Beruflich Dokumente
Kultur Dokumente
NTP-ISO/IEC 27001
2013
1. Alcance
En esta seccin se establece la obligatoriedad de
cumplir con los requisitos especficos en los captulos 4
a 10 del documento, para poder obtener la conformidad
de cumplimiento y certificarse.
2. Referencias normativas
El estndar ISO-27002 ya no es una referencia
normativa para ISO-27001:2013, aunque contina
considerndose necesario en el desarrollo de la
declaracin de aplicabilidad (SOA, por sus siglas en
ingls).
El estndar ISO-27000:2013 se convierte en una
referencia normativa obligatoria y nica, ya que contine
todos los nuevos trminos y definiciones.
3. Trminos y definiciones
Los trminos y definiciones se encuentran en la seccin
3 de ISO-27003:2013 Fundamentos y vocabulario.
4. Contexto de la organizacin
4
CONTEXTO DE LA ORGANIZACIN
4.1
Comprensin de la
organizacin y su
contexto
4.2
Comprensin de las
necesidades y
expectativas de las
partes
4.3
Determinacin del
alcance del sistema de
gestin de seguridad de
la informacin
4. Contexto de la organizacin
Esta clusula hace hincapi en identificar los problemas
externos e internos que rodean a la organizacin.
Instituye los requerimientos para definir el contexto del
SGSI sin importar el tipo de organizacin y su alcance.
Introduce una nueva figura las partes interesadas
como un elemento primordial para la definicin del
alcance del SGSI.
Establece la prioridad de identificar y definir formalmente
las necesidades de las partes interesadas con relacin a
la seguridad del SGSI, pues esto determinara las
polticas de seguridad de la informacin y los objetivos
a seguir para el proceso de gestin de riesgos.
5. Liderazgo
5
LIDERAZGO
5.1
Liderazgo y compromiso
5.2
Poltica
5.3
Roles, autoridad y
responsabilidades
organizacionales
5. Liderazgo
Ajusta la relacin y responsabilidades de la Alta Direccin
respecto al SGSI, destacando de manera puntual cmo
debe demostrar su compromiso, por ejemplo:
Garantizando que los objetivos del SGSI y La poltica
de seguridad de la informacin, estn alineados con los
objetivos del negocio.
Garantizando la disponibilidad de los recursos para la
implementacin del SGSI (econmicos, tecnolgicos,
etc.).
Garantizando que los roles y responsabilidades claves
para la seguridad de la informacin se asignen y se
comuniquen adecuadamente.
6. Planificacin
6
PLANIFICACIN
6.1
Acciones para atender
los riesgos y las
oportunidades
6.2
Objetivos de seguridad de la
informacin y planes para
alcanzarlos
6.1.1
Generalidades
6.1.2
Evaluacin de riesgos de
seguridad de la informacin
6.1.3
Informacin de tratamiento de
riesgos de seguridad
6. Planificacin
Esta seccin esta enfocada en la definicin de los objetivos
de seguridad como un todo, los cuales deben ser claros y
se debe contar con planes especficos para alcanzarlos.
El proceso para la evaluacin de riesgos se enfoca en el
objetivo de identificar los riesgos asociados con la perdida de
la confidencialidad, integridad y disponibilidad.
El nivel de riesgo se determina con base en la probabilidad
de ocurrencia del riesgo y las consecuencias generales
(impacto), si el riesgo se materializa.
Los activos, vulnerabilidades y amenazas se requieren para
identificar los riesgos asociados con la confidencialidad,
integridad y disponibilidad.
7. Soporte
7
SOPORTE
7.1
Recursos
7.2
Competencias
7.3
Concientizacin
7.4
Comunicacin
7.5
Informacin a
documentar
7.5.1
Generalidades
7.5.2
Creacin y
actualizacin
7.5.3
Control de la
informacin
documentada
7. Soporte
Marca los requerimientos de soporte para el
establecimiento, implementacin y mejora del SGSI, que
incluye:
Recursos
Personal competente
Conciencia y comunicacin de las partes interesadas
Informacin documentada: abarca el proceso de documentar,
controlar, mantener y conservar la documentacin
correspondiente al SGSI.
El proceso de revisin se enfoca en el contenido d elos
documentos y no en la existencia de un determinado conjunto
de estos.
8. Operacin
8
OPERACIN
8.1
Planificacin y control
operacional
8.2
Evaluacin del riesgo de
seguridad de informacin
8.3
Informacin de tratamiento
de riesgos de seguridad
8. Operacin
Establece los requerimientos para medir el funcionamiento
del SGSI, las expectativas de la Alta Direccin y su
realimentacin sobre estas, as como el cumplimiento con
el del estndar.
Adems, plantea que la organizacin debe planear y
controlar las operaciones y requerimientos de seguridad,
erigiendo como el pilar de este proceso la ejecucin de
evaluaciones de riesgos de seguridad de la informacin de
manera peridica por medio de un programa previamente
elegido.
9
EVALUACIN DEL DESEMPEO
9.1
Monitoreo, medicin,
anlisis y evaluacin
9.2
Auditora interna
9.3
Revisin gerencial
10. Mejoramiento
10
MEJORAMIENTO
10.1
No conformidad y acciones correctivas
10.2
Mejoramiento continu
10. Mejoramiento
El principal elemento del proceso de mejora son las no
conformidades identificadas, las cuales tienen que
contabilizarse y compararse con las acciones correctivas
para asegurar que no se repitan y que las acciones
correctivas sean efectivas.
Ciclo PDCA en
ISO/IEC
27001:2013
PLAN
Liderazgo
Planeacin
Soporte
Entendimiento de la organizacin y su
contexto
Expectativas de las partes interesadas
Alcance del SGSI
Liderazgo y compromiso de la Alta Direccin
Polticas
Organizacin de los roles, responsabilidades
y autoridades
Cmo abordar riesgos y oportunidades
Recursos
Competencias
Conciencia
Comunicacin
Informacin
documentada
10
Operacin
CHECK
Evaluacin del
desempeo
ACT
Mejora
Proceso pre-implementacin
11
Poltica de Seguridad
Debe tener el marco general y los objetivos de
seguridad de la informacin de la organizacin
Debe explicar los requisitos de negocio, legales y
contractuales en cuanto a seguridad
Debe de estar alineada con la gestin de riesgo general,
establecer criterios de evaluacin de riesgo y ser
aprobada por la Direccin.
La poltica de seguridad es un documento muy general,
una especie de "declaracin e intenciones" de la
Direccin, por lo que no pasar de dos o tres pginas.
12
Tipos de Polticas
Resumen
Introduccin
mbito de aplicacin
Objetivos
Principios
Responsabilidades
Resultados importantes
Polticas relacionadas
Definiciones
Sanciones
13
Clusula
4.3
5.2, 6.2
6.1.2
Declaracin de aplicabilidad
6.1.3 d)
8.2
A.7.1.2, A.13.2.4
Inventario de activos
A.8.1.1
A.8.1.3
A.9.1
A.12.1.1
A.14.2.5
A.15.1.1
A.16.1.5
A.17.1.2
A.18.1.1
14
Clusula
7.2
9.1
9.2
9.2
9.3
10.1
A.12.4.1, A.12.4.3
15
Proceso del
Ejercicio de
Evaluacin del
Riesgo
Magerit (Espaa)
Octave (EE.UU.)
Cramm (Reino Unido)
Microsoft (EE.UU.)
Tra (Canada)
Nist 800-30 (EE.UU.)
Ebios (Francia)
Mehari (Francia)
16
Inventario de Activos
Todos aquellos activos de informacin que tienen algn
valor para la organizacin y que quedan dentro del
alcance del SGSI
Se debe inventariar el nombre activo, tipo, responsable y
ubicacin como campos mnimos.
Se debe realizar la dependencia de activos.
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
TOTAL
VALORI
ZACIN
3.00
Medio
3.00
Medio
3.33
Alto
Tabla de impacto
ESCALA
VALORIZACIN
Bajo (B)
Medio (M)
Alto (A)
Paraliza la empresa
17
18
Descripcin
Mitigar el riesgo por controles
Aceptar el riesgo y vivir con las
consecuencia
Transferir
Evitar
AMENAZA
IMPACTO DE LA
AMENAZA
PROBABILIDAD
DE OCURRENCIA
MEDICIN DEL
RIESGO
PRIORIZACIN
20
15
25
Software
Sistema
Operativo
Sistema
Ventas
Base de Datos
de
Errores de Cdigo
Errores de
Administracin
Infeccin de
malware
Falta de seguridad
Errores de usuario
Perdida de
informacin
Lentitud de
procesos
4
4
4
5
5
19
AMENAZA
IMPACTO DE LA
AMENAZA
PROBABILIDAD
DE OCURRENCIA
MEDICIN DEL
RIESGO
PRIORIZACIN
25
15
Hardware
Servidor APPS
Servidor Firewall
Estaciones
trabajo
Fallos tcnicos
Perdida de datos
Fallos de hardware
Falta de seguridad
Fallos tcnicos
Fallos de hardware
Falta de seguridad
Errores de
configuracin
de Fallos de hardware
Errores de usuario
Falta de seguridad
2
3
3
5
3
3
2
2
3
Declaracin de Aplicabilidad
Aplicabilidad
Objetivos de control
Controles
S No
Justificacin
Es necesario establecer las polticas de seguridad
del Sistema de Ventas (servidores, base de datos,
personal, etc.), ya que aqu se tiene el total de
informacin del rea de Ventas de la empresa.
A.5.1.1
S No
A.5.1.2
S No
A.6.1
Organizacin interna
A.6.1.1
A.6.1.2
A.6.1.3
A.6.1.4
A.6.1.5
A.6.1.6
A.6.1.7
A.6.1.8
S
S
S
S
S
S
S
S
A.6.2
Partes externas
A.6.2.1
A.6.2.2
A.6.2.3
S No
S No
S No
A.7.1
Responsabilidad por ,los
activos
A.7.1.1
A.7.1.2
A.7.1.3
S No
S No
S No
A.5.1
Poltica de seguridad de la
informacin
No
No
No
No
No
No
No
No
20
Declaracin de Aplicabilidad
Aplicabilidad
Objetivos de control
Controles
S No
Justificacin
Es necesario establecer las polticas de seguridad
del Sistema de Ventas (servidores, base de datos,
personal, etc.), ya que aqu se tiene el total de
informacin del rea de Ventas de la empresa.
A.5.1.1
S No
A.5.1.2
S No
A.6.1
Organizacin interna
A.6.1.1
A.6.1.2
A.6.1.3
A.6.1.4
A.6.1.5
A.6.1.6
A.6.1.7
A.6.1.8
S
S
S
S
S
S
S
S
A.6.2
Partes externas
A.6.2.1
A.6.2.2
A.6.2.3
S No
S No
S No
A.7.1
Responsabilidad por ,los
activos
A.7.1.1
A.7.1.2
A.7.1.3
S No
S No
S No
A.5.1
Poltica de seguridad de la
informacin
No
No
No
No
No
No
No
No
21
22