Beruflich Dokumente
Kultur Dokumente
COLOMBIANA
NTC-ISO/IEC
27005
2009-08-19
TECNOLOGA DE LA INFORMACIN.
TCNICAS DE SEGURIDAD. GESTIN
RIESGO
EN
LA
SEGURIDAD
DE
INFORMACIN
E:
DEL
LA
CORRESPONDENCIA:
DESCRIPTORES:
tecnologa
de
la
informacin;
seguridad; gestin del riesgo en la
informacin.
I.C.S.: 35.040
Editada por el Instituto Colombiano de Normas Tcnicas y Certificacin (ICONTEC)
Apartado 14237 Bogot, D.C. - Tel. (571) 6078888 - Fax (571) 2221435
Prohibida su reproduccin
Editada 2009-09-01
PRLOGO
GEOCONSULT
ICONTEC
IQ INFORMATION QUALITY
JTCCIA LTDA.
NEWNET S.A.
PIRMIDE
ADMINISTRACIN
DE
INFORMACIN LTDA.
PONTIFICIA UNIVERSIDAD JAVERIANA
SUN GEMINI
TELEFNICA TELECOM
TELMEX COLOMBIA S.A.
ATLAS TRANSVALORES
AVVILLAS
BANCAF
BANCO COLMENA BCSC
BANCO COLPATRA RED MULTIBANCA
BANCO DAVIVIENDA
BANCO DE CRDITO
BANCO DE OCCIDENTE
BANCO GBN SUDAMERIS
BANCO POPULAR
BUREAU VERITAS CERTIFICATION
CARGA S.A.
CHAID NEME HERMANOS
CIBERCALL S.A.
CITIBANK
COLEGIO LA PRESENTACIN - DUITAMA
COMFENALCO TOLIMA
COMPAA AGRCOLA DE SEGUROS DE
VIDA
CONTRALORA DE BOGOTA
CONTRALORA DE CUNDINAMARCA
COOPERATIVA SANTANDEREANA DE
TRANSPORTADORES LTDA.
CORPORACIN FINANCIERA DEL VALLE
CREANGEL LTDA.
D.S. SISTEMAS LTDA.
DATIC SA
DELOITTE
DEPARTAMENTO NACIONAL DE
PLANEACIN
DESCA
DITRANSA
ETEK INTERNACIONAL
EXPRESS DEL FUTURO S.A.
FEDESOFT
FUNDACIN UNIVERSITARIA
TECNOLGICO COMFENALCO
GIRSAT COLOMBIA LTDA.
HONOR SERVICIOS DE SEGURIDAD
IGI LTDA.
INTERBOLSA
IPX LTDA.
IQ OUTSOURCING S.A.
IT FORENSIC LTDA.
KPMG LTDA.
LUIS FERNANDO MEDINA LEGUZAMO
METROALARMAS LTDA.
ICONTEC cuenta con un Centro de Informacin que pone a disposicin de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.
DIRECCIN DE NORMALIZACIN
NTC-ISO/IEC 27005
RESUMEN
CONTENIDO
Pgina
INTRODUCCIN
1.
2.
3.
4.
5.
6.
7.
7.1
7.2
7.3
7.4
8.
8.1
8.2
8.3
NTC-ISO/IEC 27005
RESUMEN
Pgina
9.
9.1
9.2
9.3
9.4
9.5
10.
11.
12.
12.1
12.2
BIBLIOGRAFA ................................................................................................................... 66
ANEXOS
ANEXO A (Informativo)
DEFINICIN DEL ALCANCE Y LOS LMITES DEL PROCESO DE GESTIN
DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN ............................................... 31
ANEXO B (Informativo)
IDENTIFICACIN Y VALORACIN DE LOS ACTIVOS
Y VALORACIN DEL IMPACTO ........................................................................................ 37
ANEXO C (Informativo)
EJEMPLOS DE AMENAZAS COMUNES ........................................................................... 49
NTC-ISO/IEC 27005
RESUMEN
Pgina
ANEXO D (Informativo)
VULNERABILIDADES Y MTODOS PARA LA VALORACIN
DE LA VULNERABILIDAD ................................................................................................. 51
ANEXO E (Informativo)
ENFOQUES PARA LA VALORACIN DE RIESGOS EN LA SEGURIDAD
DE LA INFORMACIN ....................................................................................................... 56
ANEXO F (Informativo)
RESTRICCIONES PARA LA REDUCCIN DE RIESGOS ................................................. 63
FIGURAS
Figura 1. Proceso de gestin del riesgo en la seguridad de la informacin ................... 5
Figura 2. Actividad para el tratamiento del riesgo........................................................... 22
TABLA
Tabla 1. Alineamiento del SGSI y el proceso de gestin del riesgo
en la seguridad de la informacin ...................................................................................... 6
NTC-ISO/IEC 27005
RESUMEN
INTRODUCCIN
Esta norma proporciona directrices para la gestin del riesgo en la seguridad de la informacin
en una organizacin, dando soporte particular a los requisitos de un sistema de gestin de
seguridad de la informacin (SGSI) de acuerdo con la norma NTC-ISO/IEC 27001. Sin
embargo, esta norma no brinda ninguna metodologa especfica para la gestin del riesgo en la
seguridad de la informacin. Corresponde a la organizacin definir su enfoque para la gestin
del riesgo, dependiendo por ejemplo del alcance de su SGSI, del contexto de la gestin del
riesgo o del sector industrial. Se puede utilizar una variedad de metodologas existentes bajo la
estructura descrita en esta norma para implementar los requisitos de un sistema de gestin de
seguridad de la informacin.
Esta norma es pertinente para los directores y el personal involucrado en la gestin del riesgo
en la seguridad de la informacin dentro de una organizacin y, cuando corresponda, para las
partes externas que dan soporte a dichas actividades.
NTC-ISO/IEC 27005
RESUMEN
TECNOLOGA DE LA INFORMACIN.
TCNICAS DE SEGURIDAD.
GESTIN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN
1.
Esta norma suministra directrices para la gestin del riesgo en la seguridad de la informacin.
Esta norma brinda soporte a los conceptos generales que se especifican en la norma
NTC-ISO/IEC 27001 y est diseada para facilitar la implementacin satisfactoria de la
seguridad de la informacin con base en el enfoque de gestin del riesgo.
El conocimiento de los conceptos, modelos, procesos y terminologas que se describen en la
norma NTC-ISO/IEC 27001 y en NTC-ISO/IEC 27002 es importante para la total comprensin
de esta norma.
Esta norma se aplica a todos los tipos de organizaciones (por ejemplo empresas comerciales,
agencias del gobierno, organizaciones sin nimo de lucro) que pretenden gestionar los riesgos
que podran comprometer la seguridad de la informacin de la organizacin.
2.
REFERENCIAS NORMATIVAS
3.
TRMINOS Y DEFINICIONES
Para los propsitos de este documento, se aplican los trminos y definiciones de las normas
NTC-ISO/IEC 27001 y NTC-ISO/IEC 27002 y las siguientes:
3.1 Impacto. Cambio adverso en el nivel de los objetivos del negocio logrados.
2
NTC-ISO/IEC 27005
RESUMEN
3.3 Evitacin del riesgo. Decisin de no involucrarse en una situacin de riesgo o tomar
accin para retirarse de dicha situacin.
[ISO/IEC Gua 73:2002]
3.4 Comunicacin del riesgo. Intercambiar o compartir la informacin acerca del riesgo entre
la persona que toma la decisin y otras partes interesadas.
[ISO/IEC Gua 73:2002]
3.5 Estimacin del riesgo. Proceso para asignar valores a la probabilidad y las consecuencias
de un riesgo.
[ISO/IEC Gua 73:2002]
NOTA 1 En el contexto de esta norma, el trmino "actividad" se utiliza en lugar del trmino "proceso" para la
estimacin del riesgo.
3.6 Identificacin del riesgo. Proceso para encontrar, enumerar y caracterizar los elementos
de riesgo.
[ISO/IEC Gua 73:2002]
NOTA
En el contexto de esta norma, el trmino "actividad" se utiliza en lugar del trmino "proceso" para la
identificacin del riesgo.
3.7 Reduccin del riesgo. Acciones que se toman para disminuir la probabilidad las
consecuencias negativas, o ambas, asociadas con un riesgo.
[ISO/IEC Gua 73:2002]
3.8 Retencin del riesgo. Aceptacin de la prdida o ganancia proveniente de un riesgo
particular.
[ISO/IEC Gua 73:2002]
NOTA
En el contexto de los riesgos en la seguridad de la informacin, nicamente se consideran las
consecuencias negativas (prdidas) para la retencin del riesgo.
3.9 Transferencia del riesgo. Compartir con otra de las partes la prdida o la ganancia de un
riesgo.
[ISO/IEC Gua 73:2002]
NOTA
En el contexto de los riesgos en la seguridad de la informacin, nicamente se consideran las
consecuencias negativas (prdidas) para la transferencia del riesgo.
NTC-ISO/IEC 27005
RESUMEN
BIBLIOGRAFA
[1]
[2]
ISO/IEC 16085:2006, Systems and Software Engineering. Life Cycle Process. Risk
Management.
[3]
[4]
[5]
NIST Special Publication 800-30, Risk management Guide for Information Technology
Systems, recommendations of the National Institute of Standards and Technology.
NTC-ISO/IEC 27005
RESUMEN
IMPORTANTE
Este resumen no contiene toda la informacin necesaria para la aplicacin del documento normativo original al que se
refiere la portada. ICONTEC lo creo para orientar a su cliente sobre el alcance de cada uno de sus documentos y facilitar
su consulta. Este resumen es de libre distribucin y su uso es de total responsabilidad del usuario final.
El documento completo al que se refiere este resumen puede consultarse en los centros de informacin de ICONTEC en
Bogot, Medelln, Barranquilla, Cali o Bucaramanga, tambin puede adquirirse a travs de nuestra pgina web o en
nuestra red de oficinas (vase www.icontec.org).
El logo de ICONTEC y el documento normativo al que hace referencia este resumen estn cubiertos por las leyes de
derechos reservados de autor.
Informacin de servicios aplicables al documento aqu referenciado la encuentra en: www.icontec.org o por medio del
contacto cliente@icontec.org.
ICONTEC INTERNACIONAL