ISO/IEC 27002:2005

Marcos Sotelo B. msperu21@gmail.com Lima-Per, Febrero 2012

ISO/IEC 27002:2005Basado en BS 7799-1:1999 ISO17799:2000. Se utiliza como un documento de

referencia.Provee un conjunto de controles de seguridad. NO es certificable.

ISO/IEC 27002:2005Introduccin 0. Introduccin 1. Alcance 2. Trminos y definiciones 3. Estructura del estndar

Anlisis de riesgos

4.1 Identificacin de riesgos de seguridad de la informacin 4.2 Tratamiento de riesgos de seguridad de la informacin

Objetivos de control y controles

11 Dominios 39 Objetivos de control 133 Controles

ISO/IEC 27002:2005Seccin 0: IntroduccinQu es Informacin & Seguridad de la InformacinLa informacin es un activo, se encuentra en diferentes formas, debe ser protegida, etc.

Por qu es necesaria la Seguridad de la Informacin Requerimientos de seguridad Cmo establecerlos? Evaluacin de los riesgos de seguridad Seleccin de controles Punto de partida para la seguridad de la informacin Factores crticos de xitoAlgunos aspectos han sido revisados en las secciones anteriores

ISO/IEC 27002:2005Seccin 1: Alcance de la norma

Guas y principios generales para iniciar, implementar, mantener y mejorar la gestin de la seguridad de la informacin en la organizacin.

ISO/IEC 27002:2005Seccin 2: Trminos y definicionesSeguridad de la Informacin: Integridad. Confidencialidad. Disponibilidad.

Autenticidad, responsabilidad (accountability), no-repudio, confiabilidad.

ISO/IEC 27002:2005Seccin 2: Trminos y definicionesSeccin ampliada con mayor cantidad de trminos Aclaran y precisan el concepto de algunos trminos usados en la norma:

Infraestructura de procesamiento de informacin (facilities). Seguridad de la Informacin. Eventos de Seguridad de la Informacin. Incidentes de Seguridad de la Informacin. Definiciones relacionadas con el Riesgo.

ISO/IEC 27002:2005Seccin 2: Trminos y definiciones Definicin de Trminos:Asset, Control, Guideline, Information Processing Security, Facilities, Information Event,

Information

Security

Information

Security

Incident,

Policy,

Risk, Risk Analysis, Risk Assessment, Risk Evaluation, Risk Management, Risk Treatment, Vulnerability. Third Party, Threat,

ISO/IEC 27002:2005Seccin 3: Estructura del estndarThis standard contains 11 security control clausescollectively containing a total of 39 main security categories and one introductory clause introducing risk assessment

and treatment 11 Clusulas39 Categoras principales de seguridad

1331

ControlesClusula introductoria Evaluacin y tratamiento del riesgo

MSC: Main Security Category Categora principal de seguridad: Objetivo de control

ISO/IEC 27002:2005Seccin 3: Estructura del estndar 3.1 Clauses (# of Main Sec) - Dominios o reasSecurity Policy (1) Organizing Information Security (2) Asset Management (2) Human Resources Security (3) Physical and Environmental Security (2) Communications a Operations Management (10) Access Control (7) Information Systems Acquisition, Development and Maintenance (6) Information Security Incident Management (2) Business Continuity Management (1) Compliance (3)

ISO/IEC 27002:2005Seccin 3: Estructura del estndar 3.2 Main Security CategoriesDefine qu contiene cada MSC (Main Security Category). Un objetivo de control que establece qu se pretende lograr. Uno o ms controles que pueden ser aplicados para lograr el objetivo de control.

Describe la estructura de los controles: Control. Implementation Guide. Other information (e.g. reference to other standards..).

ISO/IEC 27002:2005Seccin 4: Evaluacin y tratamiento del riesgo4.1 4.2 Evaluacin de los riesgos de seguridad. Tratamiento de los riesgos de seguridad.

ISO/IEC 27002:2005Seccin 4: Evaluacin y tratamiento del riesgoDefine los conceptos de: Evaluacin de los riesgos de seguridad

Identificar, cuantificar y priorizar. Aproximacin sistemtica, realizada peridicamente, con un alcance claramente definido.Tratamiento de los riesgos de seguridad Criterios para aceptacin del riesgo, opciones para tratamiento del riesgo para cada riesgo identificado en RA

Dominios Anexo A 27001 / Contenido 27002Poltica de seguridad Organizacin de la seguridad de la informacin Gestin de activos Seguridad de los recursos humanos Seguridad fsica y del entorno Gestin de comunicaciones y operaciones Control de acceso Adquisicin, desarrollo y mantenimiento de S.I. Gestin de incidentes de seguridad de informacin Gestin de la continuidad de negocio Cumplimiento

Relacin ISO 27001 ISO 27002

Optimizacin de la efectividad de la seguridad de la informacin. Diferenciacin de la competencia. Satisfaccin de los requerimientos de los clientes. nico estndar con aceptacin mundial. Potenciales descuentos en seguros y plizas.

Debida diligencia.