Quem trabalha na área de Segurança da Informação sabe da relevância e importância das normas internacionais para a padronização de vários aspectos das organizações.

Existem inúmeras organizações e entidades que emitem normas e guidelines, mas sem dúvida a ISO (International Organization for Standardization) possui grande relevância para o mercado de InfoSec. Fundada em 1947, a ISO é uma organização internacional de padronização composta por representantes de várias entidades de padronização ao redor do mundo. É uma organização não vinculada a nenhum governo, sendo independente.

A proposta desse artigo é enumerar as normas ISO que são relevantes para os profissionais e empresas na área de Segurança da Informação.

Série de Normas ISO/IEC 27000

As normas ISO/IEC 27000 surgiram a partir do que já havia normatizado na British Standard 7799 (BS7799) que até então abrangia apenas a Inglaterra.

A BS7799, e depois a série de normas ISO/IEC, padronizava como um sistema de gestão de segurança da informação (ISMS – Information Security Management System) deveria ser construído e mantido. Através da norma as organizações poderiam ter orientação necessária para o design, implantação e manutenção de políticas, processos e tecnologias de forma a possuir governança dos riscos e ativos com dados sensíveis. Sem um sistema de gestão de segurança, os controles implantados atuam de forma isolada, sem uma orientação centralizada.

Nesse cenário descentralizado, cada departamento aplica os controles sem uma orientação estratégica assertiva. Assim o departamento de TI da organização define os controles tecnológicos, os recursos humanos definem as características de segurança dos colaboradores, segurança física fica sob a responsabilidade apenas do departamento de engenharia e o departamento operacional gere as ações para continuidade do negócio. É necessário uma política que una todos os aspectos de segurança de forma gerível. E as normas ISO/IEC da série 27000 propõe abordar os diferentes aspectos da segurança de uma organização. Por envolver padronização de diferentes tipos de indústrias e serviços, o grupo técnico do IEC (International Electrotechnical Commission) se juntou à ISO para promover a expansão internacional das diretrizes definidas na BS7799.

Entre as normas da série ISO/IEC 27000 mais relevantes listo a seguir:

• ISO/IEC 27000: fornece um overview sobre a série de normas da série 27000. Nesse documento que são descritos o escopo e propósito de diversas outras normas da série 27000.
• ISO/IEC 27001: fornece uma lista de requisitos para desenvolver e operar um ISMS, incluindo conjunto de controles para mitigar alguns riscos. Por ser abrangente, essa norma pode ser utilizada por uma grande variedade de empresas e organizações. O ISMS inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos. 
• ISO/IEC 27002: fornece um guideline com uma lista de controles comumente utilizados e melhores práticas de como implementa-los de forma a obter maior segurança. Possui práticas para elaborar um ISMS para a organização. 
• ISO/IEC 27003: provê um guideline para uma implantação bem sucedida de um ISMS definido na ISO/IEC 27001, ao contrário da ISO/IEC 27001 que apenas fornece os requisitos, a ISO/IEC 27003 provê as diretrizes e orientações necessárias para implantação do ISMS na organização. 
• ISO/IEC 27004: provê um guideline para apoiar a organização na avaliação da performance de sua segurança e a efetividade do ISMS implantado de acordo com a ISO/IEC 27001. Define métricas relevantes para a avaliação da performance da segurança.
• ISO/IEC 27005: fornece um guideline para implementar um processo de gestão de risco que atenda aos requisitos do ISMS descrito na ISO/IEC 27001.
• ISO/IEC 27006: especifica um conjunto de requisitos para permitir com que empresas sejam auditadas para avaliar o atendimento do preconizado na ISO/IEC 27001. Dessa forma as empresas poderão ser creditadas que estão em conformidade com os requisitos apresentados na norma ISO/IEC 27001.
• ISO/IEC 27007: fornece um guideline para as organizações realizarem auditorias internas ou externas no ISMS da organização e assim validar o atendimento da ISO/IEC 27001. Deve ser utilizada em conjunto com a ISO/IEC 27006.
• ISO/IEC 27008: fornece um guideline de como revisar os controles de segurança, incluindo um checklist para conformidade técnica de acordo com o ISMS da organização. Não propõe realizar um análise de risco ou auditoria do ISMS, mas complementar a ISO/IEC 27007. Análise de risco e auditoria do ISMS são cobertas nas ISO/IEC 27004, ISO/IEC27005 e ISO/IEC 27007.
• ISO/IEC 27011: fornece um guideline específico para empresas de telecomunicações implementarem controles voltados à natureza de seu negócio.
• ISO/IEC 27014: fornece um guideline de princípios e processos para governança da segurança da informação, de forma a criar indicadores para auxiliar na avaliação e monitorar a performance da segurança.
• ISO/IEC 27031: fornece um guideline específico para que a organização e sua infraestrutura (operação, ambiente de TI, aplicações) possam se resguardar contra eventos que aumentem o risco e que possam impactar à continuidade do negócio.
• ISO/IEC 27032: fornece um guideline específico que aborda os riscos envolvidos na Internet e provê um guia técnico de como lidar com esses riscos. Trata de cybersegurança. 
• ISO/IEC 27033: fornece um guideline específico de como gerir, operar e utilizar de sistemas de segurança de redes e suas inter-conexões. Apoia aos times técnicos em como adaptar os controles de redes às suas necessidades. É uma norma divida em 6 partes. 
• ISO/IEC 27034: fornece um guideline específico de como especificar, desenhar e programar de forma segura e obter nível necessário de segurança às aplicações e endereçar a vários riscos comuns. Também é uma norma divida em partes.
• ISO/IEC 27035: fornece um guideline específico para cobrir como realizar a manipulação de eventos, incidentes e vulnerabilidades de segurança. Essa norma expande os processos descritos na ISO/IEC 27002.
• ISO/IEC 27037: fornece um guideline específico para o propósito de coletar, manipular e preservar evidências digitais em um processo forense para que essas se mantenham íntegras e possam ser utilizadas em processos jurídicos.
• ISO/IEC 27799: fornece um guideline específico para o contexto de empresas e instituições da área de saúde, provendo controles específicos para esse mercado.

O propósito e escopo de cada uma das normas da série ISO/IEC 27000 estão descritas no documento da norma ISO/IEC 27000. Esse é o único dos documentos que está disponível de forma pública para download diretamente no site da ISO.

As normas ISO/IEC da série 27000 são organizadas de forma com que não necessariamente seja necessário que a empresa ou organização esteja em conformidade com todas. A série de normas começam de forma abrangente e vão se tornando mais específicas.

A figura a seguir, disponível justamente no primeiro documento da série de normas, explica a lógica dos documentos:

Percebam que conforme se avança nas normas essas serão cada vez mais específicas para contextos mais especializados. Cada organização deverá buscar aqueles guidelines que sejam aderentes ao propósito da empresa ou do departamento que buscará sua conformidade.

Outras Normas ISO

Além das série de normas ISO/IEC 27000 existem outras, ainda da ISO, que são aplicáveis ao ambiente de InfoSec das organizações. Isso quer dizer que são normas com maior abrangência do que apenas segurança digital, envolvendo guias e orientações para tratar de segurança em outros aspectos.

• ISO 31000: provê um framework para a gestão de riscos com foco em gerir efeitos incertos à organização. Capacita a empresa aderente ao framework a tentar prever eventos fora de controle que possam afetar de forma positiva ou negativa a organização. Não é um framework voltado necessariamente a sistemas de informação.
• ISO/IEC/IEEE 42010: inicialmente publicado como um padrão do IEEE (Institute of Electrical and Electronics Engineers) 1471, depois republicado como sendo ISO/IEC/IEEE 42010, descreve como uma arquitetura de software deve ser especificada. Para tanto, define diversas terminologias para tornar universal a forma como as arquiteturas de sistemas são descritas. Propõe nomenclaturas e termos que sejam de conhecimento entre todos os stakeholders do sistema especificado, desde os desenvolvedores até os clientes. Não é uma norma específica para segurança, mas como segurança tem se tornado cada vez mais relevante, é comum a necessidade de compreensão desse padrão para identificar sistemas desenvolvidos de forma segura.
• ISO/IEC 15408: é um padrão utilizado como base para a avaliação de propriedades de segurança em produtos. Também denominado de framework Common Criteria for Information Technology Security Evaluation, ou apenas CC. Esse normativo está melhor descrito nesta publicação.
• ISO 28000: norma que especifica requisitos para a gestão de sistemas de segurança, especificamente quanto a cadeia de fornecedores. Inclui requisitos para controle dos fornecedores que são essenciais para o negócio, o que envolverá então também fornecedores de soluções de segurança.

A lista de normas ISO descritas nessa publicação não é exaustiva e não pretende substituir o conhecimento dessas, porém pode auxiliar profissionais de InfoSec em algumas que são relevantes para a Segurança da Informação em organizações.

Se possuir sugestão de outras normas para serem inclusas fique a vontade para inserir um comentário.

Referência das normas ISO/IEC da série 27000: https://www.iso27001security.com/index.html

Norma ISO 27000 disponível para download: https://standards.iso.org/ittf/PubliclyAvailableStandards/c073906_ISO_IEC_27000_2018_E.zip