segurança da informação sejam estabelecidas em toda a extensão das atividades de uma entidade. Isto pode se estender além das fronteiras geralmente percebidas de uma entidade, por exemplo, para incluir as informações armazenadas ou transferidas por entidades externas.

Para a tomar as decisões usando uma abordagem baseada em risco, convém que a governança da segurança da informação seja baseada em obrigações de compliance e também em decisões baseadas em risco específicas da entidade. Convém que a determinação de quanta segurança é aceitável seja baseada no apetite de risco de uma entidade, incluindo perda de vantagem competitiva, riscos de compliance e de obrigação legal, interrupções operacionais, danos à reputação e perda financeira.

Convém que a gestão de riscos de segurança da informação seja consistente em toda a entidade e inclua considerações sobre os impactos financeiros, operacionais e reputacionais adversos de violações e de não compliance. Além disso, convém que a gestão de riscos de segurança da informação seja integrada com a abordagem de gestão de riscos geral da entidade, a fim de que não seja feita isoladamente e não cause confusão, por exemplo, mapear para a metodologia da entidade ou capturar informação estratégica de riscos no registro de risco da entidade.

Convém que recursos apropriados para implementar a gestão de riscos de informação sejam alocados como parte do processo de governança da segurança. Para definir o direcionamento de aquisições, o impacto do risco de segurança da informação deve ser avaliado de forma adequada ao empreender novas atividades, incluindo, mas não se limitando a, qualquer investimento, compra, fusão, adoção de nova tecnologia, acordos de terceirização e contrato com fornecedores externos.

A fim de otimizar a aquisição de segurança da informação para apoiar os objetivos da entidade, convém que o órgão diretivo garanta que a segurança da informação seja integrada aos processos existentes da entidade, incluindo gerenciamento de projetos, aquisições, despesas financeiras, compliance legal e regulatório e gestão de riscos estratégicos. Convém que a Alta Direção de cada SGSI estabeleça uma estratégia de segurança da informação com base nos objetivos organizacionais, garantindo a harmonização entre os requisitos da entidade e os requisitos de segurança da informação organizacional, atendendo, assim, às necessidades atuais e em evolução das partes interessadas. O órgão diretivo dentro de uma entidade realiza os processos de avaliar, direcionar, monitorar e comunicar. A figura abaixo mostra a relação entre esses processos.

A definição de organização assume que a Alta Direção está sempre totalmente envolvida na operação da organização. Uma entidade pode ter mais de um SGSI e pode haver partes de uma entidade, às quais se aplica a governança, que não fazem parte de um SGSI. Pode-se dizer que avaliar é o processo de governança que considera a realização atual e prevista dos objetivos com base nos processos atuais e nas mudanças planejadas, e determina onde quaisquer ajustes são necessários para otimizar a realização dos objetivos estratégicos futuros.

Para executar o processo de avaliar, convém que o órgão diretivo da entidade: assegure que as iniciativas levem em consideração os riscos e as oportunidades pertinentes; responda às medições e aos relatórios de segurança da informação e do SGSI, especificando e priorizando objetivos no contexto de cada SGSI (o que inclui a consideração dos requisitos de fora do escopo do SGSI); e convém que a Alta Direção de cada SGSI: assegure que a segurança da informação apoie e sustente adequadamente os objetivos da entidade; submeta à aprovação do órgão diretivo novos projetos de segurança da informação com impacto significativo.

Direcionar é o processo de governança pelo qual o órgão diretivo dá orientação sobre os objetivos e a estratégia da entidade. Direcionar pode incluir mudanças nos níveis de recursos, alocação de recursos, priorização de atividades, aprovações de políticas, aceitação de riscos materiais e planos de gerenciamento de riscos.

Para executar o processo direcionar, convém que o órgão diretivo: estabeleça a direção estratégica geral e os objetivos da entidade; estabeleça o apetite de risco da entidade; aprove a estratégia de segurança da informação; e convém que a Alta Direção de cada SGSI: aloque investimentos e recursos adequados; alinhe os objetivos de segurança da informação organizacional com os objetivos da entidade; aloque funções e responsabilidades para segurança da informação; e estabeleça uma política de segurança da informação.

REVISTA DIGITAL ADNORMAS – Edição 177 | Ano 4 | 23 Setembro 2021

Acesse a versão online: https://revistaadnormas.com.br       Revista AdNormas - Ed 177 Ano 4
Edição 177 | Ano 4 | 23 Setembro 2021
ISSN: 2595-3362 Acessar edição
Capa da edição atual
Confira os 12 artigos desta edição:
A gestão dos sistemas de informação de serviços de pagamento de terceiros
A certificação para os prestadores de serviços da indústria petroquímica
A jornada da liderança humanizada
A proteção contra incêndio por chuveiros automáticos para áreas de armazenamento
A gestão das boas práticas de combate à degradação da terra e desertificação
O desempenho de reação ao fogo de produtos à base de PVC em edificações
Target Adnormas
Qualidade de vida: como envelhecer de maneira saudável
Análise dos sistemas completos: mecânicos, elétricos, eletrônicos e software
A segurança das máquinas serra de fita para metais
A manutenção, a inspeção e o descarte dos cabos de fibras
A economia que vem do Sol
A conformidade dos recipientes de 16 kg e 20 kg de GLP para empilhadeiras

API STD 1164: a segurança cibernética de sistemas de controle de dutos

A API STD 1164:2021 – Pipeline Control Systems Cybersecurity fornece os requisitos e a orientação para o gerenciamento de risco cibernético associado a ambientes de automação e controle industrial (industrial automation and control – IAC) para atingir os objetivos de segurança, integridade e resiliência. Dentro dessa norma, isso é realizado por meio do isolamento adequado de ambientes IAC para ajudar na sua continuidade operacional.

Mesmo com o isolamento adequado dos ambientes IAC dos ambientes de TI, ambos desempenham um papel na continuidade geral dos negócios. A continuidade operacional do IAC e a continuidade do sistema de TI são frequentemente desenvolvidas e implementadas em conjunto como parte do plano geral de continuidade de negócios.

O escopo desta norma é limitado apenas aos aspectos de segurança cibernética da IAC que podem influenciar a continuidade geral dos negócios. Ela foi feita sob medida para a indústria de dutos de petróleo e gás natural (oil and natural gas – ONG), que inclui, mas não está limitado a sistemas de dutos de transmissão de gás natural e líquidos perigosos, sistemas de dutos de distribuição de gás natural, instalações de gás natural liquefeito (GNL), instalações de ar propano e outros envolvidos nessas indústrias.

Essa norma foi desenvolvida para fornecer uma abordagem acionável para proteger as funções essenciais do IAC, gerenciando o risco de segurança cibernética para os ambientes IAC. Isso pode incluir, mas não estão limitados a soluções de controle de supervisão e aquisição de dados (Scada), controle local e internet das coisas industriais (IIoT).

A norma deve ser usada no contexto de desenvolvimento, implementação, manutenção e melhoria de um programa de segurança cibernética do IAC, que inclui as políticas, processos, e controles de procedimentos e técnicos para ambientes cibernéticos IAC. Trata-se de um conjunto de requisitos que deve ser customizado antes da implementação usando os processos de gerenciamento de riscos da empresa.

O resultado é um conjunto de requisitos personalizados e específicos da empresa para um programa de segurança cibernética IAC a fim de ajudar a gerenciar a postura de segurança cibernética e qualquer risco residual resultante para seus ambientes IAC em alinhamento com a missão, objetivos e estratégia de risco da empresa, e de acordo com as suas políticas e procedimentos. Embora a identificação de ameaças e impactos seja crítica para o desenvolvimento do programa de segurança cibernética do IAC, uma avaliação baseada no risco de cada um garantirá que o programa seja implementado, executado e sustentado de forma adequada, de acordo com a postura de risco desejada pela organização.

Essa norma se concentra nos resultados de segurança cibernética desejados, definindo requisitos para níveis de proteção de impacto de objetivos de negócios específicos. Embora os princípios definidos nesta norma possam ser aplicados a sistemas instrumentados de segurança (safety instrumented systems – SIS), eles estão fora do escopo deste documento.

Os requisitos de segurança especificados nesta norma não tentam abordar os impactos potenciais para a seleção ou determinação do nível de integridade de segurança (safety integrity level – SIL) do SIS. Qualquer uso desta norma em ambientes SIS fica por conta e risco do implementador. Para as empresas que já têm um programa de segurança cibernética IAC, incluindo uma ou mais políticas de programa aprovadas e um plano ou planos de segurança cibernética IAC documentados implementados ou em implementação, esta norma deve ser considerada um acréscimo aos elementos existentes do programa de segurança cibernética.

Nessas situações, um processo de mapeamento desta norma para os elementos atuais do programa de segurança cibernética da IAC determinará quaisquer requisitos da API 1164 que não estejam atualmente no programa existente. A implementação de quaisquer elementos ausentes deve ser adaptada e priorizada usando os processos de gerenciamento de risco da empresa. O processo de adaptação para os requisitos de segurança cibernética API 1164 é descrito em 5.5.

Conteúdo da norma

1 Escopo. . . . . .. . . . . . . . . . . 1

1.1 Objetivo. . . .. . . . . . . . . . . 1

1.2 Público-alvo. . . . . . . . . . . . 2

1.3 Como ler esta norma . . . . . . . 2

2 Referências normativas. . . . . . . 4

3 Termos, definições, acrônimos e abreviações. .  . . . 4

3.1 Termos e definições. . .. . . . . . . . . . . . . . . . 4

3.2 Siglas. . . . . . . . . . . . . . . . . . . . . . 9

4 Perfis de cibersegurança de dutos IAC de ONG. .  . . 10

4.1 Introdução ao perfil de cibersegurança IAC. …. . 10

4.2 Perfil de segurança cibernética da IAC – restrições comuns………..10

4.3 Perfil de segurança cibernética da IAC – objetivos da proteção contra ameaças. . . . . . . . . . . . . 11

4.4 Perfil de segurança cibernética da IAC – objetivos de missão e negócios. . . . . . . . . . . . . 12

4.5 IAC: perfil de segurança cibernética – objetivos e impacto no mapeamento de proteção contra ameaças. . .  . 13

5 Política, plano e programa de segurança cibernética da ONG e IAC. . . . . . . . . . . . . . . 13

5.1 Plano de desenvolvimento de segurança cibernética da IAC. . . . . . . . . . . . . . . . . . . . . 15

5.2 IAC: plano de segurança cibernética – gerenciamento de risco. . . . .. . . . . . . . 15

5.3 Plano de segurança cibernética da IAC – operacionalizando um programa de segurança cibernética . . . . . . 17

5.4 Perfis de segurança cibernética de seleção de planos de segurança cibernética da IAC. . . . . . . . . . . 18

5.5 Requisitos de perfil selecionado de personalização do plano de segurança cibernética da IAC. . . . . 27

6 ONG IAC: requisitos do perfil de cibersegurança – requirements identify (ID). . . . . . . . 28

6.1 Governança (ID.GV). .. . . . . . . . . 28

6.2 Estratégia de gerenciamento de risco (ID.RM). . 32

6.3 Ambiente de negócios (ID.BE). . . . . . . . . . . . 35

6.4 Gestão de riscos da cadeia de suprimentos (ID.SC)… . 39

6.5 Avaliação de Risco IAC (ID.RA). . . . . . . . . 42

6.6 Gerenciamento de ativos (ID.AM). . . . . . . 49

7 ONG IAC: perfil de cibersegurança – profiles protect (PR)….55

7.1 Controle de acesso (PR.AC). . .  . . . . . 56

7.2 IAC Conscientização e treinamento em segurança cibernética (PR.AT). . . . . . . . . . . . 63

7.3 Segurança de dados (PR.DS).. . . . . . . . 67

7.4 Processos e procedimentos de proteção da informação (PR.IP). . . . . . . . . . . . . . . . 75

7.5 Manutenção (PR.MA). .. . . . . . . . . . . . . 89

7.6 Tecnologia de proteção (PR.PT). . .. . . . . . . . . 92

8 ONG IAC: requisitos do perfil de cibersegurança (detecção – DE). . . .  . . . . . . . . . . . . . 97

8.1 Anomalias e eventos (DE.AE). . .. . . . . . 97

8.2 Monitoramento contínuo de segurança (DE.CM). . .. 100

8.3 Processos de detecção (DE.DP). .. . . . . . . . . . . 106

9 ONG IAC: perfil de cibersegurança dos requisitos de respostas (RS). .  . . . . . . . . . . . . . . 110

9.1 Planejamento de Resposta (RS.RP). . . . . . . . 110

9.2 Comunicações (RS.CO). . .. . . . . . . . . 111

9.3 Análise (RS.AN).. . . . . . . . . . . . . . 114

9.4 Mitigação (RS.MI). . . . . . . . . . . . . . . . 118

9.5 Melhorias (RS.IM). . . . . . . . . . . . . . . . 120

10 ONG IAC: perfil de cibersegurança dos requisitos de recuperação (RC). . . . . . . . . . . . 122

10.1 Planejamento de Recuperação (RC.RP). . . 122

10.2 Melhorias (RC.IM). . . . . . . . . . . . . . . . 122

10.3 Comunicações (RC.CO). .  . . . . . . . . . 124

Anexo A (informativo) Construção e mapeamento da norma API 1164. . . . . .  . . . . . . . 126

Anexo B (informativo) Modelo Plan-Do-Check-Act.  . 129

Anexo C (informativo) Ações recorrentes. . . . . . . . . 131

Bibliografia. . .. . . . . . . . . . . . . . . . . . . . . . . . . . 132

Em resumo, a infraestrutura de dutos – composta por milhares de empresas e mais de 2,7 milhões de quilômetros de dutos responsáveis pelo transporte de petróleo, gás natural e outras commodities – é um facilitador fundamental da segurança econômica mundial. Como os proprietários e os operadores de dutos estão cada vez mais confiando na integração de tecnologias de informação e comunicação (TIC) em tecnologia da informação (TI) e tecnologia operacional (TO) para conduzir a automação, eles também devem implementar medidas de segurança para proteger os dutos de riscos cibernéticos em evolução e emergentes. A integração de dispositivos de TIC em sistemas de dutos críticos cria uma vulnerabilidade que os hackers cibernéticos podem explorar.

A gestão dos incidentes de segurança da informação

]

A NBR ISO/IEC 27035-3 de 07/2021 – Tecnologia da informação – Gestão de incidentes de segurança da informação – Parte 3: Diretrizes para operações de resposta a incidentes de TIC fornece as diretrizes para resposta a incidentes de segurança da informação em operações de tecnologia, informação e comunicação (TIC). Este documento faz isso abrangendo, em primeiro lugar, os aspectos operacionais da segurança de TIC em uma perspectiva de pessoas, processos e tecnologia. Em seguida, concentra-se ainda mais na resposta de incidente de segurança da informação em operações de TIC, incluindo detecção de incidentes de segurança da informação, relatórios, triagem, análise, resposta, contenção, erradicação, recuperação e conclusão.

Este documento não trata de operações de resposta a incidentes que não sejam de TIC, como perda de documentos em papel. É baseado na fase Detecção e geração de relatórios, na fase Avaliação e decisão e na fase Respostas do modelo Fases de gestão de incidentes de segurança da informação apresentado na ISO/IEC 27035-1:2016. Os princípios fornecidos neste documento são genéricos e pretendem ser aplicáveis a todas as organizações, independentemente do tipo, porte ou natureza. As organizações podem ajustar as disposições fornecidas neste documento de acordo com seu tipo, porte e natureza dos negócios em relação à situação de risco à segurança da informação. Também é aplicável às organizações externas que fornecem serviços de gestão de incidentes de segurança da informação.

Acesse algumas indagações relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como deve ser executado o monitoramento e a detecção dos incidentes?

Como deve ser feita a validação de dados de fonte externa?

Quais são as fases da notificação e do relatório de incidente interno?

Quais são as operações de triagem de incidentes?

Um incidente de segurança da informação pode ou não envolver TIC. Por exemplo, informações que se espalham involuntariamente por meio da perda de documentos em papel podem muito bem ser um incidente grave de segurança da informação, o que requer relatórios, investigações, contenções, ações corretivas e envolvimento da direção. Este tipo de gestão de incidentes geralmente é realizado, por exemplo, pelo CISO (Chief Information Security Officer) dentro da organização.

As orientações sobre a gestão de incidentes de segurança da informação podem ser encontradas na ISO/IEC 27035-1. Este documento, entretanto, considera apenas operações de resposta a incidentes relacionados à TIC, e não a incidentes de segurança da informação relacionados aos documentos em papel ou quaisquer outros incidentes não relacionados à TIC.

Sempre que o termo segurança da informação é usado neste documento, isso é feito no contexto da segurança da informação relacionada às TIC. As estruturas organizacionais para segurança da informação variam de acordo com o porte e o campo comercial das organizações. À medida que vários e numerosos incidentes ocorrem e estão aumentando (como incidentes na rede, por exemplo, intrusões, violações de dados e hackers), preocupações maiores com a segurança da informação são levantadas pelas organizações.

Convém que um ambiente seguro de TIC, configurado para suportar vários tipos de ataques (como DoS, worms e vírus) com equipamentos de segurança de rede, como firewalls, sistemas de detecção de intrusões (IDS) e sistemas de prevenção de intrusões (IPS), seja complementado com procedimentos operacionais claros para tratamento de incidentes, juntamente com estruturas de relatórios bem definidas dentro da organização.

Para assegurar a confidencialidade, a integridade e a disponibilidade da informação e para lidar eficientemente com incidentes, são necessários recursos para realizar operações de resposta a incidentes. Para este fim, convém que uma equipe de resposta a incidentes de segurança de computadores (ERISC) seja estabelecida para executar tarefas como atividades de monitoramento, detecção, análise e resposta para dados coletados ou eventos de segurança.

Estas tarefas podem ser auxiliadas por ferramentas e técnicas de inteligência artificial. Este documento suporta os controles da NBR ISO/IEC 27001:2013, Anexo A, relacionados à gestão de incidentes.

Nem todas as etapas deste documento são aplicáveis, pois dependem do incidente específico. Por exemplo, uma organização menor pode não usar todas as orientações deste documento, mas elas podem ser úteis para a organização de suas operações de incidentes relacionadas às TIC, especialmente se estiver operando o seu próprio ambiente de TIC.

Também podem ser úteis para as organizações menores que terceirizaram suas operações de TI para entender melhor os requisitos e a execução de operações de incidentes que convém que eles esperem de seus fornecedores de TIC. Este documento é particularmente útil para aquelas organizações que fornecem serviços de TIC que envolvem interações entre organizações de operações de incidentes, a fim de seguir os mesmos processos e termos.

Este documento também fornece uma melhor compreensão de como as operações de incidentes se relacionam com os usuários/clientes, a fim de determinar quando e como convém que essa interação ocorra, mesmo que isso não seja especificado. A ISO/IEC 27035-1:2016 abrange as cinco fases principais a seguir para a gestão de incidentes de segurança da informação: planejamento e preparação; detecção e geração de relatórios; avaliação e decisão; respostas; e lições aprendidas.

A ISO/IEC 27035-2:2016 abrange duas dessas cinco fases em detalhes, isto é, planejamento e preparação e lições aprendidas. Este documento abrange as três fases restantes em detalhes. Estas três fases restantes são coletivamente chamadas de operações de resposta a incidentes, que são o foco deste documento.

As disposições deste documento são baseadas nas fases detecção geração de relatórios, avaliação e decisão e respostas do modelo fases de gestão de incidentes de segurança da informação, apresentadas na ISO/IEC 27035-1. Coletivamente, estas fases são conhecidas como processo de operação de resposta a incidentes.

As fases do processo de operação de resposta a incidentes (que são detecção e geração de relatórios, avaliação e decisão e respostas, conforme estipulado na ISO/IEC 27035-1) incluem o seguinte: operações para identificação de incidentes; operações para avaliação e qualificação de incidentes; operações para coleta de inteligência de ameaças; operações para contenção, erradicação e recuperação de incidentes; operações para análise de incidentes; operações para geração de relatórios de incidentes.

O escopo da resposta a incidentes é determinado na ISO/IEC 27035-1. Convém que as operações de resposta a incidentes sejam vistas como um processo de negócios que permite que uma organização permaneça nos negócios. Especificamente, um processo de operação de resposta a incidentes é uma coleção de procedimentos destinados a identificar, responder e investigar possíveis incidentes de segurança de uma maneira que minimize o seu impacto e apoie a recuperação rápida.

A ISO/IEC 27035–1 mostra as cinco fases da gestão de incidentes de segurança da informação, como planejamento e preparação, detecção e geração de relatório, avaliação e decisão, respostas e lições aprendidas. Como mencionado anteriormente, este documento se concentra em um processo de operação de resposta a incidentes. Este processo pode ser caracterizado por um ciclo de vida de operações de resposta a incidentes, representado pelas fases internas (detecção, notificação, triagem, análise, resposta e geração de relatórios). Estas são representadas com mais detalhes na figura abaixo.

O ciclo de vida das operações de resposta a incidentes (detecção, notificação, triagem, análise, resposta e geração de relatório) pode ser mapeado para a ISO/IEC 27035-1, em cinco fases da gestão de incidentes de segurança da informação (planejamento e preparação, detecção e geração de relatórios, avaliação e decisão, respostas e lições aprendidas), conforme mostrado na tabela abaixo.

Os incidentes podem ocorrer de várias maneiras, e não é prático definir todos os incidentes e preparar o manual de resposta para cada tipo de incidente. Entretanto, existem tipos/fontes de ataque comuns que uma organização geralmente encontra e, portanto, convém que esteja preparada para lidar com esses ataques com eficiência.

Convém que os critérios sejam definidos para incidentes de segurança, de acordo com a importância (prioridade) das informações e sistemas de informação, impacto de cada incidente, escala de danos, classificação de alarmes e sua gravidade. Ver Anexo A para exemplos destes critérios.

A seguir, é apresentada uma lista não exaustiva de tipos/estímulos comuns de ataque que podem ser usados como base para definir procedimentos de tratamento de incidentes: mídia externa/removível: um ataque executado a partir de mídia removível (por exemplo, pen drive, CD) ou de um dispositivo periférico; atrito: um ataque que emprega métodos de força bruta para comprometer, degradar ou destruir sistemas, redes de relacionamento ou serviços (por exemplo, um DDoS destinado a prejudicar ou negar o acesso a um serviço ou aplicativo; um ataque de força bruta contra um mecanismo de autenticação, como senhas, CAPTCHAS ou assinaturas digitais); web: um ataque executado a partir de um website ou aplicativo baseado na web (por exemplo, um ataque de script entre sites usados para roubar credenciais ou redirecionar para um site que explore a vulnerabilidade do navegador e instale malware); e-mail: um ataque executado por meio de uma mensagem ou anexo de e-mail (por exemplo, código de exploração disfarçado de documento anexado ou um link para um site mal-intencionado no corpo de uma mensagem de e-mail).

Também inclui a interdição da cadeia de suprimentos: ataque antagônico aos ativos de hardware ou software que utilizam implantes físicos, cavalos de Troia ou backdoors, interceptando e modificando um ativo em trânsito pelo fornecedor ou varejista; representação: um ataque envolvendo a substituição de algo benigno por algo malicioso (por exemplo, falsificação, ataques intermediários, pontos de acesso sem fio não autorizados e ataques de injeção de SQL, todos envolvendo representação); uso impróprio: qualquer incidente resultante da violação das políticas de uso aceitável de uma organização por um usuário autorizado, excluindo as categorias acima (por exemplo, um usuário instala um software de compartilhamento de arquivos, levando à perda de dados confidenciais; ou um usuário executa atividades ilegais em um sistema); perda ou roubo de equipamento: a perda ou roubo de um dispositivo ou mídia de computação usado pela organização, como laptop, smartphone ou token de autenticação; outros: um ataque que não se encaixe em qualquer dessas categorias.

Ver o NIST Computer Security Incident Handling Guide 1 para obter mais diretrizes de classificação de incidentes e vetores de ataque. Um incidente compreende um ou vários eventos de segurança da informação relacionados que podem prejudicar os ativos de uma organização ou comprometer as suas operações, onde um evento de segurança da informação compreende uma ou várias ocorrências indicando uma possível violação ou falha dos controles de segurança da informação.

As operações de detecção de incidentes requerem que haja um ponto de contato (PoC) para receber informações e uma metodologia estabelecida para a equipe detectar eventos de segurança da informação. A detecção é importante porque inicia as operações de resposta a incidentes. O PoC é o papel ou a função organizacional que serve como o coordenador ou ponto focal das atividades da operação de incidentes.

Um evento de segurança da informação é relatado pelo Usuário/Fonte de alguma maneira, conforme mostrado na ISO/IEC 27035-1:2016, Figura 4. O principal objetivo do PoC é assegurar que um evento seja relatado o mais rápido possível à organização, para que o evento possa ser tratado com eficiência. Um fator crítico de sucesso é que o PoC possui as habilidades necessárias para determinar se um evento é realmente um evento relacionado à TIC e se o PoC é capaz de descrever o evento.

Convém que o evento então seja tratado posteriormente por um PoC e depois transferido para as operações de resposta a incidentes. A organização de um PoC pode ser diferente, dependendo do tamanho e da estrutura da organização, bem como da natureza dos negócios. Isso pode afetar como as operações de incidentes são informadas sobre o evento.

O conteúdo e a estrutura dos avisos de privacidade online

A NBR ISO/IEC 29184 de 06/2021 – Tecnologia da informação – Avisos de privacidade online e consentimento especifica os controles que formatam o conteúdo e a estrutura dos avisos de privacidade online, bem como o processo de solicitação de consentimento para coletar e tratar dados pessoais (DP) de titulares de DP. Este documento é aplicável em qualquer contexto online onde um controlador de DP ou qualquer outra entidade tratando DP informa os titulares de DP sobre o tratamento.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como deve ser feito o fornecimento de informações sobre qual conta o titular de DP está usando?

Qual deve ser o consentimento separado para elementos necessários e opcionais de DP?

Quando a organização deve obter a renovação do consentimento?

Como deve ser feita a identificação de qual conta o titular de DP está usando?

A maior disponibilidade de infraestruturas de comunicação, como conexões de banda larga residenciais e a internet global, o crescimento no uso de smartphones e outros dispositivos (por exemplo, wearables technologies) que coletam detalhes das atividades dos indivíduos e as melhorias na capacidade de tratamento de informações permitiram um alcance muito mais amplo de coleta e análise de informações pessoais. Essas melhorias tecnológicas oferecem uma melhor perspectiva de vida mais conveniente para o consumidor, novas oportunidades de negócios, serviços mais atraentes e mais valor agregado.

Por outro lado, os consumidores estão cada vez mais cientes da privacidade e questionam o impacto da privacidade da coleta e uso de dados pessoais (DP) por serviços online. Essa crítica geralmente é relacionada à falta de uma explicação clara de como seus DP são tratados, armazenados, mantidos e gerenciados.

Este documento especifica controles e informações adicionais associadas para as organizações: fornecerem a base para a apresentação de informações claras e de fácil compreensão para indivíduos cujos DP são coletados, sobre como a organização trata seus DP (por exemplo, ao fornecer serviços a consumidores ou em uma relação de trabalho); e obterem o consentimento dos titulares de DP de maneira justa, demonstrável, transparente, inequívoca e revogável (retirável). O objetivo geral é permitir que os titulares de DP compreendam e ajam de acordo com as implicações dos tratamentos de DP, como a probabilidade e severidade de qualquer potencial impacto que o tratamento possa ter, assim como as consequências diretas e/ou indiretas do tratamento.

As organizações que desejarem demonstrar conformidade com este documento devem registrar para cada controle da Seção 5: se o controle se aplica; quando houver razões que possam justificar a não aplicação do controle, que a justificativa seja documentada e validada; como a implementação do controle é verificada e validada. Providenciar avisos onde for necessário, em uma linguagem apropriada para os titulares de DP, em um momento que permita que os titulares de DP exerçam de forma consciente o consentimento, em locais onde sejam facilmente reconhecidos pelos titulares de DP, e com referências que forneçam acesso a material suplementar, incluindo avisos prévios e suas respostas.

Assim, a organização deve identificar situações em que o fornecimento de aviso seja necessário e deve fornecer aviso aos titulares de DP sempre que necessário. O aviso deve fornecer a todas as partes interessadas, incluindo de fora da organização, as práticas de privacidade da organização, bem como outras informações relevantes, como detalhes de contato, incluindo a identidade e o endereço do controlador de DP, e pontos de contato dos quais titulares de DP possam obter informações adicionais (ver Anexo A).

Exibir um aviso visual é uma forma de fornecer aviso. Para acessibilidade, leitores automatizados de tela para avisos visuais ou avisos diretamente audíveis podem ser apropriados para auxiliar os deficientes visuais. Outras formas de aviso também podem ser apropriadas. Convém que a organização forneça um aviso aos titulares de DP.

O aviso pode ser necessário, entre outras situações, quando a organização planeja coletar novos DP (do titular de DP ou de outra fonte) ou quando planeja usar DP já coletados para novas finalidades. A organização deve fornecer o aviso de uma forma que seja clara e fácil de entender para os titulares de DP visados. O aviso deve ser facilmente legível e em uma linguagem concisa que uma pessoa sem qualquer formação jurídica ou técnica possa razoavelmente compreender.

O aviso deve ser redigido de acordo com as categorias ou tipos particulares de titulares de DP (por exemplo, subgrupos sociais desfavorecidos). A organização deve fornecer a notificação no (s) idioma (s) de acordo com as expectativas de idioma do titular visado. Por exemplo, a organização pode apresentar ao titular de DP uma lista de idiomas suportados exibidos nos respectivos idiomas e permitir que o titular de DP escolha o idioma. Exibir o nome de cada idioma no próprio idioma é importante, pois o titular de DP pode não ser capaz de reconhecê-lo se for apresentado em outro idioma.

Um navegador da web tem uma configuração de preferência para um idioma preferido e pode ser usado para essa finalidade. No entanto, pode não ser uma boa ideia depender exclusivamente da preferência de idioma do navegador, já que o titular de DP pode estar usando um computador compartilhado.

A organização deve determinar e documentar o momento apropriado (por exemplo, imediatamente antes de coletar os DP) para fornecer aviso aos titulares de DP quando a atividade em questão for relevante para os interesses de privacidade dos titulares de DP. Quando uma organização fornece um aviso ao titular de DP e, então, coleta os DP posteriormente, incluindo casos em que os dados são coletados de outra fonte, o momento do aviso e a coleta de DP podem diferir significativamente.

A organização deve avisar onde o uso de DP pode ter efeitos inesperados ou significativos sobre os titulares de DP. Se uma organização pretende coletar DP adicionais, convém que ela forneça um aviso adicional. A organização deve fornecer avisos de maneira apropriada para o produto ou serviço em questão, de forma que os titulares de DP possam encontrar e acessar os avisos eletronicamente e facilmente, inclusive em locais online.

Os locais online apropriados podem incluir, sem se limitar a, links nas páginas iniciais da organização em seus websites ou na página de destino, a página inicial de aplicativos móveis, formulários online ou em portais de captura. Em alguns casos, os DP podem ser tratados sem interação prévia com o titular de DP.

Do ponto de vista dos titulares de DP, seria muito difícil até mesmo descobrir quem está tratando seus dados e, portanto, não ajuda postar o aviso de privacidade apenas no site da organização. É útil ter um lugar onde um titular de DP possa ir e obter os avisos de privacidade destas organizações.

Assim, quando aplicável e viável, convém que a organização considere o uso de um repositório comum acessível ao público, onde as partes interessadas possam facilmente encontrar e acessar os avisos relevantes. A organização deve determinar como o aviso é fornecido e tornado acessível em relação ao momento de tratamento.

A organização pode implementar o controle usando diferentes técnicas: avisos em camadas, painéis, avisos just in time e ícones, e pode fornecer avisos em um formato legível por máquina para quem o software que o está apresentando ao titular de DP possa analisá-lo para otimizar a interface do usuário e ajudar os titulares de DP a tomar decisões. Se a organização implementar o controle usando um aviso em camadas, convém que a primeira camada detalhe algo inesperado ou coisas que possam impactar significativamente um titular de DP, com esse impacto determinado na avaliação descrita na apresentação da descrição da finalidade.

Convém que as outras camadas forneçam avisos de todas as atividades de coleta e/ou tratamento, a fim de fornecer aos titulares de DP informações detalhadas dessas atividades. Convém que as organizações exibam a primeira camada de cada aviso de forma que os titulares de DP possam lê-lo o mais rápido possível. Convém que não abranja mais do que algumas telas.

Devido às restrições de volume, pode não ser possível exibir todo o conteúdo em uma tela. Nesse caso, convém que as organizações exibam o resumo primeiro. No contexto de dispositivos móveis e smartphones, para melhor legibilidade, seria útil introduzir uma abordagem multicamadas para aviso e consentimento, apresentando um texto curto, com informações-chave e com um link para o texto completo do aviso/consentimento.

Quando as organizações exibem elementos de DP a serem coletados, convém que elas os exibam em grupos, com aqueles que têm o maior impacto potencial sobre a privacidade sendo listados primeiro para que os titulares de DP possam reconhecer claramente as diferenças. Convém que as organizações disponibilizem conteúdo, incluindo informações relevantes omitidas da primeira tela ou das telas subsequentes, disponível para referência pelos titulares de DP, se assim o desejarem.

No caso de notificação online, popups e detalhamentos podem ser usados para exibir o conteúdo. Os titulares de DP podem ter dificuldade em ler uma grande quantidade de termos e condições em um contrato, especialmente quando estão prestes a realizar uma determinada ação. Avisos legíveis por máquina podem ser fornecidos em um formato padronizado XML ou JSON.

Ao fazer isso, torna-se possível para os dispositivos selecionar itens apropriadamente e exibir gráficos e ícones quando aplicável. No entanto, as organizações precisam observar que a interpretação da representação gráfica pelo titular de DP pode diferir significativamente, dependendo das origens culturais.

Orientações para a região ou cultura em questão podem ser criadas para evitar que os titulares de DP se confundam. A organização deve incluir no aviso como os DP serão utilizados. Informações adicionais dos DP podem ser usados como estão; usados após algum tratamento (por exemplo, derivação, inferência, desidentificação ou combinação com outros dados); combinados com outros dados (por exemplo, geolocalizados, por meio do uso de cookies, de terceiros); usados por técnicas automatizadas de tomada de decisão (por exemplo, criação de perfil, classificação).

Se algum tratamento (por exemplo, desidentificação, agregação) for aplicado aos DP antes do uso, é desejável indicar quais tipos de transformações estão sendo aplicadas. Se uma organização for transferir DP a um terceiro, o aviso deve incluir, direta ou indiretamente: para quem os DP serão transferidos; a (s) localização (ões) geográfica (s) para onde os DP serão transferidos e quaisquer mudanças na (s) jurisdição (ões) legal (ais) que possam surgir; para que finalidade os DP serão transferidos; os impactos negativos sobre o titular de DP, ou riscos destes impactos causados pela transferência de dados; e a proteção relacionada à transferência (por exemplo, proteção de confidencialidade e integridade).

Embora a organização precise identificar e fornecer notificação de destinatários terceiros individuais, ela pode especificar um grupo de destinatários usando critérios claramente definidos quando apropriado. O consentimento explícito pode ser necessário, entre outras coisas: quando a organização planeja coletar DP sensíveis; quando a organização planeja usar DP sensíveis já coletados para novos fins; se a coleta ou novas finalidades causam ou indicam um impacto negativo particularmente alto no titular de DP ou um risco particularmente alto deste impacto.

A organização pode ser solicitada para obter consentimento em relação à coleta de DP dos titulares de DP pela legislação de proteção/ privacidade de dados relevante. O consentimento pode ser exigido, entre outras coisas, quando a organização planeja coletar novos DP ou quando planeja usar DP já coletados para novos fins.

O consentimento não é a única base legal para o tratamento de DP e, portanto, nem sempre exigido. Em algumas jurisdições, outras bases legais incluem: a necessidade contratual; o cumprimento das obrigações legais; o interesse vital; o interesse público; e os interesses legítimos.

BS 10025: o código de prática para a gestão de registros

A BS 10025:2021 – Management of records – Code of practice oferece orientação prática para ajudar as organizações a gerenciar seus registros.  Abrange tudo o que uma organização produz, recebe e acumula na entrega de suas operações e atividades, que pode chamar de dados, documentos, informações, informações documentadas ou uma combinação de todos esses termos.

Todas as organizações precisam gerenciar registros para apoiar suas necessidades e objetivos de negócios, ajudar a cumprir as obrigações legais e regulamentares e aproveitar o valor das informações produzidas para impulsionar a inovação e a melhoria dos negócios. A norma é nova e fornece orientação prática sobre como fazê-lo, sendo que usa o termo registros para tudo o que uma organização produz, recebe e acumula na entrega de suas operações e atividades – mas recomenda que, como parte de sua política, uma organização defina e descreva o termo que acha que funciona melhor para ele, se diferente.

Ela se aplica a todas as organizações, independentemente de seu tamanho, complexidade ou ambientes operacionais. É relevante para organizações nos setores público, privado e sem fins lucrativos, agências, autoridades, instituições de caridade, empresas, corporações, departamentos governamentais, instituições, parcerias, universidades e comerciantes individuais.

O código se destina a qualquer pessoa responsável pela gestão de registros de uma organização – não apenas a profissionais ou especialistas em gestão de registros e áreas relacionadas. Em particular, o código foi escrito para todos aqueles em uma organização que têm uma função de liderança na gestão de registros, mas podem não estar familiarizados com os princípios e boas práticas.

É também para aqueles que oferecem suporte a áreas específicas da gestão de registros, por exemplo, desenvolvedores de sistemas de TI usados para capturar, processar e armazenar registros. Recomenda-se que uma organização atribua a responsabilidade operacional pela gestão geral de registros a um trabalhador com o conhecimento e as habilidades necessárias e que a política da organização e as regras de negócios relacionadas sejam baseadas em consultas com especialistas e especialistas relevantes.

Este novo código de prática do Reino Unido oferece orientação prática para ajudar as organizações a gerenciar seus registros. Abrange tudo o que uma organização produz, recebe e acumula na entrega de suas operações e atividades, que pode chamar de dados, documentos, informações, informações documentadas ou uma combinação de todos esses termos.

A norma destaca outras normas nacionais, internacionais e outras relevantes com informações adicionais úteis, por exemplo, a BS EN ISO/IEC 27002. Também defende que a gestão de registros seja incorporada aos processos e ferramentas de negócios centrais de uma organização e não seja tratado como uma atividade independente.

Ela poderá ajudar as organizações a alavancar o valor das informações dos registros para apoiar as necessidades e objetivos do negócio e impulsionar a melhoria e inovação; demonstrar às partes interessadas que estão seguindo as boas práticas na gestão de registros – as partes interessadas podem ser cidadãos, contribuintes, clientes, reguladores ou tribunais; a cumprir as obrigações legais e regulamentares: em particular os requisitos de proteção de dados e de liberdade de informação; a implementar a segurança da informação de forma mais eficaz; acelerar a inovação; a desenvolver experiência na gestão de registros; a melhorar a eficiência e a economia de tempo nos processos; e a gerenciar melhor os riscos.

Conteúdo da norma

Prefácio II

Introdução 1

1 Escopo 2

2 Referências normativas 3

3 Termos e definições 3

4 Princípios de boas práticas para a gestão de registros 5

5 Estabelecendo e mantendo uma estrutura de gestão 6

5.1 Produzindo e gerenciando uma política 6

5.2 Implementando arranjos organizacionais 7

6 Identificação, criação e captura de registros para atender aos requisitos de uma organização 9

6.1 Identificação de requisitos para criação e captura 9

6.2 Criação e captura dos registros 10

6.3 Fazendo alterações nos registros 11

7 Organização de registros para recuperação e processamento 12

7.1 Construindo estruturas para recuperação e processamento eficazes 12

7.2 Agrupando registros em unidades gerenciáveis 13

7.3 Acompanhar quais registros são mantidos 14

8 Processamento e armazenamento de registros 15

8.1 Criação e captura de registros 15

8.2 Gerenciamento de armazenamento de registros físicos e infraestrutura de TI contendo registros 15

8.3 Processamento e gestão de registros em sistemas de TI 16

9 Gerenciando a segurança e controlando o acesso 18

9.1 Protegendo registros em todas as mídias e formatos 18

9.2 Protegendo registros em sistemas de TI e infraestrutura de TI 19

10 Gerenciando a retenção e organizando o descarte 19

10.1 Estabelecer e documentar os requisitos de retenção 20

10.2 Organizando o descarte de registros 21

10.3 Destruindo registros e a infraestrutura de TI na qual eles estão armazenados 22

10.4 Transferência de registros para preservação em um arquivo 23

11 Estabelecer e manter acordos com outras organizações 23

11.1 Gerenciamento de registros criados, capturados, processados ou armazenados por outra organização 23

11.2 Gerenciar registros produzidos como parte do trabalho colaborativo 24

12 Monitoramento e relatórios sobre a gestão de registros 25

12.1 Medindo o desempenho 25

12.2 Avaliação e relatórios sobre a eficácia geral 26

Bibliografia 27

As organizações produzem, recebem e acumulam, na entrega de suas operações e atividades, dados, documentos e informações (ou uma combinação destes e de outros termos relacionados), juntamente com e-mails, mensagens de texto e outras comunicações eletrônicas; eles mostram quem fez o quê, quando. Esta norma britânica refere-se a eles coletivamente como registros e estabelece as boas práticas recomendadas para uma organização seguir em sua gestão.

As organizações precisam identificar, criar e capturar registros e tipos de registros específicos para atender aos requisitos legais, regulatórios e de negócios. As organizações precisam saber quais registros possuem e ser capaz de recuperá-los prontamente. Quando recuperados, as organizações precisam de registros de boa qualidade e fontes confiáveis e autorizadas; e ser capaz de extrair valor do conteúdo desses registros, quando apropriado.

Uma organização precisa reter seus registros pelo tempo necessário para cumprir suas obrigações legais e regulamentares e necessidades de negócios; identificar e preservar registros de valor contínuo; e destruir de forma regular, sistêmica e segura outros registros, particularmente registros que consistem em, ou incluindo, informações pessoais ou dados que uma organização pode não ter mais um motivo comercial para reter. Ao mesmo tempo, a destruição, modificação ou movimentação de registros ou conjuntos de registros deve poder ser interrompida quando orientada, por exemplo, pelos tribunais ou reguladores.

Mudanças de tecnologia, sistemas, plataformas e software desafiam a própria ideia do que é um registro. Um registro criado por meio do preenchimento e envio de um formulário eletrônico pode ser dividido e armazenado como elementos de dados, em um, mais ou mais bancos de dados. Pode não existir em uma forma substantiva. Os elementos de dados e como eles se encaixam precisam ser documentados e corrigidos juntos para que uma organização seja capaz de reconstruir o registro, recuperá-lo e processá-lo, retê-lo para atender às obrigações legais e regulamentares e às necessidades de negócios e possivelmente retê-lo permanentemente, se ele tiver continuado a ter valor, ou destruí-lo com segurança.

A gestão eficaz de registros é a chave para uma boa governança corporativa, protegendo os direitos de uma organização, preservando o conhecimento e experiência acumulados de funcionários atuais e antigos, bem como apoiando uma organização no cumprimento de suas obrigações legais e regulamentares e necessidades de negócios do dia a dia. Os princípios e as práticas recomendadas nesta norma britânica são destinados a ajudar uma organização a fornecer gerenciamento eficaz de registros, bem como a alavancar o valor das informações de seus registros e a impulsionar a inovação e a melhoria dos negócios.

As organizações são incentivadas a ver seus registros como principais ativos estratégicos e operacionais, e a alta administração como seu negócio estabelecer e manter a supervisão direta da gestão dos registros da organização. Esta norma apoia e permite o gerenciamento eficaz dos registros de uma organização, ajudando a integrar o gerenciamento aos processos mais amplos da organização e unindo a gama de padrões aplicáveis. Ela oferece suporte a áreas relacionadas, como entrega, a segurança da informação eficaz e a implementação da BS EN ISO/IEC 27002 e, por sua vez, a implementação da BS EN ISO/IEC 27002 e outras normas relacionadas. Existem referências neste documento a normas que fornecem informações adicionais úteis: a BS 10008-1 e BS 10010.

Gerenciando uma auditoria de sistemas de gestão da segurança da informação

A NBR ISO/IEC 27007 de 05/2021 – Segurança da informação, segurança cibernética e proteção da privacidade – Diretrizes para auditoria de sistemas de gestão da segurança da informação fornece orientações sobre como gerenciar um programa de auditoria de sistemas de gestão da segurança da informação (SGSI), como executar as auditorias e a competência dos auditores de SGSI, em complemento às orientações descritas na NBR ISO 19011. Este documento é aplicável a todos que necessitam entender ou realizar auditorias internas ou externas de um SGSI ou ainda gerenciar um programa de auditoria de SGSI.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como analisar criticamente a informação documentada ao conduzir a auditoria?

Como determinar a competência do auditor?

Quais devem ser os objetivos, escopo, critérios e evidências da auditoria?

Quais são os requisitos para informação documentada na NBR ISO/IEC 27001?

A auditoria de um sistema de gestão da segurança da informação (SGSI) pode ser realizada com base em vários critérios de auditoria, separadamente ou combinados, incluindo, mas não limitados a: requisitos definidos na NBR ISO/IEC 27001:2013; políticas e requisitos especificados pelas partes interessadas relevantes; requisitos estatutários e regulamentares; processos e controles de SGSI definidos pela organização ou outras partes; plano (s) do sistema de gestão relacionado(s) ao fornecimento de saídas específicas de um SGSI (por exemplo, planos para abordar riscos e oportunidades ao estabelecer o SGSI, planos para alcançar objetivos de segurança da informação, planos de tratamento de riscos, planos de projetos).

Este documento fornece orientação para todos os tamanhos e tipos de organizações e auditorias de SGSI de escopos e escalas variados, incluindo aquelas conduzidas por grandes equipes de auditoria, geralmente de organizações maiores, e aquelas por auditores únicos, em organizações grandes ou pequenas. Convém que esta orientação seja adaptada conforme apropriado ao escopo, complexidade e escala do programa de auditoria do SGSI.

Este documento se concentra nas auditorias internas do SGSI (primeira parte) e nas auditorias do SGSI conduzidas pelas organizações em seus fornecedores externos e outras partes interessadas externas (segunda parte). Este documento também pode ser útil para auditorias externas do SGSI realizadas para outros fins que não a certificação de sistemas de gestão de terceiros.

A ISO/IEC 27006 fornece requisitos para auditar o SGSI para certificação de terceira parte. Este documento pode fornecer orientações adicionais úteis. Este documento deve ser usado em conjunto com as orientações contidas na NBR ISO 19011:2018. Este documento segue a estrutura da NBR ISO 19011:2018.

A NBR ISO 19011:2018, fornece orientações sobre a gestão de programas de auditoria, a realização de auditorias internas ou externas dos sistemas de gestão, bem como sobre a competência e avaliação dos auditores do sistema de gestão. O Anexo A fornece orientação para as práticas de auditoria do SGSI, juntamente com os requisitos da NBR ISO/IEC 27001:2013, Seções 4 a 10.

Considerações específicas para o SGSI para determinar os objetivos do programa de auditorias podem incluir: os requisitos da segurança da informação identificados; os requisitos da NBR ISO/IEC 27001; o nível de desempenho do auditado, conforme refletido na ocorrência de eventos e incidentes de segurança da informação e medição de eficácia do SGSI. As informações adicionais sobre o monitoramento do desempenho, medições, análises e avaliações podem ser encontradas na NBR ISO/IEC 27004.

Também, devem ser considerados os riscos de segurança da informação para as partes pertinentes, ou seja, auditado e cliente da auditoria. Exemplos de objetivos de programas de auditoria específicos do SGSI incluem o seguinte: a demonstração da conformidade com requisitos contratuais e legais pertinentes e outros requisitos e suas implicações de segurança da informação; a obtenção e manutenção da confiança na capacidade de gestão de riscos do auditado; a avaliação da eficácia das ações para endereçar os riscos e as oportunidades de segurança da informação.

Convém que medições para assegurar a confidencialidade e a segurança das informações sejam determinadas, considerando os auditados e outros requisitos de partes pertinentes. Outros requisitos de partes pertinentes podem incluir requisitos legais e contratuais relevantes.

A extensão do programa de auditoria pode incluir o seguinte: o tamanho do SGSI, incluindo: o número total de pessoas que trabalham sob o controle da organização e a relação com os contratados e as partes pertinentes que são relevantes para o SGSI; o número de sistemas de informação; o número de localidades cobertas pelo SGSI; a complexidade do SGSI (incluindo o número e a criticidade das atividades e processos), considerando diferenças entre localidades dentro do escopo do SGSI; a importância dos riscos de segurança da informação identificados para o SGSI em relação ao negócio; a importância dos riscos e oportunidades determinados no planejamento do SGSI; a importância da preservação da confidencialidade, integridade e disponibilidade da informação dentro do escopo do SGSI; a complexidade dos sistemas de informação a serem auditados, incluindo a complexidade da tecnologia da informação adotada; o número de localidades similares.

Convém que consideração seja dada no programa de auditoria para estabelecer prioridades que garantam um exame mais detalhado com base na importância dos riscos de segurança da informação e nos requisitos do negócio em relação ao escopo do SGSI. As informações adicionais sobre como determinar o tempo de auditoria podem ser encontradas na ISO/IEC 27006.

As informações adicionais sobre a amostragem em múltiplas localidades podem ser encontradas na ISO/IEC 27006 e no documento obrigatório 1 do Fórum de Acreditação Internacional (IAF MD1. As informações contidas na ISO/IEC 27006 e IAF MD1 são referentes apenas a auditorias de certificação.  Convém que os auditores do SGSI dediquem tempo suficiente para analisar criticamente a eficácia das ações de mitigação dos riscos de segurança da informação e das oportunidades e riscos relacionados ao SGSI, em particular, para todos os riscos significantes aplicáveis ao auditado e relevantes para os objetivos do programa de auditoria.

Os objetivos da auditoria podem incluir a avaliação sobre se o SGSI identifica adequadamente e considera os requisitos de segurança da informação; a determinação da extensão da conformidade dos controles de segurança da informação com os requisitos e procedimentos do SGSI. Convém que o escopo da auditoria considere os riscos de segurança da informação bem como os riscos e as oportunidades relevantes que afetam as partes pertinentes do SGSI, como por exemplo, o cliente da auditoria e o auditado.

Os seguintes tópicos podem ser considerados como critérios da auditoria e usados como uma referência, com base na qual a conformidade é determinada: a política de segurança da informação, os objetivos de segurança da informação, as políticas e os procedimentos adotados pelo auditado; os requisitos legais e contratuais e outros requisitos relevantes para o auditado; os critérios dos riscos de segurança da informação do auditado, o processo de avaliação de riscos e o processo de tratamento de riscos; a Declaração de Aplicabilidade, a identificação de qualquer requisito específico do setor ou outros controles necessários, a justificativa para inclusão, se os controles estão ou não implementados e a justificativa para exclusão dos controles da ABNT NBR ISO/IEC 27001:2013, Anexo A.

Deve-se incluir a definição de controles para tratar os riscos de forma apropriada; os métodos e os critérios usados para o monitoramento, a medição, a análise e a avaliação do desempenho da segurança da informação e da eficácia do SGSI; os requisitos de segurança da informação requeridos por um cliente; e os requisitos de segurança da informação aplicáveis por um fornecedor ou terceirizado. Se uma auditoria conjunta for realizada, convém que atenção particular seja dada para a divulgação de informações entre as partes pertinentes.

Convém que acordos sobre este tema sejam firmados com todas as partes interessadas antes do início da auditoria. Convém que a competência global da equipe de auditoria inclua conhecimento adequado e entendimento da gestão de riscos de segurança da informação, suficiente para avaliar os métodos usados pelo auditado; a segurança da informação e da gestão da segurança da informação suficiente para avaliar a seleção dos controles, o planejamento, a implementação, a manutenção, e a eficácia do SGSI.

Quando necessário, convém que seja tomado cuidado para assegurar que os auditores obtenham a habilitação de segurança necessária para acessar informações documentadas ou outras informações necessárias para as atividades de auditoria (incluindo, entre outras, informações confidenciais ou sensíveis). Antes do início da auditoria, convém que o auditado seja questionado se alguma evidência de auditoria do SGSI não está disponível para análise crítica pela equipe de auditoria, por exemplo, porque as evidências contêm dados pessoais ou outras informações confidenciais/sensíveis.

Convém que o responsável pela gestão do programa de auditoria determine se o SGSI pode ser adequadamente auditado na ausência de evidência de auditoria. Se a conclusão for de que não é possível auditar adequadamente o SGSI, sem analisar criticamente as evidências identificadas de auditoria, convém que a pessoa responsável pelo gerenciamento do programa de auditoria aconselhe o auditado de que não é possível que a auditoria ocorra até que acordos de acesso apropriados sejam concedidos ou meios alternativos para realizar a auditoria sejam propostos para ou pelo auditado.

Se a auditoria prosseguir, convém que o plano de auditoria considere as limitações de acesso. Convém que o líder da equipe de auditoria esteja ciente de que riscos para o auditado podem resultar da presença dos membros da equipe de auditoria. A presença da equipe de auditoria pode influenciar a segurança das informações e apresentar uma fonte de risco adicional às informações do auditado, por exemplo, registros confidenciais ou sensíveis ou infraestrutura do sistema (por exemplo, apagamento acidental, divulgação não autorizada de informações, alteração não intencional de informações).

A proteção de dados pessoais (DP) em nuvens públicas

Entenda quais são os objetivos de controle, controles e diretrizes comumente aceitos para implementação de medidas para proteção de dados pessoais (DP), de acordo com os princípios de privacidade descritos na NBR ISO/IEC 29100, para o ambiente de computação em nuvem pública.

A NBR ISO/IEC 27018 de 03/2021 – Tecnologia da informação – Técnicas de segurança – Código de prática para proteção de dados pessoais (DP) em nuvens públicas que atuam como operadores de DP estabelece objetivos de controle, controles e diretrizes comumente aceitos para implementação de medidas para proteção de dados pessoais (DP), de acordo com os princípios de privacidade descritos na NBR ISO/IEC 29100, para o ambiente de computação em nuvem pública. Em particular, este documento especifica diretrizes com base na NBR ISO/IEC 27002, levando em consideração os requisitos regulatórios para a proteção de DP que podem ser aplicáveis dentro do contexto do (s) ambiente (s) de risco de segurança da informação de um provedor de serviços em nuvem pública.

Este documento é aplicável a todos os tipos e tamanhos de organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que fornecem serviços de tratamento de informações, como operadores de DP, por meio da computação em nuvem sob contrato para outras organizações. As diretrizes deste documento também podem ser pertinentes para organizações que atuam como controladores de DP. Os controladores de DP, entretanto, podem estar sujeitos à legislação, regulamentos e obrigações adicionais de proteção de DP, não aplicáveis aos operadores de DP. Este documento não se destina a abranger estas obrigações adicionais.

Acesse algumas indagações relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como deve ser feita a separação dos ambientes de desenvolvimento, teste e operação?

Quais as diretrizes para os registros de eventos na implementação da proteção de DP em nuvem pública?

Quais são as políticas e procedimentos para transferência de informações?

O que deve ser feito para a gestão de incidentes de segurança da informação?

Os provedores de serviços em nuvem que tratam dados pessoais (DP) sob contrato com seus clientes têm que operar seus serviços de forma a permitir que ambas as partes atendam aos requisitos da legislação e aos regulamentos aplicáveis que abrangem a proteção de DP. Os requisitos e a forma como os requisitos são divididos entre o provedor de serviços em nuvem e seus clientes variam de acordo com a jurisdição legal e de acordo com os termos do contrato entre o provedor de serviços em nuvem e o cliente.

A legislação que regula como os DP podem ser tratados (ou seja, coletados, utilizados, transferidos e descartados) é algumas vezes referida como legislação de proteção de dados. Os DP são algumas vezes referidos como dados pessoais ou informações pessoais. As obrigações que incidem sobre um operador de DP variam de jurisdição para jurisdição, sendo um desafio para as empresas que fornecem serviços de computação em nuvem os operarem multinacionalmente.

Um provedor de serviços em nuvem pública é um operador de DP quando ele trata DP de acordo com as instruções de um cliente que utiliza serviços em nuvem. O cliente que utiliza serviços em nuvem, que tem o relacionamento contratual com o operador de DP em nuvem pública, pode variar de uma pessoa física, um titular de DP, tratando sua própria DP na nuvem, até uma organização, um controlador de DP, que trata o DP relativo a muitos titulares de DP.

O cliente que utiliza serviços em nuvem pode autorizar um ou mais usuários para serviço em nuvem associados a ele a utilizar os serviços disponibilizados sob seu contrato com o operador de DP em nuvem pública. Observar que o cliente que utiliza serviços em nuvem tem autoridade sobre o tratamento e uso dos dados.

Um cliente que utiliza serviços em nuvem, que também é um controlador de DP, pode estar sujeito a um conjunto mais amplo de obrigações que regulam a proteção de DP do que o operador de DP em nuvem pública. A manutenção da distinção entre o controlador de DP e o operador de DP depende de o operador de DP em nuvem pública não ter objetivos de tratamento de dados diferentes dos estabelecidos pelo cliente que utiliza serviços em nuvem em relação ao DP que ele trata e às operações necessárias para atingir os objetivos do cliente que utiliza serviços em nuvem.

Quando o operador de DP em nuvem pública estiver tratando de dados da conta do cliente que utiliza serviços em nuvem, ele pode estar atuando como um controlador de DP para esta finalidade. Este documento não abrange esta atividade. A intenção deste documento, quando utilizado em conjunto com os objetivos e controles de segurança da informação descritos na NBR ISO/IEC 27002, é criar um conjunto comum de categorias e controles de segurança que possam ser implementados por um provedor de serviços de computação em nuvem pública que atua como um operador de DP.

Este documento tem os seguintes objetivos: auxiliar o provedor de serviços em nuvem pública a atender às obrigações aplicáveis ao atuar como um operador de DP, se estas obrigações incidirem sobre o operador de DP diretamente ou por contrato; permitir que o operador de DP em nuvem pública seja transparente em assuntos relevantes, de modo que os clientes possam selecionar serviços de tratamento de DP baseados em nuvem bem controlados; auxiliar o cliente que utiliza serviços em nuvem e o operador de DP em nuvem pública a realizarem um acordo contratual; prover aos clientes que utilizam serviços em nuvem um mecanismo para o exercício de direitos e responsabilidades de auditoria e conformidade, nos casos em que auditorias individuais do cliente que utiliza serviços em nuvem de dados hospedados em um ambiente de servidor virtualizado (nuvem) com várias partes possam ser impraticáveis tecnicamente e possam aumentar os riscos a estes controles de segurança de rede física e lógica no local.

Este documento pode auxiliar ao prover uma estrutura de conformidade comum para os provedores de serviços em nuvem pública, especialmente aqueles que operam em um mercado multinacional. Ele é projetado para que as organizações o utilizem como uma referência para selecionar controles de proteção de DP dentro do processo de implementação de um sistema de gestão de segurança da informação de computação em nuvem, com base na NBR ISO/IEC 27001, ou como documento de orientação para implementação de controles de proteção de DP comumente aceitos por organizações que atuam como operadores de DP em nuvem pública.

Em particular, este documento foi baseado na NBR ISO/IEC 27002, levando em consideração o (s) ambiente (s) de risco específico (s) decorrente (s) dos requisitos de proteção de DP que podem ser aplicados aos provedores de serviços de computação em nuvem pública que atuam como operadores de DP. Normalmente, uma organização que implementa a NBR ISO/IEC 27001 está protegendo seus próprios ativos de informação.

Entretanto, no contexto dos requisitos de proteção de DP para um provedor de serviços em nuvem pública que atua como um operador de DP, a organização está protegendo os ativos de informação que são confiados a ela pelos seus clientes. A implementação dos controles da NBR ISO/IEC 27002 pelo operador de DP em nuvem pública é adequada para esta finalidade e necessária.

Este documento incrementa os controles da NBR ISO/IEC 27002 para acomodar a natureza distribuída do risco e a existência de uma relação contratual entre o cliente que utiliza serviços em nuvem e o operador de DP em nuvem pública. Este documento incrementa os controles da NBR ISO/IEC 27002 de duas maneiras: as diretrizes para implementação aplicáveis à proteção de DP em nuvem pública são providas para determinados controles existentes na NBR ISO/IEC 27002; e o Anexo A que fornece um conjunto de controles adicionais e diretrizes associadas, destinados a tratar dos requisitos de proteção de DP em nuvem pública não abordados pelo conjunto de controle existente na NBR ISO/IEC 27002.

A maioria dos controles e diretrizes deste documento também se aplicará a um controlador de DP. Entretanto, o controlador de DP, na maioria dos casos, estará sujeito às obrigações adicionais não especificadas neste documento. É essencial que uma organização identifique seus requisitos para a proteção de DP.

Existem três fontes principais de requisitos, conforme descrito a seguir. Os requisitos legais, estatutários, regulatórios e contratuais, em que uma fonte é representada pelos requisitos e obrigações legais, estatutários, regulatórios e contratuais que uma organização, seus parceiros comerciais, contratados e provedores de serviços têm que atender, e suas responsabilidades socioculturais e seu ambiente operacional.

Convém observar se a legislação, regulamentos e cláusulas contratuais realizados pelo operador de DP podem requerer a seleção de controles específicos e também podem necessitar de critérios específicos para a implementação destes controles. Estes requisitos podem variar de uma jurisdição para outra.

Os riscos que são outras fontes derivadas da avaliação de riscos à organização associados aos DP, levando em consideração a estratégia e os objetivos globais de negócio da organização. Por meio de uma avaliação de riscos, as ameaças são identificadas, a vulnerabilidade e a probabilidade de ocorrência são avaliadas e o impacto potencial é estimado.

A NBR ISO/IEC 27005 fornece as diretrizes sobre a gestão de riscos na segurança da informação, incluindo recomendações sobre a avaliação do risco, aceitação do risco, comunicação do risco, monitoramento do risco e análise crítica do risco. A NBR ISO/IEC 29134 fornece diretrizes sobre a avaliação do impacto de privacidade.

Quanto às políticas corporativas, enquanto muitos aspectos abrangidos por uma política corporativa são derivados de obrigações legais e socioculturais, uma organização também pode escolher, voluntariamente, ir além dos critérios que são derivados dos requisitos legais. Os controles podem ser selecionados deste documento (que inclui, por referência, os controles da NBR ISO/IEC 27002, criando um conjunto combinado de controle de referência para o setor ou aplicação especificado pelo escopo).

Se requerido, os controles também podem ser selecionados de outros conjuntos de controle, ou novos controles podem ser projetados para atender a necessidades específicas, conforme apropriado. Um serviço de tratamento de DP fornecido por um operador de DP em nuvem pública pode ser considerado uma aplicação de computação em nuvem em vez de um setor por si só. Entretanto, o termo específicos do setor é utilizado neste documento, uma vez que este é o termo convencional utilizado em outras normas da série ISO/IEC 27000.

A seleção de controles depende de decisões organizacionais com base nos critérios para aceitação do risco, nas opções para tratamento do risco e na abordagem geral da gestão de riscos aplicada à organização, e de acordos contratuais, de seus clientes e de seus fornecedores. A seleção de controles também está sujeita aos regulamentos e legislações nacionais e internacionais pertinentes.

Quando os controles neste documento não forem selecionados, é necessário que esta informação seja documentada, com justificativa pela omissão. Além disso, a seleção e a implementação de controles dependem da função real do provedor de nuvem pública no contexto de toda a arquitetura de referência de computação em nuvem (ver ISO/IEC 17789). Muitas organizações diferentes podem ser envolvidas no fornecimento de serviços de infraestrutura e de aplicação em um ambiente de computação em nuvem.

Em algumas circunstâncias, os controles selecionados podem ser exclusivos para uma categoria de serviço específica da arquitetura de referência de computação em nuvem. Em outros casos, pode haver funções compartilhadas na implementação de controles de segurança. Os acordos contratuais precisam especificar claramente as responsabilidades de proteção de DP de todas as organizações envolvidas em prover ou utilizar os serviços em nuvem, incluindo o operador de DP em nuvem pública, seus subcontratados e o cliente que utiliza serviços em nuvem.

Os controles neste documento podem ser considerados princípios de diretrizes e aplicáveis à maioria das organizações. Eles são explicados com mais detalhes a seguir, juntamente com as diretrizes para implementação. A implementação pode ser simplificada se os requisitos para a proteção de DP tiverem sido considerados no projeto do sistema de informações, serviços e operações do operador de DP em nuvem pública. Esta consideração é um elemento do conceito que é muitas vezes denominado Privacidade por Projeto.

Este documento pode ser considerado um ponto de partida para o desenvolvimento de diretrizes de proteção de DP. É possível que nem todos os controles e diretrizes contidos neste código de prática sejam aplicáveis. Além disso, controles e diretrizes adicionais não incluídos neste documento podem ser requeridos.

Quando documentos forem desenvolvidos contendo diretrizes ou controles adicionais, pode ser útil incluir referências cruzadas às Seções deste documento, quando aplicável, para facilitar a verificação da conformidade por auditores e parceiros de negócio. Os DP têm um ciclo de vida natural, desde a sua criação e origem, armazenamento, tratamento, uso e transmissão, até a sua eventual destruição ou obsolescência.

Os riscos aos DP podem variar durante o seu tempo de vida, porém a proteção de DP permanece importante em algumas etapas de todos os estágios. Os requisitos de proteção de DP precisam ser levados em consideração quando os sistemas de informações existentes e novos forem gerenciados por meio do seu ciclo de vida. Este documento possui uma estrutura similar à da NBR ISO/IEC 27002.

Nos casos em que os objetivos e controles especificados na NBR ISO/IEC 27002 são aplicáveis sem a necessidade de quaisquer informações adicionais, somente uma referência à NBR ISO/IEC 27002 é fornecida. Controles adicionais e diretrizes para implementação associadas, aplicáveis à proteção de DP para provedores de serviços de computação em nuvem, são descritos no Anexo A.

Nos casos em que os controles necessitam de orientações adicionais aplicáveis à proteção de DP para provedores de serviços de computação em nuvem, isto é provido sob o título Orientações para implementação da proteção de DP em nuvem pública. Em alguns casos, outras informações relevantes que incrementem as orientações adicionais são fornecidas, sob o título outras informações para proteção de DP em nuvem pública.

Conforme mostrado na tabela abaixo, estas orientações e informações específicas do setor estão incluídas nas categorias especificadas na NBR ISO/IEC 27002. Os números das Seções, que foram alinhados com os números das Seções correspondentes na NBR ISO/IEC 27002, estão indicados na tabela abaixo. Este documento deve ser utilizado em conjunto com a NBR ISO/IEC 27001, e os controles adicionais especificados no Anexo A devem ser considerados para adoção como parte do processo de implementação de um sistema de gestão de segurança da informação baseado na NBR ISO/IEC 27001.

De acordo com a NBR ISO/IEC 27002, cada categoria de controle principal contém: um objetivo do controle, declarando o que é para ser alcançado; e um ou mais controles que podem ser aplicados para alcançar o objetivo do controle. As descrições do controle estão estruturadas conforme o descrito a seguir.

O controle estabelece a declaração de controle específica para atender ao objetivo do controle. As diretrizes para implementação da proteção de DP em nuvem pública proveem informações mais detalhadas para apoiar a implementação do controle e atender aos objetivos do controle. As diretrizes podem não ser totalmente adequadas ou suficientes em todas as situações e podem não atender aos requisitos específicos de controle da organização. Os controles alternativos ou adicionais, ou outras formas de tratamento de risco (evitando, transferindo ou aceitando riscos) podem, portanto, ser apropriados.

Outras informações para proteção de DP em nuvem pública proveem informações adicionais que podem ser consideradas, como considerações legais e referências a outras normas. O controle e as diretrizes para implementação associadas e outras informações especificadas na NBR ISO/IEC 27002 são aplicáveis. As seguintes diretrizes específicas do setor também são aplicáveis.

Para as diretrizes para implementação da proteção de DP em nuvem pública, convém que as políticas de segurança da informação sejam incrementadas por uma declaração referente ao suporte e comprometimento em atingir o compliance com a legislação e os termos contratuais de proteção de DP aplicáveis acordados entre o operador de DP em nuvem pública e seus clientes (clientes que utilizam serviços em nuvem).

Convém que os acordos contratuais atribuam claramente as responsabilidades entre o operador de DP em nuvem pública, seus subcontratados e o cliente que utiliza serviços em nuvem, levando em consideração o tipo de serviço em nuvem em questão (por exemplo, um serviço de uma categoria IaaS, PaaS ou SaaS da arquitetura de referência de computação em nuvem).

Por exemplo, a atribuição de responsabilidade pelos controles da camada de aplicação pode diferir, dependendo se o operador de DP em nuvem pública está fornecendo um serviço de SaaS ou, em vez disso, está fornecendo um serviço de PaaS ou IaaS sobre o qual o cliente que utiliza serviços em nuvem pode construir ou estender em camadas suas próprias aplicações. Em algumas jurisdições, o operador de DP em nuvem pública está diretamente sujeito à legislação de proteção de DP.

Em outros locais, a legislação de proteção de DP é aplicável somente ao controlador de DP. Um mecanismo para assegurar que o operador de DP em nuvem pública está obrigado a apoiar e gerenciar o compliance é provido pelo contrato entre o cliente que utiliza serviços em nuvem e o operador de DP em nuvem pública.

O contrato pode requerer conformidade com auditoria independente, aceitável ao cliente que utiliza serviços em nuvem, por exemplo, por meio da implementação dos controles pertinentes neste documento e na NBR ISO/IEC 27002. Para as diretrizes para implementação da proteção de DP em nuvem pública, convém que medidas sejam implementadas para conscientizar os funcionários da organização, quando pertinente, sobre as possíveis consequências ao operador de DP em nuvem pública (por exemplo, consequências legais, perda de negócio e danos à marca ou de reputação), ao membro da equipe (por exemplo, consequências disciplinares) e ao titular de DP (por exemplo, consequências físicas, materiais e emocionais) na violação das regras e procedimentos de privacidade ou de segurança, especialmente aqueles que tratam da manipulação de DP.

Para as outras informações para proteção de DP em nuvem pública, em algumas jurisdições, o operador de DP em nuvem pública pode estar sujeito a sanções legais, incluindo multas substanciais diretamente da autoridade local de proteção de DP. Em outras jurisdições, convém que o uso de normas como este documento, na preparação do contrato entre o operador de DP em nuvem pública e o cliente que utiliza serviços em nuvem, auxilie a estabelecer uma base para sanções contratuais por violação de regras e procedimentos de segurança.

No contexto das categorias de serviço da arquitetura de referência de computação em nuvem, o cliente que utiliza serviços em nuvem pode ser responsável por alguns ou todos os aspectos do gerenciamento de acesso para usuários que utilizam serviços em nuvem sob seu controle. Quando apropriado, convém que o operador de DP em nuvem pública permita que o cliente que utiliza serviços em nuvem gerencie o acesso dos usuários sob seu controle, por exemplo, fornecendo direitos administrativos para gerenciar ou encerrar o acesso.

Convém que os procedimentos para registro e cancelamento do usuário tratem a situação quando o controle de acesso do usuário estiver comprometido, como a corrupção ou o comprometimento de senhas ou outros dados de registro do usuário (por exemplo, como resultado de uma divulgação involuntária). As jurisdições individuais podem impor requisitos específicos relativos à frequência de verificações para credenciais de autenticação não utilizadas.

Convém que as organizações que operam nessas jurisdições assegurem que elas atendam a estes requisitos. Convém que o operador de DP em nuvem pública forneça informações ao cliente que utiliza serviços em nuvem referentes às circunstâncias em que ele utiliza a criptografia para proteger os DP que ele trata.

Convém que o operador de DP em nuvem pública também forneça informações ao cliente que utiliza serviços em nuvem sobre quaisquer capacidades que ele fornece que possam auxiliar o cliente que utiliza serviços em nuvem a aplicar sua própria proteção criptográfica. Em algumas jurisdições, pode ser requerido aplicar a criptografia para proteger tipos específicos de DP, como dados de saúde relativos a um titular de DP, números de registro de residentes, números de passaporte e números de licença de motorista.

IEC 60794-1-2: os procedimentos para o ensaio de cabo ótico

Essa norma, publicada pela International Electrotechnical Commission (IEC) em 2021, aplica-se a cabos de fibra óptica para uso com equipamentos e dispositivos de telecomunicações que empregam técnicas semelhantes e a cabos que possuem uma combinação de fibras ópticas e condutores elétricos. Um objetivo deste documento é definir os requisitos gerais e orientação de metodologia aplicável a todos os métodos de ensaio de cabo da IEC 60794-1 (todas as partes).

A IEC 60794-1-2:2021 – Optical fibre cables – Part 1-2: Generic specification – Basic optical cable test procedures – General guidance aplica-se a cabos de fibra óptica para uso com equipamentos e dispositivos de telecomunicações que empregam técnicas semelhantes e a cabos que possuem uma combinação de fibras ópticas e condutores elétricos. Um objetivo deste documento é definir os requisitos gerais e orientação de metodologia aplicável a todos os métodos de ensaio de cabo da IEC 60794-1 (todas as partes).

Um segundo objetivo deste documento é fornecer ao usuário final uma visão geral dos diferentes métodos de ensaio contidos nas diferentes partes da série IEC 60794-1, numerada -Xnn. A tabela abaixo mostra as diferentes partes.

Esta quinta edição cancela e substitui a quarta edição publicada em 2017. Esta edição constitui uma revisão técnica. Esta edição inclui a seguinte mudança técnica significativa em relação à edição anterior: a adição de tabelas de referência cruzada listando os novos números de método de ensaio e os números de método de ensaio anteriores.

Conteúdo da norma

PREFÁCIO…………………. 3

INTRODUÇÃO……………… 5

1 Escopo……………………. 6

2 Referências normativas……. ….. 7

3 Termos e definições…….. …… 7

4 Orientação geral……… ……….. 7

4.1 Formato do procedimento de ensaio………………. 7

4.2 Condições atmosféricas padrão ………………….. 7

4.3 Símbolos e termos abreviados ……………………….. 8

4.4 Aspectos ambientais e de segurança…………………. 8

4.5 Calibração…………….. ………………… 8

4.5.1 Processo de calibração………….. 8

4.5.2 Avaliação de incertezas………………………. 8

4.6 Pré-condicionamento………………………… …… 9

4.7 Guia para amostragem de qualificação……………….. 9

4.8 Condições óticas de lançamento………………………. 9

4.9 Comprimentos de onda de ensaio óptico padrão………………. 9

Anexo A (informativo) Referências cruzadas entre os números dos métodos de ensaio novos e antigos ……….. 10

Bibliografia………………….. 16

Tabela 1 – Visão geral do documento ………………. … 6

Tabela 2 – Comprimentos de onda de ensaio óptico padrão……………… 9

Tabela 3 – Comprimentos de onda de ensaio óptico alternativo……………………… 9

Tabela A.1 – Série IEC 60794-1-1xx ………………….. 10

Tabela A.2 – Série IEC 60794-1-2xx…………………….. 11

Tabela A.3 – Série IEC 60794-1-3xx……………………… 12

Tabela A.4 – Série IEC 60794-1-4xx……………………. 12

Tabela A.5 – Números de método IEC 60794-1-21……….. 12

Tabela A.6 – Números do método IEC 60794-1-22…………. 14

Tabela A.7 – Números do método IEC 60794-1-23………….. 14

Tabela A.8 – Números de método IEC 60794-1-24………… 15

Esses documentos definem os procedimentos de teste a serem usados no estabelecimento de requisitos uniformes para as propriedades geométricas, de transmissão, de material, mecânicas, de envelhecimento (exposição ambiental) e climáticas de cabos de fibra óptica, e requisitos elétricos quando apropriado. Ao longo dos documentos, o termo cabo óptico também pode incluir unidades de fibra óptica, unidades de fibra de microduto, etc. O objetivo secundário deste documento é fornecer ao usuário final uma orientação útil ao testar cabos de fibra óptica.

REVISTA DIGITAL ADNORMAS – Edição 149 | Ano 3 | 11 DE MARÇO 2021

Acesse a versão online: https://revistaadnormas.com.br
 
 
Edição 149 | Ano 3 | 11 DE MARÇO 2021
ISSN: 2595-3362
Confira os 12 artigos desta edição: