Devido à necessidade que as empresas têm em se adequarem às leis de proteção de dados, como a GDPR, na União Européia, e a Lei Geral de Proteção de Dados, no Brasil, algumas entidades como a ISO (International Organization for Stantadization) e a IEC (International Electrotechnical Commission) estão desenvolvendo uma nova adição à família de padrões de segurança da informação composta pela ISO 27000, com o objetivo de fornecer maiores orientações.
A ISO / IEC 27552 é uma extensão de privacidade para a ISO / IEC 27001. Esta norma, que está em desenvolvimento, contará com 67 páginas, em sua primeira edição. O texto está sendo construído pelos membros do Comitê Técnico: ISO / IEC JTC 1 / SC 27, que se tratam de especialistas nas normas e padrões, já existentes e aplicados no mercado.
O Comitê tem como escopo principal o desenvolvimento de padrões para a proteção de informações e Tecnologia da Informação e Comunicação (TIC). Isso inclui métodos genéricos, técnicas e diretrizes para abordar aspectos de segurança e privacidade, como:
- Metodologia de captura de requisitos de segurança;
- Gestão de informação e segurança das TIC; em particular sistemas de gerenciamento de segurança da informação, processos de segurança e controles e serviços de segurança;
- Criptografia e outros mecanismos de segurança, incluindo, entre outros, mecanismos para proteger a responsabilidade, a disponibilidade, a integridade e a confidencialidade das informações;
- Documentação de suporte ao gerenciamento de segurança, incluindo terminologia, diretrizes e procedimentos para o registro de componentes de segurança;
- Aspectos de segurança do gerenciamento de identidade, biometria e privacidade;
- Avaliação de conformidade, requisitos de acreditação e auditoria na área de sistemas de gestão de segurança da informação;
- Critérios e metodologia de avaliação de segurança.
As normas de Segurança da Informação estão ligadas ativamente aos órgãos apropriados, para assegurar o desenvolvimento e a aplicação de seus requisitos e relatórios técnicos, em áreas relevantes.
A criação da norma ISO / IEC 27552 trará diversos benefícios, como a padronização de privacidade de dados, facilitando a transferência internacional de dados entre países, desde aqueles que possuem legislação de dados e aqueles que não possuem.
No futuro, com instituição desta norma, as empresas poderão, a partir da certificação, comprovar que estão seguindo padrões adequados de privacidade de dados, aumentando, assim, as parcerias internacionais. Enquanto a ISO/IEC 27.552 não é oficializada, o estudo e a aplicação dos requisitos que compõem a ISO/IEC 27.001 poderão ser um diferencial.
Autor: Jefferson R Silva