Text page

NBR ISO/IEC 27017 de 07/2016: código de prática de segurança da informação para serviços em nuvem

Quais devem ser as relações com fornecedores em serviços em nuvem? Como deve ser feito o gerenciamento de riscos de segurança da informação em serviços em nuvem? Quais as diretrizes para a implementação para serviços em nuvem? Como deve ser feito o registro e cancelamento de usuário? Essas questões estão sendo apresentadas no texto sobre a prática de segurança da informação para serviços em nuvem.

20/07/2016 - Equipe Target

Os serviços de nuvem

A NBR ISO/IEC 27017 de 07/2016 - Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação com base NBR ISO/IEC 27002 para serviços em nuvem fornece diretrizes para os controles de segurança da informação aplicáveis à prestação e utilização de serviços em nuvem, fornecendo o seguinte: diretrizes adicionais para implementação de controles relevantes especificados na NBR ISO/IEC 27002; controles adicionais com diretrizes de implementação que são relacionadas especificamente a serviços em nuvem. Esta recomendação/norma fornece controles e diretrizes de implementação para provedores de serviços em nuvem e clientes de serviços em nuvem.

Acesse algumas perguntas relacionadas com essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais devem ser as relações com fornecedores em serviços em nuvem?

Como deve ser feito o gerenciamento de riscos de segurança da informação em serviços em nuvem?

Quais as diretrizes para a implementação para serviços em nuvem?

Como deve ser feito o registro e cancelamento de usuário?

As diretrizes contidas nesta recomendação/norma adicionam e complementam as diretrizes oferecidas na NBR ISO/IEC 27002. Especificamente, esta recomendação/norma fornece diretrizes que apoiam a implementação de controles de segurança da informação para os clientes de serviços em nuvem e provedores de serviços em nuvem.

Algumas diretrizes são para clientes de serviços em nuvem que implementam os controles e outras são para provedores de serviços em nuvem para apoiar a implementação desses controles. A seleção dos controles apropriados de segurança da informação e a aplicação da diretriz de implementação fornecida dependerão de uma avaliação de risco e de quaisquer requisitos legais, contratuais, regulatórios ou outros requisitos de segurança da informação específicos para o setor e computação em nuvem.

O uso de computação em nuvem mudou a forma como é recomendado que as organizações avaliem e mitiguem riscos de segurança da informação, devido às mudanças significativas em como os recursos computacionais são tecnicamente concebidos, utilizados e governados. Esta recomendação/norma fornece diretrizes adicionais para implementações específicas para a nuvem, com base na NBR ISO/IEC 27002, e fornece controles adicionais para lidar com considerações sobre ameaças de segurança da informação e riscos, específicas para ambientes em nuvem.

Convém que os usuários desta recomendação/norma consultem a NBR ISO/IEC 27002, Seções 5 a 18, para controles, orientação de implementação e outras informações. Devido à aplicabilidade geral da ISO/IEC 27002, muitos dos controles, da diretriz de implementação e outras informações se aplicam a ambos os contextos de computação geral ou em nuvem da organização.

Por exemplo, a NBR ISO/IEC 27002 “6.1.2 Segregação de funções” fornece um controle que pode ser aplicado se a organização está agindo como um provedor de serviço em nuvem ou não. Além disso, um cliente de serviços em nuvem pode derivar requisitos para segregação de funções ao ambiente de nuvem do mesmo controle, por exemplo, segregando os administradores de serviços em nuvem, clientes de serviço e usuários de serviços em nuvem.

Como uma extensão da NBR ISO/IEC 27002, esta recomendação/norma fornece mais controles específicos de serviços em nuvem, diretrizes de implementação e outras informações (ver 4.5), que se destinam a mitigar os riscos que acompanham as características técnicas e operacionais dos serviços em nuvem (ver Anexo B). Os clientes de serviços em nuvem e os prestadores de serviços em nuvem podem se referir à NBR ISO/IEC 27002 e a esta recomendação/norma para selecionar os controles com a diretriz de implementação e adicionar outros controles, se necessário.

Este processo pode ser feito pela realização de avaliação de riscos de segurança e tratamento de riscos no contexto organizacional e de negócios, onde os serviços em nuvem são utilizados ou fornecidos (ver 4.4). Clientes do serviço em nuvem e provedores do serviço em nuvem também podem formar uma cadeia de suprimento.

Supor que um prestador de serviços em nuvem forneça um serviço de recursos de infraestrutura. Em cima dela, outro prestador de serviços em nuvem pode fornecer um serviço de recursos de aplicação.

Neste caso, o segundo fornecedor de serviços em nuvem é um cliente do serviço em nuvem no que diz respeito à primeira, e um fornecedor de serviço em nuvem do ponto de vista do cliente do serviço em nuvem utilizando o seu serviço. Este exemplo ilustra o caso em que esta recomendação/norma aplica-se a uma organização, tanto como um cliente do serviço em nuvem quanto como um provedor do serviço em nuvem.

Como os clientes de serviços em nuvem e provedores do serviço em nuvem formam uma cadeia de fornecedores através da concepção e implementação do(s) serviço(s) em nuvem, a seção 15.1.3 da NBR ISO/IEC 27002 é aplicável. A multipartes ISO/IEC 27036 “Information security for supplier relationship” fornece orientações detalhadas sobre a segurança da informação no relacionamento com os fornecedores para o adquirente e para o fornecedor de produtos e serviços.

A ISO/IEC 27036 Parte 4 lida diretamente com a segurança dos serviços em nuvem no relacionamento com os fornecedores. Esta norma é também aplicável aos clientes do serviço em nuvem como adquirentes e aos prestadores de serviços em nuvem como fornecedores.

No ambiente de computação em nuvem, os dados dos clientes do serviço em nuvem são armazenados, transmitidos e processados por um serviço em nuvem. Portanto, os processos de negócios do cliente do serviço em nuvem podem depender da segurança da informação do serviço em nuvem.

Sem controle suficiente sobre o serviço em nuvem, o cliente de serviços em nuvem pode precisar tomar precauções extras com suas práticas de segurança da informação. Antes de contratar o fornecedor do serviço em nuvem, o cliente do serviço em nuvem precisa selecionar um serviço em nuvem, levando em conta as possíveis lacunas entre os requisitos de segurança da informação do cliente do serviço em nuvem e os recursos em segurança de informações oferecidas pelo serviço em nuvem.

Uma vez que um serviço em nuvem é selecionado, recomenda-se que o cliente do serviço em nuvem gerencie o uso do serviço em nuvem de forma a satisfazer os seus requisitos de segurança da informação. Nesta relação, recomenda-se que o provedor do serviço em nuvem forneça as informações e o suporte técnico que são necessários para atender aos requisitos de segurança da informação do cliente do serviço em nuvem.

Quando os controles de segurança da informação fornecidos pelo provedor do serviço em nuvem são predefinidos e não há possibilidade de serem alterados pelo cliente do serviço em nuvem, o cliente do serviço em nuvem pode precisar implementar seus próprios controles extras para mitigar os riscos em seus processos de gestão de riscos de segurança da informação estabelecidos. É aconselhável consultar a NBR ISO/IEC 27001 para os requisitos da gestão de segurança da informação para realizar a gestão de riscos em seus sistemas de gestão de segurança da informação, e se referir à NBR ISO/IEC 27005 para obter diretrizes adicionais sobre a própria gestão de riscos de segurança da informação. A NBR ISO 31000, para a qual as NBR ISO/IEC 27001 e NBR ISO/IEC 27005 se aplicam, também pode ajudar na compreensão geral da gestão de riscos.

Em contraste com a aplicabilidade genérica dos processos de gestão de riscos de segurança da informação, a computação em nuvem tem seus próprios tipos de fontes de riscos, incluindo ameaças e vulnerabilidades, que são derivadas de suas características, por exemplo, rede, escalabilidade e elasticidade do sistema, compartilhamento de recursos, provisionamento por autosserviço, administração sob demanda, provisionamento de serviços através de diversas jurisdições e visibilidade limitada sobre a implementação de controles. O Anexo B fornece referências que dão informações sobre estas fontes de riscos e os riscos associados na prestação e utilização de serviços em nuvem.

Os controles e diretrizes de implementação apresentadas nas Seções 5 a 18 e no Anexo A abordam as fontes de riscos e os riscos específicos à computação em nuvem. A política de segurança da informação para a computação em nuvem do cliente de serviços em nuvem é uma das políticas específicas descritas na NBR ISO/IEC 27002, 5.1.1.

A política de segurança da informação de uma organização lida com os seus processos de informação e de negócios. Quando uma organização usa os serviços em nuvem, ela pode ter uma política para a computação em nuvem como um cliente de serviços em nuvem.

Informações de uma organização podem ser armazenadas e mantidas no ambiente de computação em nuvem, e os processos de negócio podem ser operados no ambiente de computação em nuvem. Requisitos gerais de segurança da informação definidos na política de segurança da informação no nível superior são seguidos pela política para a computação em nuvem.

Em contraste com isso, a política de segurança da informação para a prestação serviços em nuvem lida com a informação e processos de negócio dos clientes de serviços em nuvem, não com a informação e processos de negócios do provedor do serviço em nuvem. Recomenda-se que requisitos de segurança da informação para a oferta do serviço em nuvem atenda aqueles dos potenciais clientes do serviço em nuvem.

Como resultado, eles podem não ser consistentes com as exigências de segurança da informação dos processos de negócios do provedor do serviço em nuvem. O escopo da política é muitas vezes adequadamente definido em termos do serviço, mas não só pela estrutura organizacional ou pelas localizações físicas.

A segurança de virtualização na computação em nuvem tem vários aspectos, incluindo gerenciamento de ciclo de vida de instâncias virtuais, controles de acesso e armazenamento de imagens virtuais, manipulação de instâncias virtuais inativas ou desligadas, retratos do estado, proteção de hipervisores e controles de segurança que regem o uso de portais de autoatendimento. Mesmo quando as responsabilidades são determinadas pelas partes, o cliente de serviços em nuvem é responsável pela decisão de usar o serviço.

Convém que essa decisão seja feita de acordo com as funções e responsabilidades determinadas dentro da organização do cliente de serviços em nuvem. O provedor do serviço em nuvem é responsável pela segurança da informação indicada em alguma parte do acordo de serviço em nuvem.

Convém que a implementação e o provisionamento da segurança da informação sejam feitos de acordo com os papéis e responsabilidades determinadas dentro da organização do provedor do serviço em nuvem. A ambiguidade nos papéis e na definição e atribuição de responsabilidades relativas a questões como a propriedade de dados, controle de acesso e manutenção da infraestrutura pode dar origem a disputas comerciais ou legais, especialmente ao lidar com terceiros.

Os dados e arquivos nos sistemas do provedor do serviço em nuvem que são criados ou modificados durante a utilização do serviço em nuvem podem ser críticos para a operação, recuperação e continuidade segura do serviço. Convém que a propriedade de todos os ativos e as partes que têm responsabilidade pela operação associada a esses ativos, como operações de backup e recuperação, sejam definidas e documentadas. Caso contrário, existe o risco de que o provedor do serviço em nuvem assuma que o cliente do serviço em nuvem execute essas tarefas vitais (ou vice-versa), e uma perda de dados pode ocorrer.

FONTE: Equipe Target

Anúncio fixo da norma NBRISO9001 Chegou o novo app Target GEDWeb!
Busque e visualize suas normas ABNT NBR NM
Recursos exclusivos de busca, leitura por voz,
acesso off-line, navegação por setor e muito mais!
Produto/Serviço relacionado à NBRISO9001

Baseado nos documentos visitados

Normas recomendadas para você

Tecnologia da informação — Técnicas de segurança — Diretrizes para identificação, coleta, aquisição e preservação de evidência digital
NBRISO/IEC27037 de 12/2013

Tecnologia da informação — Técnicas de segurança — Diretrizes para identificação, coleta, aquisição e preservação de evidência digital

Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação com base ABNT NBR ISO/IEC 27002 para serviços em nuvem
NBRISO/IEC27017 de 07/2016

Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação com base ABNT NBR ISO/IEC 27002 para serviços em nuvem

Segurança da informação, segurança cibernética e proteção da privacidade - Diretrizes para auditoria de sistemas de gestão da segurança da informação
NBRISO/IEC27007 de 05/2021

Segurança da informação, segurança cibernética e proteção da privacidade - Diretrizes para auditoria de sistemas de gestão da segurança da informação

Tecnologia da informação - Técnicas de segurança - Diretrizes para a prontidão para a continuidade dos negócios da tecnologia da informação e comunicação
NBRISO/IEC27031 de 08/2019

Tecnologia da informação - Técnicas de segurança - Diretrizes para a prontidão para a continuidade dos negócios da tecnologia da informação e comunicação

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos
NBRISO/IEC27001 de 11/2013

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos

Tecnologia da informação - Técnicas de segurança - Código de Prática para controles de segurança da informação
NBRISO/IEC27002 de 11/2013

Tecnologia da informação - Técnicas de segurança - Código de Prática para controles de segurança da informação

Tecnologia da informação - Técnicas de segurança - Diretrizes para gestão da segurança da informação para organizações de telecomunicações baseadas na ABNT NBR ISO/IEC 27002
NBRISO/IEC27011 de 04/2019

Tecnologia da informação - Técnicas de segurança - Diretrizes para gestão da segurança da informação para organizações de telecomunicações baseadas na ABNT NBR ISO/IEC 27002

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação
NBRISO/IEC27004 de 08/2017

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação

Segurança da informação - Diretrizes para classificação, rotulação, tratamento e gestão da informação
NBR16167 de 12/2020

Segurança da informação - Diretrizes para classificação, rotulação, tratamento e gestão da informação

Tecnologia da informação - Técnicas de segurança - Especificação para redação digital
NBRISO/IEC27038 de 12/2014

Tecnologia da informação - Técnicas de segurança - Especificação para redação digital

Tecnologia da informação - Computação em nuvem - Visão geral e vocabulário
NBRISO/IEC17788 de 12/2015

Tecnologia da informação - Computação em nuvem - Visão geral e vocabulário

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações
NBRISO/IEC27003 de 04/2020

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações

Tecnologia da Informação - Técnicas de segurança - Diretrizes para segurança cibernética
NBRISO/IEC27032 de 06/2015

Tecnologia da Informação - Técnicas de segurança - Diretrizes para segurança cibernética

Segurança da informação, segurança cibernética e proteção da privacidade - Governança da segurança da informação
NBRISO/IEC27014 de 09/2021

Segurança da informação, segurança cibernética e proteção da privacidade - Governança da segurança da informação

Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação
NBRISO/IEC27005 de 10/2019

Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação