Embed Size (px)
Citation preview
ISO/IEC 27002:2005
Basado en BS 7799-1:1999 ISO
17799:2000.
Se utiliza como un documento de
referencia.
Provee un conjunto de controles
de seguridad.
NO es certificable.
ISO/IEC 27002:2005
• 11 Dominios• 39 Objetivos de control• 133 Controles
Objetivos de control y controles
• 4.1 Identificación de riesgos de seguridad de la información
• 4.2 Tratamiento de riesgos de seguridad de la informaciónAnálisis de riesgos
• 0. Introducción• 1. Alcance• 2. Términos y definiciones• 3. Estructura del estándar
Introducción
Qué es “Información & Seguridad de la Información”
La información es un activo, se encuentra en diferentes formas, debe
ser protegida, etc.
Por qué es necesaria la Seguridad de la InformaciónRequerimientos de seguridad – ¿Cómo establecerlos?Evaluación de los riesgos de seguridadSelección de controlesPunto de partida para la seguridad de la informaciónFactores críticos de éxito
ISO/IEC 27002:2005Sección 0: Introducción
Algunos aspectos han sido revisados en las secciones anteriores
ISO/IEC 27002:2005
Sección 1: Alcance de la norma
Guías y principios generales para
iniciar, implementar, mantener y
mejorar la gestión de la
seguridad de la información en la
organización.
Seguridad de la Información:
Integridad.
Confidencialidad.
Disponibilidad.
Autenticidad, responsabilidad (accountability), no-repudio, confiabilidad.
Sección 2: Términos y definiciones
ISO/IEC 27002:2005
ISO/IEC 27002:2005
Sección 2: Términos y definiciones
Sección ampliada con mayor cantidad de términos
Aclaran y precisan el concepto de algunos
términos usados en la norma:
Infraestructura de procesamiento de información (facilities).Seguridad de la Información.Eventos de Seguridad de la Información.Incidentes de Seguridad de la Información.Definiciones relacionadas con el Riesgo.
Definición de Términos:
ISO/IEC 27002:2005
Sección 2: Términos y definiciones
Asset, Control, Guideline, Information
Processing Facilities, Information
Security, Information Security Event,
Information Security Incident, Policy, Risk,
Risk Analysis, Risk Assessment, Risk
Evaluation, Risk Management, Risk
Treatment, Third Party, Threat,
Vulnerability.
ISO/IEC 27002:2005
Sección 3: Estructura del estándar
“This standard contains 11 security control clauses
collectively containing a total of 39 main security
categories and one introductory clause introducing risk
assessment and treatment”11 Cláusulas
39 Categorías principales de seguridad
133 Controles
1 Cláusula introductoria – Evaluación y
tratamiento del riesgo
MSC: Main Security CategoryCategoría principal de seguridad: Objetivo de control
Security Policy (1)Organizing Information Security (2)Asset Management (2)Human Resources Security (3)Physical and Environmental Security (2)Communications a Operations Management (10)Access Control (7)Information Systems Acquisition, Development and Maintenance (6)Information Security Incident Management (2)Business Continuity Management (1)Compliance (3)
ISO/IEC 27002:2005
Sección 3: Estructura del estándar
3.1 Clauses (# of Main Sec) - Dominios o áreas
Define qué contiene cada MSC (Main Security Category).Un objetivo de control que establece qué se pretende lograr.Uno o más controles que pueden ser aplicados para lograr el objetivo de control.
Describe la estructura de los controles:Control.Implementation Guide.Other information (e.g. reference to other standards..).
ISO/IEC 27002:2005
Sección 3: Estructura del estándar
3.2 Main Security Categories
4.1 Evaluación de los riesgos de seguridad.
4.2 Tratamiento de los riesgos de seguridad.
ISO/IEC 27002:2005
Sección 4: Evaluación y tratamiento del riesgo
Define los conceptos de:
Evaluación de los riesgos de seguridad Identificar, cuantificar y priorizar.Aproximación sistemática, realizada periódicamente, con un alcance claramente definido.
Tratamiento de los riesgos de seguridadCriterios para aceptación del riesgo, opciones para tratamiento del riesgo para cada riesgo identificado en RA
ISO/IEC 27002:2005
Sección 4: Evaluación y tratamiento del riesgo
Dominios Anexo A 27001 / Contenido 27002
Cumplimiento
Gestión de la continuidad de negocio
Gestión de incidentes de seguridad de información
Adquisición, desarrollo y mantenimiento de S.I.
Control de acceso
Gestión de comunicaciones y operaciones
Seguridad física y del entorno
Seguridad de los recursos humanos
Gestión de activos
Organización de la seguridad de la información
Política de seguridad
Relación ISO 27001 – ISO 27002
Relación ISO 27001 – ISO 27002
Razones para adoptar ISO 27001/27002
Optimización de la efectividad de la seguridad de
la información.
Diferenciación de la competencia.
Satisfacción de los requerimientos de los clientes.
Único estándar con aceptación mundial.
Potenciales descuentos en seguros y pólizas.
Debida diligencia.
Gracias
