0
0
Desde o lançamento da ABNT NBR ISO/IEC 27701:2019 em 25/11/2019 estava ansioso pelo conteúdo final. Já havia desfolhado o draft pelos idos de outubro junto a um amigo que compõe o grupo revisor. Mas, ler detalhadamente cada uma das cláusulas, “saborear” a norma, consegui fazê-lo no último final de semana.
Gostei bastante do resultado, principalmente da maneira que o conhecimento oriundo da proteção de dados privado foi agregado ao tema segurança da informação – razão de existir das normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013, ambas padrão de fato e muito bem assimiladas pela indústria quando o assunto é segurança da informação. Com base nesse estudo, resolvi compartilhar com vocês minhas notas e percepções sobre a nova norma, uma ferramenta valiosa para estabelecer à conformidade com a LGPD ou o GDPR.
Antes de abordarmos o novo normativo é importante observar algumas considerações existentes na ABNT NBR ISO/IEC 27001:2013. O primeiro é que as diretrizes contidas na norma, bem como o estabelecimento do próprio SGSI – Sistema de Gestão de Segurança da Informação estão apoiados no contexto e definição de objetivos e necessidades específicas da organização:
“Esta Norma foi preparada para prover requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação (SGSI). A adoção de um SGSI é uma decisão estratégica para uma organização. O estabelecimento e a implementação do SGSI de uma organização são influenciados pelas suas necessidades e objetivos, requisitos de segurança, processos organizacionais usados, tamanho e estrutura da organização. É esperado que todos estes fatores de influência mudem ao longo do tempo.” – ABNT NBR ISO/IEC 27001:2013, página vi.
Outro aspecto interessante é que a norma admite a adoção de controles complementares (setoriais) para que se alcance a completude da proteção. Observe a nota da cláusula 6.1.3:
“As organizações podem projetar os controles, conforme requerido, ou identificá-los de qualquer outra fonte.” – ABNT NBR ISO/IEC 27001:2013, página 5.
Diante disso, é natural que o SGSI pudesse sofrer acréscimos para alcançar a aderência plena com a missão de proteger os dados privados por força das necessidades da organização. Seria perfeito se isso pudesse ser realizado, de maneira integrada e completa. Ainda mais se conduzido pelo mesmo grupo que coordenou a criação das “irmãs” mais velhas. E foi isso que aconteceu! O ISO/IEC JTC1/SC27 criou a ISO/IEC 27701:2019 (inicialmente 27552) sob o objetivo de acoplar o conteúdo necessário à promoção da conformidade com a proteção de dados privados.
Ainda sob esse signo, a ABNT NBR ISO/IEC 27701:2019 declara o seguinte:
“O Sistema de Gestão de Segurança da Informação é projetado para permitir a adoção de requisitos específicos setoriais sem a necessidade de desenvolver um novo sistema de gestão.” – ABNT NBR ISO/IEC 27701:2013, página ix.
A nova norma também alerta para a possível variação no que diz respeito aos requisitos e diretrizes para proteção de dados pessoais de acordo com o contexto da organização, tendo em mente que a segurança da informação é o meio pelo qual alguns elementos de PbD são implementados e mantidos como resposta as medidas requeridas pela Lei.
A ABNT NBR ISO/IEC 27701 também faz referência a outras normas, são elas:
- ISO/IEC 29100:2011 -> Information technology — Security techniques — Privacy framework
- ISO/IEC 29151:2017 -> Information technology — Security techniques — Code of practice for personally identifiable information protection
- ABNT NBR ISO/IEC 27018:2019 -> Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
A norma visa o Sistema de Gestão da Segurança da Informação de organizações que processam DP (Dados Pessoais) e por isso necessitam implementar a proteção à privacidade dos titulares, convertendo o SGSI em SGPI (Sistema de Gestão da Privacidade da Informação):
SGPI: sistema de gestão da segurança da informação que considera a proteção da privacidade como potencialmente afetada pelo tratamento de DP – ABNT NBR ISO/IEC 27701:2013, página 2.
A norma visa cobrir toda a cadeia relacionada à proteção de dados (relações como controlador, operador, subcontratados, clientes e titular do dado) e se propõe a ser uma ferramenta para mediar a conversa entre essas partes além de subsidiar a geração de evidências, tão necessárias para comprovar à conformidade com as leis de privacidade.
Sendo assim, os requisitos contidos nas normas ISO/IEC 27001 e 27002 são ampliados em complemento à segurança da informação de maneira que a proteção a privacidade seja tratada desde a definição do sistema.
Os requisitos do SGPI foram dispostos na seção 5, tanto para controladores, quanto para operadores. Todas as clausulas apresentadas na primeira parte da 27001 estão descritas nessa seção. Cabe destacar que nem todas as cláusulas sofreram adição, mas mesmo assim, elas são mencionadas. Abaixo um quadro resumo do conteúdo que sofreu adição:
A ABNT NBR ISO/IEC 27002:2013 é o código de prática, meio pelo qual os requisitos apresentados na ABNT NBR ISO/IEC 27001:2013 são atendidos. A seção 6 traz o conteúdo, dessa norma conforme abaixo:
Cada uma das 14 categorias acima é desdobrada em objetivos de controle que estão dispostos ao longo da seção 6. Cabe ressaltar que nem todos esses objetivos sofreram adição de conteúdo. Tal como a seção anterior, os 114 objetivos de controle são mencionados nessa parte e quando necessário faz-se adição de conteúdo próprio a proteção do dado pessoal. Essa parte da norma se destina tanto a controladores quanto a operadores.
A seção 7 apresenta diretrizes especificas para controladores. E a seção 8 diretrizes adicionais para operadores.
Os itens constantes nos anexos A e B são obrigatórios para controladores e operadores respectivamente. Qualquer não atendimento deve ser justificado por meio de um recurso bem conhecido por aqueles que conhecem a implementação de um SGSI a luz da ABNT NBR ISO/IEC 27001: o SOA (Statment Of Applicability) ou declaração de aplicabilidade.
Os anexos têm um papel preponderante na aplicação da norma e ficaram assim distribuídos:
Anexo A: apresenta os objetivos de controles específicos para um SGPI que atua como controlador (independentemente de ter ou não um operador).
Anexo B: controles e objetivos de controles específicos para uma organização que atua como operador (independentemente se é subcontratada).
Anexo C: mapeamento com a ISO/IEC 29100.
Anexo D: mapeamento com a GDPR.
Anexo E: mapeamento com ISO/IEC 27018 e 29151.
Anexo F: para quem vive a transição, considero o anexo mais importante. Nesse anexo está descrito como as normas 27001 e 27002 são estendidas para prover proteção da privacidade, quando no tratamento do dado pessoal.
ANEXO NA: mapeamento com a LGPD.
A partir desse ponto, uma organização que lida com dados privados, ao aplicar a norma ABNT NBR ISO/IEC 27001:2013 deverá, além do ANEXO A, que tem início na página 12 da norma de 2013, acatar as diretrizes apresentadas nas seções 5 e 6 da nova ABNT NBR ISO/IEC 27701:2019 e também aplicar os anexos A e B de acordo com a condição de controlador ou operador (que presta serviço de processamento de DP) respectivamente.
Espero que o objetivo de dar um panorama da novíssima ABNT NBR ISO/IEC 27701:2019 tenha sido cumprido e o conteúdo seja a ignição para os estudos prévios à adequação do SGSI e/ou aplicação da norma nas respectivas organizações.
A norma pode ser encontrada no site da ABNT ao custo de R$ 262,20. Outra opção é adquiri-la na TARGET onde há planos de assinatura e o valor da norma pode sofrer uma redução de até 56% do preço de lista, que é R$ 209,76.Denunciar
AUTOR: Alexandre Prata – CISSP, MBA, ITIL Expert, COBIT, LGPD e GDPR Executivo Sênior TI, Segurança Informação, Cyber Security, Privacidade e Proteção de Dados, GSTI e Estratégia/Processos
FONTE: LINKEDIN