vem aí aabnt.org.br/images/docspdf/artigos/artigo_27701.pdf · 2019. 11. 13. · vem aí a abnt...
TRANSCRIPT
8 • boletim ABNT | Set/Out 2019 www.abnt.org.br
<<< Artigo >>>
Vem aí a ABNT NBR ISO/IEC 27701
por Ariosto Farias Jr.
Está previsto para o dia 09 de dezembro o lançamento da nova nor-ma ABNT NBR ISO/IEC 27701 – Técnicas de segurança: Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para ges-tão da privacidade da informação – Requisitos e diretrizes. Elaborada no âmbito do Comitê Brasileiro de Computadores Processamento de Dados (ABNT/CB-021), a norma tem características especiais.
<<< Artigo >>>
www.abnt.org.br Set/Out 2019 | boletim ABNT • 9
Dados Pessoais (LGPD), que entra-rá em vigor em agosto de 2020”, informa Ariosto Farias Jr., coor-denador da Comissão de Estudo CE-021.000.027, espelho no Brasil do Comitê ISO/IEC JTC 1/SC 27, focado em segurança da informa-ção, ciber segurança e proteção da privacidade.
Elaborada no âmbito do Comi-tê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-021), a norma é extensão de outros documentos internacionais já adotados no Brasil: a ABNT NBR ISO/IEC 27001:2013 -Tecno-logia da informação — Técnicas de segurança — Sistemas de ges-tão da segurança da informação — Requisitos e a ABNT NBR ISO 27002:2013 - Tecnologia da infor-mação — Técnicas de segurança — Código de prática para contro-les de segurança da informação.
A nova Norma ABNT NBR ISO/IEC 27701 sobre gestão da privacidade da informação, pre-vista para ser lançada no dia 09 de dezembro de 2019 enquadra-se, perfeitamente, dentro do conceito MDS-Market Driven Standard, ou seja, é uma norma que representa os anseios da sociedade, em de-corrência do GDPR-General Data Protection Regulation da União Eu-ropeia, como também da nossa LGPD-Lei Geral de Proteção de Da-dos Pessoais, que entrará em vigor em agosto de 2020.
A ABNT NBR ISO/IEC 27701 é uma extensão das Normas ISO já adotadas pela ABNT: a ABNT NBR ISO/IEC 27001:Sistema de Ges-tão da Segurança da informação--Requisitos e a ABNT NBR ISO 27002:Código de prática para con-
troles de segurança da informação. A ABNT NBR ISO/IEC 27701-
Técnicas de segurança: Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação:Requisitos e diretri-zes, é parte integrante do chamado “Sector-Specific Application of ISO/IEC 27001 – Requirements”, que são normas voltadas para aplicações específicas em determinados seto-res, como é o caso da Proteção de Dados Pessoais, e que deve aten-der aos requisitos estabelecidos na ISO/IEC 27009:2016, quanto aos controles adicionais, além dos con-troles da própria ABNT NBR ISO/IEC 27001, incluindo o seu Anexo A. Estes requisitos adicionais ou refinados não podem estar em con-flito com os próprios requisitos da ABNT NBR ISO/IEC 27001.
A ISO/IEC 27009 é uma Norma da Série ISO/IEC 27000, aplicável em situações que envolvam a pro-dução de normas de setores especí-ficos, que se relacionem com a ISO/IEC 27001, como é o caso da ABNT NBR ISO/IEC 27701.
A ABNT NBR ISO/IEC 27701 tem foco nos requisitos específicos de um Sistema de Gestão da Pri-vacidade da Informação, que está baseado na aderência e no com-pliance com os requisitos tanto da própria ABNT NBR ISO/IEC 27701 como da ABNT NBR ISO/IEC 27001, e leva em consideração a proteção da privacidade dos titulares de DP que possam ser potencialmente afetados pelo tratamento dos seus Dados Pessoais, atividade realizada pelos operadores de DP.
O uso comercial e o valor crescente dos Dados Pessoais-DP
“Enquadra-se, perfeitamente, no conceito Market Driven Stan-dard (MDS), ou seja, é uma norma que representa os anseios da socie-dade, em decorrência do Regula-mento Geral de Proteção de Dados (General Data Protection Regulation) da União Europeia, como também da nossa Lei Geral de Proteção de
10 • boletim ABNT | Set/Out 2019 www.abnt.org.br
<<< Artigo >>>
e o seu compartilhamento en-tre diferentes jurisdições, aliado à complexidade cada vez maior dos sistemas de tecnologia da in-formação e comunicação, podem tornar difícil para uma organiza-ção assegurar a privacidade des-ses dados pessoais, para que este-jam em compliance com as várias leis aplicáveis.
Por meio de controles e medidas de prevenção, a ABNT NBR ISO/IEC 27701 poderá ajudar as organi-zações a tratar com as questões de privacidade, evitando casos de uso indevido dos dados pessoais, atra-vés da implementação, operação, manutenção e melhoria contínua de um Sistema de Gestão da Priva-cidade da Informação (SGPI), cujo objetivo maior é a proteção dos da-dos pessoais.
São considerados como dados pessoais, qualquer informação que possa ser usada para estabelecer um vínculo entre a informação e a pessoa natural, ao qual essa infor-mação se relaciona, ou que pode estar, direta ou indiretamente, vin-culada a uma pessoa natural.
Titular de DP, controlador de DP e operador de DP são os ele-mentos básicos no tratamento de DP. O seu relacionamento dentro de uma estrutura guiada por prin-cípios como segurança, consenti-mento e responsabilização, cria as condições para que a privacidade seja estabelecida de forma consis-tente com os requisitos apresen-tados pelas legislações de proteção de dados de cada país e, ao mesmo tempo, de acordo com um padrão reconhecido internacionalmente.
A implementação dos princí-pios da ISO IEC 29100, a forma de
colocar sua estrutura em operação dentro de uma organização, são os controles do SGPI da norma NBR ISO IEC 27701
2.A estrutura da ABNT NBR ISO/IEC 27701
A ABNT NBR ISO/IEC 27701 apresenta a seguinte estrutura: A Seção 1 é o escopo, a Seção 2 os ter-mos e definições, a Seção 3 os sím-bolos e termos abreviados e a Seção 4 os elementos básicos da estrutura de privacidade.
A Seção 5 apresenta todos os requisitos da ABNT NBR ISO/IEC 27001, da Seção 4 até a Se-ção 10 que a organização tem que implementar, com requisi-tos adicionais específicos de um SGPI-Sistema de Gestão da Pri-vacidade da Informação e outras informações relacionadas com os requisitos de segurança da infor-mação da ABNT NBR ISO/IEC 27001, apropriados para uma or-ganização atuando seja como um controlador de DP ou como um operador de DP.
A Seção 6 apresenta diretrizes específicas de um SGPI e outras informações relacionadas com os controles de segurança da informa-ção contidos na ABNT NBR ISO/IEC 27002 e diretrizes específicas de um SGPI para uma organização que esteja atuando ou como um controlador de DP ou como um operador de DP.
A Seção 7 apresenta diretrizes adicionais da ABNT NBR ISO/IEC 27002 para os controladores de DP, e a Seção 8 fornece diretrizes adicionais contidas na ABNT NBR ISO/IEC 27002 para os operadores de DP.
O Anexo A que é normativo, portanto são requisitos, apresen-ta os controles e objetivos de con-troles específicos de um SGPI para uma organização atuando como um controlador de DP (indepen-dentemente se ela usa ou não um operador de DP, e se está atuando ou não, conjuntamente, com outro controlador de DP).
O Anexo B que também é nor-mativo, apresenta os controles e objetivos de controles específicos para uma organização atuando como um operador de DP (inde-pendentemente se ela subcontrata ou não, o tratamento de DP para um outro operador de DP, e con-siderando aqueles tratamentos de DP como subcontratados para os operadores de DP).
O Anexo C apresenta a relação da ABNT NBR ISO/IEC 27701 com a ABNT NBR ISO/IEC 29100, que é uma norma que fornece uma es-trutura de privacidade, as termi-nologias comuns relativas à pri-vacidade, define os atores e seus papéis quanto ao tratamento dos dados pessoais (DP) e descreve orientações sobre a salvaguarda da privacidade.
O Anexo D apresenta uma re-lação dos controles da ABNT NBR ISO/IEC 27701 com o Regulamento da União Européia sobre a Proteção de Dados.
O Anexo E apresenta a relação da ABNT NBR ISO/IEC 27701 com a ABNT NBR ISO/IEC 27018, que é uma norma para proteção de dados pessoais-DP, em nuvens pú-blicas que atuam como operadores de DP, como também com a ISO IEC 29151.
www.abnt.org.br Set/Out 2019 | boletim ABNT • 11
O Anexo F explica como a ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 são aplicadas à proteção da privacidade da informação, quan-do do tratamento de dados pessoais.
3.As normas ISO e ABNT que apoiam a LGPD
Foi decisão da Comissão de Estudo de Técnicas de Segurança (CE-021:000.027) do Comitê Bra-sileiro de Computadores e Proces-samento de Dados (ABNT/CB-021), espelho no Brasil do ISO/IEC JTC 1/SC 27, adotar também as normas que apoiam a ABNT NBR ISO/IEC 27701.
Esta Comissão vem trabalhan-do na tradução e/ou atualização das seguintes normas, que são consideradas como necessárias para um melhor entendimento da ABNT NBR ISO/IEC 27701:• ISO/IEC 29100: Informa-
tion technology – Security techniques: Privacy Frame-work
• ISO/IEC29134:Informationtechnology-Security tech-niques: Guidelines for pri-vacy impact assessment
• ISO/IEC29151:InformationTechnology – Security Tech-niques – Code of Practice for Personally Identifiable In-formation Protection
• ABNTNBRISO/IEC27018:Tecnologia da informação – Técnicas de segurança – Có-digo de prática para proteção de informações de identifica-ção pessoal (PII) em nuvens públicas que atuam como processadores de PII
• ABNTNBR16167:Seguran-
ça da informação: Diretrizes para rotulação, classificação e tratamento da informação
4.O processo de acreditação da ABNT NBR ISO/IEC 27701
O recente posicionamento do IAF-International Accreditation Fo-rum, órgão responsável pelo proces-so de acreditação das normas ISO de sistemas de gestão, em resposta a uma solicitação do Comitê ISO/IEC JTC 1/ SC 27, foi de que uma certificação da ISO/IEC 27701 por um Órgão de Certificação de Siste-mas de Gestão Acreditado, irá gerar uma maior confiança no mercado.
Considerando que a ISO/IEC 27701 é, basicamente, a ISO/IEC 27001 com um maior detalhamen-to em certos requisitos focados na privacidade, não será necessário o desenvolvimento de uma outra norma, o que significa que o pro-cesso de acreditação poderá ocorrer com base no atual programa de cer-tificação da ISO/IEC 27001, que está baseado na ISO/IEC 27006.
Sendo assim, não haverá a ne-cessidade de se criar um documento separado, porque não existirá muita diferença entre a auditoria da ISO/IEC 27001 e a auditoria da ISO/IEC 27701 lembrando, claro, de que devem ser observados os requisitos específicos da ISO/IEC 27701 volta-dos para o processo de certificação.
Ariosto Farias Jr: Coordenador da Comissão da CE-021.000.027, espelho no Brasil do Comi-tê ISO/IEC JTC 1/SC 27 e Líder da Delega-ção do Brasil nas reuniões do ISO/IEC JTC 1/SC 27, Comitê responsável pela elaboração das normas ISO 27001, ISO 27002, ISO 27701 e demais normas que apoiam a ISO 27701.
Não haverá a necessidade de se criar um
documento separado, porque não existirá muita diferença entre a auditoria da ISO/
IEC 27001 e a auditoria da ISO/
IEC 27701