sistemadegestióndeseguridad de(la(información( esquema(de ... · iso/iec27000...
TRANSCRIPT
ISO/IEC 27000 Vocabulario estándar para el SGSI
ISO/IEC 27001 Requisitos. Es certificable
ISO/IEC 27002 Código de buenas prácticas para la gestión seguridad de la información.
ISO/IEC 27003 Directrices para la implementación de un SGSI.
ISO/IEC 27004 Métricas para la gestión de la seguridad de la información.
ISO/IEC 27005 Gestión de Riesgos de la seguridad de la información.
ISO/IEC 27006 Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los SGSI.
ISO/IEC 27007 Guía para auditar al SGSI.
ISO/IEC 27799:2008 Guía para implementar ISO/IEC 27002 en la industria de la salud.
ISO/IEC 27035:2011 Seguridad de la información-‐Técnicas de Seguridad-‐ Gestión de Incidentes de Seguridad
Familia de Normas ISO 27000
Definición del Alcance
• Identificar los procesos de negocio claves. • Identificar los tipos de información y su flujo.
• Identificar el soporte de TI. • Identificar el entorno físico (edificios, salas,etc).
• Identificar las personas relevantes.
Análisis Diferencial
• Detecta áreas de carencia evidentes. • Permite conocer el nivel de madurez de los controles de la organización.
• Permite identificar acciones de mejora sin esperar al Análisis de Riesgos.
Fase Inicial
Informe de Alcance
Informe de Nivel de Madurez de los Controles
Plan de implantación y Recomendaciones
* El Modelo de Capacidad y Madurez o CMM (Capability Maturity Model), es un modelo de evaluación de procesos de una organización.
* Para dotar de más riqueza al análisis diferencial, una buena práctica es evaluar diferentes aspectos para cada control
Fase Inicial. Análisis del Diferencial
Puntuación Madurez
0 Inexistente
1 Inicial/Ad Hoc
2 Repetible pero intuitivo
3 Proceso definido
4 Gestionado y evaluable
5 Optimizado
Objetivo
El nivel 3 es el nivel de implantación requerido para certificarse, pero para algunos controles de más alto riesgo es el nivel 4
nivel 3 es el nivel de implantación requerido para certificarse, pero para alguno
Aspecto de control Descripción
Reconocimiento Reconocimiento y comunicación del asunto de seguridad en la organización
Documentación La política, normas y procedimientos documentados relacionados con el control de Seguridad
Implantación Procesos asociados y formación para poner en práctica las directrices
Evaluación Evaluar la eficacia de la política y los procesos asociados y hacer mejoras basadas en ello
Informe Estado Resumido
Plan de Implantación y Recomendaciones
Recomendación Sección 27001
Aprobar documento de Política de Seguridad de la Información A-‐5.1.1 A-‐6.1.1
Colocar toda la documentación de Política, Procedimientos y Estándares bajo un sistema de gestión de cambios
4.3.2 A-‐5.1.2
Formalizar la “Seguridad” como un elemento de agenda para las reuniones de Revisión de Negocio.
A-‐6.1.1
Asegurarse que el puesto de Director de Seguridad de la Información está bien definido A-‐6.1.3
Fase Inicial. Resultado
El plan de implantación dependerá de : • Los Activos de información incluidos en el
Alcance del SGSI.
• La metodología o herramienta seleccionada para Análisis y Gestión de Riesgos.
• El nivel de detalle elegido.
Análisis y Gestión de Riesgos
• Según Metodología MAGERIT
• Herramienta PILAR • Informe de Riesgos • Plan de Tratamiento
Implantación de Controles
• Elaboración del SOA • Documentar SGSI
Auditoría Interna
• Establecer el Plan de Auditoría
• Realizar la Auditoría.
Fase II. Implantación Informe de Riesgos
PTR
SOA (Declaración de Aplicabilidad)
Documentación del SGSI
Plan de Auditoría
Informe de Auditoría
Políticas Normas
Procedimientos/Guías
Tareas/Operacionales Evidencias/Registros
Plan de Acciones Correctivas de las NCs encontradas en Auditoría Interna
Fase II. Implantación. Enfoques Activos Amenazas Vulnerabilidades
Riesgo
Contramedida
Implantación
Auditoría
ANAL
ISIS
TRAT
AMIENTO
La selección de controles debe hacerse en base a tres fuentes de requisitos de seguridad • Normas internas • Análisis y tratamiento de riesgos • Obligaciones legales
Ahorro de tiempo en la implantación
Auditoría de Certificación
• Realización de la Auditoría de Certificación de ISO/IEC 27001 por el organismo de Certificación elegido
• (Aenor, Applus, SGS, BSI…etc)
Plan de acciones Correctivas
• Elaboración del Plan de Acciones Correctivas
Fase III. Certificación
Informe de Auditoría
CERTIFICACIÓN
Informe de Auditoría
PAC