2 RequisitosdoProcessodeAuditoriaNBRISOIEC27006

Prévia do material em texto

Requisitos do Processo de 
Auditoria NBR ISO IEC 27006
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
SST
Laurentino, Ana Claudia de Moura
Requisitos do Processo de Auditoria NBR ISO IEC 
27006 / Ana Claudia de Moura Laurentino 
Ano: 2020
nº de p. : 13
Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados.
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
Requisitos do Processo de 
Auditoria NBR ISO IEC 27006
3
Apresentação
Neste momento, compreenderemos sobre a aquisição, desenvolvimento, 
manutenção e a gestão de incidentes da segurança da informação de acordo com a 
NBR ISO IEC 27006. Em um segundo momento, veremos os Requisitos do Processo 
de Auditoria NBR ISO/IEC 27006. Por fim, estudaremos a família 27000.
Aquisição, desenvolvimento, 
manutenção de sistemas, gestão 
de incidentes de segurança da 
informação
Segundo a ISO 27002:2005, todos os recursos e procedimentos de segurança devem 
ser especificados antes de sua aquisição. Essa definição facilita o processo de 
implantação e manutenção das medidas de segurança.
No mundo dos negócios, os dados têm grande valor e devem ser 
tratados com o devido cuidado. A falta de segurança da informação 
pode gerar prejuízos capazes de levar uma empresa à falência.
Reflita
As formas de execução e o controle dos processos de aquisição, desenvolvimento 
e manutenção da estrutura dos sistemas devem se integrar com a manutenção da 
segurança dos sistemas.
A seção 12 da ISO 27002 apresenta as definições a respeito da aquisição, do 
desenvolvimento e da manutenção dos sistemas de informação (NBR ISO 27002, 2013).
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
4
Gestão de Incidentes de Segurança da 
Informação
Entende-se por incidente de segurança eventos adversos que aconteceram ou 
acredita-se que tenham acontecido, que guardem relação com os sistemas de 
informação ou redes de computadores.
Na seção 13 da ISO27002 são apresentadas diretrizes que visam assegurar que 
os incidentes associados aos sistemas de informação e redes de computadores 
sejam identificados e comunicados em tempo hábil, para a tomada de decisão e 
proposição de solução (NBR ISO 27002, 2013).
O processo de gestão dos incidentes de segurança da informação apresenta alguns 
aspectos que devem ser verificados, tais como:
• As responsabilidades e os procedimentos deverão ser projetados de modo 
que assegurem respostas rápidas e efetivas para a minimização e/ou solução 
de falhas da segurança.
• Os incidentes devem ser classificados e quantificados para monitoramento e 
controle, fazendo com que a empresa detenha informações que possibilitem 
aprender a respeito e evitar alguns tipos de erros.
• As evidências de incidentes e falhas da segurança devem ser coletadas e ar-
mazenadas para que possam ser utilizadas em eventos jurídicos.
A gestão de incidentes da segurança é executada em etapas, que podem ser as 
seguintes:
• detecção e reporte dos incidentes;
• avaliação dos incidentes para classificação e definição de prioridade;
• realização de análise do incidente, identificando os motivos que permitiram a 
sua ocorrência e como resolvê-lo;
• oferecimento de resposta, solução para o incidente.
• Gestão da continuidade do negócio
A gestão da continuidade de negócios é tratada na seção 14 da ISO 27002 (NBR 
ISO 27002, 2013). Esse tópico é responsável por estabelecer medidas que garantam 
que processos críticos tenham seu funcionamento mantido, em caso de desastres 
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
5
– eventos repentinos de grande escala, que afetam o funcionamento normal da 
organização.
É função da gestão da continuidade de negócios elaborar o Plano de Continuidade 
de Negócios (PCN). No PCN são detalhadas as medidas que serão tomadas em 
caso de desastre, para garantir o funcionamento dos processos críticos.
A definição de medidas a serem tomadas deverá levar em consideração o tempo 
máximo de parada (TMP) de cada um dos processos críticos, para que possam ser 
definidas as medidas de continuidade adequadas para cada um.
• Conformidade
A gestão da conformidade é tratada na seção 15, garantindo que as decisões e os 
procedimentos definidos pela empresa estejam em conformidade com a legislação e 
as regulamentações vigentes. 
Gestão da Conformidade.
Fonte: Plataforma Deduca (2020). 
A empresa deve identificar alguns elementos que precisam ser respeitados pela 
gestão da conformidade, que são:
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
6
Legislação
Devem ser identificadas as legislações que devem ser respeitadas pela empresa;
Regulamentos
Identificar normas e regulamentações específicas que precisam 
existir na empresa;
Contrato e acordo com parceiros
Devem ser identificados os acordos com empresas parceiras;
Código de ética
Definirá diretrizes e procedimentos que deverão ser seguidos por todos os 
membros da organização;
Comunicação
Todos os membros da organização deverão ser comunicados dos objetivos e 
das diretrizes estabelecidos pela gestão de conformidade.
Requisitos do processo de auditoria 
NBR ISO/IEC 27006
A NBR ISO/IEC 27006 foi publicada pela primeira vez em 2007 e foi a segunda ISO 
estabelecida da família 27000. Em 2011, foi publicada uma atualização da norma. 
A terceira e atual edição foi publicada em 2015, dando origem ao padrão ISO/IEC 
27006:2015.
A ISO/IEC 27006:2015 é intitulada de “Tecnologia da Informação – segurança e 
requisitos para organismos que fornecem auditoria e certificação de sistemas de 
gerenciamento de segurança da informação”. 
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
7
Todos os processos e procedimentos de auditoria para a ISO/IEC 27006 são 
definidos com base na ISO/IEC 17021-1, a norma responsável por definir padrões 
para realização de processos de auditoria. Portanto, a ISO/IEC 27006 acrescenta 
definições específicas para um processo de auditoria de um sistema de gestão da 
segurança da informação.
Auditoria de Sistema de Gestão de Segurança da Informação.
Fonte: Plataforma Deduca (2020).
O título por si só torna evidente que essa ISO estabelece diretrizes para os órgãos 
que desejam trabalhar como certificadores de sistemas de gestão de segurança da 
informação de empresas, ou seja, que desejam trabalhar como certificadores da 
ISO/IEC 27001.
A ISO/IEC 27006 orienta os organismos de certificação sobre os procedimentos 
que devem ser seguidos nas auditorias dos sistemas de gerenciamento de 
segurança da informação.
O uso dos processos estabelecidos na ISO/IEC 27006 garante que os certificados 
emitidos por essas organizações para outras empresas da ISO/IEC 27001 sejam válidos.
No escopo da ISO/IEC 27006, constam requisitos e orientações para realização 
da auditoria e certificação de um sistema de gerenciamento de segurança da 
informação, e os requisitos contidos na ISO/IEC 17021 e ISO/IEC 27001.
Todas as organizações que desejarem fornecer a certificação de conformidade da 
ISO/IEC 27001 deverão, elas próprias, estar de acordo com as diretrizes da ISO/IEC 
27006, ISO/IEC 17021-1 e ISO 19011.
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
8
É necessário que a empresa certificadora siga as diretrizes do certificado que 
emitem. Se não fosse obrigatória, a emissão dos certificados cairia em descrédito.
São algumas das principais seções que compõem a ISO/IEC 27006: Definições; 
Princípios; Requisitos Gerais, Estruturais, de Recursos; de Informações; de 
Processos; Sistemas de Gestão para Organismos de Certificação; Anexo A: Análise 
de complexidade da empresa requerente; Anexo B: Competências do auditor; Anexo 
C: Prazo da auditoria.
A partir de agora, veremos os principais aspectos de algumas das seções.
• Definições: nessa seção constam as definições de um processo de auditoria 
segundo a ISO/IEC 17021-1, que propõe requisitos para realização de um pro-
cesso de auditoria imparcial. Também, os requisitos de um sistema de gestãoda segurança da informação contidos na ISO/IEC 27000.
Além disso, consta nessa seção a definição dos documentos pelos quais o 
sistema de gestão da segurança da informação do solicitante mostra que está em 
conformidade com os requisitos necessários.
• Princípios: essa seção trata dos princípios definidos na ISO/IEC 17021-1 que 
devem ser utilizados ao longo do processo de auditoria para certificação do 
sistema da segurança da informação.
• Requisitos Gerais: trata de requisitos legais para realização da auditoria, 
como aspectos contratuais, da gestão da imparcialidade e dos conflitos de 
interesse. Para imparcialidade do processo, é definido como requisito geral 
que o corpo de auditoria para certificação trabalhe de forma independente do 
corpo de auditoria interna do sistema de gestão da segurança da informação. 
O objetivo dessa definição é garantir que não existam conflitos de interesse 
ao longo do processo de auditoria.
• Requisitos Estruturais: trazem os requisitos para realização de uma auditoria 
conforme a ISO 17021-1.
• Requisitos de Recursos: define alguns requisitos gerais e de competências 
que o corpo da auditoria deve possuir para desempenhar as suas funções 
adequadamente. Consta nessa seção que os auditores devem ter conheci-
mento da tecnologia, regulamentação e leis aplicáveis ao sistema de gestão 
da segurança da informação que certificarão. O corpo de auditoria deve definir 
as competências necessárias a cada um dos processos da auditoria.
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
9
A recomendação é que a ISO/IEC 27002 seja aplicada em conjunto 
com a ISO/IEC 27001. A primeira fornece um guia de boas práticas 
com parâmetros para controle e atendimento dos requisitos de um 
sistema de gestão da segurança da informação. A segunda oferece 
os requisitos básicos de um sistema de gestão da segurança da 
informação.
Reflita
Família de ISO 27000
Vamos conhecer agora as normas ISO/IEC, que fazem parte da família ISO 27000. 
A seguir, observe que alguns números são saltados, porque algumas normas ainda 
não estão divulgadas ou porque não são referentes ao tema de segurança da 
informação.
Normas da Família ISO 27000 Relativas à Segurança da Informação.
ISO Descrição
ISO/IEC 27000
Traz uma abordagem geral sobre o que trata a Família de ISO 27000. Conta 
com um glossário de termos importantes para compreensão dela e das 
demais ISO da família. 
ISO/IEC 27001 Estão definidos os requisitos básicos para implantação e manutenção de um sistema de gestão de segurança da informação.
ISO/IEC 27002
Traz um conjunto de boas práticas que devem ser adotadas no uso de 
sistemas de gestão da segurança da informação. O recomendado é que 
seja utilizada com a ISO/IEC 27001, ou apenas como um guia de boas 
práticas para empresas.
ISO/IEC 27003
Apresenta diretrizes para implantação de um sistema de gestão de 
segurança da informação. O seu uso é complementar à ISO/IEC 27001, que 
traz os requisitos necessários para um sistema de gestão de segurança da 
informação e como implantá-lo.
ISO/IEC 27004 Traz métricas para avaliação dos níveis de serviços prestados pelo sistema de gestão de segurança da informação.
ISO/IEC 27005 Trata de toda a gestão de riscos de segurança da informação, complementa o tema que é abordado também na ISO/IEC 27001.
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
10
ISO/IEC 27006
Define requisitos para organizações que desejam trabalhar como 
certificadores da ISO/IEC 27002, ou seja, os requisitos que a empresa deve 
atender quando auditar seus clientes.
ISO/IEC 27007
Diferentemente da ISO/IEC 27006, que traz os requisitos, a ISO/IEC 27007 
descreve as diretrizes para realização da auditoria, que é o passo a passo 
que deve ser executado.
ISO/IEC 27008
Concentra-se nas diretrizes para validação dos controles de um sistema de 
gestão da segurança da informação, enquanto a ISO/IEC 27002 concentra-
se nos requisitos.
ISO/IEC 27009 Norma que traz diretrizes que apoiam indústrias a seguirem a norma ISO/IEC 27000.
ISO/IEC 27010 Trata-se de uma espécie de guia para comunicação na gestão da segurança da informação com organizações externas.
ISO/IEC 27011 Traz diretrizes de segurança da informação que devem ser aplicadas por empresas que ofertam serviços na área de telecomunicação.
ISO/IEC 27012 Foi proposta para estabelecer normas de segurança da informação em órgãos públicos, mas foi cancelada.
ISO/IEC 27013 Guia para empresas que desejam implementar as normas ISO/IEC 27000 e ISO/IEC 27001 de forma integrada.
ISO/IEC 27014 Estabelece técnicas para governança da segurança da informação.
ISO/IEC 27015 Aborda diretrizes para segurança da informação em empresas que prestam serviços na área de recursos financeiros.
ISO/IEC 27016 Aborda diretrizes para segurança da informação em empresas que prestam serviços na área de economia.
ISO/IEC 27017 Define diretrizes para controle da segurança das informações em empresas que prestam serviços de cloud computing.
ISO/IEC 27018 Complementa a norma ISO/IEC 27017, oferecendo especificações para controle da privacidade em serviços de cloud computing.
ISO/IEC 27019 Aborda diretrizes para segurança da informação em empresas que prestam serviços na área de produção de energia.
ISO/IEC 27031 Define conceitos relativos à importância da segurança da informação para a continuidade dos negócios.
ISO/IEC 27032 Aborda a segurança das informações na internet.
ISO/IEC 27033-1 Traz uma introdução geral aos conceitos de segurança em redes.
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
11
ISO/IEC 27033-2 É um guia para planejamento e implantação de estrutura de segurança de redes.
ISO/IEC 27033-3 Projetada para auxiliar as empresas na definição dos riscos e das técnicas para projeção e controle da segurança de redes.
ISO/IEC 27033-4 Trata-se de requisitos para identificação e análise de ameaças, relacionadas à gateway, para a segurança da informação.
ISO/IEC 27033-5 Diretrizes sobre o uso da ferramenta VPN para a segurança das redes.
ISO/IEC 27033-6 Define técnicas e riscos a respeito do uso de redes de comunicação sem fio.
ISO/IEC 27034-1 Aborda conceitos de segurança da informação no uso de aplicações.
ISO/IEC 27034-2 Trata do estabelecimento de normas para gestão do uso de aplicações.
ISO/IEC 27034-3 Oferece um guia para a gestão de segurança em aplicações.
ISO/IEC 27034-4 Trata-se de um documento para orientação da validação dos requisitos de segurança da informação no uso de aplicações.
ISO/IEC 27034-5 Estabelece protocolos e estruturas para controle da segurança da informação no uso de aplicativos.
ISO/IEC 27034-6 Oferta um guia de segurança da informação para aplicações de tipos específicos.
ISO/IEC 27035 Apresenta um guia para gestão de incidentes de segurança da informação.
ISO/IEC 27036 Trata de riscos e avaliação da segurança da informação em relação aos fornecedores.
ISO/IEC 27037 Guia com orientações para captação e preservação de evidências digitais. 
ISO/IEC 27038 Aborda requisitos e orientações para a redação de materiais digitais.
ISO/IEC 27039 Guia para estabelecimento de um sistema de detecção de intrusos.
ISO/IEC 27040 Definições para segurança em sistemas e serviços de armazenamento.
ISO/IEC 27041 Trata-se de regulamentação para métodos de investigação em informações digitais.
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
12
ISO/IEC 27042 Define diretrizes para análise e interpretação de evidências forenses digitais.
ISO/IEC 27043 É responsável por definir formas e procedimentos para investigação de incidentes de segurança da informação.
ISO/IEC 27044 Traz diretrizes para tratamento de eventos de segurança da informação.
ISO/IEC 27799 Estabelece critérios para gestão da segurança da informação em estabelecimentos pertencentes à área da saúde.
Fonte: Elaborado pelo autor (2020).
Fechamento
Estudamos sobre as ISO/IEC 27002 e ISO/IEC 27006 e pudemos compreender que 
existe uma relação entre as duas. Conhecemos a famíliadas ISO/IEC 27000 e a 
importância das normas para criação de um sistema eficaz de gestão de segurança 
da informação.
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
13
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR Isso/IEC 
27002:2005. São Paulo, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO 27002: 
Tecnologia da informação: Técnicas de segurança – Código de prática para 
controles de segurança da informação. Rio de Janeiro, 2013. 
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com