iSO27001
57
ISO 27001 Ing. Msc. Patricia López A.
-
Upload
maritza-onofre -
Category
Documents
-
view
8 -
download
0
description
DIAPOSITIVAS DE iso
Transcript of iSO27001
ISO 27001Ing. Msc. Patricia Lpez A.
1
ISO 27001La norma internacional ISO 27001 especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin SGSI, documentado dentro del contexto global de los riesgos de una institucin. Especificando los requisitos para la implantacin de los controles de seguridad hechos a medida de las necesidades institucionales, individuales o partes de las mismas 11 dominios, 39 objetivos de control y 133 controles
2
IntegridadConfidencialidadDisponibilidad Plan de seguridadNo alteracin de las Polticas internasen su contenido.Acceso a la informacin por la persona autorizada.Informacin disponible cuando sea requerida. Principios bsicos
3
Algunas definiciones ImportantesSeguridad de la Informacin (SI).- Preservacin de la confidencialidad, integridad y disponibilidadActivo.- Algo que tiene valor para la organizacin (ISO/IEC 13335-1:2004).Amenaza.- Evento que puede provocar un incidente en la organizacin produciendo daos oprdidas materiales y/o inmateriales.Vulnerabilidad.- Susceptibilidad de algo para absorber negativamente incidencias externas.
Antecedentes ISO 17799Objetivo ISO 17799: Proporcionar una base comn para desarrollar normas de seguridad dentro de las organizaciones y ser una prctica eficaz de la gestin de la seguridad.Se trata de una norma NO CERTIFICABLE, pero que recoge la relacin de controles a aplicar para establecer un Sistema de Gestin de la Seguridad de la Informacin (SGSI) segn la norma UNE 71502, CERTIFICABLE.
8
Evolucin de la Norma
Evolucin de las normas ISO
Seguridad de la informacin familia 27000UNE-ISO/IEC 27001:2007 Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Requisitos. Fecha de la de la versin espaola 29 noviembre de 2007. Es la norma principal de requisitos de un Sistema de Gestin de Seguridad de la Informacin. Los SGSIs debern ser certificados por auditores externos a las organizaciones. En su Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO17799).
ISO 27002: (anteriormente denominada ISO17799).Gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin con 11 dominios, 39 objetivos de control y 133 controles. ISO 27003: En fase de desarrollo; probable publicacin en 2009. Contendr una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de implantacin.
ISO 27004: Publicada en diciembre de 2009. Especifica las mtricas y las tcnicas de medida aplicables para determinar la eficiencia y eficacia de la implantacin de un SGSI y de los controles relacionados. ISO 27005: Publicada en junio de 2008. Consiste en una gua para la gestin del riesgo de la seguridad de la informacin y sirve, por tanto, de apoyo a la ISO 27001 y a la implantacin de un SGSI. Incluye partes de la ISO 13335. ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin.
Estructura de la ISO 27001Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) segn el conocido Ciclo de Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prcticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalizacin britnica, la British Standards Institution (BSI).
(Planificar /Hacer /Verificar /Actuar)Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI.
PlanificarVerificarHacer ActuarPartes Interesadas
Implementar y operar el SGSI Monitorear el SGSIMantener y Mejorar el SGSIEstablecer el SGSI
Partes Interesadas
Requisitos y expectativas Seguridad Gestionada
15
El SGSI adopta el siguiente modelo:
PHVA
PlanificarVerificarHacer Actuar Definir la poltica de seguridad Establecer el alcance del SGSIRealizar los anlisis de riesgos Seleccionar los controles Implantar el plan de gestin de riesgos Implantar el SGSI Implantar los controles.Implantar indicadores. Revisiones del SGSI por parte de la Direccin.Realizar auditoras internas del SGSI Adoptar acciones correctivas Adoptar acciones preventivas(Planificar /Hacer /Verificar /Actuar)
16
17Establecer el SGSI (Plan)Establecer la poltica de seguridad, objetivos, metas, procesos y procedimientos relevantes para manejar riesgos y mejorar la seguridad de la informacin para generar resultados de acuerdo con una poltica y objetivos marco de la organizacin.Definir el alcance del SGSI a la luz de la organizacin.Definir la Poltica de Seguridad.Aplicar un enfoque sistmico para evaluar el riesgo.
No se establece una metodologa a seguir.
Establecer el SGSI (Plan)Identificar y evaluar opciones para tratar el riesgoMitigar, eliminar, transferir, aceptar
Seleccionar objetivos de Control y controles a implementar (Mitigar).A partir de los controles definidos por la ISO/IEC 17799
Establecer enunciado de aplicabilidad
Implementar y operar (Do)Implementar y operar la poltica de seguridad, controles, procesos y procedimientos.Implementar plan de tratamiento de riesgos.Transferir, eliminar, aceptarImplementar los controles seleccionados.MitigarAceptar riesgo residual.Firma de la alta direccin para riesgos que superan el nivel definido.
Implementar y operar (Do)Implementar medidas para evaluar la eficacia de los controles
Gestionar operaciones y recursos.
Implementar programas de Capacitacin y concientizacin.
Implementar procedimientos y controles de deteccin y respuesta a incidentes.
Monitoreo y Revisin (Check)Evaluar y medir la performance de los procesos contra la poltica de seguridad, los objetivos y experiencia practica y reportar los resultados a la direccin para su revisin.Revisar el nivel de riesgo residual aceptable, considerando:Cambios en la organizacin.Cambios en la tecnologas.Cambios en los objetivos del negocio.Cambios en las amenazas.Cambios en las condiciones externas (ej. Regulaciones, leyes).Realizar auditorias internas.Realizar revisiones por parte de la direccin del SGSI.
Monitoreo y Revisin (Check)Se debe establecer y ejecutar procedimientos de monitoreo para:Detectar errores.Identificar ataques a la seguridad fallidos y exitosos.Brindar a la gerencia indicadores para determinar la adecuacin de los controles y el logro de los objetivos de seguridad.Determinar las acciones realizadas para resolver brechas a la seguridad.Mantener registros de las acciones y eventos que pueden impactar al SGSI.Realizar revisiones regulares a la eficiencia del SGSI.
Mantenimiento y mejora del SGSI (Act)Tomar acciones correctivas y preventivas, basadas en los resultados de la revisin de la direccin, para lograr la mejora continua del SGSI.Medir el desempeo del SGSI.Identificar mejoras en el SGSI a fin de implementarlas.Tomar las apropiadas acciones a implementar en el ciclo en cuestin (preventivas y correctivas).Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas.Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.
(Planificar /Hacer /Verificar /Actuar)
MANUAL DE SEGURIDAD
Contenido de los documentosDescribe el sistema de gestin de la seguridad
PROCEDIMIENTOS DOCUMENTADOS EXIGIDOS POR LA NORMA Describe los procesos y las actividades
REGISTROSSon evidencias objetivas de la ejecucin de procesos, actividades o tareas
OTROS DOCUMENTOS DEL SGSI (INSTRUCCIONES DE TRABAJO, FORMULARIOS, ESPECIFICACIONES Y OTROS)Describe tareas y requisitosDocumentacin del SGSI
Requisitos de Certificacin del SGSILanorma establece requisitos para Establecer, Implementar y Documentar un SGSI.Definir el alcance del SGSI (fronteras)Definir una poltica de seguridadIdentificar activosRealizar el anlisis de riesgos de activos.Identificar las reas dbiles de los activoTomar decisiones para manejar el riesgoSeleccionar los controles apropiadosImplementar y manejar los controles seleccionadosElaborar la declaracin de aplicabilidad
Objetivos de auditoriaPara obtener la certificacin.Revisar conformidad con la norma (ISO/IEC 27001)Revisar grado de puesta en prctica del sistemaRevisar la eficacia y adecuacin en el cumplimiento de:Poltica de seguridadObjetivos de seguridadIdentificar las fallas y debilidades en la seguridadProporcionar una oportunidad para mejorar el SGSICumplir requisitos contractuales.Cumplir requisitos regulatorios.
Certificacin del SGSILa certificacin no implica que la organizacin a obtenido determinado niveles de seguridad de la informacin para sus productos y/o servicios.Las organizaciones certificadas pueden tener mayor confianza es su capacidad para gestionar la seguridad de la informacin, y por ende ayudara a asegurar a sus socios, clientes, y accionistas con quien hacen negocios.El Anexo C de la norma muestra las correspondencias del (SGSI) con el Sistema de Gestin de la Calidad ISO 9001:2000 y con el Sistema de Gestin Medio Ambiental segn ISO 14001:2004 con duracin de 3 aos.
1. Poltica de Seguridad
2. Estructura Organizativa para la Seguridad9. Administracin de incidentes de seguridad4. SeguridadLigada alPersonal (RRHH)5. SeguridadFsica y del Entorno6. Gestin de Comunicacionesy Operaciones (administracin)11. Cumplimiento3. Clasificacin y Control de Activos (Administracion)
8. Adquisicin,Desarrollo yMantenimiento de SistemasComo nos organizamosComo lo vamos a hacerContingencia y Seguimiento7. Administracin y Control de AccesosDefinicin del AlcanceEvaluacin y Manejo de los riesgos
Pasos previos10. Administracin de Continuidad de OperacionesISO 27001
29
Establecimiento de un SGSI
Establecimiento de un SGSI
Establecimiento de un SGSI
Establecimiento de un SGSI
Implementacin de un SGSI
Implementacin de un SGSI
Monitoreo y revisin de SGSI
Monitoreo y revisin de SGSI
Monitoreo y revisin de SGSI
Mantenimiento y mejora SGSI
1 Documentacin de SGSI-Poltica y Objetivos del SGSI-Alcance-Procedimientos y controles-Descripcin metodologa Risk Assessment-Reportes del Risk Assessment-Plan de Tratamiento de Riesgos (RTP)-Los registros requeridos por ISO 27001-El Estado de Aplicabilidad
2 Control de documentos-Aprobacin de documentos antes de su emisin-Revisin y actualizacin y necesidad de re-aprobacin-Identificacin de cambios y versiones en vigor-Garantizar que las versiones aplicables se encuentren en los puntos de uso-Garantizar que los documentos permanecen legibles y fcilmente identificables
Garantizar que estn a disposicin de las personas que los necesitan-Garantizar que son transferidos, almacenados y destruidos segn lo establecido en el SGSI-Garantizar que se identifican los documentos de origen externo-Garantizar que se controla la distribucin e documentos-Prevenir el uso no intencionado de documentos obsoletos-Identificar los obsoletos caso de que sean retenidos por algn motivo
2 Control de documentos
3 Control de registrosMuestran evidencias de la conformidad del sistema con sus requisitosDeben ser debidamente protegidos y controladosEs necesario un documentar los controles necesarios para su: identificacin (rpidamente identificables) almacenamiento (fcilmente recuperables) proteccin (permanezcan legibles) perodo de retencin disposicin de registros
4 Compromiso de direccin La Alta Direccin debe proveer evidencia de su compromiso con el proyectoEstableciendo la Poltica del SGSIAsegurando que se establecen Objetivos para el SGSI y que se planifica su consecucinEstableciendo roles y responsabilidadesComunicando la importancia de logar los Objetivos y estableciendo la Poltica del SGSI
Revisin por la Direccin del SGSIA intervalos planificados y como mnimo 1 al aoDebe incluir oportunidades de mejora y necesidad de cambios en el SGSIAnalizar posibles cambios en la Poltica y en los ObjetivosLos resultados de la RxD deben estar documentados manteniendo registro
Resultados de auditoras y RxD previasFeedback de partes interesadasEstado de acciones correctivas/preventivasTcnicas, productos o procedimientos que pueden ser usados para mejora del SGSIAmenazas y vulnerabilidades no determinadas de forma correcta en el Risk AssessmentResultados de medidas de efectividad (mtricas)Seguimiento de actuaciones derivadas de RxD previasCambios que pudieran afectar al SGSIRecomendaciones de mejoraEntradas
Mejora de la eficacia del SGSIActualizacin del Risk Assessment y del Risk Treatment PlanModificacin de procedimientos y controles necesarios, incluyendo cambios en:- Requerimientos de negocio-Requerimientos de seguridad-Procesos de negocio-Requisitos legales o regulatorios-Obligaciones contractuales-Niveles de riesgo y/o criterios de aceptacin de riesgoNecesidad de recursosMejora de los mtodos de medida de la eficacia de los controlesSalidas
Comunicando responsabilidades y la necesidad de la bsqueda de la mejora continuaSuministrando recursosDecidiendo criterios de aceptacin de riesgos y Niveles de Riesgo AceptablesAsegurndose de que se realizan Auditoras InternasRealizando Revisiones por la Direccin del SGSI
4 Compromiso de direccin 5 Provisin de recursos
6 Formacin, Toma de Conciencia y Competencia1) Determinar competencias para el personal alcanzado por el SGSI2) Si no se tienen in-house ? Formacin o reclutamiento3) Si se hacen acciones de formacin ? Evaluar su eficacia4) Hay que mantener registros de educacin, formacin, habilidades,experiencia y cualificacinLa organizacin debe garantizar que el personal relevante afectado por el SGSI sea consciente de la importancia de sus actividades y de cmo pueden contribuir a la consecucin de los Objetivos
7 Auditoria Interna SGSIA intervalos previamente planificados en un Programa de Auditoras.En funcin de la importancia de los procesos y reas a auditar.En funcin de resultados de auditoras previas.Debe definirse: - Criterios de auditora y Alcance-Frecuencia y Metodologa (ISO 19011 Gua)
La seleccin de auditores y el desarrollo de la auditora deben garantizar la total imparcialidad y objetividad del proceso de auditora. Un auditor no debe auditar nunca su propio trabajo.Es preciso un procedimiento documentado segn ISO 27001 que plasme las responsabilidades y requisitos para la planificacin y realizacin de auditoras y para la forma en que se reportan los resultado y se mantienen registros.7 Auditoria Interna SGSI
8 Mejora continua Procedimiento AACC-Identificar No Conformidades-Determinar sus causas-Evaluar necesidad de actuacin-Determinar AACC necesarias-Registrar resultados de las acciones-Revisar las AACC tomadas
8 Mejora continua Procedimiento AAPP-Identificar No Conformidades Potenciales-Determinar sus causas-Evaluar necesidad de actuacin preventiva-Determinar AAPP necesarias-Registrar resultados de las acciones-Revisar las AAPP tomadasSu prioridad ir en funcin del Risk Assessment
54
OBJETIVOS Y CONTROLES
Gracias
56
Para nosotros Seguridad es una cosa seria
ISO
57
